Az Azure Information Protection védelmi használatának naplózása és elemzése
Feljegyzés
Microsoft Purview információvédelem, korábban Microsoft Information Protection (MIP) szolgáltatást keres?
Az Azure Information Protection bővítmény ki van állítva, és a Microsoft 365-alkalmazásokba és -szolgáltatásokba beépített címkékre cserélődik. További információ a többi Azure Information Protection-összetevő támogatási állapotáról.
A Microsoft Purview információvédelem ügyfél (a bővítmény nélkül) általánosan elérhető.
A jelen cikkben foglalt információk segítségével megismerheti, hogyan használhatja az Azure Information Protection védelmi szolgáltatásának (Azure Rights Management) használatára irányuló naplózási szolgáltatást. Ez a védelmi szolgáltatás látja el adatvédelemmel a szervezet dokumentumait és e-mailjeit, és a felé irányuló kérések mindegyikét képes naplózni. Ezek a kérések közé tartozik a dokumentumok és az e-mailek védelme, valamint a tartalom felhasználása, a rendszergazdák által a szolgáltatáshoz végzett műveletek, valamint a Microsoft-operátorok által az Azure Information Protection üzembe helyezésének támogatása érdekében végrehajtott műveletek.
Ezeket a védelmi használati naplókat a következő üzleti forgatókönyvek támogatásához használhatja:
Elemzés üzleti elemzésekhez
A védelmi szolgáltatás által létrehozott naplók importálhatók egy tetszőleges adattárba (például adatbázisba, online elemzési (OLAP- vagy térkép-csökkentési rendszerbe) az információk elemzéséhez és jelentések készítéséhez. Példaként azonosíthatja, hogy ki fér hozzá a védett adatokhoz. Meghatározhatja, hogy mely védett adatokhoz férnek hozzá a felhasználók, és hogy milyen eszközökről és honnan. Megtudhatja, hogy a felhasználók képesek-e sikeresen olvasni a védett tartalmakat. Azt is megállapíthatja, hogy mely személyek olvasták a védett fontos dokumentumokat.
Visszaélés monitorozása
A védelmi szolgáltatással kapcsolatos naplózási információk közel valós időben érhetők el, így folyamatosan monitorozhatja a vállalat védelmi szolgáltatásának használatát. A naplók 99,9%-a a szolgáltatás által kezdeményezett művelet után 15 percen belül érhető el.
Előfordulhat például, hogy riasztást szeretne kapni, ha hirtelen megnő a védett adatokat a szokásos munkaidőn kívül olvasó személyek száma, ami azt jelezheti, hogy egy rosszindulatú felhasználó adatokat gyűjt a versenytársaknak való értékesítéshez. Vagy ha ugyanaz a felhasználó látszólag két különböző IP-címről fér hozzá az adatokhoz rövid időn belül, ami azt jelezheti, hogy egy felhasználói fiók sérült.
Törvényszéki elemzés végrehajtása
Ha információszivárgás történt, valószínűleg megkérdezik, hogy ki fért hozzá a közelmúltban bizonyos dokumentumokhoz, és hogy a gyanús személy milyen információkhoz fért hozzá a közelmúltban. Az ilyen típusú kérdésekre a naplózás használatakor válaszolhat, mert a védett tartalmakat használó személyeknek mindig rights Management-licenccel kell rendelkezniük az Azure Information Protection által védett dokumentumok és képek megnyitásához, még akkor is, ha e-mailben áthelyezik ezeket a fájlokat, vagy USB-meghajtókra vagy más tárolóeszközökre másolják őket. Ez azt jelenti, hogy ezeket a naplókat végleges információforrásként használhatja a törvényszéki elemzéshez, amikor az Azure Information Protection használatával védi az adatokat.
A használati naplózás mellett a következő naplózási lehetőségek is rendelkezésre állnak:
| Naplózási lehetőség | Leírás |
|---|---|
| Rendszergazda napló | Naplózza a védelmi szolgáltatás felügyeleti feladatait. Ha például a szolgáltatás inaktiválva van, amikor a felügyelői funkció engedélyezve van, és amikor a felhasználók rendszergazdai engedélyeket kapnak a szolgáltatáshoz. További információt a Get-AipService Rendszergazda Log PowerShell-parancsmagban talál. |
| Dokumentumkövetés | Lehetővé teszi, hogy a felhasználók nyomon kövessék és visszavonják az Azure Information Protection-ügyféllel nyomon követett dokumentumaikat. A globális rendszergazdák a felhasználók nevében is nyomon követhetik ezeket a dokumentumokat. További információ: Az Azure Information Protection dokumentumkövetésének konfigurálása és használata. |
| Ügyfélesemény-naplók | Az Azure Information Protection-ügyfél használati tevékenysége, naplózva a helyi Windows-alkalmazások és szolgáltatások eseménynaplójában, az Azure Information Protectionben. További információ: Az Azure Information Protection-ügyfél használati naplózása. |
| Ügyfél naplófájljai | Az Azure Information Protection-ügyfél naplóinak hibaelhárítása a következő helyen található: %localappdata%\Microsoft\MSIP. Ezek a fájlok Microsoft ügyfélszolgálata. |
Emellett az Azure Information Protection-ügyfél használati naplóiból és az Azure Information Protection scannerből származó információk összegyűjtése és összesítése a jelentések Azure Portalon való létrehozásához történik. További információ: Reporting for Azure Information Protection.
A védelmi szolgáltatás használati naplózásával kapcsolatos további információkért tekintse meg az alábbi szakaszokat.
Naplózás engedélyezése a védelmi használathoz
A védelmi használat naplózása alapértelmezés szerint minden ügyfél számára engedélyezve van.
A naplótárolás és a naplózási funkció funkciói nem járnak többletköltséggel.
A védelmi használati naplók elérése és használata
Az Azure Information Protection blobok sorozataként írja a naplókat egy Azure Storage-fiókba, amelyet automatikusan létrehoz a bérlő számára. Minden blob egy vagy több naplórekordot tartalmaz, W3C kiterjesztett naplóformátumban. A blobnevek számok, a létrehozásuk sorrendjében. A Azure Tartalomvédelmi szolgáltatások használati naplók értelmezése a dokumentum későbbi részében további információt tartalmaz a napló tartalmáról és létrehozásáról.
Egy védelmi művelet után eltarthat egy ideig, amíg a naplók megjelennek a tárfiókban. A legtöbb napló 15 percen belül megjelenik. A használati naplók csak akkor érhetők el, ha a "dátum" mező neve egy előző dátum értékét tartalmazza (UTC-időpontban). Az aktuális dátumból származó használati naplók nem érhetők el. Javasoljuk, hogy töltse le a naplókat helyi tárolóba, például helyi mappába, adatbázisba vagy térkép-csökkentési adattárba.
A használati naplók letöltéséhez az Azure Information Protection AIPService PowerShell modulját fogja használni. A telepítési utasításokért tekintse meg az AIPService PowerShell-modul telepítését ismertető cikket.
A használati naplók letöltése a PowerShell használatával
Indítsa el a Windows PowerShellt a Futtatás rendszergazdaként beállítással, és az Csatlakozás-AipService parancsmaggal csatlakozzon az Azure Information Protectionhez:
Connect-AipServiceFuttassa a következő parancsot egy adott dátum naplóinak letöltéséhez:
Get-AipServiceUserLog -Path <location> -fordate <date>Például miután létrehozott egy Naplók nevű mappát az E: meghajtón:
Egy adott dátum naplóinak letöltéséhez (például 2016.02.01.) futtassa a következő parancsot:
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016Egy dátumtartomány naplóinak letöltéséhez (például 2016. 02. 1. és 2016. 02. 14. között) futtassa a következő parancsot:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016
Ha csak a napot adja meg, ahogyan a példánkban is látható, az idő a helyi idő szerint 00:00:00 lesz, majd UTC-vé alakul. Ha -fromdate vagy -todate paraméterekkel (például -fordate "2016.02.01. 15:00:00" időpontot) ad meg egy időpontot, a dátum és az idő UTC-vé lesz konvertálva. A Get-AipServiceUserLog parancs ezután lekéri az adott UTC-időszakra vonatkozó naplókat.
Legfeljebb egy teljes napot adhat meg a letöltéshez.
