分享方式:

將數據從 Microsoft Purview 資訊保護 串流至 sentinel Microsoft

  • 文章

本文說明如何將數據從 Microsoft Purview 資訊保護 (先前稱為 Microsoft 資訊保護 或 MIP) 串流至 Microsoft Sentinel。 您可以使用從 Microsoft Purview 標籤客戶端和掃描器擷取的數據來追蹤、分析、報告數據,並將其用於合規性目的。

重要

Microsoft Purview 資訊保護 連接器目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

概觀

稽核和報告是組織安全性和合規性策略的重要組成部分。 隨著技術格局的持續擴張,系統、端點、作業和法規數量不斷增加,擁有完整的記錄和報告解決方案就更加重要。

使用 Microsoft Purview 資訊保護 連接器,您可以串流從統一標籤端和掃描器產生的稽核事件。 然後,數據會發出至 Microsoft 365 稽核記錄,以在 Microsoft Sentinel 中集中報告。

您可以使用連接器來:

  • 追蹤標籤的採用、探索、查詢和偵測事件。
  • 監視已加上標籤且受保護的文件和電子郵件。
  • 監視使用者對已標記檔和電子郵件的存取權,同時追蹤分類變更。
  • 深入瞭解在標籤、原則、組態、檔案和文件上執行的活動。 此可見度可協助安全性小組識別安全性缺口,以及風險和合規性違規。
  • 在稽核期間使用連接器數據,以證明組織符合規範。

Azure 資訊保護 連接器與 Microsoft Purview 資訊保護 連接器

此連接器會取代 Azure 資訊保護 (AIP) 資料連線器。 Azure 資訊保護 (AIP) 資料連接器會使用 AIP 稽核記錄 (公開預覽) 功能。

重要

2023 年 3 月 31 日起,AIP 分析和稽核記錄公開預覽將會淘汰,而未來將會使用 Microsoft 365 稽核解決方案

如需詳細資訊,請參閱:

當您啟用 Microsoft Purview 資訊保護 連接器時,稽核記錄數據流會串流至標準化MicrosoftPurviewInformationProtection數據表。 數據會透過使用結構化架構的 Office 管理 API 來收集。 新的標準化架構已調整,以增強 AIP 所使用的已取代架構,並有更多字段且更容易存取參數。

檢閱支援的 稽核記錄類型和活動清單。

必要條件

開始之前,請確認您已經︰

  • 啟用 Microsoft Sentinel 解決方案。
  • 擁有已定義的 Microsoft Sentinel 工作區。
  • M365 E3、M365 A3、Microsoft Business Basic 或任何其他稽核合格授權的有效授權。 深入瞭解 purview 中的稽核解決方案Microsoft。
  • 已啟用 Office 的敏感度標籤和 已啟用稽核
  • 租使用者上的安全性系統管理員角色,或對等的許可權。

設定連接器

注意

如果您在位於 Office 365 位置不同區域的工作區上設定連接器,數據可能會跨區域進行串流處理。

  1. 開啟 Azure 入口網站,然後瀏覽至 Microsoft Sentinel 服務。

  2. 在 [ 數據連接器] 刀鋒視窗中,於搜尋列中輸入 Purview

  3. 選取 [Microsoft Purview 資訊保護 [預覽] 連接器。

  4. 在連接器描述下方,選取 [開啟連接器] 頁面。

  5. 在 [組態] 底下,選取 [連線]。

    建立連線時,[連線] 按鈕會變更為 [中斷連線]。 您現在已連線到 Microsoft Purview 資訊保護。

檢閱支援的 稽核記錄類型和活動清單。

中斷 Azure 資訊保護 連接器的連線

建議您在短時間內同時使用 Azure 資訊保護 連接器和 Microsoft Purview 資訊保護 連接器(兩者皆已啟用)。 測試期間之後,建議您中斷 Azure 資訊保護 連接器的連線,以避免數據重複和備援成本。

若要中斷 Azure 資訊保護 連接器的連線:

  1. 在 [數據連接器] 刀鋒視窗中的搜尋列中,輸入 Azure 資訊保護
  2. 選取 [Azure 資訊保護]。
  3. 在連接器描述下方,選取 [開啟連接器] 頁面。
  4. 在 [設定] 底下,選取 [連線 Azure 資訊保護 記錄]。
  5. 清除您要中斷連接器連線機之工作區的選取專案,然後選取 [ 確定]。

已知問題與限制

  • 透過 Office 管理 API 收集的敏感度標籤事件不會填入標籤名稱。 客戶可以使用 KQL 中定義的監看清單或擴充,如下列範例所示。

  • Office 管理 API 在降級前後不會取得包含標籤名稱的降級標籤。 若要擷取這項資訊,請擷取 labelId 每個標籤的 ,並擴充結果。

    以下為範例 KQL 查詢:

    let labelsMap = parse_json('{'
 '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
 '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
 '"MySensitivityLabelId": "MyLabel3"'
 '}');
 MicrosoftPurviewInformationProtection
 | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
tostring(labelsMap[tostring(SensitivityLabelId)]), "")
 | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")

  • 數據表 MicrosoftPurviewInformationProtectionOfficeActivity 數據表可能包含一些重複的事件。

下一步

在本文中,您已瞭解如何設定 Microsoft Purview 資訊保護 連接器,以追蹤、分析、報告數據,並將其用於合規性目的。 若要深入了解 Microsoft Sentinel,請參閱下列文章: