Sdílet prostřednictvím


Analýzy a centrální vytváření sestav pro Azure Information Protection

Poznámka:

Hledáte Microsoft Information Protection? Klient sjednoceného popisování služby Azure Information Protection je aktuálně v režimu údržby. Doporučujeme povolit integrované popisování Microsoft Information Protection pro vaše aplikace Office 365. Další informace.

Tento článek popisuje, jak používat řešení auditování z Microsoft Purview k zobrazení událostí auditu vygenerovaných z klienta sjednoceného popisování služby Azure Information Protection. Události auditu generované do sjednoceného protokolu auditu Microsoftu 365 pro centrální generování sestav se dají zobrazit v Průzkumníku aktivit, což vám může pomoct sledovat přijetí popisků, které klasifikují a chrání data vaší organizace.

Audit umožňuje provést následující kroky:

  • Agregujte data z klientů služby Azure Information Protection, skenerů Azure Information Protection a Microsoft Defenderu for Cloud Apps.
  • Podívejte se na události auditu v jednotném protokolu auditu Microsoftu 365 a protokolu aktivit Office 365 pro vaši organizaci.
  • Dotazování, zobrazení a zjišťování událostí auditu v Průzkumníku aktivit pomocí grafického rozhraní na portálu pro dodržování předpisů

Auditování událostí z sjednoceného protokolu auditu Microsoftu 365

Klient sjednoceného popisování AIP obsahuje doplněk pro Office, skener, Prohlížeč pro Windows, klientský PowerShell a rozšíření Klasifikovat a chránit prostředí pro Windows. Všechny tyto komponenty generují události auditu, které se zobrazují v protokolech aktivit Office 365 a dají se dotazovat pomocí rozhraní API aktivit správy Office 365.

Události auditu umožňují správci:

  • Monitorujte dokumenty a e-maily s popisky a chráněnými e-maily v celé organizaci.
  • Monitorujte přístup uživatelů k označeným dokumentům a e-mailům a sledujte změny klasifikace dokumentů.

Schéma událostí protokolu auditování v Microsoftu 365

Pět událostí (označovaných také jako AuditLogRecordType) specifické pro AIP uvedené níže a další podrobnosti o jednotlivých událostech najdete v referenčních informacích k rozhraní API.

Hodnota Název členu Popis
93 AipDiscover Události skeneru Azure Information Protection (AIP).
94 AipSensitivityLabelAction Události popisků citlivosti AIP
95 AipProtectionAction Události ochrany AIP
96 AipFileDeleted Události odstranění souboru AIP.
97 AipHeartBeat Události prezenčních signálů AIP.

Tyto informace jsou přístupné v jednotném protokolu auditu Microsoftu 365 pro vaši organizaci a dají se zobrazit v Průzkumníku aktivit.

Dotazování na události auditu v Průzkumníku aktivit

image

Průzkumník aktivit v Portál dodržování předpisů Microsoft Purview je grafické rozhraní pro zobrazení událostí auditu vygenerovaných do sjednoceného protokolu auditu Microsoftu 365. Správce tenanta může pomocí předdefinovaných dotazů určit, jestli jsou zásady a ovládací prvky implementované vaší organizací efektivní. S až 30 dny dostupnosti dat může správce nastavit filtry a jasně zjistit, kdy a jak se citlivá data zpracovávají ve vaší organizaci.

Pokud chcete zobrazit aktivitu specifickou pro AIP, může správce začít následujícími filtry:

  • Typ aktivity:
    • Použitý popisek
    • Změněný popisek
    • Odebraný popisek
    • Čtení souboru popisku
  • Aplikace:
    • Doplněk Microsoft Azure Information Protection pro Word
    • Doplněk Microsoft Azure Information Protection pro Excel
    • Doplněk Microsoft Azure Information Protection pro PowerPoint
    • Doplněk Aplikace Microsoft Azure Information Protection pro Outlook

Správce nemusí zobrazit všechny možnosti ve filtru nebo může zobrazit více; hodnoty filtru závisí na tom, jaké aktivity se zaznamenávají pro vašeho tenanta. Další informace o Průzkumníku aktivit najdete tady:

Shromažďované a odeslané informace do Microsoft Purview z klienta sjednoceného popisování AIP

Pokud chcete tyto sestavy vygenerovat, koncové body odesílají do sjednoceného protokolu auditu Microsoftu 365 následující typy informací:

  • Akce popisku Můžete například nastavit popisek, změnit popisek, přidat nebo odebrat ochranu, automatické a doporučené popisky.

  • Název popisku před a za akcí popisku.

  • ID tenanta vaší organizace.

  • ID uživatele (e-mailová adresa nebo hlavní název uživatele (UPN).

  • Jméno zařízení uživatele.

  • IP adresa zařízení uživatele.

  • Název příslušného procesu, například outlook nebo msip.app.

  • Název aplikace, která prováděla označování, například Outlook nebo Průzkumník souborů

  • Pro dokumenty: Cesta k souboru a název souboru dokumentů, které jsou označené.

  • Pro e-maily: Předmět e-mailu a odesílatel e-mailu s popiskem.

  • Typy citlivých informací (předdefinované a vlastní), které byly zjištěny v obsahu.

  • Verze klienta služby Azure Information Protection.

  • Verze klientského operačního systému.

Zabránění odesílání dat auditování klientůM AIP

Pokud chcete klientovi sjednoceného popisování služby Azure Information Protection zabránit v odesílání dat auditování, nakonfigurujte rozšířené nastavení zásad popisku.

Shody obsahu pro hlubší analýzu

Azure Information Protection umožňuje shromažďovat a ukládat skutečná data identifikovaná jako typ citlivých informací (předdefinovaný nebo vlastní). Může to například zahrnovat čísla platebních karet, která jsou nalezena, a také čísla sociálního pojištění, čísla pasů a čísla bankovního účtu. Shody obsahu se zobrazí, když vyberete položku z protokolů aktivit a zobrazíte podrobnosti o aktivitě.

Ve výchozím nastavení klienti služby Azure Information Protection neodesílají shody obsahu. Pokud chcete toto chování změnit tak, aby se odesílaly shody obsahu, nakonfigurujte rozšířené nastavení v zásadách popisku.

Předpoklady

Události auditu jsou ve výchozím nastavení povolené pro vaši organizaci. Pokud chcete zobrazit události auditu v Microsoft Purview, projděte si licenční požadavky pro základní řešení a audit (Premium).

Další kroky

Po kontrole informací v sestavách můžete chtít získat další informace o tom, jak nakonfigurovat řešení auditování Microsoft Purview pro vaši organizaci.

  • Zjistěte, jak exportovat události auditu z sjednoceného protokolu auditu Microsoftu 365 do pracovního prostoru Azure Log Analytics s exportem auditu AIP na GitHubu.
  • Přečtěte si průvodce Správa auditováním a generováním sestav pro klienta sjednoceného popisování AIP a podrobně se seznámíte s řešením auditování Microsoft Purview.
  • Projděte si dokumentaci k protokolům využití ochrany pro přístup k souborům a událostem odepřeným vygenerovaným ze služby Rights Management. Tyto události se zpracovávají odděleně od událostí vygenerovaných z klienta sjednoceného popisování služby Azure Information Protection.
  • V dokumentaci k Microsoftu 365 o popiscích citlivosti se dozvíte, jak provádět změny zásad označování na portálu pro dodržování předpisů.