Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln beskrivs hur du strömmar data från Microsoft Purview Information Protection (tidigare Microsoft Information Protection eller MIP) till Microsoft Sentinel. Du kan använda data som matas in från Microsoft Purview-etiketteringsklienter och skannrar för att spåra, analysera, rapportera data och använda dem i efterlevnadssyfte.
Viktigt
Microsoft Purview Information Protection-anslutningsappen är för närvarande i förhandsversion. De kompletterande villkoren för Azure förhandsversion innehåller ytterligare juridiska villkor som gäller för Azure funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Översikt
Granskning och rapportering är en viktig del av organisationens säkerhets- och efterlevnadsstrategi. Med den fortsatta expansionen av det tekniklandskap som har ett ständigt ökande antal system, slutpunkter, drift och föreskrifter blir det ännu viktigare att ha en omfattande loggnings- och rapporteringslösning på plats.
Med Microsoft Purview Information Protection-anslutningsappen strömmar du granskningshändelser som genererats från enhetliga etiketteringsklienter och skannrar. Data skickas sedan till Microsoft 365-granskningsloggen för central rapportering i Microsoft Sentinel.
Med anslutningsappen kan du:
- Spåra införandet av etiketter, utforska, fråga och identifiera händelser.
- Övervaka etiketterade och skyddade dokument och e-postmeddelanden.
- Övervaka användaråtkomst till märkta dokument och e-postmeddelanden medan du spårar klassificeringsändringar.
- Få insyn i aktiviteter som utförs på etiketter, principer, konfigurationer, filer och dokument. Den här synligheten hjälper säkerhetsteam att identifiera säkerhetsöverträdelser och överträdelser av risker och efterlevnad.
- Använd anslutningsdata under en granskning för att bevisa att organisationen är kompatibel.
Azure Information Protection-anslutningsapp jämfört med Microsoft Purview Information Protection-anslutningsapp
Den här anslutningsappen ersätter AIP-dataanslutningen (Azure Information Protection). Dataanslutningsappen Azure Information Protection (AIP) använder funktionen AIP-granskningsloggar (allmänt tillgänglig förhandsversion).
Viktigt
Från och med den 31 mars 2023 kommer den offentliga förhandsversionen av AIP-analys- och granskningsloggarna att dras tillbaka och kommer att använda Microsoft 365-granskningslösningen.
Mer information:
- Se Borttagna och tillbakadragna tjänster.
- Lär dig hur du kopplar från AIP-anslutningsappen.
När du aktiverar Microsoft Purview Information Protection-anslutningsappen strömmas granskningsloggar till den standardiserade MicrosoftPurviewInformationProtection tabellen. Data samlas in via Office Management-API:et, som använder ett strukturerat schema. Det nya standardiserade schemat justeras för att förbättra det inaktuella schemat som används av AIP, med fler fält och enklare åtkomst till parametrar.
Granska listan över typer och aktiviteter för granskningsloggar som stöds.
Förhandskrav
Innan du börjar kontrollerar du att du har:
- Den Microsoft Sentinel lösningen är aktiverad.
- En definierad Microsoft Sentinel arbetsyta.
- En giltig licens för M365 E3, M365 A3, Microsoft Business Basic eller någon annan berättigad granskningslicens. Läs mer om granskningslösningar i Microsoft Purview.
- Aktiverade känslighetsetiketter för Office och aktiverad granskning.
- Rollen Säkerhetsadministratör för klientorganisationen eller motsvarande behörigheter.
Konfigurera anslutningsappen
Obs!
Om du ställer in anslutningsappen på en arbetsyta som finns i en annan region än din Office 365 plats kan data strömmas mellan regioner.
Öppna Azure Portal och gå till Microsoft Sentinel-tjänsten.
Skriv Purview i sökfältet på bladet Dataanslutningsprogram.
Välj anslutningsappen Microsoft Purview Information Protection (förhandsversion).
Under beskrivningen av anslutningsappen väljer du Sidan Öppna anslutningsapp.
Under Konfiguration väljer du Anslut.
När en anslutning upprättas ändras knappen Anslut till Koppla från. Nu är du ansluten till Microsoft Purview Information Protection.
Granska listan över typer och aktiviteter för granskningsloggar som stöds.
Koppla från Azure Information Protection-anslutningsappen
Vi rekommenderar att du använder Azure Information Protection-anslutningsappen och Microsoft Purview Information Protection-anslutningsappen samtidigt (båda aktiverade) under en kort testperiod. Efter testperioden rekommenderar vi att du kopplar från Azure Information Protection anslutningsappen för att undvika dataduplicering och redundanta kostnader.
Så här kopplar du bort Azure Information Protection-anslutningsappen:
- Skriv Azure Information Protection i sökfältet på bladet Dataanslutningar.
- Välj Azure Information Protection.
- Under beskrivningen av anslutningsappen väljer du Sidan Öppna anslutningsapp.
- Under Konfiguration väljer du Anslut Azure Information Protection loggar.
- Avmarkera markeringen för arbetsytan som du vill koppla från anslutningsappen från och välj OK.
Kända problem och begränsningar
Känslighetsetiketthändelser som samlas in via Office Management-API:et fyller inte i etikettnamnen. Kunder kan använda visningslistor eller berikningar som definierats i KQL som exempel nedan.
Office Management-API:et hämtar inte en nedgraderingsetikett med namnen på etiketterna före och efter nedgraderingen. Om du vill hämta den här informationen extraherar
labelIddu för varje etikett och utökar resultatet.Här är ett exempel på en KQL-fråga:
let labelsMap = parse_json('{' '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",' '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",' '"MySensitivityLabelId": "MyLabel3"' '}'); MicrosoftPurviewInformationProtection | extend SensitivityLabelName = iff(isnotempty(SensitivityLabelId), tostring(labelsMap[tostring(SensitivityLabelId)]), "") | extend OldSensitivityLabelName = iff(isnotempty(OldSensitivityLabelId), tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")Tabellen
MicrosoftPurviewInformationProtectionoch tabellenOfficeActivitykan innehålla vissa duplicerade händelser.
Mer information om följande objekt som används i föregående exempel finns i Kusto-dokumentationen:
Mer information om KQL finns i översikten över Kusto-frågespråk (KQL).
Andra resurser:
Nästa steg
I den här artikeln har du lärt dig hur du konfigurerar Microsoft Purview Information Protection-anslutningsappen för att spåra, analysera, rapportera data och använda dem i efterlevnadssyfte. Mer information om Microsoft Sentinel finns i följande artiklar:
- Lär dig hur du får insyn i dina data och potentiella hot.
- Kom igång med att identifiera hot med Microsoft Sentinel.
- Använd arbetsböcker för att övervaka dina data.