Registro y análisis del uso de protección desde Azure Information Protection
Nota
¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?
El cliente de etiquetado unificado de Azure Information Protection ahora se encuentra en modo de mantenimiento. Se recomienda usar etiquetas integradas en las aplicaciones y servicios de Office 365. Más información
Use esta información para ayudarle a comprender cómo puede usar el registro de uso para el servicio de protección (Azure Rights Management) de Azure Information Protection. Este servicio de protección proporciona la protección de datos para los documentos y correos electrónicos de su organización y puede registrar cada solicitud. Estas solicitudes incluyen cuando los usuarios protegen documentos y correos electrónicos y también consumen este contenido, las acciones realizadas por los administradores para este servicio y las acciones llevadas a cabo por operadores de Microsoft para admitir la implementación de Azure Information Protection.
A continuación, puede usar estos registros de uso de protección para admitir los siguientes escenarios empresariales:
Analizar enfoques empresariales
Los registros generados por el servicio de protección se pueden importar en un repositorio de su elección (como una base de datos, un sistema de procesamiento analítico en línea (OLAP) o un sistema de reducción de mapas) para analizar la información y generar informes. Por ejemplo, podría identificar quién está obteniendo acceso a sus datos protegidos. Puede determinar a qué datos protegidos están obteniendo acceso los usuarios, así como desde dónde y desde qué dispositivos. Puede averiguar si estas personas logran leer contenido protegido. También puede identificar qué personas han leído un documento importante que estaba protegido.
Supervisar para controlar el abuso
La información de registro sobre el uso de la protección está disponible casi en tiempo real para que pueda supervisar continuamente el uso del servicio de protección de su empresa. El 99,9 % de los registros están disponibles a los 15 minutos de que se realice la acción en el servicio.
Por ejemplo, puede que quiera que se le envíe una alerta si se produce un aumento repentino de los usuarios que leen los datos protegidos fuera del horario laboral estándar, lo que podría indicar que un usuario malintencionado está recopilando información para venderla a competidores. O bien, si el mismo usuario aparentemente accede a los datos desde dos direcciones IP diferentes dentro de un breve intervalo de tiempo, lo que podría indicar que se ha puesto en peligro una cuenta de usuario.
Realizar análisis forenses
Si tiene una pérdida de información, es probable que se le pregunte quién accedió recientemente a documentos específicos y a qué información accedió la persona sospechosa. Puede responder a estos tipos de preguntas al usar este registro porque las personas que usan contenido protegido siempre deben obtener una licencia de Rights Management para abrir documentos e imágenes protegidos por Azure Information Protection, incluso si estos archivos se mueven por correo electrónico o se copian en unidades USB u otros dispositivos de almacenamiento. Esto significa que puede usar estos registros como origen definitivo de información para el análisis forense al proteger los datos mediante Azure Information Protection.
Además de este registro de uso, también tiene las siguientes opciones de registro:
Opción de registro | Descripción |
---|---|
Registro de administración | Registra las tareas administrativas para el servicio de protección. Por ejemplo, si el servicio está desactivado, cuando la característica de superusuario está habilitada y cuando los usuarios tienen permisos de administración delegados para el servicio. Para más información, consulte el cmdlet de PowerShell Get-AipServiceAdminLog. |
Seguimiento de documentos | Permite a los usuarios realizar un seguimiento de los documentos y revocar los que han seguido con el cliente de Azure Information Protection. Los administradores globales también pueden realizar un seguimiento de estos documentos en nombre de los usuarios. Para más información, consulte Configuración y uso de seguimiento de documentos para Azure Information Protection. |
Registros de eventos de los clientes | Actividad de uso para el cliente de Azure Information Protection, registrada en el registro de eventos local de Windows Aplicaciones y servicios, Azure Information Protection. Para más información, consulte Registro de uso del cliente de Azure Information Protection. |
Archivos de registro de cliente | Registros de solución de problemas para el cliente de Azure Information Protection, ubicados en %localappdata%\Microsoft\MSIP. Estos archivos están diseñados para Microsoft Support. |
Además, la información de los registros de uso del cliente y del analizador de Azure Information Protection se recopila y agrega para crear informes en Azure Portal. Para más información, consulte Reporting for Azure Information Protection (Informes para Azure Information Protection).
Use las secciones siguientes para obtener más información sobre el registro de uso para el servicio de protección.
Habilitación del registro para el uso de protección
El registro de uso de protección está habilitado de forma predeterminada para todos los clientes.
Ni el almacenamiento de registro ni la funcionalidad de la característica de registro generan costos adicionales.
Acceso y uso de los registros de uso de protección
Azure Information Protection escribe registros como una serie de blobs en una cuenta de Almacenamiento de Azure que crea automáticamente para el inquilino. Cada blob contiene uno o más registros, en formato de registro extendido W3C. Los nombres de blob son números, en el orden en que se crearon. La sección Cómo interpretar los registros de uso de Azure Rights Management que aparece más adelante en este documento contiene más información acerca del contenido del registro y su creación.
Los registros pueden tardar un tiempo en aparecer en la cuenta de almacenamiento después de una acción de protección. La mayoría de los registros aparecen en 15 minutos. Los registros de uso solo están disponibles cuando el nombre del campo "date" contiene un valor de una fecha anterior (en hora UTC). Los registros de uso de la fecha actual no están disponibles. Recomendamos que descargue los registros en el almacenamiento local, como una carpeta local, una base de datos o un repositorio de asignar-reducir.
Para descargar los registros de uso, usará el módulo de PowerShell AIPService para Azure Information Protection. Para obtener instrucciones de instalación, consulte Instalación del módulo de PowerShell AIPService.
Descargar sus registros de uso mediante PowerShell
Inicie Windows PowerShell con la opción Ejecutar como administrador y use el cmdlet Connect-AipService para conectarse a Azure Information Protection:
Connect-AipService
Ejecute el siguiente comando para descargar los registros para una fecha específica:
Get-AipServiceUserLog -Path <location> -fordate <date>
Por ejemplo, después de crear una carpeta denominada Registros en la unidad E:
Para descargar registros para una fecha específica (por ejemplo, 01/02/2016), ejecute el siguiente comando:
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016
Para descargar registros para un intervalo de fechas (por ejemplo, de 01/02/2016 a 14/02/2016), ejecute el siguiente comando:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016
Al especificar solo el día, como en nuestros ejemplos, se supone que la hora es 00:00:00 en su hora local y que luego se convierte a UTC. Al especificar una hora con sus parámetros -fromdate o -todate (por ejemplo, -fordate "2/1/2016 15:00:00"), esa fecha y hora se convierten a UTC. A continuación, el comando Get-AipServiceUserLog obtiene los registros de ese período de tiempo UTC.
No puede especificar menos de un día entero para la descarga.
De forma predeterminada, este cmdlet usa tres subprocesos para descargar los registros. Si tiene ancho de banda de red suficiente y desea reducir el tiempo necesario para descargar los registros, use el parámetro -NumberOfThreads, que admite un valor entre 1 y 32. Por ejemplo, si ejecuta el siguiente comando, el cmdlet genera 10 subprocesos para descargar los registros: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10
Sugerencia
Puede agrupar todos los archivos de registro descargados en un formato CSV mediante el uso del Analizador del registro de Microsoft, una herramienta para realizar conversiones entre diversos formatos de archivo conocidos. También puede usar esta herramienta para convertir datos al formato SYSLOG o importarlo a un base de datos. Una vez que haya instalado la herramienta, ejecute LogParser.exe /?
para obtener ayuda e información para usar esta herramienta.
Por ejemplo, puede ejecutar el siguiente comando para importar todas la información en un formato de archivo .log: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
Interpretación de los registros de uso
Use la siguiente información para ayudarle a interpretar los registros de uso de protección.
La secuencia de registro
Azure Information Protection escribe los registros como una serie de blobs.
Cada entrada en el registro tiene una marca de tiempo UTC. Dado que el servicio de protección se ejecuta en varios servidores en varios centros de datos, a veces es posible que los registros parezcan estar fuera de secuencia, incluso cuando se ordenan por su marca de tiempo. Sin embargo, la diferencia es mínima y generalmente se encuentra en un margen de un minuto. En la mayoría de los casos, este asunto no sería un problema para análisis de registros.
El formato del blob
Cada blob está en formato de registro extendido W3C. Empieza por las siguientes dos líneas:
#Software: RMS
#Version: 1.1
La primera línea identifica que se trata de registros de protección de Azure Information Protection. La segunda línea identifica que el resto del blob sigue la especificación de la versión 1.1. Recomendamos que las aplicaciones que analicen estos registros comprueben estas dos líneas antes de continuar analizando el resto del blob.
La tercera enumera una lista de nombres de campos separados por pestañas:
#Fields: date time row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user
Cada una de las líneas posteriores es un registro. Los valores de los campos se encuentran en el mismo orden que la línea anterior y están separados por pestañas. Use la siguiente tabla para interpretar los campos.
Nombre del campo | Tipo de datos W3C | Descripción | Valor de ejemplo |
---|---|---|---|
date | Fecha | Fecha UTC cuando se realizó el servicio de la solicitud. El origen es el reloj local del servidor que realizó el servicio de la solicitud. |
2013-06-25 |
time | Time | Hora UTC en formato de 24 hora cuando se realizó el servicio de la solicitud. El origen es el reloj local del servidor que realizó el servicio de la solicitud. |
21:59:28 |
row-id | Texto | GUID único para este registro. Si un valor no está presente, use el valor del identificador de correlación para identificar la entrada. Este valor es útil cuando agrega registros o copia registros en otro formato. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
request-type | Nombre | Nombre de la API de RMS que se solicitó. | AcquireLicense |
user-id | String | El usuario que realizó la solicitud. El valor se incluye entre comillas únicas. Las llamadas de una clave de inquilino administrada por usted (BYOK) tienen un valor de ", que también se aplica cuando los tipos de solicitud son anónimos. |
‘joe@contoso.com’ |
result | String | 'Success' si se ha proporcionado la solicitud correctamente. El tipo de error entre comillas si se produjo un error de la solicitud. |
"Success" |
correlation-id | Texto | GUID que es común entre el registro del cliente de RMS y el registro del servidor para una solicitud proporcionada. Este valor puede ser útil para ayudar a solucionar problemas del cliente. |
cab52088-8925-4371-be34-4b71a3112356 |
content-id | Texto | GUID, entre llaves, que identifica el contenido protegido (por ejemplo, un documento). Este campo tiene un valor solo si request-type es AcquireLicense y está en blanco para todos los demás tipos de solicitudes. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
owner-email | String | Dirección de correo electrónico del propietario del documento. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
alice@contoso.com |
emisor | String | Dirección de correo electrónico del emisor del documento. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
alice@contoso.com (o) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com |
template-id | String | Identificador de la plantilla que se usa para proteger el documento. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
file-name | String | Nombre de archivo de un documento protegido al que el cliente de Azure Information Protection para Windows realiza un seguimiento. Actualmente, algunos archivos (como documentos de Office) se muestran como GUID en lugar del nombre de archivo real. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
TopSecretDocument.docx |
fecha de publicación | Fecha | Fecha en la que se ha protegido el documento. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
2015-10-15T21:37:00 |
c-info | String | Información acerca de la plataforma del cliente que está realizando la solicitud. La cadena específica varía, en función de la aplicación (por ejemplo, el sistema operativo o el explorador). |
'MSIPC;version=1.0.623.47;AppName=WINWORD.EXE;AppVersion=15.0.4753.1000;AppArch=x86;OSName=Windows;OSVersion=6.1.7601;OSArch=amd64' |
c-ip | Dirección | Dirección IP del cliente que realiza la solicitud. | 64.51.202.144 |
admin-action | Bool | Si un administrador ha accedido al sitio de seguimiento de documentos en modo de administrador. | True |
acting-as-user | String | La dirección de correo electrónico del usuario para el que un administrador accede al sitio de seguimiento de documentos. | 'joe@contoso.com' |
Excepciones para el campo user-id
Aunque el campo user-id suele indicar el usuario que hay realizado la solicitud, hay dos excepciones en las que el valor no se asigna a un usuario real:
El valor 'microsoftrmsonline@<YourTenantID>.rms.<region>.aadrm.com'.
Esto indica que un servicio de Office 365, como Exchange Online o Microsoft SharePoint, realiza la solicitud. En la cadena, <YourTenantID> es el GUID del inquilino y <la región> es la región donde se registra el inquilino. Por ejemplo, na representa Norteamérica eu representa Europe y ap representa Asia.
Si está usando el conector RMS.
Las solicitudes de este conector se registran con el nombre de entidad de servicio de Aadrm_S-1-7-0, que se genera automáticamente al instalar el conector RMS.
Tipos de solicitudes típicas
Hay muchos tipos de solicitud para el servicio de protección, pero en la tabla siguiente se identifican algunos de los tipos de solicitud que se usan con más frecuencia.
