Megosztás a következőn keresztül:


Az Azure Information Protection védelmi használatának naplózása és elemzése

Feljegyzés

Microsoft Purview információvédelem, korábban Microsoft Information Protection (MIP) szolgáltatást keres?

Az Azure Information Protection bővítmény ki van állítva, és a Microsoft 365-alkalmazásokba és -szolgáltatásokba beépített címkékre cserélődik. További információ a többi Azure Information Protection-összetevő támogatási állapotáról.

A Microsoft Purview információvédelem ügyfél (a bővítmény nélkül) általánosan elérhető.

A jelen cikkben foglalt információk segítségével megismerheti, hogyan használhatja az Azure Information Protection védelmi szolgáltatásának (Azure Rights Management) használatára irányuló naplózási szolgáltatást. Ez a védelmi szolgáltatás látja el adatvédelemmel a szervezet dokumentumait és e-mailjeit, és a felé irányuló kérések mindegyikét képes naplózni. Ezek a kérések közé tartozik a dokumentumok és az e-mailek védelme, valamint a tartalom felhasználása, a rendszergazdák által a szolgáltatáshoz végzett műveletek, valamint a Microsoft-operátorok által az Azure Information Protection üzembe helyezésének támogatása érdekében végrehajtott műveletek.

Ezeket a védelmi használati naplókat a következő üzleti forgatókönyvek támogatásához használhatja:

  • Elemzés üzleti elemzésekhez

    A védelmi szolgáltatás által létrehozott naplók importálhatók egy tetszőleges adattárba (például adatbázisba, online elemzési (OLAP- vagy térkép-csökkentési rendszerbe) az információk elemzéséhez és jelentések készítéséhez. Példaként azonosíthatja, hogy ki fér hozzá a védett adatokhoz. Meghatározhatja, hogy mely védett adatokhoz férnek hozzá a felhasználók, és hogy milyen eszközökről és honnan. Megtudhatja, hogy a felhasználók képesek-e sikeresen olvasni a védett tartalmakat. Azt is megállapíthatja, hogy mely személyek olvasták a védett fontos dokumentumokat.

  • Visszaélés monitorozása

    A védelmi szolgáltatással kapcsolatos naplózási információk közel valós időben érhetők el, így folyamatosan monitorozhatja a vállalat védelmi szolgáltatásának használatát. A naplók 99,9%-a a szolgáltatás által kezdeményezett művelet után 15 percen belül érhető el.

    Előfordulhat például, hogy riasztást szeretne kapni, ha hirtelen megnő a védett adatokat a szokásos munkaidőn kívül olvasó személyek száma, ami azt jelezheti, hogy egy rosszindulatú felhasználó adatokat gyűjt a versenytársaknak való értékesítéshez. Vagy ha ugyanaz a felhasználó látszólag két különböző IP-címről fér hozzá az adatokhoz rövid időn belül, ami azt jelezheti, hogy egy felhasználói fiók sérült.

  • Törvényszéki elemzés végrehajtása

    Ha információszivárgás történt, valószínűleg megkérdezik, hogy ki fért hozzá a közelmúltban bizonyos dokumentumokhoz, és hogy a gyanús személy milyen információkhoz fért hozzá a közelmúltban. Az ilyen típusú kérdésekre a naplózás használatakor válaszolhat, mert a védett tartalmakat használó személyeknek mindig rights Management-licenccel kell rendelkezniük az Azure Information Protection által védett dokumentumok és képek megnyitásához, még akkor is, ha e-mailben áthelyezik ezeket a fájlokat, vagy USB-meghajtókra vagy más tárolóeszközökre másolják őket. Ez azt jelenti, hogy ezeket a naplókat végleges információforrásként használhatja a törvényszéki elemzéshez, amikor az Azure Information Protection használatával védi az adatokat.

A használati naplózás mellett a következő naplózási lehetőségek is rendelkezésre állnak:

Naplózási lehetőség Leírás
Rendszergazda napló Naplózza a védelmi szolgáltatás felügyeleti feladatait. Ha például a szolgáltatás inaktiválva van, amikor a felügyelői funkció engedélyezve van, és amikor a felhasználók rendszergazdai engedélyeket kapnak a szolgáltatáshoz.

