Análisis e informes centrales de Azure Information Protection
Nota:
¿Busca Microsoft Information Protection? El cliente de etiquetado unificado de Azure Information Protection se encuentra actualmente en modo de mantenimiento. Se recomienda habilitar el etiquetado integrado de Microsoft Information Protection para las aplicaciones de Office 365. Más información.
En este artículo se describe cómo usar la solución de auditoría de Microsoft Purview para ver los eventos de auditoría generados desde el cliente de etiquetado unificado de Azure Information Protection. Los eventos de auditoría emitidos en el registro de auditoría unificado de Microsoft 365 para los informes centrales se pueden ver en el Explorador de actividades, lo que puede ayudarle a realizar un seguimiento de la adopción de las etiquetas que clasifican y protegen los datos de su organización.
La auditoría le permite realizar los siguientes pasos:
- Agregue datos de los clientes de Azure Information Protection, escáneres de Azure Information Protection y Microsoft Defender for Cloud Apps.
- Vea los eventos de auditoría en el registro de auditoría unificado de Microsoft 365 y el registro de actividad de Office 365 para su organización.
- Consulte, vea y detecte eventos de auditoría en el Explorador de actividades con una interfaz gráfica en el portal de cumplimiento.
Auditar eventos del registro de auditoría unificado de Microsoft 365
El cliente de etiquetado unificado de AIP incluye el complemento para Office, el escáner, el Visor para Windows, el cliente PowerShell y la extensión de shell Classify-and-Protect para Windows. Todos estos componentes generan eventos de auditoría que aparecen en los registros de actividad de Office 365 y se pueden consultar mediante la API de actividad de administración de Office 365.
Los eventos de auditoría permiten a un administrador:
- Supervise los documentos y correos electrónicos etiquetados y protegidos en toda su organización.
- Supervise el acceso de los usuarios a los documentos y correos electrónicos etiquetados, y realice un seguimiento de los cambios de clasificación de los documentos.
Esquema de eventos de registro de auditoría unificado de Microsoft 365
Los cinco eventos (también denominados "AuditLogRecordType") específicos de AIP enumerados a continuación, y se pueden encontrar más detalles sobre cada uno dentro de la referencia de API.
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 93 | AipDiscover | Eventos del detector Azure Information Protection (AIP). |
| 94 | AipSensitivityLabelAction | Eventos de etiqueta de confidencialidad de AIP. |
| 95 | AipProtectionAction | Eventos de protección de AIP. |
| 96 | AipFileDeleted | Eventos de eliminación de archivos AIP. |
| 97 | AipHeartBeat | Eventos de latidos de AIP. |
Esta información es accesible en el registro de auditoría unificado de Microsoft 365 para su organización y se puede ver en el Explorador de actividades.
Consultar eventos de auditoría en el Explorador de actividades
El Explorador de actividades de la portal de cumplimiento Microsoft Purview es una interfaz gráfica para ver los eventos de auditoría emitidos en el registro de auditoría unificado de Microsoft 365. Un administrador del inquilino puede usar consultas integradas para determinar si las directivas y los controles implementados por la organización son eficaces. Con un máximo de 30 días de datos disponibles, un administrador puede establecer filtros y ver claramente cuándo y cómo se administran los datos confidenciales dentro de su organización.
Para ver la actividad específica de AIP, un administrador puede comenzar con los siguientes filtros:
- Tipo de actividad:
- Etiqueta aplicada
- Etiqueta modificada
- Etiqueta eliminada
- Lectura del archivo de etiqueta
- Aplicación:
- Complemento de Microsoft Azure Information Protection para Word
- Complemento Excel de Microsoft Azure Information Protection
- Complemento de Microsoft Azure Information Protection para PowerPoint
- Complemento de Outlook de Microsoft Azure Information Protection
Es posible que un administrador no vea todas las opciones del filtro o puede ver más; Los valores de filtro dependen de las actividades que se capturan para el inquilino. Para más información sobre el explorador de actividades, consulte:
Información recopilada y enviada a Microsoft Purview desde el cliente de etiquetado unificado de AIP
Para generar estos informes, los puntos de conexión envían los siguientes tipos de información al registro de auditoría unificado de Microsoft 365:
Acción de etiqueta. Por ejemplo, establezca una etiqueta, cambie una etiqueta, agregue o quite la protección, las etiquetas automáticas y recomendadas.
Nombre de etiqueta antes y después de la acción de etiqueta.
Identificador de inquilino de la organización.
El ID de usuario (dirección de correo electrónico o UPN).
El nombre del dispositivo del usuario.
La dirección IP del dispositivo del usuario.
Nombre del proceso pertinente, como outlook o msip.app.
Nombre de la aplicación que realizó el etiquetado, como Outlook o Explorador de archivos
Para documentos: la ruta de acceso del archivo y el nombre de archivo de los documentos etiquetados.
Para correos electrónicos: el asunto del correo electrónico y el remitente de correo electrónico para los correos electrónicos etiquetados.
Los tipos de información confidencial (predefinidos y personalizados) que se detectaron en el contenido.
La versión del cliente de Azure Information Protection.
La versión del sistema operativo del cliente.
Impedir que los clientes de AIP envíen datos de auditoría
Para evitar que el cliente de etiquetado unificado de Azure Information Protection envíe datos de auditoría, configure una configuración avanzada de directiva de etiquetas.
Coincidencias de contenido para un análisis más profundo
Azure Information Protection permite recopilar y almacenar los datos reales identificados como un tipo de información confidencial (predefinido o personalizado). Por ejemplo, esto puede incluir números de tarjeta de crédito que se encuentran, así como números de seguridad social, números de pasaporte y números de cuenta bancaria. Las coincidencias de contenido se muestran al seleccionar una entrada de los registros de actividad y ver los detalles de la actividad.
De forma predeterminada, los clientes de Azure Information Protection no envían coincidencias de contenido. Para cambiar este comportamiento para que se envíen coincidencias de contenido, configure una configuración avanzada en una directiva de etiqueta.
Requisitos previos
Los eventos de auditoría están habilitados de forma predeterminada para su organización. Para ver los eventos de auditoría en Microsoft Purview, revise los requisitos de licencia de las soluciones básicas y de auditoría (Premium).
Pasos siguientes
Después de revisar la información de los informes, es posible que quiera obtener más información sobre cómo configurar la solución de auditoría de Microsoft Purview para su organización.
- Obtenga información sobre cómo exportar eventos de auditoría desde el registro de auditoría unificado de Microsoft 365 a un área de trabajo de Azure Log Analytics con AIP Audit Export en GitHub.
- Lea la guía de Administración para auditar e informar sobre el cliente de etiquetado unificado de AIP para profundizar en la solución de auditoría de Microsoft Purview.
- Revise la documentación de registros de uso de protección para obtener acceso a archivos y eventos denegados generados a partir del servicio Rights Management. Estos eventos se controlan por separado de los eventos generados desde el cliente de etiquetado unificado de Azure Information Protection.
- Consulte la documentación de Microsoft 365 sobre las etiquetas de confidencialidad para obtener información sobre cómo realizar cambios en la directiva de etiquetado en el portal de cumplimiento.