Strömma data från Microsoft Purview Information Protection till Microsoft Sentinel

I den här artikeln beskrivs hur du strömmar data från Microsoft Purview Information Protection (tidigare Microsoft Information Protection eller MIP) till Microsoft Sentinel. Du kan använda data som matas in från Microsoft Purview-etiketteringsklienter och skannrar för att spåra, analysera, rapportera data och använda dem i efterlevnadssyfte.

Viktigt!

Microsoft Purview Information Protection-anslutningsappen är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Översikt

Granskning och rapportering är en viktig del av organisationens säkerhets- och efterlevnadsstrategi. Med den fortsatta expansionen av tekniklandskapet som har ett ständigt ökande antal system, slutpunkter, drift och föreskrifter blir det ännu viktigare att ha en omfattande loggnings- och rapporteringslösning på plats.

Med Microsoft Purview Information Protection-anslutningsappen strömmar du granskningshändelser som genererats från enhetliga etiketteringsklienter och skannrar. Data skickas sedan till Microsoft 365-granskningsloggen för central rapportering i Microsoft Sentinel.

Med anslutningsappen kan du:

• Spåra införandet av etiketter, utforska, fråga och identifiera händelser.
• Övervaka etiketterade och skyddade dokument och e-postmeddelanden.
• Övervaka användaråtkomst till etiketterade dokument och e-postmeddelanden samtidigt som du spårar klassificeringsändringar.
• Få insyn i aktiviteter som utförs på etiketter, principer, konfigurationer, filer och dokument. Den här synligheten hjälper säkerhetsteam att identifiera säkerhetsöverträdelser och risk- och efterlevnadsöverträdelser.
• Använd anslutningsdata under en granskning för att bevisa att organisationen är kompatibel.

Azure Information Protection-anslutningsprogram jämfört med Microsoft Purview Information Protection-anslutningsappen

Den här anslutningsappen ersätter Azure Information Protection-dataanslutningsappen (AIP). Azure Information Protection-dataanslutningsappen (AIP) använder funktionen AIP-granskningsloggar (offentlig förhandsversion).

Viktigt!

Från och med den 31 mars 2023 kommer den offentliga förhandsversionen av AIP-analys- och granskningsloggarna att dras tillbaka och framöver kommer att använda Microsoft 365-granskningslösningen.

Mer information:

• Se Borttagna och tillbakadragna tjänster.
• Lär dig hur du kopplar från AIP-anslutningsappen.

När du aktiverar Microsoft Purview Information Protection-anslutningsappen strömmas granskningsloggar till den standardiserade MicrosoftPurviewInformationProtection tabellen. Data samlas in via Office Management-API:et, som använder ett strukturerat schema. Det nya standardiserade schemat justeras för att förbättra det inaktuella schemat som används av AIP, med fler fält och enklare åtkomst till parametrar.

Granska listan över typer och aktiviteter för granskningsloggposter som stöds.

Förutsättningar

Innan du börjar kontrollerar du att du har:

• Microsoft Sentinel-lösningen är aktiverad.
• En definierad Microsoft Sentinel-arbetsyta.
• En giltig licens till M365 E3, M365 A3, Microsoft Business Basic eller någon annan berättigad granskningslicens. Läs mer om granskningslösningar i Microsoft Purview.
• Aktiverade känslighetsetiketter för Office och aktiverad granskning.
• Rollen Säkerhetsadministratör för klientorganisationen eller motsvarande behörigheter.

Skapa anslutningsprogrammet

Kommentar

Om du ställer in anslutningsappen på en arbetsyta som finns i en annan region än din Office 365-plats kan data strömmas mellan regioner.

1. Öppna Azure-portalen och gå till Microsoft Sentinel-tjänsten.

2. På bladet Dataanslutningar skriver du Purview i sökfältet.

3. Välj anslutningsappen Microsoft Purview Information Protection (förhandsversion).

4. Under beskrivningen av anslutningsappen väljer du Sidan Öppna anslutningsprogram.

5. Under Konfiguration väljer du Anslut.

   När en anslutning upprättas ändras knappen Anslut till Koppla från. Nu är du ansluten till Microsoft Purview Information Protection.

Granska listan över typer och aktiviteter för granskningsloggposter som stöds.

Koppla från Azure Information Protection-anslutningsappen

Vi rekommenderar att du använder Azure Information Protection-anslutningsappen och Microsoft Purview Information Protection-anslutningsappen samtidigt (båda aktiverade) under en kort testperiod. Efter testperioden rekommenderar vi att du kopplar från Azure Information Protection-anslutningsappen för att undvika dataduplicering och redundanta kostnader.

Så här kopplar du från Azure Information Protection-anslutningsappen:

1. På bladet Dataanslutningar skriver du Azure Information Protection i sökfältet.
2. Välj Azure Information Protection.
3. Under beskrivningen av anslutningsappen väljer du Sidan Öppna anslutningsprogram.
4. Under Konfiguration väljer du Anslut Azure Information Protection-loggar.
5. Avmarkera markeringen för arbetsytan som du vill koppla från anslutningsappen från och välj OK.

Kända problem och begränsningar

• Känslighetsetiketthändelser som samlas in via Office Management-API:et fyller inte i etikettnamnen. Kunder kan använda bevakningslistor eller berikningar som definierats i KQL som exempel nedan.

• Office Management-API:et får ingen nedgraderingsetikett med namnen på etiketterna före och efter nedgraderingen. Om du vill hämta den här informationen extraherar labelId du varje etikett och berikar resultatet.

  Här är ett exempel på en KQL-fråga:

  let labelsMap = parse_json('{'
   '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
   '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
   '"MySensitivityLabelId": "MyLabel3"'
   '}');
   MicrosoftPurviewInformationProtection
   | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
  tostring(labelsMap[tostring(SensitivityLabelId)]), "")
   | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
  tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
  

• Tabellen MicrosoftPurviewInformationProtection och OfficeActivity tabellen kan innehålla vissa duplicerade händelser.

Nästa steg

I den här artikeln har du lärt dig hur du konfigurerar Microsoft Purview Information Protection-anslutningsappen för att spåra, analysera, rapportera om data och använda dem i efterlevnadssyfte. Mer information om Microsoft Sentinel finns i följande artiklar:

• Lär dig hur du får insyn i dina data och potentiella hot.
• Kom igång med att identifiera hot med Microsoft Sentinel.
• Använd arbetsböcker för att övervaka dina data.