További információt a Get-AipService Rendszergazda Log PowerShell-parancsmagban talál.
Dokumentumkövetés Lehetővé teszi, hogy a felhasználók nyomon kövessék és visszavonják az Azure Information Protection-ügyféllel nyomon követett dokumentumaikat. A globális rendszergazdák a felhasználók nevében is nyomon követhetik ezeket a dokumentumokat.

További információ: Az Azure Information Protection dokumentumkövetésének konfigurálása és használata.
Ügyfélesemény-naplók Az Azure Information Protection-ügyfél használati tevékenysége, naplózva a helyi Windows-alkalmazások és szolgáltatások eseménynaplójában, az Azure Information Protectionben.

További információ: Az Azure Information Protection-ügyfél használati naplózása.
Ügyfél naplófájljai Az Azure Information Protection-ügyfél naplóinak hibaelhárítása a következő helyen található: %localappdata%\Microsoft\MSIP.

Ezek a fájlok Microsoft ügyfélszolgálata.

Emellett az Azure Information Protection-ügyfél használati naplóiból és az Azure Information Protection scannerből származó információk összegyűjtése és összesítése a jelentések Azure Portalon való létrehozásához történik. További információ: Reporting for Azure Information Protection.

A védelmi szolgáltatás használati naplózásával kapcsolatos további információkért tekintse meg az alábbi szakaszokat.

Naplózás engedélyezése a védelmi használathoz

A védelmi használat naplózása alapértelmezés szerint minden ügyfél számára engedélyezve van.

A naplótárolás és a naplózási funkció funkciói nem járnak többletköltséggel.

A védelmi használati naplók elérése és használata

Az Azure Information Protection blobok sorozataként írja a naplókat egy Azure Storage-fiókba, amelyet automatikusan létrehoz a bérlő számára. Minden blob egy vagy több naplórekordot tartalmaz, W3C kiterjesztett naplóformátumban. A blobnevek számok, a létrehozásuk sorrendjében. A Azure Tartalomvédelmi szolgáltatások használati naplók értelmezése a dokumentum későbbi részében további információt tartalmaz a napló tartalmáról és létrehozásáról.

Egy védelmi művelet után eltarthat egy ideig, amíg a naplók megjelennek a tárfiókban. A legtöbb napló 15 percen belül megjelenik. A használati naplók csak akkor érhetők el, ha a "dátum" mező neve egy előző dátum értékét tartalmazza (UTC-időpontban). Az aktuális dátumból származó használati naplók nem érhetők el. Javasoljuk, hogy töltse le a naplókat helyi tárolóba, például helyi mappába, adatbázisba vagy térkép-csökkentési adattárba.

A használati naplók letöltéséhez az Azure Information Protection AIPService PowerShell modulját fogja használni. A telepítési utasításokért tekintse meg az AIPService PowerShell-modul telepítését ismertető cikket.

A használati naplók letöltése a PowerShell használatával

  1. Indítsa el a Windows PowerShellt a Futtatás rendszergazdaként beállítással, és az Csatlakozás-AipService parancsmaggal csatlakozzon az Azure Information Protectionhez:

    Connect-AipService
    
  2. Futtassa a következő parancsot egy adott dátum naplóinak letöltéséhez:

    Get-AipServiceUserLog -Path <location> -fordate <date>
    

    Például miután létrehozott egy Naplók nevű mappát az E: meghajtón:

    • Egy adott dátum naplóinak letöltéséhez (például 2016.02.01.) futtassa a következő parancsot: Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016

    • Egy dátumtartomány naplóinak letöltéséhez (például 2016. 02. 1. és 2016. 02. 14. között) futtassa a következő parancsot: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016

Ha csak a napot adja meg, ahogyan a példánkban is látható, az idő a helyi idő szerint 00:00:00 lesz, majd UTC-vé alakul. Ha -fromdate vagy -todate paraméterekkel (például -fordate "2016.02.01. 15:00:00" időpontot) ad meg egy időpontot, a dátum és az idő UTC-vé lesz konvertálva. A Get-AipServiceUserLog parancs ezután lekéri az adott UTC-időszakra vonatkozó naplókat.

Legfeljebb egy teljes napot adhat meg a letöltéshez.

