Megosztás a következőn keresztül:


Elemzés és központi jelentéskészítés az Azure Information Protectionhez

Megjegyzés:

Microsoft Information Protectiont keres? Az Azure Information Protection egyesített címkézési ügyfele jelenleg karbantartási módban van. Javasoljuk, hogy engedélyezze a Microsoft Information Protection beépített címkézését az Office 365-alkalmazásokhoz. További információ.

Ez a cikk azt ismerteti, hogyan használhatja a Microsoft Purview naplózási megoldását az Azure Information Protection Unified Labeling-ügyfélből létrehozott naplózási események megtekintésére. A Központi jelentéskészítéshez a Microsoft 365 egyesített naplózási naplója által kibocsátott naplózási események megtekinthetők a Tevékenységkezelőben, amely segíthet nyomon követni a szervezet adatainak besorolását és védelmét biztosító címkék bevezetését.

A naplózás lehetővé teszi a következő lépések elvégzését:

  • Az Azure Information Protection-ügyfelek, az Azure Information Protection-szkennerek és a Felhőhöz készült Microsoft Defender-alkalmazások adatainak összesítése.
  • Az auditesemények megtekintése a Microsoft 365 egységes naplójában és az Office 365 tevékenységnaplójában a szervezet számára.
  • Naplóesemények lekérdezése, megtekintése és észlelése a Tevékenységkezelőben grafikus felülettel a megfelelőségi portálon.

Események naplózása a Microsoft 365 egyesített naplójából

Az AIP unified labeling client tartalmazza az Office bővítményt, a Scannert, a Windows Megjelenítőt, az ügyfél PowerShellt és a Windows Classify-and-Protect rendszerhéjbővítményt. Ezek az összetevők olyan naplózási eseményeket hoznak létre, amelyek megjelennek az Office 365 tevékenységnaplóiban, és lekérdezhetők az Office 365 Felügyeleti tevékenység API-val.

A naplózási események lehetővé teszik a rendszergazdák számára a következőt:

  • Monitorozza a címkézett és védett dokumentumokat és e-maileket a szervezeten belül.
  • A címkézett dokumentumokhoz és e-mailekhez való felhasználói hozzáférés figyelése és a dokumentumbesorolási változások nyomon követése.

Microsoft 365 egyesített naplózási napló eseményséma

Az alább felsorolt AIP-hez tartozó öt esemény (más néven "AuditLogRecordType") és az egyes események további részletei az API-referenciában találhatók.

Value Tag neve Leírás
93 AipDiscover Az Azure Information Protection (AIP) scanner eseményei.
94 AipSensitivityLabelAction Az AIP bizalmassági címke eseményei.
95 AipProtectionAction AIP védelmi események.
96 AipFileDeleted AIP-fájltörlés eseményei.
97 AipHeartBeat AIP szívverési események.

Ezek az információk a szervezet Microsoft 365 egységes naplózási naplójában érhetők el, és megtekinthetők a Tevékenységkezelőben.

Naplózási események lekérdezése az Activity Explorerben

image

A tevékenységkezelő a Microsoft Purview megfelelőségi portál egy grafikus felület a Microsoft 365 egyesített naplójában kibocsátott naplózási események megtekintéséhez. A bérlő rendszergazdája beépített lekérdezésekkel állapíthatja meg, hogy a szervezet által implementált szabályzatok és vezérlők hatékonyak-e. A legfeljebb 30 napos rendelkezésre álló adatokkal a rendszergazda szűrőket állíthat be, és világosan láthatja, hogy mikor és hogyan kezelik a bizalmas adatokat a szervezeten belül.

