Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment diffuser en continu des données de Protection des données Microsoft Purview (anciennement Microsoft Information Protection ou MIP) vers Microsoft Sentinel. Vous pouvez utiliser les données ingérées à partir des clients et scanneurs d’étiquetage Microsoft Purview pour suivre, analyser, générer des rapports sur les données et les utiliser à des fins de conformité.
Importante
Le connecteur Protection des données Microsoft Purview est actuellement en préversion. Les conditions supplémentaires de la préversion Azure incluent des conditions juridiques supplémentaires qui s’appliquent à Azure fonctionnalités qui sont en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.
Vue d’ensemble
L’audit et la création de rapports sont une partie importante de la stratégie de sécurité et de conformité des organisations. Avec l’expansion continue du paysage technologique avec un nombre toujours croissant de systèmes, de points de terminaison, d’opérations et de réglementations, il devient encore plus important de disposer d’une solution complète de journalisation et de création de rapports.
Avec le connecteur Protection des données Microsoft Purview, vous diffusez en continu des événements d’audit générés à partir de clients et d’analyseurs d’étiquetage unifié. Les données sont ensuite émises dans le journal d’audit Microsoft 365 pour la création de rapports centralisées dans Microsoft Sentinel.
Avec le connecteur, vous pouvez :
- Suivez l’adoption des étiquettes, explorez, interrogez et détectez les événements.
- Surveiller les documents et messages électroniques protégés ou auxquels des étiquettes ont été appliquées.
- Surveillez l’accès des utilisateurs aux documents et aux e-mails étiquetés, tout en effectuant le suivi des modifications de classification.
- Bénéficiez d’une visibilité sur les activités effectuées sur les étiquettes, les stratégies, les configurations, les fichiers et les documents. Cette visibilité permet aux équipes de sécurité d’identifier les violations de sécurité, ainsi que les risques et les violations de conformité.
- Utilisez les données du connecteur lors d’un audit pour prouver que le organization est conforme.
connecteur Azure Information Protection et connecteur Protection des données Microsoft Purview
Ce connecteur remplace le connecteur de données Azure Information Protection (AIP). Le connecteur de données Azure Information Protection (AIP) utilise la fonctionnalité journaux d’audit AIP (préversion publique).
Importante
À compter du 31 mars 2023, la préversion publique des journaux d’audit et d’analytique AIP sera mise hors service, et la solution d’audit Microsoft 365 sera à l’avenir.
En savoir plus :
- Consultez Services supprimés et mis hors service.
- Découvrez comment déconnecter le connecteur AIP.
Lorsque vous activez le connecteur Protection des données Microsoft Purview, les journaux d’audit sont diffusés en continu dans la table standardiséeMicrosoftPurviewInformationProtection. Les données sont collectées via l’API de gestion Office, qui utilise un schéma structuré. Le nouveau schéma standardisé est ajusté pour améliorer le schéma déconseillé utilisé par AIP, avec davantage de champs et un accès plus facile aux paramètres.
Passez en revue la liste des types d’enregistrements et activités de journal d’audit pris en charge.
Configuration requise
Avant de commencer, vérifiez que vous disposez des éléments suivants :
- Solution Microsoft Sentinel activée.
- Espace de travail Microsoft Sentinel défini.
- Une licence valide pour M365 E3, M365 A3, Microsoft Business Basic ou toute autre licence éligible Audit. En savoir plus sur les solutions d’audit dans Microsoft Purview.
- Activation des étiquettes de confidentialité pour Office et activation de l’audit.
- Le rôle Administrateur de la sécurité sur le locataire, ou les autorisations équivalentes.
Configurer le connecteur
Remarque
Si vous définissez le connecteur sur un espace de travail situé dans une région différente de l’emplacement de votre Office 365, les données peuvent être diffusées en continu entre les régions.
Ouvrez le Portail Azure et accédez au service Microsoft Sentinel.
Dans le panneau Connecteurs de données , dans la barre de recherche, tapez Purview.
Sélectionnez le connecteur Protection des données Microsoft Purview (préversion).
Sous la description du connecteur, sélectionnez Ouvrir la page du connecteur.
Sous Configuration, sélectionnez Se connecter.
Lorsqu’une connexion est établie, le bouton Se connecter devient Déconnecter. Vous êtes maintenant connecté au Protection des données Microsoft Purview.
Passez en revue la liste des types d’enregistrements et activités de journal d’audit pris en charge.
Déconnecter le connecteur Azure Information Protection
Nous vous recommandons d’utiliser simultanément le connecteur Azure Information Protection et le connecteur Protection des données Microsoft Purview (tous deux activés) pendant une courte période de test. Après la période de test, nous vous recommandons de déconnecter le connecteur Azure Information Protection pour éviter la duplication des données et les coûts redondants.
Pour déconnecter le connecteur Azure Information Protection :
- Dans le panneau Connecteurs de données, dans la barre de recherche, tapez Azure Information Protection.
- Sélectionnez Azure Information Protection.
- Sous la description du connecteur, sélectionnez Ouvrir la page du connecteur.
- Sous Configuration, sélectionnez Se connecter Azure Information Protection journaux.
- Effacez la sélection de l’espace de travail à partir duquel vous souhaitez déconnecter le connecteur, puis sélectionnez OK.
Problèmes connus et conseils
Les événements d’étiquette de confidentialité collectés par le biais de l’API gestion Office ne remplissent pas les noms d’étiquettes. Les clients peuvent utiliser des watchlists ou des enrichissements définis dans KQL comme exemple ci-dessous.
L’API De gestion Office n’obtient pas d’étiquette de passage à une version antérieure avec les noms des étiquettes avant et après la rétrogradation. Pour récupérer ces informations, extrayez le
labelIdde chaque étiquette et enrichissez les résultats.Voici un exemple de requête KQL :
let labelsMap = parse_json('{' '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",' '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",' '"MySensitivityLabelId": "MyLabel3"' '}'); MicrosoftPurviewInformationProtection | extend SensitivityLabelName = iff(isnotempty(SensitivityLabelId), tostring(labelsMap[tostring(SensitivityLabelId)]), "") | extend OldSensitivityLabelName = iff(isnotempty(OldSensitivityLabelId), tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")La
MicrosoftPurviewInformationProtectiontable et laOfficeActivitytable peuvent inclure des événements dupliqués.
Pour plus d’informations sur les éléments suivants utilisés dans les exemples précédents, consultez la documentation Kusto :
Pour plus d’informations sur KQL, consultez vue d’ensemble de Langage de requête Kusto (KQL).
Autres ressources :
Étapes suivantes
Dans cet article, vous avez appris à configurer le connecteur Protection des données Microsoft Purview pour suivre, analyser, générer des rapports sur les données et les utiliser à des fins de conformité. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Découvrez comment obtenir une visibilité sur vos données et les menaces potentielles.
- Commencez à détecter les menaces avec Microsoft Sentinel.
- Utilisez des classeurs pour surveiller vos données.