Ez a parancsmag alapértelmezés szerint három szálat használ a naplók letöltéséhez. Ha elegendő hálózati sávszélessége van, és csökkenteni szeretné a naplók letöltéséhez szükséges időt, használja a -NumberOfThreads paramétert, amely 1 és 32 közötti értéket támogat. Ha például a következő parancsot futtatja, a parancsmag 10 szálat hoz létre a naplók letöltéséhez: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10

Tipp.

Az összes letöltött naplófájlt CSV formátumban összesítheti a Microsoft Log Parser használatával, amely a különböző jól ismert naplóformátumok közötti konvertálást lehetővé tató eszköz. Ezzel az eszközzel sysLOG formátumba is konvertálhatja az adatokat, vagy importálhatja őket egy adatbázisba. Az eszköz telepítése után futtassa LogParser.exe /? az eszköz használatához szükséges súgót és információkat.

A következő parancs futtatásával például az összes információt .log fájlformátumba importálhatja: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"

A használati naplók értelmezése

Az alábbi információk segítségével értelmezheti a védelmi használati naplókat.

A naplósorozat

Az Azure Information Protection blobok sorozataként írja a naplókat.

A napló minden bejegyzése UTC időbélyeget tartalmaz. Mivel a védelmi szolgáltatás több kiszolgálón fut több adatközpontban, előfordulhat, hogy a naplók sorrendje nem megfelelő, még akkor is, ha az időbélyeg alapján vannak rendezve. A különbség azonban kicsi, és általában egy percen belül van. A legtöbb esetben ez nem olyan probléma, amely problémát jelentene a naplóelemzéshez.

A blobformátum

Minden blob W3C kiterjesztett naplóformátumban van. A következő két sorból indul ki:

#Software: RMS

#Version: 1.1

Az első sor azonosítja, hogy ezek az Azure Information Protection védelmi naplói. A második sor azt azonosítja, hogy a blob többi része az 1.1-es verzió specifikációját követi. Javasoljuk, hogy minden olyan alkalmazás, amely elemzi ezeket a naplókat, ellenőrizze ezt a két sort, mielőtt folytatná a blob további elemzését.

A harmadik sor tabulátorokkal elválasztott mezőnevek listáját sorolja fel:

#Fields: dátumidő sorazonosító kérés típusú felhasználó-azonosító eredménye korrelációs azonosító tartalom-azonosító tulajdonos-e-mail kiállító sablon-id fájlnév dátum-közzétett c-info c-ip admin-action acting-as-user

A következő sorok mindegyike naplórekord. A mezők értékei ugyanabban a sorrendben vannak, mint az előző sorban, és tabulátorokkal vannak elválasztva. A mezők értelmezéséhez használja az alábbi táblázatot.

Mezőnév W3C-adattípus Leírás Példaérték
Dátum Dátum A kérelem kézbesítésének UTC-dátuma.

A forrás a kérést kiszolgáló helyi óra.
2013-06-25
Idő Idő UTC idő 24 órás formátumban, amikor a kérést kézbesítették.

A forrás a kérést kiszolgáló helyi óra.
21:59:28
sorazonosító Szöveg A naplórekord egyedi GUID azonosítója. Ha egy érték nincs jelen, használja a korrelációs azonosítót a bejegyzés azonosításához.

Ez az érték akkor hasznos, ha naplókat összesít, vagy más formátumba másolja a naplókat.
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63
kérelemtípus Név A kért RMS API neve. AcquireLicense
felhasználó-azonosító Sztring A kérést végrehajtó felhasználó.

Az érték egyetlen idézőjelben van megadva. Az Ön által felügyelt bérlőkulcsból (BYOK) érkező hívások értéke ", amely akkor is érvényes, ha a kéréstípusok névtelenek.
'joe@contoso.com'
Eredmény Sztring "Sikeres", ha a kérés kézbesítése sikeres volt.

A hibatípus egy idézőjelben jelenik meg, ha a kérés sikertelen volt.
"Siker"
korrelációs azonosító Szöveg GUID, amely az RMS-ügyfélnapló és a kiszolgálónapló között gyakori egy adott kéréshez.

Ez az érték hasznos lehet az ügyfélproblémák elhárításához.
cab52088-8925-4371-be34-4b71a3112356
content-id Szöveg GUID, kapcsos zárójelek közé zárva, amely azonosítja a védett tartalmat (például egy dokumentumot).

