Aracılığıyla paylaş


Microsoft Purview Bilgi Koruması'dan Microsoft Sentinel'e veri akışı

Bu makalede, Microsoft Purview Bilgi Koruması (eski adıyla Microsoft Information Protection veya MIP) Microsoft Sentinel'e veri akışının nasıl sağlandığı açıklanır. Microsoft Purview etiketleme istemcilerinden ve tarayıcılarından alınan verileri kullanarak verileri izleyebilir, analiz edebilir, raporlayabilir ve uyumluluk amacıyla kullanabilirsiniz.

Önemli

Microsoft Purview Bilgi Koruması bağlayıcısı şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Genel Bakış

Denetim ve raporlama, kuruluşların güvenlik ve uyumluluk stratejisinin önemli bir parçasıdır. Sürekli artan sayıda sistem, uç nokta, operasyon ve düzenlemeye sahip teknoloji alanının sürekli genişlemesiyle, kapsamlı bir günlüğe kaydetme ve raporlama çözümünün var olması daha da önemli hale gelir.

Microsoft Purview Bilgi Koruması bağlayıcısıyla, birleşik etiketleme istemcilerinden ve tarayıcılarından oluşturulan denetim olaylarının akışını gerçekleştirirsiniz. Veriler daha sonra Microsoft Sentinel'de merkezi raporlama için Microsoft 365 denetim günlüğüne gönderilir.

Bağlayıcı ile şunları yapabilirsiniz:

  • Etiketlerin benimsenmesini izleyin, olayları keşfedin, sorgulayın ve algılayın.
  • Etiketli ve korumalı belgeleri ve e-postaları izleyin.
  • Sınıflandırma değişikliklerini izlerken etiketlenmiş belgelere ve e-postalara kullanıcı erişimini izleyin.
  • Etiketler, ilkeler, yapılandırmalar, dosyalar ve belgeler üzerinde gerçekleştirilen etkinliklerin görünürlüğünü elde edin. Bu görünürlük, güvenlik ekiplerinin güvenlik ihlallerini ve risk ve uyumluluk ihlallerini belirlemelerine yardımcı olur.
  • Kuruluşun uyumlu olduğunu kanıtlamak için bağlayıcı verilerini denetim sırasında kullanın.

Azure Information Protection bağlayıcısı ile Microsoft Purview Bilgi Koruması bağlayıcısı karşılaştırması

Bu bağlayıcı, Azure Information Protection (AIP) veri bağlayıcısının yerini alır. Azure Information Protection (AIP) veri bağlayıcısı AIP denetim günlükleri (genel önizleme) özelliğini kullanır.

Önemli

31 Mart 2023 itibarıyla AIP analiz ve denetim günlükleri genel önizlemesi kullanımdan kaldırılacak ve ileriye doğru Microsoft 365 denetim çözümünü kullanacak.

Daha fazla bilgi için:

Microsoft Purview Bilgi Koruması bağlayıcısını etkinleştirdiğinizde, denetim günlükleri standartlaştırılmış tabloya akışla MicrosoftPurviewInformationProtection aktarılır. Veriler, yapılandırılmış bir şema kullanan Office Yönetim API'si aracılığıyla toplanır. Yeni standartlaştırılmış şema, daha fazla alan ve parametrelere daha kolay erişim ile AIP tarafından kullanılan kullanım dışı şemayı geliştirmek için ayarlanır.

Desteklenen denetim günlüğü kayıt türlerinin ve etkinliklerin listesini gözden geçirin.

Önkoşullar

Başlamadan önce şunları yaptığınızdan emin olun:

Bağlayıcıyı ayarlama

Not

Bağlayıcıyı Office 365 konumunuzdan farklı bir bölgede bulunan bir çalışma alanında ayarlarsanız, veriler bölgeler arasında akışla aktarılabilir.

  1. Azure portal açın ve Microsoft Sentinel hizmetine gidin.

  2. Veri bağlayıcıları dikey penceresindeki arama çubuğuna Purview yazın.

  3. Microsoft Purview Bilgi Koruması (Önizleme) bağlayıcısını seçin.

  4. Bağlayıcı açıklamasının altında Bağlayıcı sayfasını aç'ı seçin.

  5. Yapılandırma'nın altında Bağlan'ı seçin.

    Bağlantı kurulduğunda Bağlan düğmesi Bağlantıyı Kes olarak değişir. Artık Microsoft Purview Bilgi Koruması bağlısınız.

Desteklenen denetim günlüğü kayıt türlerinin ve etkinliklerin listesini gözden geçirin.

Azure Information Protection bağlayıcısının bağlantısını kesme

Azure Information Protection bağlayıcısını ve Microsoft Purview Bilgi Koruması bağlayıcısını kısa bir test süresi boyunca aynı anda kullanmanızı öneririz (her ikisi de etkin). Test döneminden sonra, veri yineleme ve yedekli maliyetlerden kaçınmak için Azure Information Protection bağlayıcısının bağlantısını kesmenizi öneririz.

Azure Information Protection bağlayıcısının bağlantısını kesmek için:

  1. Veri bağlayıcıları dikey penceresindeki arama çubuğuna Azure Information Protection yazın.
  2. Azure Information Protection'ı seçin.
  3. Bağlayıcı açıklamasının altında Bağlayıcı sayfasını aç'ı seçin.
  4. Yapılandırma'nın altında Azure Information Protection günlüklerine bağlan'ı seçin.
  5. Bağlayıcının bağlantısını kesmek istediğiniz çalışma alanının seçimini temizleyin ve Tamam'ı seçin.

Bilinen sorunlar ve sınırlamalar

  • Office Yönetim API'si aracılığıyla toplanan duyarlılık etiketi olayları Etiket Adlarını doldurmaz. Müşteriler aşağıdaki örnekte olduğu gibi KQL'de tanımlanan izleme listelerini veya zenginleştirmeleri kullanabilir.

  • Office Yönetim API'si, eski sürüme düşürmeden önce ve sonra etiketlerin adlarını içeren bir Eski Sürüme Düşürme Etiketi almaz. Bu bilgileri almak için her etiketin değerini labelId ayıklayın ve sonuçları zenginleştirin.

    Aşağıda örnek bir KQL sorgusu verilmiştir:

    let labelsMap = parse_json('{'
     '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
     '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
     '"MySensitivityLabelId": "MyLabel3"'
     '}');
     MicrosoftPurviewInformationProtection
     | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
    tostring(labelsMap[tostring(SensitivityLabelId)]), "")
     | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
    tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
    
  • MicrosoftPurviewInformationProtection Tablo ve OfficeActivity tablo bazı yinelenen olaylar içerebilir.

Sonraki adımlar

Bu makalede, Microsoft Purview Bilgi Koruması bağlayıcısını verileri izlemek, çözümlemek, raporlamak ve uyumluluk amacıyla kullanmak üzere ayarlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: