Registrazione e analisi dell'utilizzo della protezione da Azure Information Protection

Nota

Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il componente aggiuntivo Azure Information Protection per Office è ora in modalità di manutenzione e verrà ritirato aprile 2024. È invece consigliabile usare etichette integrate nelle app e nei servizi di Office 365. Altre informazioni sullo stato di supporto di altri componenti di Azure Information Protection.

Usare queste informazioni per capire come si può usare la registrazione dell'utilizzo per il servizio di protezione (Azure Rights Management) da Azure Information Protection. Questo servizio di protezione garantisce la protezione dati per i documenti e i messaggi di posta elettronica dell'organizzazione e può registrare qualsiasi richiesta. Queste richieste includono quando gli utenti proteggono documenti e messaggi di posta elettronica e utilizzano anche questo contenuto, le azioni eseguite dagli amministratori per questo servizio e le azioni eseguite dagli operatori Microsoft per supportare la distribuzione di Azure Information Protection.

È quindi possibile usare questi log di utilizzo della protezione per supportare gli scenari aziendali seguenti:

  • Analizzare i dati analitici aziendali

    I log generati dal servizio di protezione possono essere importati in un repository di propria scelta (ad esempio un database, un sistema OLAP (Online Analytical Processing) o un sistema map-reduce, per analizzare le informazioni e produrre report. Ad esempio, è possibile identificare chi accede ai dati protetti. È possibile determinare quali dati protetti accedono agli utenti e da quali dispositivi e da dove. È possibile scoprire se gli utenti possono leggere correttamente il contenuto protetto. È anche possibile identificare le persone che hanno letto un documento importante protetto.

  • Monitorare l'abuso

    La registrazione delle informazioni sull'uso della protezione è disponibile quasi in tempo reale, in modo da poter monitorare continuamente l'uso del servizio di protezione dell'azienda. Il 99,9% dei log è disponibile entro 15 minuti da un'azione avviata al servizio.

    Ad esempio, potrebbe essere necessario ricevere un avviso se si verifica un aumento improvviso di persone che leggono dati protetti al di fuori dell'orario lavorativo standard, che potrebbero indicare che un utente malintenzionato sta raccogliendo informazioni da vendere ai concorrenti. In alternativa, se lo stesso utente accede apparentemente ai dati da due indirizzi IP diversi entro un breve intervallo di tempo, che potrebbe indicare che un account utente è stato compromesso.

  • Eseguire l'analisi forense

    Se si dispone di una perdita di informazioni, è probabile che venga chiesto chi ha recentemente eseguito l'accesso a documenti specifici e quali informazioni hanno eseguito l'accesso di recente a una persona sospetta. È possibile rispondere a questi tipi di domande quando si usa questa registrazione perché gli utenti che usano contenuto protetto devono sempre ottenere una licenza di Rights Management per aprire documenti e immagini protetti da Azure Information Protection, anche se questi file vengono spostati tramite posta elettronica o copiati in unità USB o in altri dispositivi di archiviazione. Ciò significa che è possibile usare questi log come fonte definitiva di informazioni per l'analisi forense quando si proteggono i dati usando Azure Information Protection.

Oltre a questa registrazione dell'utilizzo, sono disponibili anche le opzioni di registrazione seguenti:

Opzione di registrazione Descrizione
Amministrazione log Registra le attività amministrative per il servizio protezione. Ad esempio, se il servizio viene disattivato, quando la funzionalità utente con privilegi avanzati è abilitata e quando gli utenti sono delegate autorizzazioni di amministratore al servizio.

Per altre informazioni, vedere il cmdlet di PowerShell Get-AipService Amministrazione Log.
Rilevamento dei documenti Consente agli utenti di tenere traccia e revocare i documenti rilevati con il client Azure Information Protection. Gli amministratori globali possono anche tenere traccia di questi documenti per conto degli utenti.

Per altre informazioni, vedere Configurazione e uso del rilevamento dei documenti per Azure Information Protection.
Registri eventi client Attività di utilizzo per il client Azure Information Protection, registrate nel registro eventi locale applicazioni e servizi Windows, Azure Information Protection.

Per altre informazioni, vedere Registrazione dell'utilizzo per il client Azure Information Protection.
File di log del client Risoluzione dei problemi relativi ai log per il client Azure Information Protection, disponibile in %localappdata%\Microsoft\MSIP.

Questi file sono progettati per supporto tecnico Microsoft.

Inoltre, le informazioni dei log di utilizzo del client Azure Information Protection e dello scanner di Azure Information Protection vengono raccolte e aggregate per creare report nella portale di Azure. Per altre informazioni, vedere Creazione di report per Azure Information Protection.

