將資料從 Microsoft Purview 資訊保護 串流至 Microsoft Sentinel

本文說明如何將先前稱為 Microsoft 資訊保護或 MI) P Microsoft Purview 資訊保護 (的資料串流至 Microsoft Sentinel。 您可以使用從 Microsoft Purview 標籤用戶端和掃描器擷取的資料來追蹤、分析、報告資料，並將其用於合規性用途。

重要

Microsoft Purview 資訊保護連接器目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未發行的版本) 的其他法律條款。

概觀

稽核和報告是組織安全性和合規性策略的重要部分。 隨著持續擴充的技術環境，其系統、端點、作業和法規數目不斷增加，因此擁有完整的記錄和報告解決方案會變得更重要。

使用Microsoft Purview 資訊保護連接器，您可以串流從統一標籤用戶端和掃描器產生的稽核事件。 然後，資料會發出至 Microsoft 365 稽核記錄，以在 Microsoft Sentinel 中集中報告。

您可以使用連接器來：

• 追蹤標籤的採用、探索、查詢和偵測事件。
• 監視已加上標籤且受保護的檔和電子郵件。
• 監視使用者存取已標記的檔和電子郵件，同時追蹤分類變更。
• 深入瞭解標籤、原則、組態、檔案和檔上執行的活動。 此可見度可協助安全性小組識別安全性缺口，以及風險和合規性違規。
• 在稽核期間使用連接器資料，以證明組織符合規範。

Azure 資訊保護 連接器與 Microsoft Purview 資訊保護 連接器

此連接器會取代 Azure 資訊保護 (AIP) 資料連線器。 Azure 資訊保護 (AIP) 資料連接器會使用 AIP 稽核記錄 (公開預覽) 功能。

重要

從 2023 年 3 月 31日開始，AIP 分析和稽核記錄公開預覽將會淘汰，而未來將會使用 Microsoft 365 稽核解決方案。

其他資訊：

• 請參閱 已移除和淘汰的服務。
• 瞭解如何 中斷 AIP 連接器的連線。

當您啟用Microsoft Purview 資訊保護連接器時，稽核記錄資料流程會串流至標準化 MicrosoftPurviewInformationProtection 資料表。 資料是透過使用結構化架構的 Office 管理 API來收集資料。 已調整新的標準化架構，以增強 AIP 所使用的已取代架構，並有更多欄位和更容易存取參數。

檢閱支援的 稽核記錄類型和活動清單。

Prerequisites

開始之前，請確認您已經︰

• 啟用 Microsoft Sentinel 解決方案。
• 擁有已定義的 Microsoft Sentinel 工作區。
• M365 E3、M365 A3、Microsoft Business Basic 或任何其他稽核合格授權的有效授權。 深入瞭解 Microsoft Purview 中的稽核解決方案。
• 已啟用 Office 的敏感度標籤 ， 並啟用稽核。
• 工作區上的全域管理員或安全性系統管理員角色。

設定連接器

注意

如果您在位於Office 365位置不同區域的工作區上設定連接器，可能會跨區域串流資料。

1. 開啟 Azure 入口網站，然後瀏覽至 Microsoft Sentinel 服務。

2. 在 [ 資料連線器] 刀鋒視窗中，于搜尋列中輸入 Purview。

3. 選取Microsoft Purview 資訊保護 (Preview) 連接器。

4. 在連接器描述下方，選取 [開啟連接器] 頁面。

5. 在 [ 組態] 底下，選取 [ 連線]。

   建立連線時，[ 連線 ] 按鈕會變更為 [中斷連線]。 您現在已連線到Microsoft Purview 資訊保護。

檢閱支援的 稽核記錄類型和活動清單。

中斷 Azure 資訊保護連接器的連線

建議您同時使用 Azure 資訊保護 連接器和Microsoft Purview 資訊保護連接器，同時 (兩者在短測試期間內啟用) 。 在測試期間之後，建議您中斷 Azure 資訊保護 連接器的連線，以避免資料重複和備援成本。

若要中斷 Azure 資訊保護連接器的連線：

1. 在 [資料連線器]刀鋒視窗中，于搜尋列中輸入Azure 資訊保護。
2. 選取 [Azure 資訊保護]。
3. 在連接器描述下方，選取 [開啟連接器] 頁面。
4. 在 [組態] 底下，選取 [連線 Azure 資訊保護記錄]。
5. 清除您要中斷連接連接器之工作區的選取範圍，然後選取 [ 確定]。

已知問題和限制

• 透過 Office 管理 API 收集的敏感度標籤事件不會填入標籤名稱。 客戶可以使用 KQL 中定義的監看清單或擴充，如下列範例所示。

• Office 管理 API 在降級前後不會取得包含標籤名稱的降級標籤。 若要擷取此資訊，請擷取 labelId 每個標籤的 ，並擴充結果。

  以下為範例 KQL 查詢：

  let labelsMap = parse_json('{'
   '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
   '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
   '"MySensitivityLabelId": "MyLabel3"'
   '}');
   MicrosoftPurviewInformationProtection
   | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
  tostring(labelsMap[tostring(SensitivityLabelId)]), "")
   | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
  tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
  

• 資料表 MicrosoftPurviewInformationProtection 和 OfficeActivity 資料表可能包含一些重複的事件。

下一步

在本文中，您已瞭解如何設定Microsoft Purview 資訊保護連接器，以追蹤、分析、報告資料，並將其用於合規性。 若要深入了解 Microsoft Sentinel，請參閱下列文章：

• 深入了解如何取得資料的可見度以及潛在威脅。
• 開始使用 Microsoft Sentinel 來偵測威脅。
• 使用活頁簿監視資料。