Registro y análisis del uso de protección desde Azure Information Protection

Nota

¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

El cliente de etiquetado unificado de Azure Information Protection ahora se encuentra en modo de mantenimiento. Se recomienda usar etiquetas integradas en las aplicaciones y servicios de Office 365. Más información

Use esta información para ayudarle a comprender cómo puede usar el registro de uso para el servicio de protección (Azure Rights Management) de Azure Information Protection. Este servicio de protección proporciona la protección de datos para los documentos y correos electrónicos de su organización y puede registrar cada solicitud. Estas solicitudes incluyen cuando los usuarios protegen documentos y correos electrónicos y también consumen este contenido, las acciones realizadas por los administradores para este servicio y las acciones llevadas a cabo por operadores de Microsoft para admitir la implementación de Azure Information Protection.

A continuación, puede usar estos registros de uso de protección para admitir los siguientes escenarios empresariales:

  • Analizar enfoques empresariales

    Los registros generados por el servicio de protección se pueden importar en un repositorio de su elección (como una base de datos, un sistema de procesamiento analítico en línea (OLAP) o un sistema de reducción de mapas) para analizar la información y generar informes. Por ejemplo, podría identificar quién está obteniendo acceso a sus datos protegidos. Puede determinar a qué datos protegidos están obteniendo acceso los usuarios, así como desde dónde y desde qué dispositivos. Puede averiguar si estas personas logran leer contenido protegido. También puede identificar qué personas han leído un documento importante que estaba protegido.

  • Supervisar para controlar el abuso

    La información de registro sobre el uso de la protección está disponible casi en tiempo real para que pueda supervisar continuamente el uso del servicio de protección de su empresa. El 99,9 % de los registros están disponibles a los 15 minutos de que se realice la acción en el servicio.

    Por ejemplo, puede que quiera que se le envíe una alerta si se produce un aumento repentino de los usuarios que leen los datos protegidos fuera del horario laboral estándar, lo que podría indicar que un usuario malintencionado está recopilando información para venderla a competidores. O bien, si el mismo usuario aparentemente accede a los datos desde dos direcciones IP diferentes dentro de un breve intervalo de tiempo, lo que podría indicar que se ha puesto en peligro una cuenta de usuario.

  • Realizar análisis forenses

    Si tiene una pérdida de información, es probable que se le pregunte quién accedió recientemente a documentos específicos y a qué información accedió la persona sospechosa. Puede responder a estos tipos de preguntas al usar este registro porque las personas que usan contenido protegido siempre deben obtener una licencia de Rights Management para abrir documentos e imágenes protegidos por Azure Information Protection, incluso si estos archivos se mueven por correo electrónico o se copian en unidades USB u otros dispositivos de almacenamiento. Esto significa que puede usar estos registros como origen definitivo de información para el análisis forense al proteger los datos mediante Azure Information Protection.

Además de este registro de uso, también tiene las siguientes opciones de registro:

Opción de registro Descripción
Registro de administración Registra las tareas administrativas para el servicio de protección. Por ejemplo, si el servicio está desactivado, cuando la característica de superusuario está habilitada y cuando los usuarios tienen permisos de administración delegados para el servicio.

Para más información, consulte el cmdlet de PowerShell Get-AipServiceAdminLog.
Seguimiento de documentos Permite a los usuarios realizar un seguimiento de los documentos y revocar los que han seguido con el cliente de Azure Information Protection. Los administradores globales también pueden realizar un seguimiento de estos documentos en nombre de los usuarios.

Para más información, consulte Configuración y uso de seguimiento de documentos para Azure Information Protection.
Registros de eventos de los clientes Actividad de uso para el cliente de Azure Information Protection, registrada en el registro de eventos local de Windows Aplicaciones y servicios, Azure Information Protection.

Para más información, consulte Registro de uso del cliente de Azure Information Protection.
Archivos de registro de cliente Registros de solución de problemas para el cliente de Azure Information Protection, ubicados en %localappdata%\Microsoft\MSIP.

Estos archivos están diseñados para Microsoft Support.

Además, la información de los registros de uso del cliente y del analizador de Azure Information Protection se recopila y agrega para crear informes en Azure Portal. Para más información, consulte Reporting for Azure Information Protection (Informes para Azure Information Protection).

Use las secciones siguientes para obtener más información sobre el registro de uso para el servicio de protección.

Habilitación del registro para el uso de protección

El registro de uso de protección está habilitado de forma predeterminada para todos los clientes.

