Registro y análisis del uso de protección desde Azure Information Protection
Nota:
¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?
El complemento de Azure Information Protection se retira y reemplaza por etiquetas integradas en las aplicaciones y servicios de Microsoft 365. Obtenga más información sobre el estado de soporte técnico de otros componentes de Azure Information Protection.
El cliente de Microsoft Purview Information Protection (sin el complemento) está disponible con carácter general.
Use esta información como ayuda para comprender cómo puede usar el registro de uso para el servicio de protección (Azure Rights Management) de Azure Information Protection. Este servicio de protección proporciona la protección de datos para documentos y correos electrónicos de la organización y puede registrar todas las solicitudes que recibe. Estas solicitudes incluyen cuando los usuarios protegen documentos y correo electrónico y también consumen este contenido, las acciones realizadas por los administradores para este servicio y las acciones realizadas por los operadores de Microsoft para admitir la implementación Azure Information Protection.
A continuación, puede usar estos registros de uso de protección para admitir los siguientes escenarios empresariales:
Análisis de conclusiones empresariales
Los registros generados por el servicio de protección se pueden importar en un repositorio de su elección (como una base de datos, un sistema de procesamiento analítico en línea [OLAP] o un sistema de reducción de mapas) para analizar la información y generar informes. Por ejemplo, podría identificar quién accede a los datos protegidos. Puede determinar a qué usuarios de datos protegidos acceden y desde qué dispositivos y desde dónde. Puede averiguar si los usuarios pueden leer contenido protegido correctamente. También puede identificar qué personas han leído un documento importante protegido.
Supervisión del abuso
La información de registro sobre el uso de la protección está disponible casi en tiempo real para que pueda supervisar continuamente el uso del servicio de protección de su empresa. El 99,9 % de los registros están disponibles en un plazo de 15 minutos a partir de una acción iniciada para el servicio.
Por ejemplo, es posible que desee recibir una alerta si hay un aumento repentino de las personas que leen datos protegidos fuera del horario laboral estándar, lo cual podría indicar que un usuario malintencionado está recopilando información para venderla a posibles competidores. O bien, si el mismo usuario aparentemente accede a los datos de dos direcciones IP diferentes en un breve período de tiempo, lo cual podría indicar que una cuenta de usuario se ha puesto en peligro.
Realizar análisis forenses
Si tiene una filtración de información, es probable que se le pregunte quién ha accedido recientemente a documentos específicos y a qué información ha accedido recientemente una persona sospechosa. Puede responder a estos tipos de preguntas al usar este registro, porque las personas que usan contenido protegido siempre deben obtener una licencia de Rights Management para abrir documentos e imágenes protegidos por Azure Information Protection, incluso si estos archivos se mueven por correo electrónico o se copian en unidades USB u otros dispositivos de almacenamiento. Esto significa que puede usar estos registros como una fuente definitiva de información para el análisis forense al proteger los datos mediante Azure Information Protection.
Además de este registro de uso, también tiene las siguientes opciones de registro:
Opción de registro | Descripción |
---|---|
Registro de administración | Registra las tareas administrativas del servicio de protección. Por ejemplo, si el servicio está desactivado, cuando la característica de superusuario está habilitada y cuando los usuarios son permisos de administrador delegados para el servicio. Para más información, consulte el cmdlet de PowerShell Get-AipServiceAdminLog. |
Seguimiento de documentos | Permite a los usuarios realizar un seguimiento y revocar los documentos de los que han hecho un seguimiento con el cliente de Azure Information Protection. Los administradores globales también pueden realizar un seguimiento de estos documentos en nombre de los usuarios. Para más información, consulte Configuración y uso del seguimiento de documentos para Azure Information Protection. |
Registros de eventos de cliente | Actividad de uso del cliente de Azure Information Protection que ha iniciado sesión en el registro local de eventos de Aplicaciones y servicios de Windows, Azure Information Protection. Para más información, consulte Registro de uso para el cliente de Azure Information Protection. |
Archivos de registro de cliente | Registros de solución de problemas del cliente de Azure Information Protection, ubicado en %localappdata%\Microsoft\MSIP. Estos archivos están diseñados para el Soporte técnico de Microsoft. |
Además, se recopila y agrega información de los registros de uso del cliente de Azure Information Protection y el analizador de Azure Information Protection para crear informes en Azure Portal. Para más información, consulte Informes para Azure Information Protection.
Use las secciones siguientes para obtener más información sobre el registro de uso del servicio de protección.
