你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将数据从 Microsoft Purview 信息保护流式传输到 Microsoft Sentinel

本文介绍如何将数据从 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))流式传输到 Microsoft Sentinel。 可以使用从 Microsoft Purview 标记客户端和扫描程序引入的数据来跟踪、分析、报告数据,并将其用于合规性目的。

重要

Microsoft Purview 信息保护连接器目前为预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

概述

审核和报告是组织安全性与合规性策略的重要组成部分。 随着技术格局的不断扩大以及系统、终结点、运营位置与管制措施数量的日益增多,拥有全面的日志记录和报告解决方案变得更加重要。

使用 Microsoft Purview 信息保护连接器,可以流式传输从统一标记客户端和扫描程序生成的审核事件。 然后,可将数据发送到 Microsoft 365 审核日志,以便在 Microsoft Sentinel 中集中报告。

借助该连接器,可以:

  • 跟踪标签的采用,以及浏览、查询和检测事件。
  • 监视标记和受保护的文档与电子邮件。
  • 监视用户对标记的文档和电子邮件的访问,同时跟踪分类更改。
  • 洞察针对标签、策略、配置、文件和文档执行的活动。 这种可见性可以帮助安全团队识别安全漏洞以及风险和违规情况。
  • 在审核期间使用连接器数据来证明组织合规。

Azure 信息保护连接器与 Microsoft Purview 信息保护连接器

此连接器取代了 Azure 信息保护 (AIP) 数据连接器。 Azure 信息保护 (AIP) 数据连接器使用 AIP 审核日志(公共预览版)功能。

重要

从 2023 年 3 月 31 日开始,将停用 AIP 分析和审核日志公共预览版,并使用 Microsoft 365 审核解决方案

更多相关信息:

启用 Microsoft Purview 信息保护连接器时,审核日志将流式传输到标准化的 MicrosoftPurviewInformationProtection 表中。 数据是通过使用结构化架构的 Office 管理 API 收集的。 新的标准化架构已经过调整,增强了 AIP 使用的(现已弃用)架构,并且包含更多字段,让用户可以更轻松地访问参数。

请查看受支持的审核日志记录类型和活动的列表。

先决条件

在开始之前,请确认已做好以下准备:

设置连接器

注意

如果在与 Office 365 位于不同区域的工作区上设置连接器,则数据可能会跨区域流式传输。

  1. 打开 Azure 门户,导航到 Microsoft Sentinel 服务。

  2. 在“数据连接器”边栏选项卡上的搜索栏中键入“Purview”。

  3. 选择“Microsoft Purview 信息保护(预览版)”连接器。

  4. 在连接器说明的下方,选择“打开连接器页”。

  5. 在“配置”下选择“连接”。

    建立连接后,“连接”按钮将更改为“断开连接”。 现已连接到 Microsoft Purview 信息保护。

请查看受支持的审核日志记录类型和活动的列表。

断开连接 Azure 信息保护连接器

建议同时使用 Azure 信息保护连接器和 Microsoft Purview 信息保护连接器(启用两者)进行短时间的测试。 测试期过后,建议断开连接 Azure 信息保护连接器,以避免数据重复和不必要的成本。

若要断开连接 Azure 信息保护连接器,请执行以下操作:

  1. 在“数据连接器”边栏选项卡上的搜索栏中,键入“Azure 信息保护”。
  2. 选择“Azure 信息保护”。
  3. 在连接器说明的下方,选择“打开连接器页”。
  4. 在“配置”下,选择“连接 Azure 信息保护日志”。
  5. 清除要从中断开连接器的工作区的选择,然后选择“确定”。

已知问题和限制

  • 通过 Office 管理 API 收集的敏感度标签事件不会填充标签名称。 客户可以使用 KQL 中定义的监视列表或扩充,如以下示例所示。

  • Office 管理 API 不会获取降级标签,该标签包含降级之前和之后的标签名称。 若要检索此信息,请提取每个标签的 labelId 并扩充结果。

    下面是一个 KQL 查询示例:

    let labelsMap = parse_json('{'
     '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
     '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
     '"MySensitivityLabelId": "MyLabel3"'
     '}');
     MicrosoftPurviewInformationProtection
     | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
    tostring(labelsMap[tostring(SensitivityLabelId)]), "")
     | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
    tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
    
  • MicrosoftPurviewInformationProtection 表和 OfficeActivity 表可能包含一些重复事件。

后续步骤

在本文中,你已了解如何设置 Microsoft Purview 信息保护连接器以跟踪、分析、报告数据,并将其用于合规性目的。 若要详细了解 Microsoft Sentinel,请参阅以下文章: