Elemzés és központi jelentéskészítés az Azure Information Protectionhez
Megjegyzés:
Microsoft Information Protectiont keres? Az Azure Information Protection egyesített címkézési ügyfele jelenleg karbantartási módban van. Javasoljuk, hogy engedélyezze a Microsoft Information Protection beépített címkézését az Office 365-alkalmazásokhoz. További információ.
Ez a cikk azt ismerteti, hogyan használhatja a Microsoft Purview naplózási megoldását az Azure Information Protection Unified Labeling-ügyfélből létrehozott naplózási események megtekintésére. A Központi jelentéskészítéshez a Microsoft 365 egyesített naplózási naplója által kibocsátott naplózási események megtekinthetők a Tevékenységkezelőben, amely segíthet nyomon követni a szervezet adatainak besorolását és védelmét biztosító címkék bevezetését.
A naplózás lehetővé teszi a következő lépések elvégzését:
- Az Azure Information Protection-ügyfelek, az Azure Information Protection-szkennerek és a Felhőhöz készült Microsoft Defender-alkalmazások adatainak összesítése.
- Az auditesemények megtekintése a Microsoft 365 egységes naplójában és az Office 365 tevékenységnaplójában a szervezet számára.
- Naplóesemények lekérdezése, megtekintése és észlelése a Tevékenységkezelőben grafikus felülettel a megfelelőségi portálon.
Események naplózása a Microsoft 365 egyesített naplójából
Az AIP unified labeling client tartalmazza az Office bővítményt, a Scannert, a Windows Megjelenítőt, az ügyfél PowerShellt és a Windows Classify-and-Protect rendszerhéjbővítményt. Ezek az összetevők olyan naplózási eseményeket hoznak létre, amelyek megjelennek az Office 365 tevékenységnaplóiban, és lekérdezhetők az Office 365 Felügyeleti tevékenység API-val.
A naplózási események lehetővé teszik a rendszergazdák számára a következőt:
- Monitorozza a címkézett és védett dokumentumokat és e-maileket a szervezeten belül.
- A címkézett dokumentumokhoz és e-mailekhez való felhasználói hozzáférés figyelése és a dokumentumbesorolási változások nyomon követése.
Microsoft 365 egyesített naplózási napló eseményséma
Az alább felsorolt AIP-hez tartozó öt esemény (más néven "AuditLogRecordType") és az egyes események további részletei az API-referenciában találhatók.
Value | Tag neve | Leírás |
---|---|---|
93 | AipDiscover | Az Azure Information Protection (AIP) scanner eseményei. |
94 | AipSensitivityLabelAction | Az AIP bizalmassági címke eseményei. |
95 | AipProtectionAction | AIP védelmi események. |
96 | AipFileDeleted | AIP-fájltörlés eseményei. |
97 | AipHeartBeat | AIP szívverési események. |
Ezek az információk a szervezet Microsoft 365 egységes naplózási naplójában érhetők el, és megtekinthetők a Tevékenységkezelőben.
Naplózási események lekérdezése az Activity Explorerben
A tevékenységkezelő a Microsoft Purview megfelelőségi portál egy grafikus felület a Microsoft 365 egyesített naplójában kibocsátott naplózási események megtekintéséhez. A bérlő rendszergazdája beépített lekérdezésekkel állapíthatja meg, hogy a szervezet által implementált szabályzatok és vezérlők hatékonyak-e. A legfeljebb 30 napos rendelkezésre álló adatokkal a rendszergazda szűrőket állíthat be, és világosan láthatja, hogy mikor és hogyan kezelik a bizalmas adatokat a szervezeten belül.