Habilitación del registro para el uso de protección
El registro de uso de protección está habilitado de forma predeterminada para todos los clientes.
No hay ningún costo adicional para el almacenamiento de registros o para la funcionalidad de la característica de registro.
Acceso y uso de los registros de uso de protección
Azure Information Protection escribe registros como una serie de blobs en una cuenta de Azure Storage que crea automáticamente para el inquilino. Cada blob contiene uno o varios registros de registro, en formato de registro extendido W3C. Los nombres de blob son números, en el orden en que se crearon. La sección Interpretación de los registros de uso de Azure Rights Management más adelante en este documento contiene más información sobre el contenido del registro y su creación.
Los registros pueden tardar un tiempo en aparecer en la cuenta de almacenamiento después de una acción de protección. La mayoría de los registros aparecen en un plazo de 15 minutos. Los registros de uso solo están disponibles cuando el nombre del campo "date" contiene un valor de una fecha anterior (en hora UTC). Los registros de uso de la fecha actual no están disponibles. Se recomienda descargar los registros en el almacenamiento local, como una carpeta local, una base de datos o un repositorio de reducción de mapas.
Para descargar los registros de uso, usará el módulo de PowerShell AIPService para Azure Information Protection. Para obtener instrucciones sobre la instalación, consulte Instalación del módulo de PowerShell AIPService.
Para descargar los registros de uso mediante PowerShell
Inicie Windows PowerShell con la opción Ejecutar como administrador y use el cmdlet Connect-AipService para conectarse a Azure Information Protection:
Connect-AipService
Ejecute el siguiente comando para descargar los registros de una fecha específica:
Get-AipServiceUserLog -Path <location> -fordate <date>
Por ejemplo, después de crear una carpeta denominada Logs en la unidad E:
Para descargar registros para una fecha específica (como 1 de febrero de 2016), ejecute el siguiente comando:
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016
Para descargar registros de un intervalo de fechas (como del 1 al 14 de febrero de 2016), ejecute el siguiente comando:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016
Cuando se especifica solo el día, como en nuestros ejemplos, se supone que la hora es 00:00:00 en la hora local y, a continuación, se convierte a UTC. Cuando se especifica una hora con los parámetros -fromdate o -todate (por ejemplo, -fordate "2/1/2016 15:00:00"), esa fecha y hora se convierte en UTC. A continuación, el comando Get-AipServiceUserLog obtiene los registros de ese período de tiempo UTC.
No se puede especificar menos de un día entero para descargar.
De forma predeterminada, este cmdlet usa tres subprocesos para descargar los registros. Si tiene suficiente ancho de banda de red y desea reducir el tiempo necesario para descargar los registros, use el parámetro -NumberOfThreads, que admite un valor comprendido entre 1 y 32. Por ejemplo, si ejecuta el siguiente comando, el cmdlet genera 10 subprocesos para descargar los registros: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10
Sugerencia
Puede agregar todos los archivos de registro descargados a un formato CSV mediante el Analizador de registros de Microsoft, que es una herramienta para convertir entre varios formatos de registro conocidos. También puede usar esta herramienta para convertir datos en formato SYSLOG o importarlos en una base de datos. Después de instalar la herramienta, ejecute LogParser.exe /?
para obtener ayuda e información para usar esta herramienta.
Por ejemplo, puede ejecutar el siguiente comando para importar toda la información en un formato de archivo .log: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
Interpretación de los registros de uso
Use la siguiente información para ayudarle a interpretar los registros de uso de protección.
Secuencia de registro
Azure Information Protection escribe los registros como una serie de blobs.
Cada entrada del registro tiene una marca de tiempo UTC. Dado que el servicio de protección se ejecuta en varios servidores en varios centros de datos, a veces es posible que los registros parezcan estar fuera de secuencia, incluso cuando se ordenan por su marca de tiempo. Sin embargo, la diferencia es pequeña y normalmente dentro de un minuto. En la mayoría de los casos, esto no es un problema, mientras que sí lo sería para el análisis de registros.
El formato de blob
Cada blob tiene el formato de registro extendido W3C. Comienza con las dos líneas siguientes:
#Software: RMS
N.º de versión: 1.1
La primera línea identifica que se trata de registros de protección de Azure Information Protection. La segunda línea identifica que el resto del blob sigue la especificación de la versión 1.1. Se recomienda que las aplicaciones que analizan estos registros comprueben estas dos líneas antes de continuar analizando el resto del blob.