Ez a parancsmag alapértelmezés szerint három szálat használ a naplók letöltéséhez. Ha elegendő hálózati sávszélessége van, és csökkenteni szeretné a naplók letöltéséhez szükséges időt, használja a -NumberOfThreads paramétert, amely 1 és 32 közötti értéket támogat. Ha például a következő parancsot futtatja, a parancsmag 10 szálat hoz létre a naplók letöltéséhez: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10
Tipp.
Az összes letöltött naplófájlt CSV formátumban összesítheti a Microsoft Log Parser használatával, amely a különböző jól ismert naplóformátumok közötti konvertálást lehetővé tató eszköz. Ezzel az eszközzel sysLOG formátumba is konvertálhatja az adatokat, vagy importálhatja őket egy adatbázisba. Az eszköz telepítése után futtassa LogParser.exe /? az eszköz használatához szükséges súgót és információkat.
A következő parancs futtatásával például az összes információt .log fájlformátumba importálhatja: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
A használati naplók értelmezése
Az alábbi információk segítségével értelmezheti a védelmi használati naplókat.
A naplósorozat
Az Azure Information Protection blobok sorozataként írja a naplókat.
A napló minden bejegyzése UTC időbélyeget tartalmaz. Mivel a védelmi szolgáltatás több kiszolgálón fut több adatközpontban, előfordulhat, hogy a naplók sorrendje nem megfelelő, még akkor is, ha az időbélyeg alapján vannak rendezve. A különbség azonban kicsi, és általában egy percen belül van. A legtöbb esetben ez nem olyan probléma, amely problémát jelentene a naplóelemzéshez.
A blobformátum
Minden blob W3C kiterjesztett naplóformátumban van. A következő két sorból indul ki:
#Software: RMS
#Version: 1.1
Az első sor azonosítja, hogy ezek az Azure Information Protection védelmi naplói. A második sor azt azonosítja, hogy a blob többi része az 1.1-es verzió specifikációját követi. Javasoljuk, hogy minden olyan alkalmazás, amely elemzi ezeket a naplókat, ellenőrizze ezt a két sort, mielőtt folytatná a blob további elemzését.
A harmadik sor tabulátorokkal elválasztott mezőnevek listáját sorolja fel:
#Fields: dátumidő sorazonosító kérés típusú felhasználó-azonosító eredménye korrelációs azonosító tartalom-azonosító tulajdonos-e-mail kiállító sablon-id fájlnév dátum-közzétett c-info c-ip admin-action acting-as-user
A következő sorok mindegyike naplórekord. A mezők értékei ugyanabban a sorrendben vannak, mint az előző sorban, és tabulátorokkal vannak elválasztva. A mezők értelmezéséhez használja az alábbi táblázatot.
| Mezőnév | W3C-adattípus | Leírás | Példaérték |
|---|---|---|---|
| Dátum | Dátum | A kérelem kézbesítésének UTC-dátuma. A forrás a kérést kiszolgáló helyi óra. |
2013-06-25 |
| Idő | Idő | UTC idő 24 órás formátumban, amikor a kérést kézbesítették. A forrás a kérést kiszolgáló helyi óra. |
21:59:28 |
| sorazonosító | Szöveg | A naplórekord egyedi GUID azonosítója. Ha egy érték nincs jelen, használja a korrelációs azonosítót a bejegyzés azonosításához. Ez az érték akkor hasznos, ha naplókat összesít, vagy más formátumba másolja a naplókat. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
| kérelemtípus | Név | A kért RMS API neve. | AcquireLicense |
| felhasználó-azonosító | Sztring | A kérést végrehajtó felhasználó. Az érték egyetlen idézőjelben van megadva. Az Ön által felügyelt bérlőkulcsból (BYOK) érkező hívások értéke ", amely akkor is érvényes, ha a kéréstípusok névtelenek. |
