Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt beschreven hoe u gegevens van Microsoft Purview Informatiebeveiliging (voorheen Microsoft Information Protection of MIP) naar Microsoft Sentinel kunt streamen. U kunt de gegevens die zijn opgenomen uit de Microsoft Purview-labelclients en -scanners gebruiken om de gegevens bij te houden, te analyseren, te rapporteren en te gebruiken voor nalevingsdoeleinden.
Belangrijk
De Microsoft Purview Informatiebeveiliging-connector is momenteel in PREVIEW. De aanvullende voorwaarden voor Azure preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.
Overzicht
Controle en rapportage vormen een belangrijk onderdeel van de beveiligings- en nalevingsstrategie van organisaties. Met de voortdurende uitbreiding van het technologielandschap met een steeds groter aantal systemen, eindpunten, bewerkingen en regelgeving, wordt het nog belangrijker om een uitgebreide oplossing voor logboekregistratie en rapportage te hebben.
Met de Microsoft Purview Informatiebeveiliging-connector streamt u controle-gebeurtenissen die zijn gegenereerd door geïntegreerde labelclients en scanners. De gegevens worden vervolgens verzonden naar het Microsoft 365-auditlogboek voor centrale rapportage in Microsoft Sentinel.
Met de connector kunt u het volgende doen:
- Acceptatie van labels bijhouden, gebeurtenissen verkennen, opvragen en detecteren.
- Gelabelde en beveiligde documenten en e-mailberichten bewaken.
- Bewaak gebruikerstoegang tot gelabelde documenten en e-mailberichten, terwijl u classificatiewijzigingen bijhoudt.
- Krijg inzicht in activiteiten die worden uitgevoerd op labels, beleid, configuraties, bestanden en documenten. Deze zichtbaarheid helpt beveiligingsteams beveiligingsschendingen en schendingen van risico's en naleving te identificeren.
- Gebruik de connectorgegevens tijdens een audit om te bewijzen dat de organisatie compatibel is.
Azure Information Protection-connector versus Microsoft Purview Informatiebeveiliging-connector
Deze connector vervangt de AIP-gegevensconnector (Azure Information Protection). De AIP-gegevensconnector (Azure Information Protection) maakt gebruik van de functie AIP-auditlogboeken (openbare preview).
Belangrijk
Vanaf 31 maart 2023 worden de openbare preview-versies van AIP-analyse en auditlogboeken buiten gebruik gesteld en wordt in de toekomst de controleoplossing van Microsoft 365 gebruikt.
Voor meer informatie:
- Zie Verwijderde en buiten gebruik gestelde services.
- Meer informatie over het verbreken van de verbinding met de AIP-connector.
Wanneer u de Microsoft Purview Informatiebeveiliging-connector inschakelt, worden auditlogboeken naar de gestandaardiseerde tabel gestreamdMicrosoftPurviewInformationProtection. Gegevens worden verzameld via de Office Management-API, die gebruikmaakt van een gestructureerd schema. Het nieuwe gestandaardiseerde schema wordt aangepast om het afgeschafte schema dat wordt gebruikt door AIP te verbeteren, met meer velden en eenvoudigere toegang tot parameters.
Bekijk de lijst met ondersteunde typen en activiteiten voor auditlogboekrecords.
Vereisten
Controleer voordat u begint of u het volgende hebt:
- De Microsoft Sentinel-oplossing ingeschakeld.
- Een gedefinieerde Microsoft Sentinel werkruimte.
- Een geldige licentie voor M365 E3, M365 A3, Microsoft Business Basic of een andere auditlicentie die in aanmerking komt. Lees meer over controleoplossingen in Microsoft Purview.
- Gevoeligheidslabels ingeschakeld voor Office en ingeschakelde controle.
- De rol Beveiligingsbeheerder voor de tenant of de gelijkwaardige machtigingen.
De connector instellen
Opmerking
Als u de connector instelt voor een werkruimte in een andere regio dan uw Office 365 locatie, kunnen gegevens worden gestreamd tussen regio's.
Open de Azure Portal en navigeer naar de Microsoft Sentinel-service.
Typ purview op de blade Gegevensconnectors in de zoekbalk.
Selecteer de connector Microsoft Purview Informatiebeveiliging (preview).
Selecteer onder de beschrijving van de connector de optie Connectorpagina openen.
Selecteer onder Configuratiede optie Verbinding maken.
Wanneer een verbinding tot stand is gebracht, verandert de knop Verbinding maken in Verbinding verbreken. U bent nu verbonden met de Microsoft Purview Informatiebeveiliging.
Bekijk de lijst met ondersteunde typen en activiteiten voor auditlogboekrecords.
Verbinding met de Azure Information Protection-connector verbreken
U wordt aangeraden de Azure Information Protection-connector en de Microsoft Purview Informatiebeveiliging-connector tegelijkertijd te gebruiken (beide ingeschakeld) voor een korte testperiode. Na de testperiode wordt u aangeraden de connector voor Azure Information Protection los te koppelen om dubbele gegevens en redundante kosten te voorkomen.
De verbinding met de Azure Information Protection-connector verbreken:
- Typ op de blade Gegevensconnectors in de zoekbalk Azure Information Protection.
- Selecteer Azure Information Protection.
- Selecteer onder de beschrijving van de connector de optie Connectorpagina openen.
- Selecteer onder Configuratiede optie Verbinding maken Azure Information Protection logboeken.
- Wis de selectie voor de werkruimte waaruit u de verbinding met de connector wilt verbreken en selecteer OK.
Bekende problemen en beperkingen
Vertrouwelijkheidslabel-gebeurtenissen die zijn verzameld via de Office Management-API vullen de labelnamen niet. Klanten kunnen volglijsten of verrijkingen gebruiken die zijn gedefinieerd in KQL zoals in het onderstaande voorbeeld.
De Office Management-API krijgt geen downgradelabel met de namen van de labels voor en na de downgrade. Als u deze informatie wilt ophalen, extraheert u de
labelIdvan elk label en verrijkt u de resultaten.Hier volgt een voorbeeld van een KQL-query:
let labelsMap = parse_json('{' '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",' '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",' '"MySensitivityLabelId": "MyLabel3"' '}'); MicrosoftPurviewInformationProtection | extend SensitivityLabelName = iff(isnotempty(SensitivityLabelId), tostring(labelsMap[tostring(SensitivityLabelId)]), "") | extend OldSensitivityLabelName = iff(isnotempty(OldSensitivityLabelId), tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")De
MicrosoftPurviewInformationProtectiontabel en deOfficeActivitytabel kunnen enkele gedupliceerde gebeurtenissen bevatten.
Zie de Kusto-documentatie voor meer informatie over de volgende items die in de voorgaande voorbeelden worden gebruikt:
Zie overzicht van Kusto-querytaal (KQL) voor meer informatie over KQL.
Andere resources:
Volgende stappen
In dit artikel hebt u geleerd hoe u de Microsoft Purview Informatiebeveiliging-connector instelt om de gegevens bij te houden, te analyseren, te rapporteren en te gebruiken voor nalevingsdoeleinden. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
- Meer informatie over hoe u inzicht krijgt in uw gegevens en mogelijke bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
- Werkmappen gebruiken om uw gegevens te bewaken.