La tercera línea enumera una lista de nombres de campo separados por pestañas:
#Fields: date time row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user
Cada una de las líneas posteriores es un registro. Los valores de los campos están en el mismo orden que la línea anterior y están separados por pestañas. Utilice la siguiente tabla para interpretar los campos.
Nombre del campo | Tipo de datos W3C | Descripción | Valor de ejemplo |
---|---|---|---|
date | Fecha | Fecha UTC en la que se ha servidor la solicitud. El origen es el reloj local en el servidor que ha servido la solicitud. |
2013-06-25 |
time | Time | Hora UTC en formato de 24 horas en la que se ha servido la solicitud. El origen es el reloj local en el servidor que ha servido la solicitud. |
21:59:28 |
row-id | Texto | GUID único para este registro de registro. Si un valor no está presente, use el valor de correlation-id para identificar la entrada. Este valor es útil al agregar registros o copiar registros en otro formato. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
request-type | Nombre | Nombre de la API de RMS que se solicitó. | AcquireLicense |
user-id | Cadena | El usuario que realizó la solicitud. El valor se enmarca entre comillas simples. Las llamadas desde una clave de inquilino administrada personalmente (BYOK) tienen un valor de ", que también se aplica cuando los tipos de solicitud son anónimos. |
'joe@contoso.com' |
result | Cadena | "Success" si la solicitud se ha servido correctamente. Tipo de error entre comillas simples si se produjo un error en la solicitud. |
"Success" |
correlation-id | Texto | GUID común entre el registro de cliente de RMS y el registro de servidor para una solicitud determinada. Este valor puede ser útil para ayudar a solucionar problemas del cliente. |
cab52088-8925-4371-be34-4b71a3112356 |
content-id | Texto | GUID, entre llaves que identifica el contenido protegido (por ejemplo, un documento). Este campo tiene un valor solo si el tipo de solicitud es AcquireLicense y está en blanco para todos los demás tipos de solicitud. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
owner-email | Cadena | Dirección de correo electrónico del propietario del documento. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
alice@contoso.com |
emisor | Cadena | Dirección de correo electrónico del emisor del documento. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
alice@contoso.com (o) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
template-id | Cadena | Id. de la plantilla utilizada para proteger el documento. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
file-name | Cadena | Nombre de archivo de un documento protegido del que se realiza un seguimiento mediante el cliente de Azure Information Protection para Windows. Actualmente, algunos archivos (como documentos de Office) se muestran como GUID en lugar del nombre de archivo real. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
TopSecretDocument.docx |
date-published | Date | Fecha en la que se protegió el documento. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
2015-10-15T21:37:00 |
c-info | Cadena | Información sobre la plataforma cliente que realiza la solicitud. La cadena específica varía en función de la aplicación (por ejemplo, el sistema operativo o el explorador). |
'MSIPC;version=1.0.623.47;AppName=WINWORD.EXE;AppVersion=15.0.4753.1000;AppArch=x86;OSName=Windows;OSVersion=6.1.7601;OSArch=amd64' |
c-ip | Dirección | Dirección IP del cliente que realiza la solicitud. | 64.51.202.144 |
admin-action | Booleano | Si un administrador ha accedido al sitio de seguimiento de documentos en modo de administrador. | True |
acting-as-user | Cadena | Dirección de correo electrónico del usuario para el que un administrador accede al sitio de seguimiento de documentos. | 'joe@contoso.com' |
Excepciones para el campo user-id
Aunque el campo user-id suele indicar al usuario que realizó la solicitud, hay dos excepciones en las que el valor no se asigna a un usuario real:
El valor "microsoftrmsonline@<YourTenantID>.rms.<region>.aadrm.com".
Esto indica que un servicio de Office 365, como Exchange Online o Microsoft SharePoint, realiza la solicitud. En la cadena, <YourTenantID> es el GUID del inquilino y <region> es la región donde está registrado el inquilino. Por ejemplo, na representa Norteamérica, eu representa Europa y ap representa Asia.
Si usa el conector RMS.
Las solicitudes de este conector se registran con el nombre de entidad de seguridad de servicio de Aadrm_S-1-7-0, que se genera automáticamente al instalar el conector RMS.
Tipos de solicitud típicos
Hay muchos tipos de solicitud para el servicio de protección, pero en la tabla siguiente se identifican algunos de los tipos de solicitud más usados normalmente.
