Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives det, hvordan du streamer data fra Microsoft Purview Information Protection (tidligere Microsoft Information Protection eller MIP) til Microsoft Sentinel. Du kan bruge de data, der er hentet fra Klienter og scannere med Microsoft Purview-mærkater, til at spore, analysere, rapportere om dataene og bruge dem til overholdelse af angivne standarder.
Vigtigt!
Den Microsoft Purview Information Protection connector er i øjeblikket en PRØVEVERSION. De supplerende vilkår for Azure prøveversion indeholder yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.
Oversigt
Overvågning og rapportering er en vigtig del af organisationers strategi for sikkerhed og overholdelse af angivne standarder. Med den fortsatte udvidelse af det teknologilandskab, der har et stadigt stigende antal systemer, slutpunkter, drift og bestemmelser, bliver det endnu vigtigere at have en omfattende logførings- og rapporteringsløsning på plads.
Med Microsoft Purview Information Protection-connectoren kan du streame overvågningshændelser, der genereres af unified labeling-klienter og scannere. Dataene udsendes derefter til Microsoft 365-overvågningsloggen til central rapportering i Microsoft Sentinel.
Med connectoren kan du:
- Spor indføring af mærkater, udforsk, forespørg om og registrer hændelser.
- Overvåg navngivne og beskyttede dokumenter og mails.
- Overvåg brugeradgang til navngivne dokumenter og mails, mens der spores klassificeringsændringer.
- Få indblik i aktiviteter, der udføres på mærkater, politikker, konfigurationer, filer og dokumenter. Denne synlighed hjælper sikkerhedsteams med at identificere sikkerhedsbrud og risiko- og overholdelsesovertrædelser.
- Brug connectordataene under en overvågning for at bevise, at organisationen overholder angivne standarder.
Azure Information Protection connector i forhold til Microsoft Purview Information Protection connector
Denne connector erstatter AIP-dataconnectoren (Azure Information Protection). Dataconnectoren Azure Information Protection (AIP) bruger funktionen AIP-overvågningslogge (offentlig prøveversion).
Vigtigt!
Fra den 31. marts 2023 udgår den offentlige prøveversion af AIP-analyser og -overvågningslogge, og fremadrettet bruger Microsoft 365-overvågningsløsningen.
Få flere oplysninger:
- Se Fjernede og udgåede tjenester.
- Få mere at vide om, hvordan du afbryder AIP-connectoren.
Når du aktiverer Microsoft Purview Information Protection connector, streames overvågningslogge til den standardiserede MicrosoftPurviewInformationProtection tabel. Data indsamles via Office Management-API'en, som bruger et struktureret skema. Det nye standardiserede skema justeres for at forbedre det frarådet skema, der bruges af AIP, med flere felter og nemmere adgang til parametre.
Gennemse listen over understøttede overvågningslogposttyper og -aktiviteter.
Forudsætninger
Før du begynder, skal du kontrollere, at du har:
- Den Microsoft Sentinel løsning er aktiveret.
- Et defineret Microsoft Sentinel arbejdsområde.
- En gyldig licens til M365 E3, M365 A3, Microsoft Business Basic eller andre licenser, der er berettiget til overvågning. Læs mere om overvågningsløsninger i Microsoft Purview.
- Aktiverede følsomhedsmærkater til Office og aktiveret overvågning.
- Rollen Sikkerhedsadministrator for lejeren eller de tilsvarende tilladelser.
Konfigurer connectoren
Bemærk!
Hvis du angiver connectoren på et arbejdsområde, der er placeret i et andet område end din Office 365 placering, kan dataene blive streamet på tværs af områder.
Åbn Azure Portal, og naviger til tjenesten Microsoft Sentinel.
På bladet Dataconnectors skal du skrive Purview på søgelinjen.
Vælg connectoren Microsoft Purview Information Protection (prøveversion).
Under beskrivelsen af connectoren skal du vælge Åbn forbindelsesside.
Under Konfiguration skal du vælge Opret forbindelse.
Når der er oprettet forbindelse, ændres knappen Opret forbindelse til Afbryd forbindelse. Du har nu forbindelse til Microsoft Purview Information Protection.
Gennemse listen over understøttede overvågningslogposttyper og -aktiviteter.
Afbryd forbindelsen til Azure Information Protection
Vi anbefaler, at du bruger Azure Information Protection connectoren og den Microsoft Purview Information Protection connector samtidig (begge aktiveret) i en kort testperiode. Efter testperioden anbefaler vi, at du afbryder forbindelsen til Azure Information Protection for at undgå duplikering af data og redundante omkostninger.
Sådan afbrydes forbindelsen til Azure Information Protection:
- På bladet Dataconnectors på søgelinjen skal du skrive Azure Information Protection.
- Vælg Azure Information Protection.
- Under beskrivelsen af connectoren skal du vælge Åbn forbindelsesside.
- Under Konfiguration skal du vælge Opret forbindelse Azure Information Protection logge.
- Ryd markeringen for det arbejdsområde, du vil afbryde forbindelsen fra, og vælg OK.
Kendte problemer og begrænsninger
Hændelser for følsomhedsmærkater, der indsamles via Office Management-API'en, udfylder ikke navne på mærkater. Kunderne kan bruge visningslister eller berigelser, der er defineret i KQL som eksemplet nedenfor.
Office Management-API'en henter ikke en nedgraderingsmærkat med navnene på mærkaterne før og efter nedgradering. Hvis du vil hente disse oplysninger, skal du udtrække
labelIdfor hver mærkat og forbedre resultaterne.Her er et eksempel på en KQL-forespørgsel:
let labelsMap = parse_json('{' '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",' '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",' '"MySensitivityLabelId": "MyLabel3"' '}'); MicrosoftPurviewInformationProtection | extend SensitivityLabelName = iff(isnotempty(SensitivityLabelId), tostring(labelsMap[tostring(SensitivityLabelId)]), "") | extend OldSensitivityLabelName = iff(isnotempty(OldSensitivityLabelId), tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")Tabellen
MicrosoftPurviewInformationProtectionog tabellenOfficeActivitykan indeholde nogle duplikerede hændelser.
Du kan få flere oplysninger om følgende elementer, der bruges i de foregående eksempler, i dokumentationen til Kusto:
Du kan få flere oplysninger om KQL i oversigten over Kusto Query Language (KQL).
Andre ressourcer:
Næste trin
I denne artikel har du lært, hvordan du konfigurerer Microsoft Purview Information Protection connector til at spore, analysere, rapportere om dataene og bruge dem til overholdelse af angivne standarder. Du kan få mere at vide om Microsoft Sentinel i følgende artikler:
- Få mere at vide om , hvordan du får indsigt i dine data og potentielle trusler.
- Kom i gang med at registrere trusler med Microsoft Sentinel.
- Brug projektmapper til at overvåge dine data.