Ez a mező csak akkor rendelkezik értékkel, ha a kérelem típusa AcquireLicense, és az összes többi kérelemtípus esetében üres.
{bb4af47b-cfed-4719-831d-71b98191a4f2}
tulajdonosi e-mail Sztring A dokumentum tulajdonosának e-mail-címe.

Ez a mező üres, ha a kérelem típusa RevokeAccess.
alice@contoso.com
Kibocsátó Sztring A dokumentum kiállítójának e-mail-címe.

Ez a mező üres, ha a kérelem típusa RevokeAccess.
alice@contoso.com (vagy) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com'
sablonazonosító Sztring A dokumentum védelméhez használt sablon azonosítója.

Ez a mező üres, ha a kérelem típusa RevokeAccess.
{6d9371a6-4e2d-4e97-9a38-202233fed26e}
fájlnév Sztring Védett dokumentum fájlneve, amelyet a WindowsHoz készült Azure Information Protection-ügyféllel követnek nyomon.

Jelenleg egyes fájlok (például office-dokumentumok) a tényleges fájlnév helyett grafikus felhasználói felületként jelennek meg.

Ez a mező üres, ha a kérelem típusa RevokeAccess.
TopSecretDocument.docx
közzététel dátuma Dátum A dokumentum védelmének dátuma.

Ez a mező üres, ha a kérelem típusa RevokeAccess.
2015-10-15T21:37:00
c-info Sztring A kérést küldő ügyfélplatform adatai.

Az adott sztring az alkalmazástól (például az operációs rendszertől vagy a böngészőtől) függően változik.
"MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64'
c-ip Cím A kérést küldő ügyfél IP-címe. 64.51.202.144
rendszergazdai művelet Bool Azt jelzi, hogy egy rendszergazda Rendszergazda istrator módban fért-e hozzá a dokumentumkövetési webhelyhez. Igaz
felhasználóként eljárva Sztring Annak a felhasználónak az e-mail-címe, akinek a rendszergazdája hozzáfér a dokumentumkövetési webhelyhez. 'joe@contoso.com'

Kivételek a felhasználóazonosító mezőhöz

Bár a felhasználóazonosító mező általában a kérést végrehajtó felhasználót jelzi, két kivétel van, amikor az érték nem valós felhasználóra van megfeleltetve:

  • Az " microsoftrmsonline@<YourTenantID.rms>.<region.aadrm.com>".

    Ez azt jelzi, hogy egy Office 365-szolgáltatás, például az Exchange Online vagy a Microsoft SharePoint küldi el a kérést. A sztringben a YourTenantID a bérlő GUID azonosítója, <a< régió pedig az a régió>, ahol a bérlő regisztrálva van.> Az na például Észak-Amerika, az EU Európát, az ap pedig Ázsiát képviseli.

  • Ha AZ RMS-összekötőt használja.

    Az összekötőtől érkező kéréseket a rendszer a Aadrm_S-1-7-0 szolgáltatásnévvel naplózza, amely az RMS-összekötő telepítésekor automatikusan létrejön.

Tipikus kéréstípusok

A védelmi szolgáltatáshoz számos kéréstípus létezik, de az alábbi táblázat a leggyakrabban használt kéréstípusok némelyikét azonosítja.

