Aracılığıyla paylaş


Microsoft Purview Bilgi Koruması'dan Microsoft Sentinel'e veri akışı

Bu makalede, Microsoft Purview Bilgi Koruması (eski adıyla Microsoft Information Protection veya MIP) microsoft Sentinel'e veri akışının nasıl sağlandığı açıklanır. Microsoft Purview etiketleme istemcilerinden ve tarayıcılarından alınan verileri kullanarak verileri izleyebilir, analiz edebilir, raporlayabilir ve uyumluluk amacıyla kullanabilirsiniz.

Önemli

Microsoft Purview Bilgi Koruması bağlayıcısı şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Genel bakış

Denetim ve raporlama, kuruluşların güvenlik ve uyumluluk stratejisinin önemli bir parçasıdır. Sürekli artan sayıda sistem, uç nokta, operasyon ve düzenlemeye sahip teknoloji ortamının sürekli genişlemesiyle, kapsamlı bir günlüğe kaydetme ve raporlama çözümünün yerinde olması daha da önemli hale geliyor.

Microsoft Purview Bilgi Koruması bağlayıcısıyla, birleşik etiketleme istemcilerinden ve tarayıcılardan oluşturulan denetim olaylarının akışını gerçekleştirirsiniz. Veriler daha sonra Microsoft Sentinel'de merkezi raporlama için Microsoft 365 denetim günlüğüne gönderilir.

Bağlayıcı ile şunları yapabilirsiniz:

  • Etiketlerin benimsenmesini izleyin, olayları keşfedin, sorgulayın ve algılayın.
  • Etiketli ve korumalı belgeleri ve e-postaları izleyin.
  • Sınıflandırma değişikliklerini izlerken etiketlenmiş belgelere ve e-postalara kullanıcı erişimini izleyin.
  • Etiketler, ilkeler, yapılandırmalar, dosyalar ve belgeler üzerinde gerçekleştirilen etkinliklerin görünürlüğünü elde edin. Bu görünürlük, güvenlik ekiplerinin güvenlik ihlallerini ve risk ve uyumluluk ihlallerini tanımlamalarına yardımcı olur.
  • Kuruluşun uyumlu olduğunu kanıtlamak için bağlayıcı verilerini bir denetim sırasında kullanın.

Azure Information Protection bağlayıcısı ile Microsoft Purview Bilgi Koruması bağlayıcısı karşılaştırması

Bu bağlayıcı, Azure Information Protection (AIP) veri bağlayıcısının yerini alır. Azure Information Protection (AIP) veri bağlayıcısı AIP denetim günlükleri (genel önizleme) özelliğini kullanır.

Önemli

31 Mart 2023 itibarıyla AIP analiz ve denetim günlükleri genel önizlemesi kullanımdan kaldırılacak ve ileriye dönük olarak Microsoft 365 denetim çözümünü kullanacaksınız.

Daha fazla bilgi için:

Microsoft Purview Bilgi Koruması bağlayıcısını etkinleştirdiğinizde denetim günlükleri standartlaştırılmış tabloya akışla MicrosoftPurviewInformationProtection aktarılır. Veriler, yapılandırılmış bir şema kullanan Office Yönetim API'si aracılığıyla toplanır. Yeni standartlaştırılmış şema, AIP tarafından kullanılan kullanım dışı şemayı daha fazla alan ve parametrelere daha kolay erişimle geliştirecek şekilde ayarlanır.

Desteklenen denetim günlüğü kayıt türlerinin ve etkinliklerin listesini gözden geçirin.

Önkoşullar

Başlamadan önce şunların olduğunu doğrulayın:

  • Microsoft Sentinel çözümü etkinleştirildi.
  • Tanımlı bir Microsoft Sentinel çalışma alanı.
  • M365 E3, M365 A3, Microsoft Business Basic veya diğer Denetime uygun lisanslar için geçerli bir lisans. Microsoft Purview'da denetim çözümleri hakkında daha fazla bilgi edinin.
  • Office için duyarlılık etiketleri etkinleştirildi ve denetim etkinleştirildi.
  • Kiracıdaki Güvenlik Yöneticisi rolü veya eşdeğer izinler.

Bağlayıcı kurulumu

Not

Bağlayıcıyı Office 365 konumunuzdan farklı bir bölgede bulunan bir çalışma alanında ayarlarsanız veriler bölgeler arasında akışla aktarılabilir.

  1. Azure portalını açın ve Microsoft Sentinel hizmetine gidin.

  2. Veri bağlayıcıları dikey penceresindeki arama çubuğuna Purview yazın.

  3. Microsoft Purview Bilgi Koruması (Önizleme) bağlayıcısını seçin.

  4. Bağlayıcı açıklamasının altında Bağlayıcı sayfasını aç'ı seçin.

  5. Yapılandırma'nın altında Bağlan'ı seçin.

    Bağlantı kurulduğunda Bağlan düğmesi Bağlantıyı Kes olarak değişir. Artık Microsoft Purview Bilgi Koruması bağlısınız.

Desteklenen denetim günlüğü kayıt türlerinin ve etkinliklerin listesini gözden geçirin.

Azure Information Protection bağlayıcısının bağlantısını kesme

Kısa bir test süresi için Azure Information Protection bağlayıcısını ve Microsoft Purview Bilgi Koruması bağlayıcısını aynı anda kullanmanızı öneririz (her ikisi de etkindir). Test döneminden sonra, veri çoğaltma ve yedekli maliyetlerden kaçınmak için Azure Information Protection bağlayıcısının bağlantısını kesmenizi öneririz.

Azure Information Protection bağlayıcısının bağlantısını kesmek için:

  1. Veri bağlayıcıları dikey penceresindeki arama çubuğuna Azure Information Protection yazın.
  2. Azure Information Protection'ı seçin.
  3. Bağlayıcı açıklamasının altında Bağlayıcı sayfasını aç'ı seçin.
  4. Yapılandırma'nın altında Azure Information Protection günlüklerine bağlan'ı seçin.
  5. Bağlayıcının bağlantısını kesmek istediğiniz çalışma alanının seçimini kaldırın ve Tamam'ı seçin.

Bilinen sorunlar ve sınırlamalar

  • Office Yönetim API'si aracılığıyla toplanan duyarlılık etiketi olayları Etiket Adlarını doldurmaz. Müşteriler aşağıdaki örnek olarak KQL'de tanımlanan izleme listelerini veya zenginleştirmeleri kullanabilir.

  • Office Yönetim API'si, eski sürüme düşürmeden önce ve sonra etiketlerin adlarını içeren bir Eski Sürüme Düşürme Etiketi almaz. Bu bilgileri almak için her etiketin öğesini labelId ayıklayın ve sonuçları zenginleştirin.

    Aşağıda örnek bir KQL sorgusu verilmiştir:

    let labelsMap = parse_json('{'
     '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
     '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
     '"MySensitivityLabelId": "MyLabel3"'
     '}');
     MicrosoftPurviewInformationProtection
     | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
    tostring(labelsMap[tostring(SensitivityLabelId)]), "")
     | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
    tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
    
  • MicrosoftPurviewInformationProtection Tablo ve OfficeActivity tablo bazı yinelenen olaylar içerebilir.

Sonraki adımlar

Bu makalede, Microsoft Purview Bilgi Koruması bağlayıcısını verileri izlemek, analiz etmek, raporlamak ve uyumluluk amacıyla kullanmak üzere ayarlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: