Microsoft Purview Bilgi Koruması'dan Microsoft Sentinel'e veri akışı

Makale
16.01.2025

Bu makalede, Microsoft Purview Bilgi Koruması (eski adıyla Microsoft Information Protection veya MIP) microsoft Sentinel'e veri akışının nasıl sağlandığı açıklanır. Microsoft Purview etiketleme istemcilerinden ve tarayıcılarından alınan verileri kullanarak verileri izleyebilir, analiz edebilir, raporlayabilir ve uyumluluk amacıyla kullanabilirsiniz.

Önemli

Microsoft Purview Bilgi Koruması bağlayıcısı şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Genel bakış

Denetim ve raporlama, kuruluşların güvenlik ve uyumluluk stratejisinin önemli bir parçasıdır. Sürekli artan sayıda sistem, uç nokta, operasyon ve düzenlemeye sahip teknoloji ortamının sürekli genişlemesiyle, kapsamlı bir günlüğe kaydetme ve raporlama çözümünün yerinde olması daha da önemli hale geliyor.

Microsoft Purview Bilgi Koruması bağlayıcısıyla, birleşik etiketleme istemcilerinden ve tarayıcılardan oluşturulan denetim olaylarının akışını gerçekleştirirsiniz. Veriler daha sonra Microsoft Sentinel'de merkezi raporlama için Microsoft 365 denetim günlüğüne gönderilir.

Bağlayıcı ile şunları yapabilirsiniz:

Etiketlerin benimsenmesini izleyin, olayları keşfedin, sorgulayın ve algılayın.
Etiketli ve korumalı belgeleri ve e-postaları izleyin.
Sınıflandırma değişikliklerini izlerken etiketlenmiş belgelere ve e-postalara kullanıcı erişimini izleyin.
Etiketler, ilkeler, yapılandırmalar, dosyalar ve belgeler üzerinde gerçekleştirilen etkinliklerin görünürlüğünü elde edin. Bu görünürlük, güvenlik ekiplerinin güvenlik ihlallerini ve risk ve uyumluluk ihlallerini tanımlamalarına yardımcı olur.
Kuruluşun uyumlu olduğunu kanıtlamak için bağlayıcı verilerini bir denetim sırasında kullanın.

Azure Information Protection bağlayıcısı ile Microsoft Purview Bilgi Koruması bağlayıcısı karşılaştırması

Bu bağlayıcı, Azure Information Protection (AIP) veri bağlayıcısının yerini alır. Azure Information Protection (AIP) veri bağlayıcısı AIP denetim günlükleri (genel önizleme) özelliğini kullanır.

Önemli

31 Mart 2023 itibarıyla AIP analiz ve denetim günlükleri genel önizlemesi kullanımdan kaldırılacak ve ileriye dönük olarak Microsoft 365 denetim çözümünü kullanacaksınız.

Daha fazla bilgi için:

Bkz. Kaldırılan ve kullanımdan kaldırılan hizmetler.
AIP bağlayıcısının bağlantısını nasıl keseceğinizi öğrenin.

Microsoft Purview Bilgi Koruması bağlayıcısını etkinleştirdiğinizde denetim günlükleri standartlaştırılmış tabloya akışla MicrosoftPurviewInformationProtection aktarılır. Veriler, yapılandırılmış bir şema kullanan Office Yönetim API'si aracılığıyla toplanır. Yeni standartlaştırılmış şema, AIP tarafından kullanılan kullanım dışı şemayı daha fazla alan ve parametrelere daha kolay erişimle geliştirecek şekilde ayarlanır.

Desteklenen denetim günlüğü kayıt türlerinin ve etkinliklerin listesini gözden geçirin.

Önkoşullar

Başlamadan önce şunların olduğunu doğrulayın:

Microsoft Sentinel çözümü etkinleştirildi.
Tanımlı Microsoft Sentinel çalışma alanı.
M365 E3, M365 A3, Microsoft Business Basic veya diğer Denetime uygun lisanslar için geçerli bir lisans. Microsoft Purview'da denetim çözümleri hakkında daha fazla bilgi edinin.
Office için duyarlılık etiketleri etkinleştirildi ve denetim etkinleştirildi.
Kiracıdaki Güvenlik Yöneticisi rolü veya eşdeğer izinler.

Bağlayıcı kurulumu

Not

Bağlayıcıyı Office 365 konumunuzdan farklı bir bölgede bulunan bir çalışma alanında ayarlarsanız veriler bölgeler arasında akışla aktarılabilir.

Azure portalını açın ve Microsoft Sentinel hizmetine gidin.
Veri bağlayıcıları dikey penceresindeki arama çubuğuna Purview yazın.
Microsoft Purview Bilgi Koruması (Önizleme) bağlayıcısını seçin.
Bağlayıcı açıklamasının altında Bağlayıcı sayfasını aç'ı seçin.
Yapılandırma'nın altında Bağlan'ı seçin.

Bağlantı kurulduğunda Bağlan düğmesi Bağlantıyı Kes olarak değişir. Artık Microsoft Purview Bilgi Koruması bağlısınız.

Desteklenen denetim günlüğü kayıt türlerinin ve etkinliklerin listesini gözden geçirin.

Azure Information Protection bağlayıcısının bağlantısını kesme

Kısa bir test süresi için Azure Information Protection bağlayıcısını ve Microsoft Purview Bilgi Koruması bağlayıcısını aynı anda kullanmanızı öneririz (her ikisi de etkindir). Test döneminden sonra, veri çoğaltma ve yedekli maliyetlerden kaçınmak için Azure Information Protection bağlayıcısının bağlantısını kesmenizi öneririz.

Azure Information Protection bağlayıcısının bağlantısını kesmek için:

Veri bağlayıcıları dikey penceresindeki arama çubuğuna Azure Information Protection yazın.
Azure Information Protection'ı seçin.
Bağlayıcı açıklamasının altında Bağlayıcı sayfasını aç'ı seçin.
Yapılandırma'nın altında Azure Information Protection günlüklerine bağlan'ı seçin.
Bağlayıcının bağlantısını kesmek istediğiniz çalışma alanının seçimini kaldırın ve Tamam'ı seçin.

Bilinen sorunlar ve sınırlamalar

Office Yönetim API'si aracılığıyla toplanan duyarlılık etiketi olayları Etiket Adlarını doldurmaz. Müşteriler aşağıdaki örnek olarak KQL'de tanımlanan izleme listelerini veya zenginleştirmeleri kullanabilir.

Office Yönetim API'si, eski sürüme düşürmeden önce ve sonra etiketlerin adlarını içeren bir Eski Sürüme Düşürme Etiketi almaz. Bu bilgileri almak için her etiketin öğesini labelId ayıklayın ve sonuçları zenginleştirin.

Aşağıda örnek bir KQL sorgusu verilmiştir:

Kusto

let labelsMap = parse_json('{'
 '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
 '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
 '"MySensitivityLabelId": "MyLabel3"'
 '}');
 MicrosoftPurviewInformationProtection
 | extend SensitivityLabelName = iff(isnotempty(SensitivityLabelId), 
tostring(labelsMap[tostring(SensitivityLabelId)]), "")
 | extend OldSensitivityLabelName = iff(isnotempty(OldSensitivityLabelId), 
tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")

MicrosoftPurviewInformationProtection Tablo ve OfficeActivity tablo bazı yinelenen olaylar içerebilir.

Yukarıdaki örneklerde kullanılan aşağıdaki öğeler hakkında daha fazla bilgiyi Kusto belgelerinde bulabilirsiniz:

KQL hakkında daha fazla bilgi için bkz. Kusto Sorgu Dili (KQL) genel bakış.

Diğer kaynaklar:

Sonraki adımlar

Bu makalede, Microsoft Purview Bilgi Koruması bağlayıcısını verileri izlemek, analiz etmek, raporlamak ve uyumluluk amacıyla kullanmak üzere ayarlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
Microsoft Sentinel ile tehditleri algılamaya başlayın.
Verilerinizi izlemek için çalışma kitaplarını kullanın.

Ek kaynaklar

Belgeler

Microsoft Sentinel ve Microsoft Purview'u tümleştirme

Bu makalede, veri duyarlılığı içgörülerini etkinleştirmek, sınıflandırmaların ne zaman algılandığını izlemek için kurallar oluşturmak ve Microsoft Purview tarafından bulunan veriler hakkında genel bir bakış elde etmek ve hassas verilerin kuruluşunuzda nerede bulunduğu hakkında bilgi edinmek için Microsoft Purview için Microsoft Sentinel veri bağlayıcısının ve çözümünün nasıl kullanılacağı açıklanmaktadır.
Microsoft Sentinel için Microsoft Purview (Önizleme) bağlayıcısı

Veri kaynağınızı Microsoft Sentinel'e bağlamak için Microsoft Purview (Önizleme) bağlayıcısını yüklemeyi öğrenin.
Microsoft Sentinel için Microsoft 365 Insider Risk Management bağlayıcısı

Veri kaynağınızı Microsoft Sentinel'e bağlamak için Microsoft 365 Insider Risk Management bağlayıcısını yüklemeyi öğrenin.
Microsoft Sentinel için Microsoft Purview Bilgi Koruması bağlayıcısı

Veri kaynağınızı Microsoft Sentinel'e bağlamak için bağlayıcı Microsoft Purview Bilgi Koruması yüklemeyi öğrenin.
Azure İzleyici Günlükleri başvurusu - MicrosoftPurviewInformationProtection - Azure Monitor

Azure İzleyici Günlüklerinde MicrosoftPurviewInformationProtection tablosu başvurusu.
Microsoft Sentinel ile veri kaybı önleme uyarılarını araştırma - Microsoft Defender XDR

Microsoft Sentinel'de veri kaybı önleme uyarılarını araştırma.
Azure İzleyici Günlükleri başvurusu - PurviewDataSensitivityLogs - Azure Monitor

Azure İzleyici Günlükleri'nde PurviewDataSensitivityLogs tablosu başvurusu.

Eğitim

Öğrenme yolu

SC-200: Günlükleri Microsoft Sentinel'e bağlama - Training

SC-200: Günlükleri Microsoft Sentinel'e bağlama

Sertifikasyon

Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications

Demonstrate the fundamentals of data security, lifecycle management, information security, and compliance to protect a Microsoft 365 deployment.

Aracılığıyla paylaş