Ni el almacenamiento de registro ni la funcionalidad de la característica de registro generan costos adicionales.

Acceso y uso de los registros de uso de protección

Azure Information Protection escribe registros como una serie de blobs en una cuenta de Almacenamiento de Azure que crea automáticamente para el inquilino. Cada blob contiene uno o más registros, en formato de registro extendido W3C. Los nombres de blob son números, en el orden en que se crearon. La sección Cómo interpretar los registros de uso de Azure Rights Management que aparece más adelante en este documento contiene más información acerca del contenido del registro y su creación.

Los registros pueden tardar un tiempo en aparecer en la cuenta de almacenamiento después de una acción de protección. La mayoría de los registros aparecen en 15 minutos. Los registros de uso solo están disponibles cuando el nombre del campo "date" contiene un valor de una fecha anterior (en hora UTC). Los registros de uso de la fecha actual no están disponibles. Recomendamos que descargue los registros en el almacenamiento local, como una carpeta local, una base de datos o un repositorio de asignar-reducir.

Para descargar los registros de uso, usará el módulo de PowerShell AIPService para Azure Information Protection. Para obtener instrucciones de instalación, consulte Instalación del módulo de PowerShell AIPService.

Descargar sus registros de uso mediante PowerShell

  1. Inicie Windows PowerShell con la opción Ejecutar como administrador y use el cmdlet Connect-AipService para conectarse a Azure Information Protection:

    Connect-AipService
    
  2. Ejecute el siguiente comando para descargar los registros para una fecha específica:

    Get-AipServiceUserLog -Path <location> -fordate <date>
    

    Por ejemplo, después de crear una carpeta denominada Registros en la unidad E:

    • Para descargar registros para una fecha específica (por ejemplo, 01/02/2016), ejecute el siguiente comando: Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016

    • Para descargar registros para un intervalo de fechas (por ejemplo, de 01/02/2016 a 14/02/2016), ejecute el siguiente comando: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016

Al especificar solo el día, como en nuestros ejemplos, se supone que la hora es 00:00:00 en su hora local y que luego se convierte a UTC. Al especificar una hora con sus parámetros -fromdate o -todate (por ejemplo, -fordate "2/1/2016 15:00:00"), esa fecha y hora se convierten a UTC. A continuación, el comando Get-AipServiceUserLog obtiene los registros de ese período de tiempo UTC.

No puede especificar menos de un día entero para la descarga.

De forma predeterminada, este cmdlet usa tres subprocesos para descargar los registros. Si tiene ancho de banda de red suficiente y desea reducir el tiempo necesario para descargar los registros, use el parámetro -NumberOfThreads, que admite un valor entre 1 y 32. Por ejemplo, si ejecuta el siguiente comando, el cmdlet genera 10 subprocesos para descargar los registros: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10

Sugerencia

Puede agrupar todos los archivos de registro descargados en un formato CSV mediante el uso del Analizador del registro de Microsoft, una herramienta para realizar conversiones entre diversos formatos de archivo conocidos. También puede usar esta herramienta para convertir datos al formato SYSLOG o importarlo a un base de datos. Una vez que haya instalado la herramienta, ejecute LogParser.exe /? para obtener ayuda e información para usar esta herramienta.

Por ejemplo, puede ejecutar el siguiente comando para importar todas la información en un formato de archivo .log: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"

Interpretación de los registros de uso

Use la siguiente información para ayudarle a interpretar los registros de uso de protección.

La secuencia de registro

Azure Information Protection escribe los registros como una serie de blobs.

Cada entrada en el registro tiene una marca de tiempo UTC. Dado que el servicio de protección se ejecuta en varios servidores en varios centros de datos, a veces es posible que los registros parezcan estar fuera de secuencia, incluso cuando se ordenan por su marca de tiempo. Sin embargo, la diferencia es mínima y generalmente se encuentra en un margen de un minuto. En la mayoría de los casos, este asunto no sería un problema para análisis de registros.

El formato del blob

Cada blob está en formato de registro extendido W3C. Empieza por las siguientes dos líneas:

#Software: RMS

#Version: 1.1

La primera línea identifica que se trata de registros de protección de Azure Information Protection. La segunda línea identifica que el resto del blob sigue la especificación de la versión 1.1. Recomendamos que las aplicaciones que analicen estos registros comprueben estas dos líneas antes de continuar analizando el resto del blob.

La tercera enumera una lista de nombres de campos separados por pestañas:

#Fields: date time row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user

Cada una de las líneas posteriores es un registro. Los valores de los campos se encuentran en el mismo orden que la línea anterior y están separados por pestañas. Use la siguiente tabla para interpretar los campos.