Tipo de solicitud | Descripción |
---|---|
AcquireLicense | Un cliente de un equipo basado en Windows solicita una licencia para el contenido protegido. |
AcquirePreLicense | Un cliente, en nombre del usuario, solicita una licencia para el contenido protegido. |
AcquireTemplates | Se ha realizado una llamada para adquirir plantillas basadas en identificadores de plantilla. |
AcquireTemplateInformation | Se ha realizado una llamada para obtener los identificadores de la plantilla del servicio. |
AddTemplate | Se realiza una llamada desde el Azure Portal para agregar una plantilla. |
AllDocsCsv | Se realiza una llamada desde el sitio de seguimiento de documentos para descargar el archivo CSV de la página Todos los documentos. |
BECreateEndUserLicenseV1 | Se realiza una llamada desde un dispositivo móvil para crear una licencia de usuario final. |
BEGetAllTemplatesV1 | Se realiza una llamada desde un dispositivo móvil (back-end) para obtener todas las plantillas. |
Certify | El cliente va a certificar al usuario para el consumo y la creación de contenido protegido. |
FECreateEndUserLicenseV1 | Similar a la solicitud AcquireLicense pero desde dispositivos móviles. |
FECreatePublishingLicenseV1 | Lo mismo que Certify y GetClientLicensorCert combinados, desde clientes móviles. |
FEGetAllTemplates | Se realiza una llamada, desde un dispositivo móvil (front-end) para obtener las plantillas. |
FindServiceLocationsForUser | Se realiza una llamada para consultar las direcciones URL, que se usan para llamar a Certify o AcquireLicense. |
GetClientLicensorCert | El cliente está solicitando un certificado de publicación (que se utiliza posteriormente para proteger contenido) desde un equipo con Windows. |
GetConfiguration | Se llama a un cmdlet de Azure PowerShell para obtener la configuración del inquilino de Azure RMS. |
GetConnectorAuthorizations | Se realiza una llamada desde los conectores RMS para obtener su configuración desde la nube. |
GetRecipients | Se realiza una llamada desde el sitio de seguimiento de documentos para ir a la vista de lista de un solo documento. |
GetTenantFunctionalState | El Azure Portal comprueba si se activa el servicio de protección (Azure Rights Management). |
KeyVaultDecryptRequest | El cliente está intentando descifrar el contenido protegido con RMS. Solo es válido para una clave de inquilino administrada por el cliente (BYOK) en el Almacén de claves de Azure. |
KeyVaultGetKeyInfoRequest | Se realiza una llamada para comprobar si la clave especificada que se usará en Azure Key Vault para la clave de inquilino de Azure Information Protection es accesible y si se ha usado antes. |
KeyVaultSignDigest | Se realiza una llamada cuando se usa una clave administrada por el cliente (BYOK) del Almacén de claves de Azure para firmar. Suele llamarse una vez por cada elemento AcquireLicence (o FECreateEndUserLicenseV1), Certify y GetClientLicensorCert (o FECreatePublishingLicenseV1). |
KMSPDecrypt | El cliente está intentando descifrar el contenido protegido con RMS. Solo es válido para una clave de inquilino administrada por el cliente (BYOK) heredada. |
KMSPSignDigest | Se realiza una llamada cuando se usa una clave administrada por el cliente (BYOK) heredada para firmar. Suele llamarse una vez por cada elemento AcquireLicence (o FECreateEndUserLicenseV1), Certify y GetClientLicensorCert (o FECreatePublishingLicenseV1). |
ServerCertify | Se realiza una llamada desde un cliente habilitado para RMS (como SharePoint) para certificar el servidor. |
SetUsageLogFeatureState | Se realiza una llamada para habilitar el registro de uso. |
SetUsageLogStorageAccount | Se realiza una llamada para especificar la ubicación de los registros de servicio de Azure Rights Management. |
UpdateTemplate | Se realiza una llamada desde el Azure Portal para actualizar una plantilla existente. |
Registros de uso de protección y registro de auditoría unificado de Microsoft 365
Los eventos de acceso a archivos y denegados no incluyen actualmente el nombre de archivo y no son accesibles en el registro de auditoría unificado de Microsoft 365. Estos eventos se mejorarán para que sean útiles e independientes de Rights Management Service en una fecha posterior.
Referencia de PowerShell
El único cmdlet de PowerShell que necesita para acceder al registro de uso de protección es Get-AipServiceUserLog.
Para más información sobre el uso de PowerShell para Azure Information Protection, consulte Administración de la protección desde Azure Information Protection mediante PowerShell.