دفق البيانات من حماية البيانات في Microsoft Purview إلى Microsoft Sentinel

توضح هذه المقالة كيفية دفق البيانات من حماية البيانات في Microsoft Purview (المعروف سابقا باسم Microsoft حماية البيانات أو MIP) إلى Microsoft Sentinel. يمكنك استخدام البيانات التي تم تناولها من Microsoft Purview التي توصف العملاء والماسحات الضوئية لتعقب البيانات وتحليلها والإبلاغ عنها واستخدامها لأغراض التوافق.

نظرة عامة

تعد مراجعة الحسابات والإبلاغ جزءا مهما من استراتيجية الأمان والتوافق الخاصة بالمنظمات. مع التوسع المستمر في المشهد التكنولوجي الذي يحتوي على عدد متزايد من الأنظمة ونقاط النهاية والعمليات واللوائح، يصبح من الأكثر أهمية وجود حل شامل للتسجيل والإبلاغ.

باستخدام موصل حماية البيانات في Microsoft Purview، يمكنك دفق أحداث التدقيق التي تم إنشاؤها من عملاء التسمية الموحدة والماسحات الضوئية. ثم يتم إرسال البيانات إلى سجل تدقيق Microsoft 365 لإعداد التقارير المركزية في Microsoft Sentinel.

باستخدام الموصل، يمكنك:

• تعقب اعتماد التسميات واستكشاف الأحداث والاستعلام عنها واكتشافها.
• مراقبة المستندات ورسائل البريد الإلكتروني المسماة والمحمية.
• مراقبة وصول المستخدم إلى المستندات ورسائل البريد الإلكتروني المسماة، أثناء تعقب تغييرات التصنيف.
• احصل على رؤية للأنشطة التي يتم تنفيذها على التسميات والنهج والتكوينات والملفات والمستندات. تساعد هذه الرؤية فرق الأمان على تحديد الخروقات الأمنية وانتهاكات المخاطر والتوافق.
• استخدم بيانات الموصل أثناء التدقيق، لإثبات أن المؤسسة متوافقة.

موصل Azure حماية البيانات مقابل موصل حماية البيانات في Microsoft Purview

يحل هذا الموصل محل موصل بيانات Azure حماية البيانات (AIP). يستخدم موصل بيانات Azure حماية البيانات (AIP) ميزة سجلات تدقيق AIP (إصدار أولي عام).

عند تمكين موصل حماية البيانات في Microsoft Purview، تتدفق سجلات التدقيق إلى الجدول الموحدMicrosoftPurviewInformationProtection. يتم جمع البيانات من خلال واجهة برمجة تطبيقات إدارة Office، التي تستخدم مخططا منظما. يتم تعديل المخطط الموحد الجديد لتحسين المخطط المهمل المستخدم من قبل AIP، مع المزيد من الحقول والوصول الأسهل إلى المعلمات.

راجع قائمة أنواع سجلات التدقيق والأنشطة المعتمدة.

المتطلبات الأساسية

قبل أن تبدأ، تحقق من أن لديك ما يلي:

• تم تمكين حل Microsoft Sentinel.
• مساحة عمل Microsoft Sentinel محددة.
• ترخيص صالح ل M365 E3 أو M365 A3 أو Microsoft Business Basic أو أي ترخيص مؤهل آخر للتدقيق. اقرأ المزيد حول حلول التدقيق في Microsoft Purview.
• تسميات الحساسية الممكنة ل Office والتدقيق الممكن.
• دور مسؤول الأمان على المستأجر أو الأذونات المكافئة.

إعداد الموصل

1. افتح مدخل Microsoft Azure وانتقل إلى خدمة Microsoft Sentinel.

2. في شفرة موصلات البيانات، في شريط البحث، اكتب Purview.

3. حدد موصل حماية البيانات في Microsoft Purview (معاينة).

4. أسفل وصف الموصل، حدد فتح صفحة الموصل.

5. ضمن Configuration، حدد Connect.

   عند تأسيس اتصال، يتغير زر الاتصال إلى قطع الاتصال. أنت الآن متصل حماية البيانات في Microsoft Purview.

راجع قائمة أنواع سجلات التدقيق والأنشطة المعتمدة.

قطع اتصال موصل Azure حماية البيانات

نوصي باستخدام موصل Azure حماية البيانات وموصل حماية البيانات في Microsoft Purview في وقت واحد (كلاهما ممكن) لفترة اختبار قصيرة. بعد فترة الاختبار، نوصي بقطع اتصال موصل Azure حماية البيانات لتجنب تكرار البيانات والتكاليف الزائدة.

لقطع اتصال موصل حماية البيانات Azure:

1. في شفرة موصلات البيانات، في شريط البحث، اكتب Azure حماية البيانات.
2. حدد Azure حماية البيانات.
3. أسفل وصف الموصل، حدد فتح صفحة الموصل.
4. ضمن Configuration، حدد Connect Azure حماية البيانات logs.
5. قم بإلغاء تحديد مساحة العمل التي تريد قطع اتصال الموصل منها، وحدد موافق.

المشكلات المعروفة والقيود

• لا تملأ أحداث وصف الحساسية التي تم جمعها من خلال واجهة برمجة تطبيقات إدارة Office أسماء التسميات. يمكن للعملاء استخدام قوائم المشاهدة أو الإثراء المعرفة في KQL كمثال أدناه.

• لا تحصل واجهة برمجة تطبيقات إدارة Office على تسمية الرجوع إلى إصدار سابق بأسماء التسميات قبل الرجوع إلى إصدار سابق وبعده. لاسترداد هذه المعلومات، قم باستخراج labelId كل تسمية وإثراء النتائج.

  فيما يلي مثال على استعلام KQL:

  let labelsMap = parse_json('{'
   '"566a334c-ea55-4a20-a1f2-cef81bfaxxxx": "MyLabel1",'
   '"aa1c4270-0694-4fe6-b220-8c7904b0xxxx": "MyLabel2",'
   '"MySensitivityLabelId": "MyLabel3"'
   '}');
   MicrosoftPurviewInformationProtection
   | extend SensitivityLabelName = iff(isnotempty(SensitivityLabelId), 
  tostring(labelsMap[tostring(SensitivityLabelId)]), "")
   | extend OldSensitivityLabelName = iff(isnotempty(OldSensitivityLabelId), 
  tostring(labelsMap[tostring(OldSensitivityLabelId)]), "")
  

• MicrosoftPurviewInformationProtection قد يتضمن الجدول والجدول OfficeActivity بعض الأحداث المكررة.

راجع المزيد من المعلومات حول العناصر التالية المستخدمة في الأمثلة السابقة، في وثائق Kusto:

• عبارة let
• توسيع عامل التشغيل
• الدالة parse_json()
• الدالة iff()
• الدالة tostring()

لمزيد من المعلومات حول KQL، راجع نظرة عامة على لغة استعلام Kusto (KQL).

الموارد الأخرى:

• مرجع KQL السريع
• موارد تعلم Kusto Query Language

الخطوات التالية

في هذه المقالة، تعلمت كيفية إعداد موصل حماية البيانات في Microsoft Purview لتعقب البيانات وتحليلها والإبلاغ عنها واستخدامها لأغراض التوافق. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

• تعرف على طريقةالحصول على رؤية لبياناتك والتهديدات المحتملة.
• ابدأ في اكتشاف التهديدات باستخدام Microsoft Azure Sentinel.
• استخدم المصنفات لمراقبة بياناتك.