Cómo recopilar registros de eventos de auditoría de Windows Information Protection (WIP)
Se aplica a:
- Windows 10, versión 1607 y versiones posteriores
Windows Information Protection (WIP) crea eventos de auditoría en las siguientes situaciones:
Si un empleado cambia la propiedad de un archivo de Trabajo a Personal.
Si los datos se marcan como Trabajo, pero se comparten para una página web o aplicación personal. Por ejemplo, mediante copiar y pegar, arrastrar y colocar, compartir un contacto, cargar en una página web personal, o si el usuario concede a una aplicación personal acceso temporal a un archivo de trabajo.
Si una aplicación tiene eventos de auditoría personalizados.
Recopilar registros de auditoría WIP mediante el proveedor de servicios de configuración (CSP) de informes
Recopile los registros de auditoría de WIP de los dispositivos del empleado siguiendo las instrucciones proporcionadas por la documentación del proveedor de servicios de configuración de informes (CSP). Este tema proporciona información sobre los eventos de auditoría reales.
Nota
El elemento Datos de la respuesta incluye los registros de auditoría solicitados en un formato XML con codificación.
Atributos y elementos de usuario
En esta tabla se incluyen todos los atributos disponibles para el elemento Usuario.
Atributo | Tipo de valor | Descripción |
---|---|---|
UserID | Cadena | El identificador de seguridad (SID) del usuario correspondiente a este informe de auditoría. |
EnterpriseID | Cadena | El identificador de la empresa correspondiente a este informe de auditoría. |
Atributos y elementos de registro
En esta tabla se incluyen todos los atributos y elementos disponibles para el elemento Registro. La respuesta puede contener cero (0) o más elementos de Registro.
Atributo o elemento | Tipo de valor | Descripción |
---|---|---|
ProviderType | Cadena | Esto siempre es EDPAudit. |
LogType | Cadena | Incluye:
|
TimeStamp | Entero | Usa la estructura FILETIME para representar la hora en que se produjo el evento. |
Directiva | Cadena | Cómo se compartieron los datos de trabajo con la ubicación personal:
|
Justification | Cadena | Sin implementar. Estará siempre en blanco o será NULL. Nota Reservado para uso futuro para recopilar la justificación del usuario del cambio de Trabajo a Personal. |
Objeto | Cadena | Descripción de los datos de trabajo compartidos. Por ejemplo, si un empleado abre un archivo de trabajo mediante una aplicación personal, esta sería la ruta de acceso del archivo. |
DataInfo | Cadena | Información adicional acerca de cómo cambió el archivo de trabajo:
|
Acción | Entero | Proporciona información acerca de lo qué ha ocurrido cuando los datos de trabajo se compartieron en personal, incluido:
|
FilePath | Cadena | La ruta al archivo especificado en el evento de auditoría. Por ejemplo, la ubicación de un archivo que ha sido descifrado por un empleado o cargado en un sitio web personal. |
SourceApplicationName | Cadena | El sitio web o la aplicación de origen. Para la aplicación de origen, esta es la identidad de AppLocker. Para el sitio web de origen, este es el nombre de host. |
SourceName | Cadena | Cadena proporcionada por la aplicación que registra el evento. Está pensado para describir el origen de los datos de trabajo. |
DestinationEnterpriseID | Cadena | El valor de identificador de empresa para la aplicación o el sitio web donde el empleado está compartiendo los datos. NULL, Personal o en blanco significa que no hay ningún identificador de empresa porque los datos de trabajo se compartieron en una ubicación personal. Dado que actualmente no se admiten varias inscripciones, siempre verá uno de estos valores. |
DestinationApplicationName | Cadena | El sitio web o la aplicación de destino. Para la aplicación de destino, esta es la identidad de AppLocker. Para el sitio web de destino, este es el nombre de host. |
DestinationName | Cadena | Cadena proporcionada por la aplicación que registra el evento. Está pensado para describir el destino de los datos de trabajo. |
Aplicación | Cadena | La identidad de AppLocker para la aplicación en la que se produjo el evento de auditoría. |
Ejemplos
Estos son algunos ejemplos de respuestas de Reporting CSP.
La propiedad de un archivo cambia de trabajo a personal
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
<Policy>Protection removed</Policy>
<Justification>NULL</Justification>
<FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Se carga un archivo de trabajo en una página web personal en Edge
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>NULL</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
<DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Los datos de trabajo se pegan en una página web personal
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Se abre un archivo de trabajo con una aplicación personal
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
<Policy>NULL</Policy>
<Justification></Justification>
<Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
<Action>1</Action>
<SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
<DestinationEnterpriseID>Personal</DestinationEnterpriseID>
<DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
<Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Los datos de trabajo se pegan en una página web personal
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName></DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Recopilar registros de auditoría WIP mediante el Reenvío de eventos de Windows (solo para dispositivos unidos a dominio del escritorio de Windows)
Usa el reenvío de eventos de Windows para recopilar y agregar los eventos de auditoría de Windows Information Protection. Puedes ver los eventos de auditoría en el Visor de eventos.
Ver los eventos de WIP en el Visor de eventos.
Abre el Visor de eventos.
En el árbol de consola, en Registros de aplicaciones y servicios\Microsoft\Windows, haz clic en EDP-Audit-Regular y EDP-Audit-TCB.
Recopilación de registros de auditoría de WIP mediante Azure Monitor
Puede recopilar registros de auditoría mediante Azure Monitor. Consulte Orígenes de datos del registro de eventos de Windows en Azure Monitor.
Para ver los eventos WIP en Azure Monitor
Use un área de trabajo de Log Analytics existente o cree una nueva.
EnConfiguración avanzada deLog Analytics>, seleccione Datos. En Registros de eventos de Windows, agregue registros para recibir:
Microsoft-Windows-EDP-Application-Learning/Admin Microsoft-Windows-EDP-Audit-TCB/Admin
Nota
Si usa registros de eventos de Windows, los nombres del registro de eventos se pueden encontrar en Propiedades del evento en la carpeta Eventos (Registros de aplicaciones y servicios\Microsoft\Windows, haga clic en EDP-Audit-Regular y EDP-Audit-TCB).
Descargue Microsoft Monitoring Agent.
Para obtener MSI para Intune instalación, como se indica en el artículo de Azure Monitor, extraiga:
MMASetup-.exe /c /t:
Instale Microsoft Monitoring Agent en dispositivos WIP mediante el identificador de área de trabajo y la clave principal. Puede encontrar más información sobre el identificador del área de trabajo y la clave principal enConfiguración avanzada deLog Analytics>.
Para implementar MSI a través de Intune, en los parámetros de instalación, agregue:
/q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1
Nota
Reemplace <WORKSPACE_ID> & <WORKSPACE_KEY> recibidos del paso 5. En los parámetros de instalación, no coloque <WORKSPACE_ID> & <WORKSPACE_KEY> entre comillas ("" o "").
Una vez implementado el agente, los datos se recibirán en un plazo aproximado de 10 minutos.
Para buscar registros, vaya aRegistrosdel área> de trabajo de Log Analytics y escriba Evento en la búsqueda.
Ejemplo
Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"
Recursos adicionales
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de