Stream dados de Proteção de Informações do Microsoft Purview para Microsoft Sentinel

Este artigo descreve como transmitir dados de Proteção de Informações do Microsoft Purview (anteriormente Microsoft Proteção de Informações ou MIP) para Microsoft Sentinel. Pode utilizar os dados ingeridos pelos clientes e scanners de etiquetagem do Microsoft Purview para controlar, analisar, comunicar os dados e utilizá-los para fins de conformidade.

Importante

O conector Proteção de Informações do Microsoft Purview está atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares de Pré-visualização do Azure incluem termos legais adicionais que se aplicam a funcionalidades Azure que estão em beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Visão Geral

A auditoria e os relatórios são uma parte importante da estratégia de segurança e conformidade das organizações. Com a expansão contínua do panorama tecnológico que tem um número cada vez maior de sistemas, pontos finais, operações e regulamentos, torna-se ainda mais importante ter uma solução abrangente de registos e relatórios em vigor.

Com o conector Proteção de Informações do Microsoft Purview, transmite em fluxo eventos de auditoria gerados a partir de clientes e scanners de etiquetagem unificados. Em seguida, os dados são emitidos para o registo de auditoria do Microsoft 365 para relatórios centrais no Microsoft Sentinel.

Com o conector, pode:

• Controlar a adoção de etiquetas, explorar, consultar e detetar eventos.
• Monitore documentos e emails rotulados e protegidos.
• Monitorize o acesso do utilizador a e-mails e documentos etiquetados, enquanto controla as alterações de classificação.
• Obtenha visibilidade sobre as atividades executadas em etiquetas, políticas, configurações, ficheiros e documentos. Esta visibilidade ajuda as equipas de segurança a identificar falhas de segurança e violações de risco e conformidade.
• Utilize os dados do conector durante uma auditoria para provar que a organização está em conformidade.

conector Azure Proteção de Informações vs. conector Proteção de Informações do Microsoft Purview

Este conector substitui o conector de dados Azure Proteção de Informações (AIP). O conector de dados Azure Proteção de Informações (AIP) utiliza a funcionalidade registos de auditoria do AIP (pré-visualização pública).

Importante

A partir de 31 de março de 2023, a pré-visualização pública dos registos de auditoria e análise do AIP será descontinuada e, em seguida, utilizará a solução de auditoria do Microsoft 365.

Para obter mais informações:

• Veja Serviços removidos e descontinuados.
• Saiba como desligar o conector do AIP.

Quando ativa o conector Proteção de Informações do Microsoft Purview, os registos de auditoria são transmitidos para a tabela padronizadaMicrosoftPurviewInformationProtection. Os dados são recolhidos através da API de Gestão do Office, que utiliza um esquema estruturado. O novo esquema padronizado é ajustado para melhorar o esquema preterido utilizado pelo AIP, com mais campos e acesso mais fácil aos parâmetros.

Reveja a lista de atividades e tipos de registo de auditoria suportados.

Pré-requisitos

Antes de começar, verifique se tem:

• A solução Microsoft Sentinel ativada.
• Uma área de trabalho Microsoft Sentinel definida.
• Uma licença válida para M365 E3, M365 A3, Microsoft Business Basic ou qualquer outra licença elegível de Auditoria. Leia mais sobre soluções de auditoria no Microsoft Purview.
• Etiquetas de Confidencialidade Ativadas para o Office e auditoria ativada.
• A função Administrador de Segurança no inquilino ou as permissões equivalentes.

Configurar o conector

Observação

Se definir o conector numa área de trabalho localizada numa região diferente da sua localização Office 365, os dados poderão ser transmitidos em fluxo entre regiões.

1. Abra o portal do Azure e navegue para o serviço Microsoft Sentinel.

2. No painel Conectores de dados , na barra de pesquisa, escreva Purview.

3. Selecione o conector Proteção de Informações do Microsoft Purview (Pré-visualização).

4. Por baixo da descrição do conector, selecione Abrir página do conector.

5. Em Configuração, selecione Ligar.

   Quando uma ligação é estabelecida, o botão Ligar muda para Desligar. Está agora ligado ao Proteção de Informações do Microsoft Purview.

Reveja a lista de atividades e tipos de registo de auditoria suportados.

Desligar o conector de Azure Proteção de Informações

Recomendamos que utilize o conector Azure Proteção de Informações e o conector de Proteção de Informações do Microsoft Purview em simultâneo (ambos ativados) para um curto período de teste. Após o período de teste, recomendamos que desligue o conector Azure Proteção de Informações para evitar a duplicação de dados e os custos redundantes.

Para desligar o conector Azure Proteção de Informações:

1. No painel Conectores de dados, na barra de pesquisa, escreva Azure Proteção de Informações.
2. Selecione Proteção de Informações do Azure.
3. Por baixo da descrição do conector, selecione Abrir página do conector.
4. Em Configuração, selecione Ligar Azure Proteção de Informações registos.
5. Desmarque a seleção da área de trabalho a partir da qual pretende desligar o conector e selecione OK.

Limitações e problemas conhecidos

• Os eventos de etiqueta de confidencialidade recolhidos através da API de Gestão do Office não povoam os Nomes das Etiquetas. Os clientes podem utilizar listas de observação ou melhoramentos definidos no KQL como exemplo abaixo.

• A API de Gestão do Office não obtém uma Etiqueta de Mudança para Uma Versão Anterior com os nomes das etiquetas antes e depois da mudança para uma versão anterior. Para obter estas informações, extraia a labelId de cada etiqueta e melhore os resultados.

  Eis um exemplo de consulta KQL:

  let labelsMap = parse_json('{'
   '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
   '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
   '"MySensitivityLabelId": "MyLabel3"'
   '}');
   MicrosoftPurviewInformationProtection
   | extend SensitivityLabelName = iff(isnotempty(SensitivityLabelId), 
  tostring(labelsMap[tostring(SensitivityLabelId)]), "")
   | extend OldSensitivityLabelName = iff(isnotempty(OldSensitivityLabelId), 
  tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
  

• A MicrosoftPurviewInformationProtection tabela e a OfficeActivity tabela podem incluir alguns eventos duplicados.

Veja mais informações sobre os seguintes itens utilizados nos exemplos anteriores, na documentação do Kusto:

• instrução let
• operador extend
• função parse_json()
• Função iff()
• função tostring()

Para obter mais informações sobre o KQL, veja Descrição geral do Linguagem de Consulta Kusto (KQL).

Outros recursos:

• Referência rápida do KQL
• recursos de aprendizagem do Linguagem de Consulta Kusto

Próximas etapas

Neste artigo, aprendeu a configurar o conector Proteção de Informações do Microsoft Purview para controlar, analisar, comunicar os dados e utilizá-lo para fins de conformidade. Para saber mais sobre Microsoft Sentinel, consulte os seguintes artigos:

• Saiba como obter visibilidade sobre os seus dados e potenciais ameaças.
• Comece a detetar ameaças com Microsoft Sentinel.
• Utilize livros para monitorizar os seus dados.