Microsoft Purview Bilgi Koruması'dan Microsoft Sentinel'e veri akışı

Bu makalede, Microsoft Purview Bilgi Koruması (eski adıyla Microsoft Information Protection veya MIP) microsoft Sentinel'e veri akışının nasıl sağlandığı açıklanır. Microsoft Purview etiketleme istemcilerinden ve tarayıcılarından alınan verileri kullanarak verileri izleyebilir, analiz edebilir, raporlayabilir ve uyumluluk amacıyla kullanabilirsiniz.

Genel bakış

Denetim ve raporlama, kuruluşların güvenlik ve uyumluluk stratejisinin önemli bir parçasıdır. Sürekli artan sayıda sistem, uç nokta, operasyon ve düzenlemeye sahip teknoloji ortamının sürekli genişlemesiyle, kapsamlı bir günlüğe kaydetme ve raporlama çözümünün yerinde olması daha da önemli hale geliyor.

Microsoft Purview Bilgi Koruması bağlayıcısıyla, birleşik etiketleme istemcilerinden ve tarayıcılardan oluşturulan denetim olaylarının akışını gerçekleştirirsiniz. Veriler daha sonra Microsoft Sentinel'de merkezi raporlama için Microsoft 365 denetim günlüğüne gönderilir.

Bağlayıcı ile şunları yapabilirsiniz:

• Etiketlerin benimsenmesini izleyin, olayları keşfedin, sorgulayın ve algılayın.
• Etiketli ve korumalı belgeleri ve e-postaları izleyin.
• Sınıflandırma değişikliklerini izlerken etiketlenmiş belgelere ve e-postalara kullanıcı erişimini izleyin.
• Etiketler, ilkeler, yapılandırmalar, dosyalar ve belgeler üzerinde gerçekleştirilen etkinliklerin görünürlüğünü elde edin. Bu görünürlük, güvenlik ekiplerinin güvenlik ihlallerini ve risk ve uyumluluk ihlallerini tanımlamalarına yardımcı olur.
• Kuruluşun uyumlu olduğunu kanıtlamak için bağlayıcı verilerini bir denetim sırasında kullanın.

Azure Information Protection bağlayıcısı ile Microsoft Purview Bilgi Koruması bağlayıcısı karşılaştırması

Bu bağlayıcı, Azure Information Protection (AIP) veri bağlayıcısının yerini alır. Azure Information Protection (AIP) veri bağlayıcısı AIP denetim günlükleri (genel önizleme) özelliğini kullanır.

Microsoft Purview Bilgi Koruması bağlayıcısını etkinleştirdiğinizde denetim günlükleri standartlaştırılmış tabloya akışla MicrosoftPurviewInformationProtection aktarılır. Veriler, yapılandırılmış bir şema kullanan Office Yönetim API'si aracılığıyla toplanır. Yeni standartlaştırılmış şema, AIP tarafından kullanılan kullanım dışı şemayı daha fazla alan ve parametrelere daha kolay erişimle geliştirecek şekilde ayarlanır.

Desteklenen denetim günlüğü kayıt türlerinin ve etkinliklerin listesini gözden geçirin.

Önkoşullar

Başlamadan önce şunların olduğunu doğrulayın:

• Microsoft Sentinel çözümü etkinleştirildi.
• Tanımlı bir Microsoft Sentinel çalışma alanı.
• M365 E3, M365 A3, Microsoft Business Basic veya diğer Denetime uygun lisanslar için geçerli bir lisans. Microsoft Purview'da denetim çözümleri hakkında daha fazla bilgi edinin.
• Office için duyarlılık etiketleri etkinleştirildi ve denetim etkinleştirildi.
• Kiracıdaki Güvenlik Yöneticisi rolü veya eşdeğer izinler.

Bağlayıcı kurulumu

1. Azure portalını açın ve Microsoft Sentinel hizmetine gidin.

2. Veri bağlayıcıları dikey penceresindeki arama çubuğuna Purview yazın.

3. Microsoft Purview Bilgi Koruması (Önizleme) bağlayıcısını seçin.

4. Bağlayıcı açıklamasının altında Bağlayıcı sayfasını aç'ı seçin.

5. Yapılandırma'nın altında Bağlan'ı seçin.

   Bağlantı kurulduğunda Bağlan düğmesi Bağlantıyı Kes olarak değişir. Artık Microsoft Purview Bilgi Koruması bağlısınız.

Desteklenen denetim günlüğü kayıt türlerinin ve etkinliklerin listesini gözden geçirin.

Azure Information Protection bağlayıcısının bağlantısını kesme

Kısa bir test süresi için Azure Information Protection bağlayıcısını ve Microsoft Purview Bilgi Koruması bağlayıcısını aynı anda kullanmanızı öneririz (her ikisi de etkindir). Test döneminden sonra, veri çoğaltma ve yedekli maliyetlerden kaçınmak için Azure Information Protection bağlayıcısının bağlantısını kesmenizi öneririz.

Azure Information Protection bağlayıcısının bağlantısını kesmek için:

1. Veri bağlayıcıları dikey penceresindeki arama çubuğuna Azure Information Protection yazın.
2. Azure Information Protection'ı seçin.
3. Bağlayıcı açıklamasının altında Bağlayıcı sayfasını aç'ı seçin.
4. Yapılandırma'nın altında Azure Information Protection günlüklerine bağlan'ı seçin.
5. Bağlayıcının bağlantısını kesmek istediğiniz çalışma alanının seçimini kaldırın ve Tamam'ı seçin.

Bilinen sorunlar ve sınırlamalar

• Office Yönetim API'si aracılığıyla toplanan duyarlılık etiketi olayları Etiket Adlarını doldurmaz. Müşteriler aşağıdaki örnek olarak KQL'de tanımlanan izleme listelerini veya zenginleştirmeleri kullanabilir.

• Office Yönetim API'si, eski sürüme düşürmeden önce ve sonra etiketlerin adlarını içeren bir Eski Sürüme Düşürme Etiketi almaz. Bu bilgileri almak için her etiketin öğesini labelId ayıklayın ve sonuçları zenginleştirin.

  Aşağıda örnek bir KQL sorgusu verilmiştir:

  let labelsMap = parse_json('{'
   '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
   '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
   '"MySensitivityLabelId": "MyLabel3"'
   '}');
   MicrosoftPurviewInformationProtection
   | extend SensitivityLabelName = iif(isnotempty(SensitivityLabelId), 
  tostring(labelsMap[tostring(SensitivityLabelId)]), "")
   | extend OldSensitivityLabelName = iif(isnotempty(OldSensitivityLabelId), 
  tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
  

• MicrosoftPurviewInformationProtection Tablo ve OfficeActivity tablo bazı yinelenen olaylar içerebilir.

Sonraki adımlar

Bu makalede, Microsoft Purview Bilgi Koruması bağlayıcısını verileri izlemek, analiz etmek, raporlamak ve uyumluluk amacıyla kullanmak üzere ayarlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
• Microsoft Sentinel ile tehditleri algılamaya başlayın.
• Verilerinizi izlemek için çalışma kitaplarını kullanın.