Kérelemtípus Leírás
AcquireLicense Egy Windows-alapú számítógépről származó ügyfél licencet kér a védett tartalomhoz.
AcquirePreLicense Az ügyfél a felhasználó nevében kér licencet a védett tartalomhoz.
AcquireTemplates A sablonazonosítókon alapuló sablonok beszerzésére irányuló hívás történt
AcquireTemplateInformation Hívás történt a sablon azonosítóinak lekérésére a szolgáltatásból.
AddTemplate Az Azure Portalról egy sablon hozzáadására irányuló hívás történik.
AllDocsCsv A dokumentumkövetési webhelyről hívás történik a CSV-fájl letöltésére az Összes dokumentum lapról.
BECreateEndUserLicenseV1 A rendszer egy mobileszközről kezdeményezi a végfelhasználói licenc létrehozását.
BEGetAllTemplatesV1 A rendszer egy mobileszközről (háttérrendszerből) indít hívást az összes sablon lekéréséhez.
Igazolja Az ügyfél minősíti a felhasználót a védett tartalom felhasználására és létrehozására.
FECreateEndUserLicenseV1 Hasonló a AcquireLicense kéréshez, de mobileszközökről.
FECreatePublishingLicenseV1 Ugyanaz, mint a Minősítés és a GetClientLicensorCert kombinálva, mobilügyfelekből.
FEGetAllTemplates A sablonok lekérése mobileszközről (előtérről) történik.
FindServiceLocationsForUser Hívás történik az URL-címek lekérdezésére, amely a Minősítés vagy az AcquireLicense meghívására szolgál.
GetClientLicensorCert Az ügyfél közzétételi tanúsítványt kér (amelyet később a tartalom védelmére használnak) egy Windows-alapú számítógépről.
GetConfiguration A rendszer meghív egy Azure PowerShell-parancsmagot az Azure RMS-bérlő konfigurációjának lekéréséhez.
Get Csatlakozás orAuthorizations Az RMS-összekötők hívást kezdeményeznek, hogy lekérjék a konfigurációjukat a felhőből.
GetRecipients A dokumentumkövetési webhelyről hívást kezdeményeznek, hogy egyetlen dokumentum listanézetére navigáljanak.
GetTenantFunctionalState Az Azure Portal ellenőrzi, hogy a védelmi szolgáltatás (Azure Tartalomvédelmi szolgáltatások) aktiválva van-e.
KeyVaultDecryptRequest Az ügyfél megpróbálja visszafejteni az RMS által védett tartalmat. Csak ügyfél által felügyelt bérlőkulcsra (BYOK) alkalmazható az Azure Key Vaultban.
KeyVaultGetKeyInfoRequest A rendszer hívást indít annak ellenőrzésére, hogy az Azure Information Protection-bérlőkulcshoz az Azure Key Vaultban való használatra megadott kulcs elérhető-e, és még nincs-e használatban.
KeyVaultSignDigest Hívás akkor történik, ha az Azure Key Vaultban egy ügyfél által felügyelt kulcsot (BYOK) használnak aláírási célokra. Ezt általában egyszer nevezik AcquireLicence (vagy FECreateEndUserLicenseV1), Certify és GetClientLicensorCert (vagy FECreatePublishingLicenseV1).
KMSPDecrypt Az ügyfél megpróbálja visszafejteni az RMS által védett tartalmat. Csak örökölt, ügyfél által felügyelt bérlőkulcsra (BYOK) alkalmazható.
KMSPSignDigest Hívás akkor történik, ha egy örökölt, ügyfél által felügyelt kulcsot (BYOK) használnak aláírási célokra. Ezt általában egyszer nevezik AcquireLicence (vagy FECreateEndUserLicenseV1), Certify és GetClientLicensorCert (vagy FECreatePublishingLicenseV1).
ServerCertify Egy RMS-kompatibilis ügyfél (például a SharePoint) hívása történik a kiszolgáló minősítéséhez.
SetUsageLogFeatureState A rendszer hívást kezdeményez a használat naplózásának engedélyezésére.
SetUsageLogStorageAccount Hívás történik a Azure Tartalomvédelmi szolgáltatások szolgáltatásnaplók helyének megadására.
UpdateTemplate Az Azure Portal egy meglévő sablon frissítésére irányuló hívást kezdeményez.

Védelmi használati naplók és a Microsoft 365 egységes naplója

A fájlhozzáférés és a megtagadott események jelenleg nem tartalmazzák a fájlnevet, és nem érhetők el a Microsoft 365 egyesített naplózási naplójában. Ezek az események önállóan is hasznosak lesznek, és egy későbbi időpontban hozzáadhatók a Rights Management szolgáltatáshoz.

PowerShell-dokumentáció

Az egyetlen PowerShell-parancsmag, amelyhez hozzá kell férnie a védelmi használat naplózásához, a Get-AipServiceUserLog.

Az Azure Information Protectionhez készült PowerShell használatával kapcsolatos további információkért tekintse meg Rendszergazda Védelem regisztrálása az Azure Information Protectionből a PowerShell használatával című témakört.