Microsoft Purview Bilgi Koruması'dan Microsoft Sentinel'e veri akışı
Bu makalede, Microsoft Purview Bilgi Koruması (eski adıyla Microsoft Information Protection veya MIP) Microsoft Sentinel'e veri akışının nasıl sağlandığı açıklanır. Microsoft Purview etiketleme istemcilerinden ve tarayıcılarından alınan verileri kullanarak verileri izleyebilir, analiz edebilir, raporlayabilir ve uyumluluk amacıyla kullanabilirsiniz.
Önemli
Microsoft Purview Bilgi Koruması bağlayıcısı şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Genel Bakış
Denetim ve raporlama, kuruluşların güvenlik ve uyumluluk stratejisinin önemli bir parçasıdır. Sürekli artan sayıda sistem, uç nokta, operasyon ve düzenlemeye sahip teknoloji alanının sürekli genişlemesiyle, kapsamlı bir günlüğe kaydetme ve raporlama çözümünün var olması daha da önemli hale gelir.
Microsoft Purview Bilgi Koruması bağlayıcısıyla, birleşik etiketleme istemcilerinden ve tarayıcılarından oluşturulan denetim olaylarının akışını gerçekleştirirsiniz. Veriler daha sonra Microsoft Sentinel'de merkezi raporlama için Microsoft 365 denetim günlüğüne gönderilir.
Bağlayıcı ile şunları yapabilirsiniz:
- Etiketlerin benimsenmesini izleyin, olayları keşfedin, sorgulayın ve algılayın.
- Etiketli ve korumalı belgeleri ve e-postaları izleyin.
- Sınıflandırma değişikliklerini izlerken etiketlenmiş belgelere ve e-postalara kullanıcı erişimini izleyin.
- Etiketler, ilkeler, yapılandırmalar, dosyalar ve belgeler üzerinde gerçekleştirilen etkinliklerin görünürlüğünü elde edin. Bu görünürlük, güvenlik ekiplerinin güvenlik ihlallerini ve risk ve uyumluluk ihlallerini belirlemelerine yardımcı olur.
- Kuruluşun uyumlu olduğunu kanıtlamak için bağlayıcı verilerini denetim sırasında kullanın.
Azure Information Protection bağlayıcısı ile Microsoft Purview Bilgi Koruması bağlayıcısı karşılaştırması
Bu bağlayıcı, Azure Information Protection (AIP) veri bağlayıcısının yerini alır. Azure Information Protection (AIP) veri bağlayıcısı AIP denetim günlükleri (genel önizleme) özelliğini kullanır.
Önemli
31 Mart 2023 itibarıyla AIP analiz ve denetim günlükleri genel önizlemesi kullanımdan kaldırılacak ve ileriye doğru Microsoft 365 denetim çözümünü kullanacak.
Daha fazla bilgi için:
Microsoft Purview Bilgi Koruması bağlayıcısını etkinleştirdiğinizde, denetim günlükleri standartlaştırılmış tabloya akışla MicrosoftPurviewInformationProtection
aktarılır. Veriler, yapılandırılmış bir şema kullanan Office Yönetim API'si aracılığıyla toplanır. Yeni standartlaştırılmış şema, daha fazla alan ve parametrelere daha kolay erişim ile AIP tarafından kullanılan kullanım dışı şemayı geliştirmek için ayarlanır.
Desteklenen denetim günlüğü kayıt türlerinin ve etkinliklerin listesini gözden geçirin.
Önkoşullar
Başlamadan önce şunları yaptığınızdan emin olun:
- Microsoft Sentinel çözümü etkinleştirildi.
- Tanımlı bir Microsoft Sentinel çalışma alanı.
- M365 E3, M365 A3, Microsoft Business Basic veya diğer Denetime uygun lisanslar için geçerli bir lisans. Microsoft Purview'da denetim çözümleri hakkında daha fazla bilgi edinin.
- Office için Duyarlılık etiketleri etkinleştirildi ve denetim etkinleştirildi.
- Çalışma alanında Genel Yönetici veya Güvenlik Yöneticisi rolü.
Bağlayıcıyı ayarlama
Not
Bağlayıcıyı Office 365 konumunuzdan farklı bir bölgede bulunan bir çalışma alanında ayarlarsanız, veriler bölgeler arasında akışla aktarılabilir.
Azure portal açın ve Microsoft Sentinel hizmetine gidin.
Veri bağlayıcıları dikey penceresindeki arama çubuğuna Purview yazın.
Microsoft Purview Bilgi Koruması (Önizleme) bağlayıcısını seçin.
Bağlayıcı açıklamasının altında Bağlayıcı sayfasını aç'ı seçin.
Yapılandırma'nın altında Bağlan'ı seçin.
Bağlantı kurulduğunda Bağlan düğmesi Bağlantıyı Kes olarak değişir. Artık Microsoft Purview Bilgi Koruması bağlısınız.
Desteklenen denetim günlüğü kayıt türlerinin ve etkinliklerin listesini gözden geçirin.
Azure Information Protection bağlayıcısının bağlantısını kesme
Azure Information Protection bağlayıcısını ve Microsoft Purview Bilgi Koruması bağlayıcısını kısa bir test süresi boyunca aynı anda kullanmanızı öneririz (her ikisi de etkin). Test döneminden sonra, veri yineleme ve yedekli maliyetlerden kaçınmak için Azure Information Protection bağlayıcısının bağlantısını kesmenizi öneririz.
Azure Information Protection bağlayıcısının bağlantısını kesmek için:
- Veri bağlayıcıları dikey penceresindeki arama çubuğuna Azure Information Protection yazın.
- Azure Information Protection'ı seçin.
- Bağlayıcı açıklamasının altında Bağlayıcı sayfasını aç'ı seçin.
- Yapılandırma'nın altında Azure Information Protection günlüklerine bağlan'ı seçin.
- Bağlayıcının bağlantısını kesmek istediğiniz çalışma alanının seçimini temizleyin ve Tamam'ı seçin.
Bilinen sorunlar ve sınırlamalar
Office Yönetim API'si aracılığıyla toplanan duyarlılık etiketi olayları Etiket Adlarını doldurmaz. Müşteriler aşağıdaki örnekte olduğu gibi KQL'de tanımlanan izleme listelerini veya zenginleştirmeleri kullanabilir.
Office Yönetim API'si, eski sürüme düşürmeden önce ve sonra etiketlerin adlarını içeren bir Eski Sürüme Düşürme Etiketi almaz. Bu bilgileri almak için her etiketin değerini
labelId
ayıklayın ve sonuçları zenginleştirin.Aşağıda örnek bir KQL sorgusu verilmiştir:
let labelsMap = parse_json('{' '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",' '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",' '"MySensitivityLabelId": "MyLabel3"' '}'); MicrosoftPurviewInformationProtection | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), tostring(labelsMap[tostring(SensitivityLabelId)]), "") | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
MicrosoftPurviewInformationProtection
Tablo veOfficeActivity
tablo bazı yinelenen olaylar içerebilir.
Sonraki adımlar
Bu makalede, Microsoft Purview Bilgi Koruması bağlayıcısını verileri izlemek, çözümlemek, raporlamak ve uyumluluk amacıyla kullanmak üzere ayarlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:
- Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
- Microsoft Sentinel ile tehditleri algılamaya başlayın.
- Verilerinizi izlemek için çalışma kitaplarını kullanın.