'joe@contoso.com' |
| Eredmény | Sztring | "Sikeres", ha a kérés kézbesítése sikeres volt. A hibatípus egy idézőjelben jelenik meg, ha a kérés sikertelen volt. |
"Siker" |
| korrelációs azonosító | Szöveg | GUID, amely az RMS-ügyfélnapló és a kiszolgálónapló között gyakori egy adott kéréshez. Ez az érték hasznos lehet az ügyfélproblémák elhárításához. |
cab52088-8925-4371-be34-4b71a3112356 |
| content-id | Szöveg | GUID, kapcsos zárójelek közé zárva, amely azonosítja a védett tartalmat (például egy dokumentumot). Ez a mező csak akkor rendelkezik értékkel, ha a kérelem típusa AcquireLicense, és az összes többi kérelemtípus esetében üres. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
| tulajdonosi e-mail | Sztring | A dokumentum tulajdonosának e-mail-címe. Ez a mező üres, ha a kérelem típusa RevokeAccess. |
alice@contoso.com |
| Kibocsátó | Sztring | A dokumentum kiállítójának e-mail-címe. Ez a mező üres, ha a kérelem típusa RevokeAccess. |
alice@contoso.com (vagy) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
| sablonazonosító | Sztring | A dokumentum védelméhez használt sablon azonosítója. Ez a mező üres, ha a kérelem típusa RevokeAccess. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
| fájlnév | Sztring | Védett dokumentum fájlneve, amelyet a WindowsHoz készült Azure Information Protection-ügyféllel követnek nyomon. Jelenleg egyes fájlok (például office-dokumentumok) a tényleges fájlnév helyett grafikus felhasználói felületként jelennek meg. Ez a mező üres, ha a kérelem típusa RevokeAccess. |
TopSecretDocument.docx |
| közzététel dátuma | Dátum | A dokumentum védelmének dátuma. Ez a mező üres, ha a kérelem típusa RevokeAccess. |
2015-10-15T21:37:00 |
| c-info | Sztring | A kérést küldő ügyfélplatform adatai. Az adott sztring az alkalmazástól (például az operációs rendszertől vagy a böngészőtől) függően változik. |
"MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64' |
| c-ip | Cím | A kérést küldő ügyfél IP-címe. | 64.51.202.144 |
| rendszergazdai művelet | Bool | Azt jelzi, hogy egy rendszergazda Rendszergazda istrator módban fért-e hozzá a dokumentumkövetési webhelyhez. | Igaz |
| felhasználóként eljárva | Sztring | Annak a felhasználónak az e-mail-címe, akinek a rendszergazdája hozzáfér a dokumentumkövetési webhelyhez. | 'joe@contoso.com' |
Kivételek a felhasználóazonosító mezőhöz
Bár a felhasználóazonosító mező általában a kérést végrehajtó felhasználót jelzi, két kivétel van, amikor az érték nem valós felhasználóra van megfeleltetve:
Az " microsoftrmsonline@<YourTenantID.rms>.<region.aadrm.com>".
Ez azt jelzi, hogy egy Office 365-szolgáltatás, például az Exchange Online vagy a Microsoft SharePoint küldi el a kérést. A sztringben a YourTenantID a bérlő GUID azonosítója, <a< régió pedig az a régió>, ahol a bérlő regisztrálva van.> Az na például Észak-Amerika, az EU Európát, az ap pedig Ázsiát képviseli.
Ha AZ RMS-összekötőt használja.
Az összekötőtől érkező kéréseket a rendszer a Aadrm_S-1-7-0 szolgáltatásnévvel naplózza, amely az RMS-összekötő telepítésekor automatikusan létrejön.
Tipikus kéréstípusok
A védelmi szolgáltatáshoz számos kéréstípus létezik, de az alábbi táblázat a leggyakrabban használt kéréstípusok némelyikét azonosítja.
