Transmitir dados do Microsoft Purview Information Protection para o Microsoft Sentinel

Este artigo descreve como transmitir dados do Microsoft Purview Information Protection (anteriormente Microsoft Information Protection ou MIP) para o Microsoft Sentinel. Você pode usar os dados ingeridos dos clientes e scanners de rotulagem do Microsoft Purview para rastrear, analisar, relatar os dados e usá-los para fins de conformidade.

Descrição geral

Auditorias e relatórios são uma parte importante da estratégia de segurança e conformidade das organizações. Com a expansão contínua do cenário de tecnologia, que tem um número cada vez maior de sistemas, endpoints, operações e regulamentações, torna-se ainda mais importante ter uma solução abrangente de registro e relatórios em vigor.

Com o conector Microsoft Purview Information Protection, você transmite eventos de auditoria gerados a partir de clientes e scanners de rotulagem unificados. Os dados são então emitidos para o log de auditoria do Microsoft 365 para relatórios centrais no Microsoft Sentinel.

Com o conector, você pode:

• Acompanhe a adoção de rótulos, explore, consulte e detete eventos.
• Monitore documentos e e-mails rotulados e protegidos.
• Monitore o acesso do usuário a documentos e e-mails rotulados, enquanto rastreia as alterações de classificação.
• Obtenha visibilidade das atividades realizadas em etiquetas, políticas, configurações, arquivos e documentos. Essa visibilidade ajuda as equipes de segurança a identificar violações de segurança e violações de risco e conformidade.
• Use os dados do conector durante uma auditoria para provar que a organização está em conformidade.

Conector da Proteção de Informações do Azure versus conector da Proteção de Informações do Microsoft Purview

Este conector substitui o conector de dados do Azure Information Protection (AIP). O conector de dados da Proteção de Informações do Azure (AIP) usa o recurso de logs de auditoria do AIP (visualização pública).

Quando você habilita o conector do Microsoft Purview Information Protection, os logs de auditoria são transmitidos para a tabela padronizada MicrosoftPurviewInformationProtection . Os dados são coletados por meio da API de Gerenciamento do Office, que usa um esquema estruturado. O novo esquema padronizado é ajustado para melhorar o esquema preterido usado pelo AIP, com mais campos e acesso mais fácil aos parâmetros.

Analise a lista de tipos e atividades de registro de log de auditoria suportados.

Pré-requisitos

Antes de começar, verifique se você tem:

• A solução Microsoft Sentinel habilitada.
• Um espaço de trabalho definido do Microsoft Sentinel.
• Uma licença válida para M365 E3, M365 A3, Microsoft Business Basic ou qualquer outra licença elegível para auditoria. Leia mais sobre soluções de auditoria no Microsoft Purview.
• Etiquetas de sensibilidade habilitadas para o Office e auditoria habilitada.
• A função de Administrador de Segurança no locatário ou as permissões equivalentes.

Configure o conector

1. Abra o portal do Azure e navegue até o serviço Microsoft Sentinel.

2. Na folha Conectores de dados, na barra de pesquisa, digite Purview.

3. Selecione o conector Microsoft Purview Information Protection (Preview).

4. Abaixo da descrição do conector, selecione Abrir página do conector.

5. Em Configuração, selecione Conectar.

   Quando uma conexão é estabelecida, o botão Conectar muda para Desconectar. Agora você está conectado à Proteção de Informações do Microsoft Purview.

Analise a lista de tipos e atividades de registro de log de auditoria suportados.

Desconectar o conector da Proteção de Informações do Azure

Recomendamos usar o conector do Azure Information Protection e o conector do Microsoft Purview Information Protection simultaneamente (ambos habilitados) por um curto período de teste. Após o período de teste, recomendamos que você desconecte o conector da Proteção de Informações do Azure para evitar duplicação de dados e custos redundantes.

Para desconectar o conector da Proteção de Informações do Azure:

1. Na folha Conectores de dados, na barra de pesquisa, digite Proteção de Informações do Azure.
2. Selecione Azure Information Protection.
3. Abaixo da descrição do conector, selecione Abrir página do conector.
4. Em Configuração, selecione Conectar logs da Proteção de Informações do Azure.
5. Desmarque a seleção do espaço de trabalho do qual deseja desconectar o conector e selecione OK.

Problemas e limitações conhecidos

• Os eventos de rótulo de sensibilidade coletados por meio da API de Gerenciamento do Office não preenchem os Nomes de Rótulo. Os clientes podem usar listas de observação ou enriquecimentos definidos no KQL como o exemplo abaixo.

• A API de Gestão do Office não obtém uma Etiqueta de Mudança para Uma Versão Anterior com os nomes das etiquetas antes e depois da mudança para uma versão anterior. Para recuperar essas informações, extraia o labelId de cada rótulo e enriqueça os resultados.

  Eis um exemplo de consulta KQL:

  let labelsMap = parse_json('{'
   '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
   '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
   '"MySensitivityLabelId": "MyLabel3"'
   '}');
   MicrosoftPurviewInformationProtection
   | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
  tostring(labelsMap[tostring(SensitivityLabelId)]), "")
   | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
  tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
  

• A MicrosoftPurviewInformationProtection tabela e a OfficeActivity tabela podem incluir alguns eventos duplicados.

Próximos passos

Neste artigo, você aprendeu como configurar o conector do Microsoft Purview Information Protection para rastrear, analisar, relatar os dados e usá-los para fins de conformidade. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Saiba como obter visibilidade dos seus dados e potenciais ameaças.
• Comece a detetar ameaças com o Microsoft Sentinel.
• Use pastas de trabalho para monitorar seus dados.