Share via

Streamování dat z Microsoft Purview Information Protection do Služby Microsoft Sentinel

  • Článek

Tento článek popisuje, jak streamovat data z Microsoft Purview Information Protection (dříve Microsoft Information Protection nebo MIP) do služby Microsoft Sentinel. Pomocí dat přijatých z klientů a skenerů popisků Microsoft Purview můžete data sledovat, analyzovat, hlásit je a používat je pro účely dodržování předpisů.

Důležité

Konektor Microsoft Purview Information Protection je aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, verzi Preview nebo jinak ještě nejsou obecně dostupné.

Přehled

Auditování a vytváření sestav jsou důležitou součástí strategie zabezpečení a dodržování předpisů v organizacích. S pokračujícím rozšiřováním technologického prostředí, které má stále rostoucí počet systémů, koncových bodů, operací a předpisů, je ještě důležitější mít komplexní řešení protokolování a generování sestav.

Pomocí konektoru Microsoft Purview Information Protection streamujete události auditování vygenerované z klientů a skenerů sjednoceného popisování. Data se pak vygenerují do protokolu auditu Microsoftu 365 pro centrální vytváření sestav ve službě Microsoft Sentinel.

Pomocí konektoru můžete:

  • Sledujte přijetí popisků, prozkoumejte, dotazujte a detekujte události.
  • Monitorujte označené a chráněné dokumenty a e-maily.
  • Monitorujte přístup uživatelů k dokumentům a e-mailům s popiskem a sledujte změny klasifikace.
  • Získejte přehled o aktivitách prováděných na popiscích, zásadách, konfiguracích, souborech a dokumentech. Tato viditelnost pomáhá bezpečnostním týmům identifikovat porušení zabezpečení a porušení rizik a dodržování předpisů.
  • Data konektoru během auditu použijte k prokázání, že organizace dodržuje předpisy.

Konektor Azure Information Protection vs. konektor Microsoft Purview Information Protection

Tento konektor nahrazuje datový konektor Azure Information Protection (AIP). Datový konektor Azure Information Protection (AIP) používá funkci protokoly auditu AIP (Public Preview).

Důležité

Od 31. března 2023 budou analytické protokoly AIP a protokoly auditu ve verzi Public Preview vyřazeny a v budoucnu se bude používat řešení auditování Microsoftu 365.

Další informace najdete tady:

Když povolíte konektor Microsoft Purview Information Protection, protokoly auditu se streamuje do standardizované MicrosoftPurviewInformationProtection tabulky. Data se shromažďují prostřednictvím rozhraní API pro správu Office, které používá strukturované schéma. Nové standardizované schéma je upraveno tak, aby vylepšilo zastaralé schéma používané AIP s více poli a snadnějším přístupem k parametrům.

Projděte si seznam podporovaných typů a aktivit záznamů protokolu auditu.

Požadavky

Než začnete, ověřte, že máte:

Nastavení konektoru

Poznámka

Pokud nastavíte konektor v pracovním prostoru, který se nachází v jiné oblasti, než je vaše Office 365 umístění, můžou se data streamovat napříč oblastmi.

  1. Otevřete Azure Portal a přejděte do služby Microsoft Sentinel.

  2. V okně Datové konektory do vyhledávacího panelu zadejte Purview.

  3. Vyberte konektor Microsoft Purview Information Protection (Preview).

  4. Pod popisem konektoru vyberte Otevřít stránku konektoru.

  5. V části Konfigurace vyberte Připojit.

    Po navázání připojení se tlačítko Připojit změní na Odpojit. Teď jste připojení k Microsoft Purview Information Protection.

Projděte si seznam podporovaných typů a aktivit záznamů protokolu auditu.

Odpojení konektoru Azure Information Protection

Po krátkou testovací dobu doporučujeme používat konektor Azure Information Protection a konektor Microsoft Purview Information Protection současně (oba jsou povolené). Po testovacím období doporučujeme konektor Azure Information Protection odpojit, abyste se vyhnuli duplikaci dat a redundantním nákladům.

Odpojení konektoru Azure Information Protection:

  1. V okně Datové konektory do vyhledávacího panelu zadejte Azure Information Protection.
  2. Vyberte Azure Information Protection.
  3. Pod popisem konektoru vyberte Otevřít stránku konektoru.
  4. V části Konfigurace vyberte Připojit protokoly azure Information Protection.
  5. Zrušte výběr pracovního prostoru, od kterého chcete konektor odpojit, a vyberte OK.

Známé problémy a omezení

  • Události popisků citlivosti shromážděné prostřednictvím rozhraní API pro správu Office nenaplní názvy popisků. Zákazníci můžou používat seznamy ke zhlédnutí nebo rozšiřování definovaná v KQL jako příklad níže.

  • Rozhraní API pro správu Office nezíská popisek downgradu s názvy popisků před a po downgradu. Chcete-li načíst tyto informace, extrahujte labelId jednotlivé popisky a rozšiřte výsledky.

    Tady je příklad dotazu KQL:

    let labelsMap = parse_json('{'
 '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
 '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
 '"MySensitivityLabelId": "MyLabel3"'
 '}');
 MicrosoftPurviewInformationProtection
 | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
tostring(labelsMap[tostring(SensitivityLabelId)]), "")
 | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")

  • Tabulka MicrosoftPurviewInformationProtection a OfficeActivity tabulka můžou obsahovat některé duplicitní události.

Další kroky

V tomto článku jste zjistili, jak nastavit konektor Microsoft Purview Information Protection pro sledování, analýzu, vytváření sestav dat a jejich použití pro účely dodržování předpisů. Další informace o službě Microsoft Sentinel najdete v následujících článcích: