Потоковая передача данных из Защита информации Microsoft Purview в Microsoft Sentinel
В этой статье описывается потоковая передача данных из Защита информации Microsoft Purview (прежнее название — Microsoft Information Protection или MIP) в Microsoft Sentinel. Вы можете использовать данные, полученные из клиентов и сканеров маркировки Microsoft Purview, для отслеживания, анализа, создания отчетов о данных и их использования в целях соответствия требованиям.
Важно!
Соединитель Защита информации Microsoft Purview в настоящее время находится на этапе предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Обзор
Аудит и отчетность являются важной частью стратегии безопасности и соответствия требованиям организации. С продолжающимся расширением технологического ландшафта, в рамках которого постоянно растет число систем, конечных точек, операций и нормативных актов, становится еще более важным иметь комплексное решение для ведения журналов и отчетности.
С помощью соединителя Защита информации Microsoft Purview вы выполняете потоковую передачу событий аудита, созданных из клиентов и сканеров унифицированных меток. Затем данные отправляются в журнал аудита Microsoft 365 для централизованной отчетности в Microsoft Sentinel.
С помощью соединителя вы можете:
- Отслеживайте внедрение меток, просматривайте, запрашивайте и обнаруживайте события.
- Мониторинг помеченных и защищенных документов и сообщений электронной почты.
- Отслеживайте доступ пользователей к помеченным документам и сообщениям электронной почты, отслеживая изменения классификации.
- Получение сведений о действиях, выполняемых с метками, политиками, конфигурациями, файлами и документами. Эта видимость помогает командам безопасности выявлять нарушения безопасности, а также риски и нарушения соответствия требованиям.
- Используйте данные соединителя во время аудита, чтобы подтвердить соответствие организации требованиям.
Соединитель azure Information Protection и соединитель Защита информации Microsoft Purview
Этот соединитель заменяет соединитель данных Azure Information Protection (AIP). Соединитель данных Azure Information Protection (AIP) использует журналы аудита AIP (предварительная версия).
Важно!
С 31 марта 2023 г. общедоступная предварительная версия аналитики и журналов аудита AIP будет прекращена, и в дальнейшем будет использоваться решение аудита Microsoft 365.
Дополнительные сведения
- См. раздел Удаленные и устаревшие службы.
- Узнайте, как отключить соединитель AIP.
При включении соединителя Защита информации Microsoft Purview журналы аудита передаются в стандартизированную MicrosoftPurviewInformationProtection
таблицу. Данные собираются через API управления Office, который использует структурированную схему. Новая стандартизованная схема корректируется для улучшения устаревшей схемы, используемой AIP, с большими полями и более простым доступом к параметрам.
Просмотрите список поддерживаемых типов записей журнала аудита и действий.
Предварительные требования
Прежде чем начать, убедитесь в том, что у вас есть:
- Включенное решение Microsoft Sentinel.
- Определенная рабочая область Microsoft Sentinel.
- Действительная лицензия на M365 E3, M365 A3, Microsoft Business Basic или любую другую лицензию, подходящую для аудита. Узнайте больше о решениях аудита в Microsoft Purview.
- Включены метки конфиденциальности для Office и включен аудит.
- Роль глобального администратора или администратора безопасности в рабочей области.
Настройка соединителя
Примечание
Если вы задали соединитель в рабочей области, расположенной в регионе, отличном от региона Office 365, данные могут передаваться между регионами.
Войдите на портал Azure и перейдите к службе Microsoft Sentinel.
В колонке Соединители данных в строке поиска введите Purview.
Выберите соединитель Защита информации Microsoft Purview (предварительная версия).
Под описанием соединителя выберите Открыть страницу соединителя.
В разделе Конфигурация выберите Подключиться.
После установки подключения кнопка Подключить изменится на Отключить. Теперь вы подключены к Защита информации Microsoft Purview.
Просмотрите список поддерживаемых типов записей журнала аудита и действий.
Отключение соединителя azure Information Protection
Мы рекомендуем использовать соединитель Azure Information Protection и соединитель Защита информации Microsoft Purview одновременно (оба включены) в течение короткого периода тестирования. По истечении периода тестирования рекомендуется отключить соединитель Azure Information Protection, чтобы избежать дублирования данных и избыточных затрат.
Чтобы отключить соединитель Azure Information Protection, выполните следующие действия.
- В колонке Соединители данных в строке поиска введите Azure Information Protection.
- Выберите Azure Information Protection.
- Под описанием соединителя выберите Открыть страницу соединителя.
- В разделе Конфигурация (Configuration) выберите подключить журналы Azure Information Protection (Connect Azure Information Protection logs) .
- Снимите флажок для рабочей области, от которой требуется отключить соединитель, и нажмите кнопку ОК.
Известные проблемы и ограничения
События меток конфиденциальности, собранные с помощью API управления Office, не заполняют имена меток. Клиенты могут использовать списки отслеживания или обогащения, определенные в KQL в примере ниже.
API-интерфейс управления Office не получает метку перехода на использование более ранней версии с именами меток до и после перехода. Чтобы получить эти сведения, извлеките
labelId
из каждой метки и обогатите результаты.Ниже приведен пример запроса KQL:
let labelsMap = parse_json('{' '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",' '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",' '"MySensitivityLabelId": "MyLabel3"' '}'); MicrosoftPurviewInformationProtection | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), tostring(labelsMap[tostring(SensitivityLabelId)]), "") | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
Таблица
MicrosoftPurviewInformationProtection
иOfficeActivity
таблица могут содержать некоторые повторяющиеся события.
Дальнейшие действия
Из этой статьи вы узнали, как настроить соединитель Защита информации Microsoft Purview для отслеживания, анализа, создания отчетов о данных и их использования в целях соответствия требованиям. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:
- Узнайте, как отслеживать свои данные и потенциальные угрозы.
- Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.
- Используйте книги для мониторинга данных.