Nombre del campo Tipo de datos W3C Descripción Valor de ejemplo
date Fecha Fecha UTC cuando se realizó el servicio de la solicitud.

El origen es el reloj local del servidor que realizó el servicio de la solicitud.
2013-06-25
time Time Hora UTC en formato de 24 hora cuando se realizó el servicio de la solicitud.

El origen es el reloj local del servidor que realizó el servicio de la solicitud.
21:59:28
row-id Texto GUID único para este registro. Si un valor no está presente, use el valor del identificador de correlación para identificar la entrada.

Este valor es útil cuando agrega registros o copia registros en otro formato.
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63
request-type Nombre Nombre de la API de RMS que se solicitó. AcquireLicense
user-id String El usuario que realizó la solicitud.

El valor se incluye entre comillas únicas. Las llamadas de una clave de inquilino administrada por usted (BYOK) tienen un valor de ", que también se aplica cuando los tipos de solicitud son anónimos.
‘joe@contoso.com’
result String 'Success' si se ha proporcionado la solicitud correctamente.

El tipo de error entre comillas si se produjo un error de la solicitud.
"Success"
correlation-id Texto GUID que es común entre el registro del cliente de RMS y el registro del servidor para una solicitud proporcionada.

Este valor puede ser útil para ayudar a solucionar problemas del cliente.
cab52088-8925-4371-be34-4b71a3112356
content-id Texto GUID, entre llaves, que identifica el contenido protegido (por ejemplo, un documento).

Este campo tiene un valor solo si request-type es AcquireLicense y está en blanco para todos los demás tipos de solicitudes.
{bb4af47b-cfed-4719-831d-71b98191a4f2}
owner-email String Dirección de correo electrónico del propietario del documento.

Este campo está en blanco si el tipo de solicitud es RevokeAccess.
alice@contoso.com
emisor String Dirección de correo electrónico del emisor del documento.

Este campo está en blanco si el tipo de solicitud es RevokeAccess.
alice@contoso.com (o) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com
template-id String Identificador de la plantilla que se usa para proteger el documento.

Este campo está en blanco si el tipo de solicitud es RevokeAccess.
{6d9371a6-4e2d-4e97-9a38-202233fed26e}
file-name String Nombre de archivo de un documento protegido al que el cliente de Azure Information Protection para Windows realiza un seguimiento.

Actualmente, algunos archivos (como documentos de Office) se muestran como GUID en lugar del nombre de archivo real.

Este campo está en blanco si el tipo de solicitud es RevokeAccess.
TopSecretDocument.docx
fecha de publicación Fecha Fecha en la que se ha protegido el documento.

Este campo está en blanco si el tipo de solicitud es RevokeAccess.
2015-10-15T21:37:00
c-info String Información acerca de la plataforma del cliente que está realizando la solicitud.

La cadena específica varía, en función de la aplicación (por ejemplo, el sistema operativo o el explorador).
'MSIPC;version=1.0.623.47;AppName=WINWORD.EXE;AppVersion=15.0.4753.1000;AppArch=x86;OSName=Windows;OSVersion=6.1.7601;OSArch=amd64'
c-ip Dirección Dirección IP del cliente que realiza la solicitud. 64.51.202.144
admin-action Bool Si un administrador ha accedido al sitio de seguimiento de documentos en modo de administrador. True
acting-as-user String La dirección de correo electrónico del usuario para el que un administrador accede al sitio de seguimiento de documentos. 'joe@contoso.com'

Excepciones para el campo user-id

Aunque el campo user-id suele indicar el usuario que hay realizado la solicitud, hay dos excepciones en las que el valor no se asigna a un usuario real:

  • El valor 'microsoftrmsonline@<YourTenantID>.rms.<region>.aadrm.com'.

    Esto indica que un servicio de Office 365, como Exchange Online o Microsoft SharePoint, realiza la solicitud. En la cadena, <YourTenantID> es el GUID del inquilino y <la región> es la región donde se registra el inquilino. Por ejemplo, na representa Norteamérica eu representa Europe y ap representa Asia.

  • Si está usando el conector RMS.

    Las solicitudes de este conector se registran con el nombre de entidad de servicio de Aadrm_S-1-7-0, que se genera automáticamente al instalar el conector RMS.

Tipos de solicitudes típicas

Hay muchos tipos de solicitud para el servicio de protección, pero en la tabla siguiente se identifican algunos de los tipos de solicitud que se usan con más frecuencia.