Usare le sezioni seguenti per altre informazioni sulla registrazione dell'utilizzo per il servizio di protezione.

Come abilitare la registrazione per l'utilizzo della protezione

La registrazione dell'utilizzo della protezione è abilitata per impostazione predefinita per tutti i clienti.

Non sono previsti costi aggiuntivi per l'archiviazione dei log o per la funzionalità di registrazione.

Come accedere e usare i log di utilizzo della protezione

Azure Information Protection scrive i log come una serie di BLOB in un account di archiviazione di Azure creato automaticamente per il tenant. Ogni BLOB contiene uno o più record di log, in formato di log esteso W3C. I nomi dei BLOB sono numeri, nell'ordine in cui sono stati creati. La sezione How to interpret your Azure Rights Management usage logs (Come interpretare i log di utilizzo di Azure Rights Management) più avanti in questo documento contiene altre informazioni sul contenuto del log e sulla relativa creazione.

La visualizzazione dei log nell'account di archiviazione può richiedere alcuni minuti dopo un'azione di protezione. La maggior parte dei log viene visualizzata entro 15 minuti. I log di utilizzo sono disponibili solo quando il nome del campo "date" contiene un valore di una data precedente (in ora UTC). I log di utilizzo dalla data corrente non sono disponibili. È consigliabile scaricare i log nell'archiviazione locale, ad esempio una cartella locale, un database o un repository map-reduce.

Per scaricare i log di utilizzo, si userà il modulo PowerShell AIPService per Azure Information Protection. Per istruzioni di installazione, vedere Installazione del modulo PowerShell AIPService.

Per scaricare i log di utilizzo tramite PowerShell

  1. Avviare Windows PowerShell con l'opzione Esegui come amministratore e usare il cmdlet Connessione-AipService per connettersi ad Azure Information Protection:

    Connect-AipService
    
  2. Eseguire il comando seguente per scaricare i log per una data specifica:

    Get-AipServiceUserLog -Path <location> -fordate <date>
    

    Ad esempio, dopo aver creato una cartella denominata Logs nell'unità E:

    • Per scaricare i log per una data specifica ,ad esempio 2/1/2016, eseguire il comando seguente: Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016

    • Per scaricare i log per un intervallo di date (ad esempio dal 2/1/2016 al 2/14/2016), eseguire il comando seguente: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016

Quando si specifica solo il giorno, come negli esempi, si presuppone che l'ora sia 00:00:00 nell'ora locale e quindi convertita in utc. Quando si specifica un'ora con i parametri -fromdate o -todate (ad esempio, -fordate "2/1/2016 15:00:00"), tale data e ora viene convertita in formato UTC. Il comando Get-AipServiceUserLog ottiene quindi i log per il periodo di tempo UTC.

Non è possibile specificare meno di un giorno intero da scaricare.

Per impostazione predefinita, questo cmdlet usa tre thread per scaricare i log. Se si dispone di una larghezza di banda di rete sufficiente e si vuole ridurre il tempo necessario per scaricare i log, usare il parametro -NumberOfThreads, che supporta un valore compreso tra 1 e 32. Ad esempio, se si esegue il comando seguente, il cmdlet genera 10 thread per scaricare i log: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10

Suggerimento

È possibile aggregare tutti i file di log scaricati in un formato CSV usando Il parser log di Microsoft, uno strumento per la conversione tra diversi formati di log noti. È anche possibile usare questo strumento per convertire i dati in formato SYSLOG o importarli in un database. Dopo aver installato lo strumento, eseguire LogParser.exe /? per informazioni e informazioni per usare questo strumento.

Ad esempio, è possibile eseguire il comando seguente per importare tutte le informazioni in un formato di file con estensione log: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"

Come interpretare i log di utilizzo

Usare le informazioni seguenti per interpretare i log di utilizzo della protezione.

Sequenza di log

Azure Information Protection scrive i log come una serie di BLOB.

Ogni voce nel log ha un timestamp UTC. Poiché il servizio di protezione viene eseguito su più server in più data center, a volte i log potrebbero sembrare fuori sequenza, anche quando vengono ordinati in base al timestamp. Tuttavia, la differenza è piccola e in genere entro un minuto. Nella maggior parte dei casi, questo non è un problema che potrebbe essere un problema per l'analisi dei log.

Formato BLOB

Ogni BLOB è in formato di log esteso W3C. Inizia con le due righe seguenti:

#Software: RMS

#Version: 1.1

La prima riga identifica che si tratta di log di protezione da Azure Information Protection. La seconda riga identifica che il resto del BLOB segue la specifica della versione 1.1. È consigliabile che tutte le applicazioni che analizzano questi log verifichino queste due righe prima di continuare a analizzare il resto del BLOB.