| Kérelemtípus | Leírás |
|---|---|
| AcquireLicense | Egy Windows-alapú számítógépről származó ügyfél licencet kér a védett tartalomhoz. |
| AcquirePreLicense | Az ügyfél a felhasználó nevében kér licencet a védett tartalomhoz. |
| AcquireTemplates | A sablonazonosítókon alapuló sablonok beszerzésére irányuló hívás történt |
| AcquireTemplateInformation | Hívás történt a sablon azonosítóinak lekérésére a szolgáltatásból. |
| AddTemplate | Az Azure Portalról egy sablon hozzáadására irányuló hívás történik. |
| AllDocsCsv | A dokumentumkövetési webhelyről hívás történik a CSV-fájl letöltésére az Összes dokumentum lapról. |
| BECreateEndUserLicenseV1 | A rendszer egy mobileszközről kezdeményezi a végfelhasználói licenc létrehozását. |
| BEGetAllTemplatesV1 | A rendszer egy mobileszközről (háttérrendszerből) indít hívást az összes sablon lekéréséhez. |
| Igazolja | Az ügyfél minősíti a felhasználót a védett tartalom felhasználására és létrehozására. |
| FECreateEndUserLicenseV1 | Hasonló a AcquireLicense kéréshez, de mobileszközökről. |
| FECreatePublishingLicenseV1 | Ugyanaz, mint a Minősítés és a GetClientLicensorCert kombinálva, mobilügyfelekből. |
| FEGetAllTemplates | A sablonok lekérése mobileszközről (előtérről) történik. |
| FindServiceLocationsForUser | Hívás történik az URL-címek lekérdezésére, amely a Minősítés vagy az AcquireLicense meghívására szolgál. |
| GetClientLicensorCert | Az ügyfél közzétételi tanúsítványt kér (amelyet később a tartalom védelmére használnak) egy Windows-alapú számítógépről. |
| GetConfiguration | A rendszer meghív egy Azure PowerShell-parancsmagot az Azure RMS-bérlő konfigurációjának lekéréséhez. |
| Get Csatlakozás orAuthorizations | Az RMS-összekötők hívást kezdeményeznek, hogy lekérjék a konfigurációjukat a felhőből. |
| GetRecipients | A dokumentumkövetési webhelyről hívást kezdeményeznek, hogy egyetlen dokumentum listanézetére navigáljanak. |
| GetTenantFunctionalState | Az Azure Portal ellenőrzi, hogy a védelmi szolgáltatás (Azure Tartalomvédelmi szolgáltatások) aktiválva van-e. |
| KeyVaultDecryptRequest | Az ügyfél megpróbálja visszafejteni az RMS által védett tartalmat. Csak ügyfél által felügyelt bérlőkulcsra (BYOK) alkalmazható az Azure Key Vaultban. |
| KeyVaultGetKeyInfoRequest | A rendszer hívást indít annak ellenőrzésére, hogy az Azure Information Protection-bérlőkulcshoz az Azure Key Vaultban való használatra megadott kulcs elérhető-e, és még nincs-e használatban. |
| KeyVaultSignDigest | Hívás akkor történik, ha az Azure Key Vaultban egy ügyfél által felügyelt kulcsot (BYOK) használnak aláírási célokra. Ezt általában egyszer nevezik AcquireLicence (vagy FECreateEndUserLicenseV1), Certify és GetClientLicensorCert (vagy FECreatePublishingLicenseV1). |
| KMSPDecrypt | Az ügyfél megpróbálja visszafejteni az RMS által védett tartalmat. Csak örökölt, ügyfél által felügyelt bérlőkulcsra (BYOK) alkalmazható. |
| KMSPSignDigest | Hívás akkor történik, ha egy örökölt, ügyfél által felügyelt kulcsot (BYOK) használnak aláírási célokra. Ezt általában egyszer nevezik AcquireLicence (vagy FECreateEndUserLicenseV1), Certify és GetClientLicensorCert (vagy FECreatePublishingLicenseV1). |
| ServerCertify | Egy RMS-kompatibilis ügyfél (például a SharePoint) hívása történik a kiszolgáló minősítéséhez. |
| SetUsageLogFeatureState | A rendszer hívást kezdeményez a használat naplózásának engedélyezésére. |
| SetUsageLogStorageAccount | Hívás történik a Azure Tartalomvédelmi szolgáltatások szolgáltatásnaplók helyének megadására. |
| UpdateTemplate | Az Azure Portal egy meglévő sablon frissítésére irányuló hívást kezdeményez. |
Védelmi használati naplók és a Microsoft 365 egységes naplója
A fájlhozzáférés és a megtagadott események jelenleg nem tartalmazzák a fájlnevet, és nem érhetők el a Microsoft 365 egyesített naplózási naplójában. Ezek az események önállóan is hasznosak lesznek, és egy későbbi időpontban hozzáadhatók a Rights Management szolgáltatáshoz.
PowerShell-dokumentáció
Az egyetlen PowerShell-parancsmag, amelyhez hozzá kell férnie a védelmi használat naplózásához, a Get-AipServiceUserLog.
Az Azure Information Protectionhez készült PowerShell használatával kapcsolatos további információkért tekintse meg Rendszergazda Védelem regisztrálása az Azure Information Protectionből a PowerShell használatával című témakört.