Потоковая передача данных из Защита информации Microsoft Purview в Microsoft Sentinel

В этой статье описывается потоковая передача данных из Защита информации Microsoft Purview (прежнее название — Microsoft Information Protection или MIP) в Microsoft Sentinel. Вы можете использовать данные, полученные из клиентов и сканеров маркировки Microsoft Purview, для отслеживания, анализа, создания отчетов о данных и их использования в целях соответствия требованиям.

Важно!

Соединитель Защита информации Microsoft Purview в настоящее время находится на этапе предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Обзор

Аудит и отчетность являются важной частью стратегии безопасности и соответствия требованиям организации. С продолжающимся расширением технологического ландшафта, в рамках которого постоянно растет число систем, конечных точек, операций и нормативных актов, становится еще более важным иметь комплексное решение для ведения журналов и отчетности.

С помощью соединителя Защита информации Microsoft Purview вы выполняете потоковую передачу событий аудита, созданных из клиентов и сканеров унифицированных меток. Затем данные отправляются в журнал аудита Microsoft 365 для централизованной отчетности в Microsoft Sentinel.

С помощью соединителя вы можете:

• Отслеживайте внедрение меток, просматривайте, запрашивайте и обнаруживайте события.
• Мониторинг помеченных и защищенных документов и сообщений электронной почты.
• Отслеживайте доступ пользователей к помеченным документам и сообщениям электронной почты, отслеживая изменения классификации.
• Получение сведений о действиях, выполняемых с метками, политиками, конфигурациями, файлами и документами. Эта видимость помогает командам безопасности выявлять нарушения безопасности, а также риски и нарушения соответствия требованиям.
• Используйте данные соединителя во время аудита, чтобы подтвердить соответствие организации требованиям.

Соединитель azure Information Protection и соединитель Защита информации Microsoft Purview

Этот соединитель заменяет соединитель данных Azure Information Protection (AIP). Соединитель данных Azure Information Protection (AIP) использует журналы аудита AIP (предварительная версия).

Важно!

С 31 марта 2023 г. общедоступная предварительная версия аналитики и журналов аудита AIP будет прекращена, и в дальнейшем будет использоваться решение аудита Microsoft 365.

Дополнительные сведения

• См. раздел Удаленные и устаревшие службы.
• Узнайте, как отключить соединитель AIP.

При включении соединителя Защита информации Microsoft Purview журналы аудита передаются в стандартизированную MicrosoftPurviewInformationProtection таблицу. Данные собираются через API управления Office, который использует структурированную схему. Новая стандартизованная схема корректируется для улучшения устаревшей схемы, используемой AIP, с большими полями и более простым доступом к параметрам.

Просмотрите список поддерживаемых типов записей журнала аудита и действий.

Предварительные требования

Прежде чем начать, убедитесь в том, что у вас есть:

• Включенное решение Microsoft Sentinel.
• Определенная рабочая область Microsoft Sentinel.
• Действительная лицензия на M365 E3, M365 A3, Microsoft Business Basic или любую другую лицензию, подходящую для аудита. Узнайте больше о решениях аудита в Microsoft Purview.
• Включены метки конфиденциальности для Office и включен аудит.
• Роль глобального администратора или администратора безопасности в рабочей области.

Настройка соединителя

Примечание

Если вы задали соединитель в рабочей области, расположенной в регионе, отличном от региона Office 365, данные могут передаваться между регионами.

1. Войдите на портал Azure и перейдите к службе Microsoft Sentinel.

2. В колонке Соединители данных в строке поиска введите Purview.

3. Выберите соединитель Защита информации Microsoft Purview (предварительная версия).

4. Под описанием соединителя выберите Открыть страницу соединителя.

5. В разделе Конфигурация выберите Подключиться.

   После установки подключения кнопка Подключить изменится на Отключить. Теперь вы подключены к Защита информации Microsoft Purview.

Просмотрите список поддерживаемых типов записей журнала аудита и действий.

Отключение соединителя azure Information Protection

Мы рекомендуем использовать соединитель Azure Information Protection и соединитель Защита информации Microsoft Purview одновременно (оба включены) в течение короткого периода тестирования. По истечении периода тестирования рекомендуется отключить соединитель Azure Information Protection, чтобы избежать дублирования данных и избыточных затрат.

Чтобы отключить соединитель Azure Information Protection, выполните следующие действия.

1. В колонке Соединители данных в строке поиска введите Azure Information Protection.
2. Выберите Azure Information Protection.
3. Под описанием соединителя выберите Открыть страницу соединителя.
4. В разделе Конфигурация (Configuration) выберите подключить журналы Azure Information Protection (Connect Azure Information Protection logs) .
5. Снимите флажок для рабочей области, от которой требуется отключить соединитель, и нажмите кнопку ОК.

Известные проблемы и ограничения

• События меток конфиденциальности, собранные с помощью API управления Office, не заполняют имена меток. Клиенты могут использовать списки отслеживания или обогащения, определенные в KQL в примере ниже.

• API-интерфейс управления Office не получает метку перехода на использование более ранней версии с именами меток до и после перехода. Чтобы получить эти сведения, извлеките labelId из каждой метки и обогатите результаты.

  Ниже приведен пример запроса KQL:

  let labelsMap = parse_json('{'
   '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
   '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
   '"MySensitivityLabelId": "MyLabel3"'
   '}');
   MicrosoftPurviewInformationProtection
   | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
  tostring(labelsMap[tostring(SensitivityLabelId)]), "")
   | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
  tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
  

• Таблица MicrosoftPurviewInformationProtection и OfficeActivity таблица могут содержать некоторые повторяющиеся события.

Дальнейшие действия

Из этой статьи вы узнали, как настроить соединитель Защита информации Microsoft Purview для отслеживания, анализа, создания отчетов о данных и их использования в целях соответствия требованиям. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• Узнайте, как отслеживать свои данные и потенциальные угрозы.
• Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.
• Используйте книги для мониторинга данных.