La terza riga enumera un elenco di nomi di campo separati da schede:

#Fields: date time row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-ip admin-action acting-as-user

Ognuna delle righe successive è un record di log. I valori dei campi sono nello stesso ordine della riga precedente e sono separati da schede. Utilizzare la tabella seguente per interpretare i campi.

Nome del campo Tipo di dati W3C Descrizione Valore di esempio
date Data Data UTC in cui è stata servita la richiesta.

L'origine è l'orologio locale sul server che ha servito la richiesta.
2013-06-25
time Time Ora UTC in formato 24 ore in cui è stata servita la richiesta.

L'origine è l'orologio locale sul server che ha servito la richiesta.
21:59:28
row-id Testo GUID univoco per questo record di log. Se un valore non è presente, usare il valore correlation-id per identificare la voce.

Questo valore è utile quando si aggregano i log o si copiano i log in un altro formato.
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63
tipo richiesta Nome Nome dell'API RMS richiesta. AcquireLicense
user-id Stringa Utente che ha effettuato la richiesta.

Il valore è racchiuso tra virgolette singole. Le chiamate da una chiave del tenant gestita dall'utente (BYOK) hanno il valore ", che si applica anche quando i tipi di richiesta sono anonimi.
'joe@contoso.com'
result Stringa 'Success' se la richiesta è stata servita correttamente.

Tipo di errore tra virgolette singole se la richiesta non è riuscita.
'Operazione riuscita'
correlation-id Testo GUID comune tra il log del client RMS e il log del server per una determinata richiesta.

Questo valore può essere utile per risolvere i problemi del client.
cab52088-8925-4371-be34-4b71a3112356
content-id Testo GUID, racchiuso tra parentesi graffe che identificano il contenuto protetto,ad esempio un documento.

Questo campo ha un valore solo se request-type è AcquireLicense ed è vuoto per tutti gli altri tipi di richiesta.
{bb4af47b-cfed-4719-831d-71b98191a4f2}
owner-email Stringa Indirizzo di posta elettronica del proprietario del documento.

Questo campo è vuoto se il tipo di richiesta è RevokeAccess.
alice@contoso.com
Autorità di certificazione Stringa Indirizzo di posta elettronica dell'emittente del documento.

Questo campo è vuoto se il tipo di richiesta è RevokeAccess.
alice@contoso.com (o) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com'
template-id Stringa ID del modello usato per proteggere il documento.

Questo campo è vuoto se il tipo di richiesta è RevokeAccess.
{6d9371a6-4e2d-4e97-9a38-202233fed26e}
nome file Stringa Nome file di un documento protetto rilevato usando il client Azure Information Protection per Windows.

Attualmente, alcuni file (ad esempio i documenti di Office) vengono visualizzati come GUID anziché come nome file effettivo.

Questo campo è vuoto se il tipo di richiesta è RevokeAccess.
TopSecretDocument.docx
data di pubblicazione Data Data di protezione del documento.

Questo campo è vuoto se il tipo di richiesta è RevokeAccess.
2015-10-15T21:37:00
c-info Stringa Informazioni sulla piattaforma client che effettua la richiesta.

La stringa specifica varia a seconda dell'applicazione, ad esempio il sistema operativo o il browser.
'MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64'
c-ip Indirizzo Indirizzo IP del client che effettua la richiesta. 64.51.202.144
admin-action Bool Indica se un amministratore ha eseguito l'accesso al sito di rilevamento dei documenti in modalità Amministrazione istrator. Vero
agendo come utente Stringa Indirizzo di posta elettronica dell'utente per il quale un amministratore accede al sito di rilevamento dei documenti. 'joe@contoso.com'

Eccezioni per il campo user-id

Anche se il campo user-id indica in genere l'utente che ha effettuato la richiesta, esistono due eccezioni in cui il valore non viene mappato a un utente reale:

  • Valore 'microsoftrmsonline@<YourTenantID.rms>.<region.aadrm.com>'.

    Indica un servizio di Office 365, ad esempio Exchange Online o Microsoft SharePoint, che effettua la richiesta. Nella stringa YourTenantID> è il GUID per il tenant e< l'area> geografica è l'area in cui è registrato il tenant.< Ad esempio, na rappresenta America del Nord, eu rappresenta l'Europa e ap rappresenta l'Asia.

  • Se si usa il connettore RMS.

    Le richieste da questo connettore vengono registrate con il nome dell'entità servizio di Aadrm_S-1-7-0, che viene generato automaticamente quando si installa il connettore RMS.

Tipi di richiesta tipici

Esistono molti tipi di richiesta per il servizio di protezione, ma la tabella seguente identifica alcuni dei tipi di richiesta più usati in genere.