Tipo de solicitud Descripción
AcquireLicense Un cliente de un equipo basado en Windows solicita una licencia para el contenido protegido.
AcquirePreLicense Un cliente, en nombre del usuario, solicita una licencia para el contenido protegido.
AcquireTemplates Se ha realizado una llamada para adquirir plantillas basadas en identificadores de plantilla.
AcquireTemplateInformation Se ha realizado una llamada para obtener los identificadores de la plantilla del servicio.
AddTemplate Se realiza una llamada desde el Azure Portal para agregar una plantilla.
AllDocsCsv Se realiza una llamada desde el sitio de seguimiento de documentos para descargar el archivo CSV de la página Todos los documentos.
BECreateEndUserLicenseV1 Se realiza una llamada desde un dispositivo móvil para crear una licencia de usuario final.
BEGetAllTemplatesV1 Se realiza una llamada desde un dispositivo móvil (back-end) para obtener todas las plantillas.
Certify El cliente va a certificar al usuario para el consumo y la creación de contenido protegido.
FECreateEndUserLicenseV1 Similar a la solicitud AcquireLicense pero desde dispositivos móviles.
FECreatePublishingLicenseV1 Lo mismo que Certify y GetClientLicensorCert combinados, desde clientes móviles.
FEGetAllTemplates Se realiza una llamada, desde un dispositivo móvil (front-end) para obtener las plantillas.
FindServiceLocationsForUser Se realiza una llamada para consultar las direcciones URL, que se usan para llamar a Certify o AcquireLicense.
GetClientLicensorCert El cliente está solicitando un certificado de publicación (que se utiliza posteriormente para proteger contenido) desde un equipo con Windows.
GetConfiguration Se llama a un cmdlet de Azure PowerShell para obtener la configuración del inquilino de Azure RMS.
GetConnectorAuthorizations Se realiza una llamada desde los conectores RMS para obtener su configuración desde la nube.
GetRecipients Se realiza una llamada desde el sitio de seguimiento de documentos para ir a la vista de lista de un solo documento.
GetTenantFunctionalState El Azure Portal comprueba si se activa el servicio de protección (Azure Rights Management).
KeyVaultDecryptRequest El cliente está intentando descifrar el contenido protegido con RMS. Solo es válido para una clave de inquilino administrada por el cliente (BYOK) en el Almacén de claves de Azure.
KeyVaultGetKeyInfoRequest Se realiza una llamada para comprobar si la clave especificada que se usará en Azure Key Vault para la clave de inquilino de Azure Information Protection es accesible y si se ha usado antes.
KeyVaultSignDigest Se realiza una llamada cuando se usa una clave administrada por el cliente (BYOK) del Almacén de claves de Azure para firmar. Suele llamarse una vez por cada elemento AcquireLicence (o FECreateEndUserLicenseV1), Certify y GetClientLicensorCert (o FECreatePublishingLicenseV1).
KMSPDecrypt El cliente está intentando descifrar el contenido protegido con RMS. Solo es válido para una clave de inquilino administrada por el cliente (BYOK) heredada.
KMSPSignDigest Se realiza una llamada cuando se usa una clave administrada por el cliente (BYOK) heredada para firmar. Suele llamarse una vez por cada elemento AcquireLicence (o FECreateEndUserLicenseV1), Certify y GetClientLicensorCert (o FECreatePublishingLicenseV1).
ServerCertify Se realiza una llamada desde un cliente habilitado para RMS (como SharePoint) para certificar el servidor.
SetUsageLogFeatureState Se realiza una llamada para habilitar el registro de uso.
SetUsageLogStorageAccount Se realiza una llamada para especificar la ubicación de los registros de servicio de Azure Rights Management.
UpdateTemplate Se realiza una llamada desde el Azure Portal para actualizar una plantilla existente.

Registros de uso de protección y registro de auditoría unificado de Microsoft 365

Los eventos de acceso a archivos y denegados no incluyen actualmente el nombre de archivo y no son accesibles en el registro de auditoría unificado de Microsoft 365. Estos eventos se mejorarán para que sean útiles e independientes de Rights Management Service en una fecha posterior.

Referencia de PowerShell

El único cmdlet de PowerShell que necesita para acceder al registro de uso de protección es Get-AipServiceUserLog.

Para más información sobre el uso de PowerShell para Azure Information Protection, consulte Administración de la protección desde Azure Information Protection mediante PowerShell.