Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo transmitir datos de Microsoft Purview Information Protection (anteriormente Microsoft Information Protection o MIP) a Microsoft Sentinel. Puede usar los datos ingeridos de los analizadores y clientes de etiquetado de Microsoft Purview para realizar un seguimiento, analizar, informar sobre los datos y usarlos con fines de cumplimiento.
Importante
El conector de Microsoft Purview Information Protection está actualmente en versión preliminar. Los términos complementarios de Azure Preview incluyen términos legales adicionales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.
Información general
La auditoría y los informes son una parte importante de la estrategia de seguridad y cumplimiento de las organizaciones. Con la expansión continua del panorama tecnológico que tiene un número cada vez mayor de sistemas, puntos de conexión, operaciones y regulaciones, resulta aún más importante tener una solución completa de registro e informes.
Con el conector de Microsoft Purview Information Protection, se transmiten eventos de auditoría generados a partir de analizadores y clientes de etiquetado unificados. A continuación, los datos se emiten al registro de auditoría de Microsoft 365 para informes centrales en Microsoft Sentinel.
Con el conector, puede:
- Realice un seguimiento de la adopción de etiquetas, explore, consulte y detecte eventos.
- Supervisar documentos y correos electrónicos etiquetados y protegidos.
- Supervise el acceso de los usuarios a documentos y correos electrónicos etiquetados, mientras realiza el seguimiento de los cambios de clasificación.
- Obtenga visibilidad de las actividades realizadas en etiquetas, directivas, configuraciones, archivos y documentos. Esta visibilidad ayuda a los equipos de seguridad a identificar las infracciones de seguridad y las infracciones de riesgo y cumplimiento.
- Use los datos del conector durante una auditoría para demostrar que la organización es compatible.
conector Azure Information Protection frente a conector Microsoft Purview Information Protection
Este conector reemplaza al conector de datos de Azure Information Protection (AIP). El conector de datos Azure Information Protection (AIP) usa la característica registros de auditoría de AIP (versión preliminar pública).
Importante
A partir del 31 de marzo de 2023, se retirará la versión preliminar pública de los registros de auditoría y análisis de AIP y, a partir de ahí, se usará la solución de auditoría de Microsoft 365.
Para más información:
- Consulte Servicios eliminados y retirados.
- Obtenga información sobre cómo desconectar el conector AIP.
Al habilitar el conector de Microsoft Purview Information Protection, los registros de auditoría se transmiten a la tabla estandarizadaMicrosoftPurviewInformationProtection. Los datos se recopilan a través de la API de administración de Office, que usa un esquema estructurado. El nuevo esquema estandarizado se ajusta para mejorar el esquema en desuso que usa AIP, con más campos y un acceso más fácil a los parámetros.
Revise la lista de tipos y actividades de registros de auditoría admitidos.
Requisitos previos
Antes de comenzar, compruebe que tiene:
- La solución Microsoft Sentinel habilitada.
- Un área de trabajo de Microsoft Sentinel definida.
- Una licencia válida para M365 E3, M365 A3, Microsoft Business Basic o cualquier otra licencia apta para auditoría. Obtenga más información sobre las soluciones de auditoría en Microsoft Purview.
- Etiquetas de confidencialidad habilitadas para Office y auditoría habilitada.
- El rol Administrador de seguridad en el inquilino o los permisos equivalentes.
Configuración del conector
Nota:
Si establece el conector en un área de trabajo ubicada en una región diferente de la ubicación de Office 365, los datos pueden transmitirse entre regiones.
Abra el Azure Portal y vaya al servicio Microsoft Sentinel.
En la hoja Conectores de datos , en la barra de búsqueda, escriba Purview.
Seleccione el conector Microsoft Purview Information Protection (versión preliminar).
Debajo de la descripción del conector, seleccione Abrir página del conector.
En Configuración, seleccione Conectar.
Cuando se establece una conexión, el botón Conectar cambia a Desconectar. Ahora está conectado a la Microsoft Purview Information Protection.
Revise la lista de tipos y actividades de registros de auditoría admitidos.
Desconectar el conector de Azure Information Protection
Se recomienda usar el conector de Azure Information Protection y el conector de Microsoft Purview Information Protection simultáneamente (ambos habilitados) durante un breve período de prueba. Después del período de prueba, se recomienda desconectar el conector de Azure Information Protection para evitar la duplicación de datos y los costos redundantes.
Para desconectar el conector de Azure Information Protection:
- En la hoja Conectores de datos, en la barra de búsqueda, escriba Azure Information Protection.
- Seleccione Azure Information Protection.
- Debajo de la descripción del conector, seleccione Abrir página del conector.
- En Configuración, seleccione Conectar registros de Azure Information Protection.
- Desactive la selección del área de trabajo de la que desea desconectar el conector y seleccione Aceptar.
Problemas y limitaciones conocidos
Los eventos de etiqueta de confidencialidad recopilados a través de office Management API no rellenan los nombres de etiqueta. Los clientes pueden usar listas de seguimiento o enriquecimientos definidos en KQL como el ejemplo siguiente.
Office Management API no obtiene una etiqueta de degradación con los nombres de las etiquetas antes y después de la degradación. Para recuperar esta información, extraiga el
labelIdde cada etiqueta y enriquezca los resultados.Esta es una consulta KQL de ejemplo:
let labelsMap = parse_json('{' '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",' '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",' '"MySensitivityLabelId": "MyLabel3"' '}'); MicrosoftPurviewInformationProtection | extend SensitivityLabelName = iff(isnotempty(SensitivityLabelId), tostring(labelsMap[tostring(SensitivityLabelId)]), "") | extend OldSensitivityLabelName = iff(isnotempty(OldSensitivityLabelId), tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")La
MicrosoftPurviewInformationProtectiontabla y laOfficeActivitytabla pueden incluir algunos eventos duplicados.
Vea más información sobre los siguientes elementos usados en los ejemplos anteriores, en la documentación de Kusto:
Para obtener más información sobre KQL, consulte introducción a Lenguaje de consulta Kusto (KQL).
Otros recursos:
Pasos siguientes
En este artículo, ha aprendido a configurar el conector de Microsoft Purview Information Protection para realizar un seguimiento, analizar, informar sobre los datos y usarlos con fines de cumplimiento. Para obtener más información sobre Microsoft Sentinel, consulte los artículos siguientes:
- Obtenga información sobre cómo obtener visibilidad sobre los datos y las posibles amenazas.
- Empiece a detectar amenazas con Microsoft Sentinel.
- Use libros para supervisar los datos.