Tipo di richiesta Descrizione
AcquireLicense Un client da un computer basato su Windows richiede una licenza per il contenuto protetto.
AcquirePreLicense Un client, per conto dell'utente, richiede una licenza per il contenuto protetto.
AcquireTemplates È stata effettuata una chiamata per acquisire i modelli in base agli ID modello
AcquireTemplateInformation È stata effettuata una chiamata per ottenere gli ID del modello dal servizio.
AddTemplate Viene eseguita una chiamata dal portale di Azure per aggiungere un modello.
AllDocsCsv Viene effettuata una chiamata dal sito di rilevamento dei documenti per scaricare il file CSV dalla pagina Tutti i documenti .
BECreateEndUserLicenseV1 Viene effettuata una chiamata da un dispositivo mobile per creare una licenza per l'utente finale.
BEGetAllTemplatesV1 Viene effettuata una chiamata da un dispositivo mobile (back-end) per ottenere tutti i modelli.
Certify Il client certifica l'utente per l'utilizzo e la creazione di contenuto protetto.
FECreateEndUserLicenseV1 Analogamente alla richiesta AcquireLicense, ma dai dispositivi mobili.
FECreatePublishingLicenseV1 Uguale a Certify e GetClientLicensorCert combinati, dai client per dispositivi mobili.
FEGetAllTemplates Viene effettuata una chiamata da un dispositivo mobile (front-end) per ottenere i modelli.
FindServiceLocationsForUser Viene eseguita una chiamata per eseguire una query per gli URL, che viene usato per chiamare Certify o AcquireLicense.
GetClientLicensorCert Il client richiede un certificato di pubblicazione (che verrà usato successivamente per proteggere il contenuto) da un computer basato su Windows.
GetConfiguration Viene chiamato un cmdlet di Azure PowerShell per ottenere la configurazione del tenant di Azure RMS.
Ottenere Connessione orAuthorizations Viene effettuata una chiamata dai connettori RMS per ottenere la configurazione dal cloud.
GetRecipients Viene effettuata una chiamata dal sito di rilevamento dei documenti per passare alla visualizzazione elenco per un singolo documento.
GetTenantFunctionalState Il portale di Azure verifica se il servizio di protezione (Azure Rights Management) è attivato.
KeyVaultDecryptRequest Il client sta tentando di decrittografare il contenuto protetto da RMS. Applicabile solo per una chiave del tenant gestita dal cliente (BYOK) in Azure Key Vault.
KeyVaultGetKeyInfoRequest Viene effettuata una chiamata per verificare che la chiave specificata da usare in Azure Key Vault per la chiave del tenant di Azure Information Protection sia accessibile e non già usata.
KeyVaultSignDigest Viene eseguita una chiamata quando viene usata una chiave gestita dal cliente (BYOK) in Azure Key Vault a scopo di firma. Questa operazione viene chiamata in genere una sola volta per AcquireLicence (o FECreateEndUserLicenseV1), Certify e GetClientLicensorCert (o FECreatePublishingLicenseV1).
Servizio di gestione delle chiavi PDecrypt Il client sta tentando di decrittografare il contenuto protetto da RMS. Applicabile solo per una chiave del tenant gestita dal cliente legacy (BYOK).
Servizio di gestione delle chiavi PSignDigest Viene eseguita una chiamata quando viene usata una chiave gestita dal cliente legacy (BYOK) a scopo di firma. Questa operazione viene chiamata in genere una sola volta per AcquireLicence (o FECreateEndUserLicenseV1), Certify e GetClientLicensorCert (o FECreatePublishingLicenseV1).
ServerCertify Viene eseguita una chiamata da un client abilitato per RMS (ad esempio SharePoint) per certificare il server.
SetUsageLogFeatureState Viene effettuata una chiamata per abilitare la registrazione dell'utilizzo.
SetUsageLog Archiviazione Account Viene effettuata una chiamata per specificare il percorso dei log del servizio Azure Rights Management.
UpdateTemplate Viene effettuata una chiamata dal portale di Azure per aggiornare un modello esistente.

Log di utilizzo della protezione e log di controllo unificato di Microsoft 365

Gli eventi di accesso ai file e negati non includono attualmente il nome file e non sono accessibili nel log di controllo unificato di Microsoft 365. Questi eventi verranno migliorati per essere utili e aggiunti dal Servizio Rights Management in un secondo momento.

Informazioni di riferimento su PowerShell

L'unico cmdlet di PowerShell necessario per accedere alla registrazione dell'utilizzo della protezione è Get-AipServiceUserLog.

Per altre informazioni sull'uso di PowerShell per Azure Information Protection, vedere Amministrazione istering protection da Azure Information Protection tramite PowerShell.