Az AIP-specifikus tevékenységek megtekintéséhez a rendszergazda a következő szűrőkkel kezdheti:

  • Tevékenység típusa:
    • Címke alkalmazva
    • Címke módosult
    • A címke el lett távolítva
    • Címkefájl olvasása
  • Alkalmazás:
    • Microsoft Azure Information Protection Word bővítmény
    • Microsoft Azure Information Protection Excel bővítmény
    • Microsoft Azure Information Protection PowerPoint-bővítmény
    • Microsoft Azure Information Protection Outlook bővítmény

Előfordulhat, hogy a rendszergazda nem látja az összes beállítást a szűrőben, vagy további lehetőségeket is láthat; a szűrőértékek attól függenek, hogy a bérlő milyen tevékenységeket rögzít. A Tevékenységkezelővel kapcsolatos további információkért lásd:

A Microsoft Purview-nak az AIP Unified Labeling-ügyféltől gyűjtött és elküldött információk

A jelentések létrehozásához a végpontok a következő típusú információkat küldik el a Microsoft 365 egyesített naplózási naplójába:

  • A címkeművelet. Például állítson be egy címkét, módosítsa a címkét, adjon hozzá vagy távolítson el védelmet, automatikus és ajánlott címkéket.

  • A címke neve a címkeművelet előtt és után.

  • A szervezet bérlőazonosítója.

  • A felhasználói azonosító (e-mail-cím vagy UPN).

  • A felhasználó eszközének neve.

  • A felhasználó eszközének IP-címe.

  • A megfelelő folyamatnév, például outlook vagy msip.app.

  • A címkézést végző alkalmazás neve, például az Outlook vagy Fájlkezelő

  • Dokumentumok esetén: A címkézett dokumentumok elérési útja és fájlneve.

  • E-mailek esetén: Az e-mail tárgya és a címkével ellátott e-mailek feladója.

  • A tartalomban észlelt bizalmas (előre definiált és egyéni) információtípusok.

  • Az Azure Information Protection-ügyfél verziója.

  • Az ügyfél operációs rendszerének verziója.

Az AIP-ügyfelek naplózási adatok küldésének megakadályozása

Ha meg szeretné akadályozni, hogy az Azure Information Protection egyesített címkézési ügyfele naplózási adatokat küldjön, konfiguráljon egy speciális címkeszabályzat-beállítást.

Tartalom egyezések a mélyebb elemzéshez

Az Azure Information Protection lehetővé teszi a bizalmas információtípusként (előre definiált vagy egyéni) azonosított adatok gyűjtését és tárolását. Ez lehet például a talált hitelkártyaszámok, valamint a társadalombiztosítási számok, az útlevélszámok és a bankszámlaszámok. A tartalom egyezések akkor jelennek meg, ha kiválaszt egy bejegyzést a tevékenységnaplókból, és megtekinti a Tevékenység részletei lehetőséget.

Alapértelmezés szerint az Azure Information Protection-ügyfelek nem küldenek tartalmi egyezéseket. Ha módosítani szeretné ezt a viselkedést a tartalom egyezések elküldése érdekében, konfiguráljon egy speciális beállítást egy címkeszabályzatban.

Előfeltételek

A naplózási események alapértelmezés szerint engedélyezve vannak a szervezet számára. A Microsoft Purview naplózási eseményeinek megtekintéséhez tekintse át az alapszintű és a naplózási (Prémium) megoldások licencelési követelményeit .

Következő lépések

A jelentésekben szereplő információk áttekintése után érdemes lehet többet megtudni arról, hogyan konfigurálhatja a Microsoft Purview naplózási megoldását a szervezet számára.

  • Megtudhatja, hogyan exportálhat naplózási eseményeket a Microsoft 365 egyesített naplózási naplójából egy Azure Log Analytics-munkaterületre az AIP-naplózási exportálással a GitHubon.
  • Az AIP Unified Labeling-ügyfél naplózási és jelentéskészítési Rendszergazda útmutatója a Microsoft Purview naplózási megoldásának részletes bemutatása érdekében.
  • Tekintse át a védelmi használati naplók dokumentációját a Rights Management Szolgáltatásból létrehozott fájlhozzáférés és a letiltott események esetében. Ezeket az eseményeket az Azure Information Protection Egyesített címkézési ügyfélprogramból létrehozott eseményektől elkülönítve kezeljük.
  • A bizalmassági címkékkel kapcsolatos Microsoft 365-dokumentációból megtudhatja, hogyan módosíthatja a címkézési szabályzatot a megfelelőségi portálon.