Az AIP-specifikus tevékenységek megtekintéséhez a rendszergazda a következő szűrőkkel kezdheti:
- Tevékenység típusa:
- Címke alkalmazva
- Címke módosult
- A címke el lett távolítva
- Címkefájl olvasása
- Alkalmazás:
- Microsoft Azure Information Protection Word bővítmény
- Microsoft Azure Information Protection Excel bővítmény
- Microsoft Azure Information Protection PowerPoint-bővítmény
- Microsoft Azure Information Protection Outlook bővítmény
Előfordulhat, hogy a rendszergazda nem látja az összes beállítást a szűrőben, vagy további lehetőségeket is láthat; a szűrőértékek attól függenek, hogy a bérlő milyen tevékenységeket rögzít. A Tevékenységkezelővel kapcsolatos további információkért lásd:
A Microsoft Purview-nak az AIP Unified Labeling-ügyféltől gyűjtött és elküldött információk
A jelentések létrehozásához a végpontok a következő típusú információkat küldik el a Microsoft 365 egyesített naplózási naplójába:
A címkeművelet. Például állítson be egy címkét, módosítsa a címkét, adjon hozzá vagy távolítson el védelmet, automatikus és ajánlott címkéket.
A címke neve a címkeművelet előtt és után.
A szervezet bérlőazonosítója.
A felhasználói azonosító (e-mail-cím vagy UPN).
A felhasználó eszközének neve.
A felhasználó eszközének IP-címe.
A megfelelő folyamatnév, például outlook vagy msip.app.
A címkézést végző alkalmazás neve, például az Outlook vagy Fájlkezelő
Dokumentumok esetén: A címkézett dokumentumok elérési útja és fájlneve.
E-mailek esetén: Az e-mail tárgya és a címkével ellátott e-mailek feladója.
A tartalomban észlelt bizalmas (előre definiált és egyéni) információtípusok.
Az Azure Information Protection-ügyfél verziója.
Az ügyfél operációs rendszerének verziója.
Az AIP-ügyfelek naplózási adatok küldésének megakadályozása
Ha meg szeretné akadályozni, hogy az Azure Information Protection egyesített címkézési ügyfele naplózási adatokat küldjön, konfiguráljon egy speciális címkeszabályzat-beállítást.
Tartalom egyezések a mélyebb elemzéshez
Az Azure Information Protection lehetővé teszi a bizalmas információtípusként (előre definiált vagy egyéni) azonosított adatok gyűjtését és tárolását. Ez lehet például a talált hitelkártyaszámok, valamint a társadalombiztosítási számok, az útlevélszámok és a bankszámlaszámok. A tartalom egyezések akkor jelennek meg, ha kiválaszt egy bejegyzést a tevékenységnaplókból, és megtekinti a Tevékenység részletei lehetőséget.
Alapértelmezés szerint az Azure Information Protection-ügyfelek nem küldenek tartalmi egyezéseket. Ha módosítani szeretné ezt a viselkedést a tartalom egyezések elküldése érdekében, konfiguráljon egy speciális beállítást egy címkeszabályzatban.
Előfeltételek
A naplózási események alapértelmezés szerint engedélyezve vannak a szervezet számára. A Microsoft Purview naplózási eseményeinek megtekintéséhez tekintse át az alapszintű és a naplózási (Prémium) megoldások licencelési követelményeit .
Következő lépések
A jelentésekben szereplő információk áttekintése után érdemes lehet többet megtudni arról, hogyan konfigurálhatja a Microsoft Purview naplózási megoldását a szervezet számára.
- Megtudhatja, hogyan exportálhat naplózási eseményeket a Microsoft 365 egyesített naplózási naplójából egy Azure Log Analytics-munkaterületre az AIP-naplózási exportálással a GitHubon.
- Az AIP Unified Labeling-ügyfél naplózási és jelentéskészítési Rendszergazda útmutatója a Microsoft Purview naplózási megoldásának részletes bemutatása érdekében.
- Tekintse át a védelmi használati naplók dokumentációját a Rights Management Szolgáltatásból létrehozott fájlhozzáférés és a letiltott események esetében. Ezeket az eseményeket az Azure Information Protection Egyesített címkézési ügyfélprogramból létrehozott eseményektől elkülönítve kezeljük.
- A bizalmassági címkékkel kapcsolatos Microsoft 365-dokumentációból megtudhatja, hogyan módosíthatja a címkézési szabályzatot a megfelelőségi portálon.