Tipo de solicitud | Descripción |
---|---|
AcquireLicense | Un cliente de un equipo basado en Windows solicita una licencia para el contenido protegido. |
AcquirePreLicense | Un cliente, en nombre del usuario, solicita una licencia para el contenido protegido. |
AcquireTemplates | Se realizó una llamada para adquirir plantillas basadas en identificadores de plantilla |
AcquireTemplateInformation | Se realizó una llamada para obtener los identificadores de la plantilla del servicio. |
AddTemplate | Se realiza una llamada desde Azure Portal para agregar una plantilla. |
AllDocsCsv | Se realiza una llamada desde el sitio de seguimiento de documentos para descargar el archivo CSV desde la página Todos los documentos. |
BECreateEndUserLicenseV1 | Se realiza una llamada desde un dispositivo móvil para crear una licencia de usuario final. |
BEGetAllTemplatesV1 | Se realiza una llamada desde un dispositivo móvil (back-end) para obtener todas las plantillas. |
Certify | El cliente está certificando al usuario para el consumo y la creación de contenido protegido. |
FECreateEndUserLicenseV1 | Similar a la solicitud AcquireLicense, pero desde dispositivos móviles. |
FECreatePublishingLicenseV1 | Igual que Certify y GetClientLicensorCert combinados, desde clientes móviles. |
FEGetAllTemplates | Se realiza una llamada, desde un dispositivo móvil (front-end) para obtener las plantillas. |
FindServiceLocationsForUser | Se realiza una llamada para consultar las direcciones URL, que se usa para llamar a Certify o AcquireLicense. |
GetClientLicensorCert | El cliente solicita un certificado de publicación (que se usa más adelante para proteger el contenido) de un equipo basado en Windows. |
GetConfiguration | Se llama a un cmdlet de Azure PowerShell para obtener la configuración del inquilino de Azure RMS. |
GetConnectorAuthorizations | Se realiza una llamada desde los conectores RMS para obtener su configuración desde la nube. |
GetRecipients | Se realiza una llamada desde el sitio de seguimiento de documentos para navegar a la vista de lista de un solo documento. |
GetTenantFunctionalState | Azure Portal comprueba si el servicio de protección (Azure Rights Management) está activado. |
KeyVaultDecryptRequest | El cliente está intentando descifrar el contenido protegido por RMS. Solo se aplica a una clave de inquilino administrada por el cliente (BYOK) en Azure Key Vault. |
KeyVaultGetKeyInfoRequest | Se realiza una llamada para comprobar que la clave especificada que se va a usar en Azure Key Vault para la clave de inquilino de Azure Information Protection es accesible y aún no se usa. |
KeyVaultSignDigest | Se realiza una llamada cuando se usa una clave administrada por el cliente (BYOK) en Azure Key Vault con fines de firma. Esto se llama normalmente una vez por AcquireLicence (o FECreateEndUserLicenseV1), Certify y GetClientLicensorCert (o FECreatePublishingLicenseV1). |
KMSPDecrypt | El cliente está intentando descifrar el contenido protegido por RMS. Solo se aplica a una clave de inquilino administrada por el cliente (BYOK) heredada. |
KMSPSignDigest | Se realiza una llamada cuando se usa una clave administrada por el cliente (BYOK) heredada con fines de firma. Esto se llama normalmente una vez por AcquireLicence (o FECreateEndUserLicenseV1), Certify y GetClientLicensorCert (o FECreatePublishingLicenseV1). |
ServerCertify | Se realiza una llamada desde un cliente habilitado para RMS (como SharePoint) para certificar el servidor. |
SetUsageLogFeatureState | Se realiza una llamada para habilitar el registro de uso. |
SetUsageLogStorageAccount | Se realiza una llamada para especificar la ubicación de los registros del servicio Azure Rights Management. |
UpdateTemplate | Se realiza una llamada desde Azure Portal para actualizar una plantilla existente. |
Registros de uso de protección y registro de auditoría unificado de Microsoft 365
Los eventos de acceso a archivos y denegados no incluyen actualmente el nombre de archivo y no son accesibles en el registro de auditoría unificado de Microsoft 365. Estos eventos se mejorarán para ser útiles e independientes a partir del servicio Rights Management en una fecha posterior.
Referencia de PowerShell
El único cmdlet de PowerShell que necesita para acceder al registro de uso de protección es Get-AipServiceUserLog.
Para más información acerca del uso de PowerShell para Azure Information Protection, consulte Administración de la protección desde Azure Information Protection mediante PowerShell.