Microsoft Purview Information Protection 데이터를 Microsoft Sentinel에 스트리밍

  • 아티클

이 문서에서는 Microsoft Purview Information Protection(이전의 Microsoft Information Protection 또는 MIP)에서 Microsoft Sentinel로 데이터를 스트리밍하는 방법을 설명합니다. Microsoft Purview 레이블 지정 클라이언트 및 스캐너에서 수집된 데이터를 사용하여 데이터를 추적, 분석 및 보고하고 규정 준수 목적으로 사용할 수 있습니다.

Important

Microsoft Purview Information Protection 커넥터는 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

개요

감사 및 보고는 조직의 보안 및 규정 준수 전략에서 중요한 부분입니다. 시스템, 엔드포인트, 운영 및 규정 수가 끝없이 증가하는 기술 환경의 지속적인 확대에 따라, 포괄적인 로깅 및 보고 솔루션을 마련하는 것이 더욱 중요해졌습니다.

Microsoft Purview Information Protection 커넥터를 사용하면 통합 레이블 지정 클라이언트 및 스캐너에서 생성된 감사 이벤트를 스트리밍합니다. 그런 다음, Microsoft Sentinel의 중앙 보고를 위해 Microsoft 365 감사 로그로 데이터를 내보냅니다.

이 커넥터를 사용하여 다음을 수행할 수 있습니다.

  • 레이블 채택을 추적하고, 이벤트를 탐색, 쿼리 및 검색합니다.
  • 레이블이 지정되고 보호된 문서 및 메일을 모니터링합니다.
  • 레이블 지정 문서 및 메일에 대한 사용자 액세스를 모니터링하고 분류 변경 내용을 추적합니다.
  • 레이블, 정책, 구성, 파일 및 문서에서 수행되는 활동에 대한 가시성을 확보합니다. 이 가시성은 보안 팀이 보안 위반, 위험 및 규정 준수 위반을 식별하는 데 도움이 됩니다.
  • 감사 중에 커넥터 데이터를 사용하여 조직이 규정을 준수하고 있음을 증명합니다.

Azure Information Protection 커넥터와 Microsoft Purview Information Protection 커넥터

이 커넥터는 AIP(Azure Information Protection) 데이터 커넥터를 대체합니다. AIP(Azure Information Protection) 데이터 커넥터는 AIP 감사 로그(공개 미리 보기) 기능을 사용합니다.

Important

2023년 3월 31일부로 AIP 분석 및 감사 로그 공개 미리 보기가 중단되며, 앞으로 Microsoft 365 감사 솔루션을 사용할 예정입니다.

자세한 내용은 다음에서 확인합니다.

Microsoft Purview Information Protection 커넥터를 사용하도록 설정하면 감사 로그가 표준화된 MicrosoftPurviewInformationProtection 테이블로 스트리밍됩니다. 데이터는 구조화된 스키마를 사용하는 Office 관리 API를 통해 수집됩니다. 새 표준 스키마는 AIP에서 사용되는 더 이상 사용되지 않는 스키마를 개선하도록 조정되어 더 많은 필드와 매개 변수에 대한 더 쉬운 액세스를 제공합니다.

지원되는 감사 로그 레코드 종류 및 작업 목록을 검토합니다.

필수 조건

시작하기 전에 다음 사항이 있는지 확인합니다.

  • Microsoft Sentinel 솔루션이 사용하도록 설정되었습니다.
  • 정의된 Microsoft Sentinel 작업 영역.
  • M365 E3, M365 A3, Microsoft Business Basic 또는 기타 감사 적격 라이선스에 대해 유효한 라이선스. Microsoft Purview의 감사 솔루션에 대해 자세히 알아보세요.
  • Office에 대해 민감도 레이블을 사용하고 감사를 사용하도록 설정했습니다.
  • 테넌트에 대한 보안 관리자 역할 또는 해당하는 권한입니다.

커넥터 설정

참고 항목

Office 365 위치와 다른 곳에 있는 작업 영역에서 커넥터를 설정하는 경우 데이터가 지역 간에 스트리밍될 수 있습니다.

  1. Azure Portal을 열고, Microsoft Sentinel 서비스로 이동합니다.

  2. 데이터 커넥터 블레이드의 검색 창에 Purview를 입력합니다.

  3. Microsoft Purview Information Protection(미리 보기) 커넥터를 선택합니다.

  4. 커넥터 설명 아래에서 커넥터 페이지 열기를 선택합니다.

  5. 구성에서 연결을 선택합니다.

    연결이 설정되면 연결 단추가 연결 끊기로 변경됩니다. 이제 Microsoft Purview Information Protection에 연결되었습니다.

지원되는 감사 로그 레코드 종류 및 작업 목록을 검토합니다.

Azure Information Protection 커넥터 분리

짧은 테스트 기간에 Azure Information Protection 커넥터와 Microsoft Purview Information Protection 커넥터를 동시에 사용하는 것이 좋습니다(둘 다 사용). 테스트 기간이 지나면 데이터 중복 및 중복 비용을 방지하기 위해 Azure Information Protection 커넥터의 연결을 끊는 것이 좋습니다.

Azure Information Protection 커넥터를 분리하려면 다음을 수행합니다.

  1. 데이터 커넥터 블레이드의 검색 창에 Azure Information Protection을 입력합니다.
  2. Azure Information Protection을 선택합니다.
  3. 커넥터 설명 아래에서 커넥터 페이지 열기를 선택합니다.
  4. 구성에서 Azure Information Protection 로그 연결을 선택합니다.
  5. 커넥터를 분리할 작업 영역에 대해 선택을 취소하고 확인을 선택합니다.

알려진 문제 및 제한 사항

  • Office Management API를 통해 수집된 민감도 레이블 이벤트는 레이블 이름을 채우지 않습니다. 고객은 아래 예제처럼 KQL에 정의된 관심 목록 또는 보강을 사용할 수 있습니다.

  • Office 관리 API는 다운그레이드 전후에 레이블 이름이 포함된 다운그레이드 레이블을 가져오지 않습니다. 이 정보를 검색하려면 각 레이블의 labelId를 추출하고 결과를 보강합니다.

    다음은 예제 KQL 쿼리입니다.

    let labelsMap = parse_json('{'
 '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
 '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
 '"MySensitivityLabelId": "MyLabel3"'
 '}');
 MicrosoftPurviewInformationProtection
 | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
tostring(labelsMap[tostring(SensitivityLabelId)]), "")
 | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")

  • MicrosoftPurviewInformationProtection 테이블과 OfficeActivity 테이블에는 일부 중복 이벤트가 포함될 수 있습니다.

다음 단계

이 문서에서는 데이터를 추적, 분석, 보고하고 규정 준수 목적으로 사용할 수 있게 Microsoft Purview Information Protection 커넥터를 설정하는 방법을 알아보았습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.