將資料從 Microsoft Purview 資訊保護 串流至 Microsoft Sentinel
本文說明如何將先前稱為 Microsoft 資訊保護或 MI) P Microsoft Purview 資訊保護 (的資料串流至 Microsoft Sentinel。 您可以使用從 Microsoft Purview 標籤用戶端和掃描器擷取的資料來追蹤、分析、報告資料,並將其用於合規性用途。
重要
Microsoft Purview 資訊保護連接器目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
概觀
稽核和報告是組織安全性和合規性策略的重要部分。 隨著持續擴充的技術環境,其系統、端點、作業和法規數目不斷增加,因此擁有完整的記錄和報告解決方案會變得更重要。
使用Microsoft Purview 資訊保護連接器,您可以串流從統一標籤用戶端和掃描器產生的稽核事件。 然後,資料會發出至 Microsoft 365 稽核記錄,以在 Microsoft Sentinel 中集中報告。
您可以使用連接器來:
- 追蹤標籤的採用、探索、查詢和偵測事件。
- 監視已加上標籤且受保護的檔和電子郵件。
- 監視使用者存取已標記的檔和電子郵件,同時追蹤分類變更。
- 深入瞭解標籤、原則、組態、檔案和檔上執行的活動。 此可見度可協助安全性小組識別安全性缺口,以及風險和合規性違規。
- 在稽核期間使用連接器資料,以證明組織符合規範。
Azure 資訊保護 連接器與 Microsoft Purview 資訊保護 連接器
此連接器會取代 Azure 資訊保護 (AIP) 資料連線器。 Azure 資訊保護 (AIP) 資料連接器會使用 AIP 稽核記錄 (公開預覽) 功能。
重要
從 2023 年 3 月 31日開始,AIP 分析和稽核記錄公開預覽將會淘汰,而未來將會使用 Microsoft 365 稽核解決方案。
其他資訊:
- 請參閱 已移除和淘汰的服務。
- 瞭解如何 中斷 AIP 連接器的連線。
當您啟用Microsoft Purview 資訊保護連接器時,稽核記錄資料流程會串流至標準化 MicrosoftPurviewInformationProtection
資料表。 資料是透過使用結構化架構的 Office 管理 API來收集資料。 已調整新的標準化架構,以增強 AIP 所使用的已取代架構,並有更多欄位和更容易存取參數。
檢閱支援的 稽核記錄類型和活動清單。
Prerequisites
開始之前,請確認您已經︰
- 啟用 Microsoft Sentinel 解決方案。
- 擁有已定義的 Microsoft Sentinel 工作區。
- M365 E3、M365 A3、Microsoft Business Basic 或任何其他稽核合格授權的有效授權。 深入瞭解 Microsoft Purview 中的稽核解決方案。
- 已啟用 Office 的敏感度標籤 , 並啟用稽核。
- 工作區上的全域管理員或安全性系統管理員角色。
設定連接器
注意
如果您在位於Office 365位置不同區域的工作區上設定連接器,可能會跨區域串流資料。
開啟 Azure 入口網站,然後瀏覽至 Microsoft Sentinel 服務。
在 [ 資料連線器] 刀鋒視窗中,于搜尋列中輸入 Purview。
選取Microsoft Purview 資訊保護 (Preview) 連接器。
在連接器描述下方,選取 [開啟連接器] 頁面。
在 [ 組態] 底下,選取 [ 連線]。
建立連線時,[ 連線 ] 按鈕會變更為 [中斷連線]。 您現在已連線到Microsoft Purview 資訊保護。
檢閱支援的 稽核記錄類型和活動清單。
中斷 Azure 資訊保護連接器的連線
建議您同時使用 Azure 資訊保護 連接器和Microsoft Purview 資訊保護連接器,同時 (兩者在短測試期間內啟用) 。 在測試期間之後,建議您中斷 Azure 資訊保護 連接器的連線,以避免資料重複和備援成本。
若要中斷 Azure 資訊保護連接器的連線:
- 在 [資料連線器]刀鋒視窗中,于搜尋列中輸入Azure 資訊保護。
- 選取 [Azure 資訊保護]。
- 在連接器描述下方,選取 [開啟連接器] 頁面。
- 在 [組態] 底下,選取 [連線 Azure 資訊保護記錄]。
- 清除您要中斷連接連接器之工作區的選取範圍,然後選取 [ 確定]。
已知問題和限制
透過 Office 管理 API 收集的敏感度標籤事件不會填入標籤名稱。 客戶可以使用 KQL 中定義的監看清單或擴充,如下列範例所示。
Office 管理 API 在降級前後不會取得包含標籤名稱的降級標籤。 若要擷取此資訊,請擷取
labelId
每個標籤的 ,並擴充結果。以下為範例 KQL 查詢:
let labelsMap = parse_json('{' '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",' '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",' '"MySensitivityLabelId": "MyLabel3"' '}'); MicrosoftPurviewInformationProtection | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), tostring(labelsMap[tostring(SensitivityLabelId)]), "") | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
資料表
MicrosoftPurviewInformationProtection
和OfficeActivity
資料表可能包含一些重複的事件。
下一步
在本文中,您已瞭解如何設定Microsoft Purview 資訊保護連接器,以追蹤、分析、報告資料,並將其用於合規性。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 深入了解如何取得資料的可見度以及潛在威脅。
- 開始使用 Microsoft Sentinel 來偵測威脅。
- 使用活頁簿監視資料。