Analisi e creazione di report centrali per Azure Information Protection (anteprima pubblica)

Nota

Stai cercando Microsoft Information Protection? Il client di etichettatura unificata di Azure Information Protection è attualmente in modalità di manutenzione. È consigliabile abilitare l'etichettatura predefinita di Microsoft Information Protection per le applicazioni Office 365. Altre informazioni

A partire dal 18 marzo 2022, il log di controllo e l'analisi di AIP, con una data di ritiro completa del 30 settembre 2022. Per altre informazioni, vedere Rimuovere e ritirare i servizi.

Questo articolo descrive come usare l'analisi di Azure Information Protection (AIP) per la creazione di report centrali, che consente di tenere traccia dell'adozione delle etichette che classificano e proteggono i dati dell'organizzazione.

L'analisi di AIP consente anche di eseguire questa procedura:

  • Monitorare documenti e messaggi di posta elettronica etichettati e protetti nell'organizzazione.

  • Identificare i documenti che contengono informazioni riservate nell'organizzazione.

  • Monitorare l'accesso degli utenti a documenti e messaggi di posta elettronica etichettati e tenere traccia delle modifiche alla classificazione dei documenti.

  • Identificare i documenti contenenti informazioni sensibili che possono mettere a rischio l'organizzazione se non protette e attenuare il rischio seguendo le raccomandazioni.

  • Identificare quando i documenti protetti sono accessibili da utenti interni o esterni da computer Windows e se l'accesso è stato concesso o negato.

I dati visualizzati vengono aggregati dai client e dagli scanner di Azure Information Protection, da Microsoft Defender for Cloud Apps e dai log di utilizzo della protezione. I report usano Monitoraggio di Azure per archiviare i dati in un'area di lavoro di Log Analytics di proprietà dell'organizzazione.

L'analisi di Azure Information Protection per la creazione di report centrali è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Dati di report di AIP

Ad esempio, l'analisi di Azure Information Protection per la creazione di report centrali visualizza i dati seguenti:

Report Dati di esempio visualizzati
Report Uso Selezionare un periodo di tempo per visualizzare uno dei seguenti elementi:

- Quali etichette vengono applicate

- Quanti documenti e messaggi di posta elettronica vengono etichettati

- Quanti documenti e messaggi di posta elettronica sono protetti

- Quanti utenti e quanti dispositivi contrassegnano documenti e messaggi di posta elettronica

- Quali applicazioni vengono usate per l'etichettatura
Log attività Selezionare un periodo di tempo per visualizzare uno dei seguenti elementi:

- I file individuati in precedenza dallo scanner sono stati eliminati dal repository analizzato

- Quali azioni di etichettatura sono state eseguite da un utente specifico

- Quali azioni di etichettatura sono state eseguite da un dispositivo specifico

- Quali utenti hanno accesso a un documento con etichetta specifico

- Quali azioni di etichettatura sono state eseguite per un percorso di file specifico

- Quali azioni di etichettatura sono state eseguite da un'applicazione specifica, ad esempio Esplora file e fare clic con il pulsante destro del mouse, PowerShell, lo scanner o Microsoft Defender for Cloud Apps

- Quali documenti protetti sono stati accessibili correttamente dagli utenti o negato l'accesso agli utenti, anche se gli utenti non dispongono del client di Azure Information Protection installato o si trovano all'esterno dell'organizzazione

- Eseguire il drill-down nei file segnalati per visualizzare i dettagli attività per altre informazioni
Report di individuazione dei dati - Quali file si trovano nei repository dati analizzati, Windows 10 computer o computer che eseguono i client di Azure Information Protection

- Quali file sono etichettati e protetti e il percorso dei file in base alle etichette

- Quali file contengono informazioni riservate per categorie note, ad esempio i dati finanziari e le informazioni personali, e il percorso dei file in base a queste categorie
report Consigli - Identificare i file non protetti che contengono un tipo di informazioni sensibili noto. Una raccomandazione consente di configurare immediatamente la condizione corrispondente a una delle etichette, per applicare l'etichettatura automatica o consigliata.
Se si segue la raccomandazione
: la prossima volta che i file vengono aperti da un utente o analizzato dallo scanner di Azure Information Protection, i file possono essere classificati e protetti automaticamente.

- Quali repository di dati dispongono di file con informazioni riservate identificate, ma non vengono analizzate dal Information Protection di Azure. Una raccomandazione consente di aggiungere immediatamente l'archivio dati identificato a uno dei profili dello scanner.
Se si segue la raccomandazione: nel ciclo dello scanner successivo i file possono essere classificati e protetti automaticamente.

Se si ha familiarità con il linguaggio di query di Log Analytics, è possibile modificare le query e creare nuovi report e Power BI dashboard. È possibile trovare l'esercitazione seguente utile per comprendere il linguaggio di query: Attività iniziali con query di log di Monitoraggio di Azure.

I log di controllo AIP possono richiedere fino a 24 ore per la visualizzazione nell'area di lavoro Log Analytics.

Per altre informazioni, vedere Individuazione dei dati, creazione di report e analisi per tutti i dati con Microsoft Information Protection.

Informazioni raccolte e inviate a Log Analytics

Per generare questi report, gli endpoint inviano i tipi di informazioni seguenti a Log Analytics del cliente:

  • Azione per l'etichetta. Ad esempio impostazione o modifica di un'etichetta, aggiunta o rimozione della protezione, etichette automatiche e consigliate.

  • Nome dell'etichetta prima e dopo l'azione dell'etichetta.

  • ID del tenant dell'organizzazione.

  • ID utente (indirizzo di posta elettronica o UPN).

  • Nome del dispositivo dell'utente.

  • Indirizzo IP del dispositivo dell'utente.

  • Nome del processo pertinente, ad esempio outlook o msip.app.

  • Nome dell'applicazione che ha eseguito l'etichettatura, ad esempio Outlook o Esplora file

  • Per i documenti: percorso e nome file dei documenti ai quali viene aggiunta l'etichetta.

  • Per i messaggi di posta elettronica: l'oggetto e il mittente di posta elettronica per i messaggi di posta elettronica etichettati.

  • Tipologie di informazioni riservate (predefinite e personalizzate) rilevate nel contenuto.

  • Versione del client di Azure Information Protection.

  • Versione del sistema operativo del client.

Queste informazioni vengono archiviate in un'area di lavoro di Azure Log Analytics di proprietà dell'organizzazione e possono essere visualizzate, indipendentemente da Azure Information Protection, dagli utenti con i diritti di accesso all'area di lavoro.

Per informazioni dettagliate, vedere:

Impedire ai client AIP di inviare dati di controllo

Per impedire al client di etichettatura unificata di Information Protection di inviare dati di controllo, configurare un'impostazione avanzata dei criteri di etichetta.

Corrispondenze di contenuto per un'analisi più approfondita

Azure Information Protection consente di raccogliere e archiviare i dati effettivi identificati come tipo di informazioni sensibili (predefinito o personalizzato). Possono essere inclusi ad esempio numeri di carta di credito, numeri di previdenza sociale, numeri di passaporto e numeri di conto bancario. Le corrispondenze di contenuto vengono visualizzate quando si seleziona una voce dai log attività e si visualizzano i dettagli attività.

Per impostazione predefinita, i client di Azure Information Protection non inviano corrispondenze di contenuto. Per modificare questo comportamento in modo che vengano inviate corrispondenze di contenuto, configurare un'impostazione avanzata in un criterio di etichetta.

Prerequisiti

Per visualizzare i report di Azure Information Protection e creare report personalizzati, verificare che siano soddisfatti i requisiti seguenti.

Requisito Dettagli
Una sottoscrizione di Azure La sottoscrizione di Azure deve includere Log Analytics nello stesso tenant di Azure Information Protection.

Per altre informazioni, vedere la pagina dei prezzi di Monitoraggio di Azure .

Se non si dispone di un abbonamento di Azure o attualmente non si usa Azure Log Analytics, la pagina dei prezzi include un collegamento per una versione di valutazione gratuita.
Controllare la connettività di rete dell'URL di registrazione AIP deve essere in grado di accedere agli URL seguenti per supportare i log di controllo AIP:
- https://*.events.data.microsoft.com
- https://*.aria.microsoft.com(solo Android dati del dispositivo)
Client Azure Information Protection Per la creazione di report dal client.

Se non è già installato un client, è possibile scaricare e installare il client di etichettatura unificata dall'Area download Microsoft.
Scanner locale di Azure Information Protection Per la creazione di report da archivi dati locali.

Per altre informazioni, vedere Distribuzione dello scanner di Azure Information Protection per classificare e proteggere automaticamente i file.
Microsoft Defender for Cloud Apps Per la creazione di report da archivi dati basati sul cloud.

Per altre informazioni, vedere Integrazione di Azure Information Protection nella documentazione delle app di Defender per il cloud.

Autorizzazioni necessarie per la funzionalità di analisi di Azure Information Protection

Specificatamente per la funzionalità di analisi di Azure Information Protection, dopo aver configurato l'area di lavoro di Azure Log Analytics, è possibile usare il ruolo di amministratore di Azure AD Ruolo con autorizzazioni di lettura per la sicurezza come alternativa ad altri ruoli di Azure AD che supportano la gestione di Azure Information Protection nel portale di Azure. Questo ruolo aggiuntivo è supportato solo se il tenant non si trova nella piattaforma di etichettatura unificata.

Poiché l'analisi di Azure Information Protection usa Monitoraggio di Azure, anche il controllo degli accessi in base al ruolo per Azure controlla l'accesso all'area di lavoro. È quindi necessario un ruolo di Azure, nonché un ruolo di amministratore di Azure AD per gestire l'analisi di Azure Information Protection. Se non si ha familiarità con i ruoli di Azure, può risultare utile leggere Differenze tra i ruoli di controllo dell'accesso in base al ruolo di Azure e i ruoli di amministratore di Azure AD.

Per altre informazioni, vedere:

Ruoli di amministratore di Azure AD necessari

Per accedere al riquadro Analisi di Azure Information Protection di Azure, è necessario avere uno dei ruoli di amministratore di Azure AD seguenti:

  • Per creare l'area di lavoro di Log Analytics o per creare query personalizzate:

    • Amministratore di Azure Information Protection
    • Amministratore della sicurezza
    • Amministratore di conformità
    • Amministratore dati di conformità
    • Amministratore globale
  • Dopo aver creato l'area di lavoro, è possibile usare i ruoli seguenti con meno autorizzazioni per visualizzare i dati raccolti:

    • Ruolo con autorizzazioni di lettura per la sicurezza
    • Ruolo con autorizzazioni di lettura globali

Ruoli di Azure Log Analytics necessari

Per accedere all'area di lavoro Di Azure Log Analytics, è necessario avere uno dei ruoli di Azure Log Analytics seguenti:

  • Per creare l'area di lavoro o per creare query personalizzate, uno dei ruoli seguenti:

    • Collaboratore di Log Analytics
    • Collaboratore
    • Proprietario
  • Dopo aver creato l'area di lavoro, è possibile usare uno dei ruoli seguenti con meno autorizzazioni per visualizzare i dati raccolti:

    • Lettore di Log Analytics
    • Lettore

Ruoli minimi per visualizzare i report

Dopo aver configurato l'area di lavoro per l'analisi di Azure Information Protection, i ruoli minimi necessari per visualizzare i report di analisi di Azure Information Protection sono i due seguenti:

  • Ruolo di amministratore di Azure AD: Lettore di sicurezza
  • Ruolo di Azure: Lettore di Log Analytics

Tuttavia, un'assegnazione di ruolo tipica per molte organizzazioni è il ruolo con autorizzazioni di lettura per la sicurezza di Azure AD e il ruolo Lettore di Azure.

Archiviazione requisiti e conservazione dei dati

La quantità di dati raccolti e archiviati nell'area di lavoro di Azure Information Protection varierà in modo significativo per ogni tenant, in base a fattori quali il numero di client di Azure Information Protection client e di altri endpoint supportati di cui si dispone, la raccolta o meno di dati di individuazione degli endpoint, la distribuzione o meno di scanner, il numero di documenti protetti a cui viene eseguito l'accesso e così via.

Tuttavia, come punto di partenza, è possibile trovare le stime seguenti utili:

  • Per i dati di controllo generati dai client di Azure Information Protection solo: 2 GB per 10.000 utenti attivi al mese.

  • Per i dati di controllo generati dai client di Azure Information Protection e dagli scanner: 20 GB per 10.000 utenti attivi al mese.

Se si usa l'etichettatura obbligatoria o si è configurata un'etichetta predefinita per la maggior parte degli utenti, è probabile che le tariffe siano notevolmente superiori.

I log di Monitoraggio di Azure hanno una funzionalità Utilizzo e costi stimati che consentono di stimare e esaminare la quantità di dati archiviati ed è anche possibile controllare il periodo di conservazione dei dati per l'area di lavoro Log Analytics. Per altre informazioni, vedere Gestire l'utilizzo e i costi con i log di Monitoraggio di Azure.

Configurare un'area di lavoro di Log Analytics per i report

  1. Se non già stato fatto, aprire una nuova finestra del browser e accedere al portale di Azure con un account che dispone delle autorizzazioni necessarie per le analisi di Azure Information Protection. Quindi passare al riquadro Azure Information Protection.

    Ad esempio, nella casella di ricerca di risorse, servizi e documentazione: iniziare a digitare Informazioni e selezionare Azure Information Protection.

  2. Individuare le opzioni del menu Gestisci e selezionare Configura le analisi (anteprima).

  3. Nel riquadro Azure Information Protection Log Analytics viene visualizzato un elenco di tutte le aree di lavoro Log Analytics di proprietà del tenant. Eseguire una delle operazioni seguenti:

    • Per creare una nuova area di lavoro Log Analytics: selezionare Crea nuova area di lavoro e nel riquadro Area di lavoro Log Analytics specificare le informazioni richieste.

    • Per usare un'area di lavoro Log Analytics esistente: selezionare l'area di lavoro nell'elenco.

    Per assistenza nella creazione dell'area di lavoro di Log Analytics, vedere Creare un'area di lavoro di Log Analytics nel portale di Azure.

    Per altre informazioni su questa impostazione, vedere la sezione Corrispondenze di contenuto per un'analisi più approfondita in questa pagina.

  4. Selezionare OK.

È ora possibile visualizzare i report.

Visualizzare i report di analisi AIP

Nel riquadro azure Information Protection individuare le opzioni di menu Dashboard e selezionare una delle opzioni seguenti:

Report Descrizione
Report utilizzo (anteprima) usare questo report per vedere come vengono usate le etichette.
Log attività (anteprima) usare questo report per visualizzare le azioni di etichettatura dagli utenti e per i dispositivi e i percorsi di file. Inoltre, per i documenti protetti, è possibile visualizzare i tentativi di accesso (riusciti o negati) per gli utenti sia all'interno che all'esterno dell'organizzazione, anche se non hanno installato il client di Azure Information Protection.

Questo report contiene un'opzione Colonne che consente di visualizzare più informazioni sulle attività rispetto alla visualizzazione predefinita. È anche possibile accedere ad altri dettagli su un file selezionandolo per visualizzare Dettagli attività.
Individuazione dati (anteprima) usare questo report per visualizzare informazioni sui file etichettati trovati dagli strumenti di analisi e dagli endpoint supportati.

Suggerimento: dalle informazioni raccolte, è possibile che gli utenti accedano ai file contenenti informazioni riservate dalla posizione in cui non si è appreso o che non si sta eseguendo l'analisi:

- Se i percorsi sono locali, è consigliabile aggiungere i percorsi come repository di dati aggiuntivi per lo scanner di Information Protection di Azure.
- Se le posizioni si trovano nel cloud, è consigliabile usare Microsoft Defender for Cloud Apps per gestirle.
Consigli (anteprima) usare questo report per identificare i file che contengono informazioni sensibili e attenuare il rischio seguendo le raccomandazioni.

Quando si seleziona un elemento, l'opzione Visualizza i dati consente di visualizzare le attività di controllo che hanno attivato la raccomandazione.

Modificare i report di analisi AIP e creare query personalizzate

Selezionare l'icona della query nel dashboard per aprire un riquadro Ricerca log :

Log Analytics icon to customize Azure Information Protection reports

I dati registrati per Azure Information Protection vengono archiviati nella tabella seguente: InformationProtectionLogs_CL

Per creare query personalizzate, usare i nomi di schema descrittivi implementati come funzioni InformationProtectionEvents. Queste funzioni sono derivate dagli attributi supportati per le query personalizzate (alcuni attributi sono solo per uso interno) e i relativi nomi non cambiano nel tempo, neanche se gli attributi sottostanti cambiano in seguito a miglioramenti o nuove funzionalità.

Riferimenti sui nomi di schema descrittivi per le funzioni di eventi

Usare la tabella seguente per identificare il nome descrittivo delle funzioni di eventi che è possibile usare per le query personalizzate con le funzionalità di analisi di Azure Information Protection.

Nome colonna Descrizione
Time Ora evento: UTC nel formato AAAA-MM-GGTHH:MM:SS
Utente Utente: formattare UPN o DOMAIN\USER
ItemPath Percorso completo dell'elemento o oggetto del messaggio di posta elettronica
ItemName Nome file o oggetto del messaggio di posta elettronica
Metodo Metodo assegnato con etichetta: Manuale, Automatico, Consigliato, Predefinito o Obbligatorio
Attività Attività di controllo: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection, NewCustomProtection o FileRemoved
ResultStatus Stato del risultato dell'azione:

Riuscito o Non riuscito (segnalato solo dallo scanner AIP)
ErrorMessage_s Include i dettagli del messaggio di errore se ResultStatus=Failed. Segnalato solo dallo scanner AIP
LabelName Nome etichetta (non localizzato)
LabelNameBefore Nome etichetta prima della modifica (non localizzato)
ProtectionType Tipo di protezione [JSON]
{
"Type": ["Template", "Custom", "DoNotForward"],
  "TemplateID": "GUID"
 }
ProtectionBefore Tipo di protezione prima della modifica [JSON]
MachineName FQDN quando disponibile; in caso contrario, nome host
Piattaforma Piattaforma del dispositivo (Win, OSX, Android, iOS)
ApplicationName Nome descrittivo dell'applicazione
AIPVersion Versione del client azure Information Protection che ha eseguito l'azione di controllo
TenantId ID tenant di Azure AD
AzureApplicationId ID applicazione registrata (GUID) di Azure AD
ProcessName Processo che ospita MIP SDK
LabelId GUID etichetta o Null
IsProtected Se protetto: Sì/No
ProtectionOwner proprietario di Rights Management in formato UPN
LabelIdBefore GUID etichetta o Null prima della modifica
InformationTypesAbove55 Matrice JSON di SensitiveInformation trovata nei dati con livello di attendibilità 55 o superiore
InformationTypesAbove65 Matrice JSON di SensitiveInformation trovata nei dati con livello di confidenza 65 o superiore
InformationTypesAbove75 Matrice JSON di SensitiveInformation trovata nei dati con livello di confidenza 75 o superiore
InformationTypesAbove85 Matrice JSON di SensitiveInformation trovata nei dati con livello di attendibilità 85 o superiore
InformationTypesAbove95 Matrice JSON di SensitiveInformation trovata nei dati con livello di attendibilità 95 o superiore
DiscoveredInformationTypes Matrice JSON di SensitiveInformation trovata nei dati e nel relativo contenuto corrispondente (se abilitato) in cui una matrice vuota non indica alcun tipo di informazioni trovato e null significa che non sono disponibili informazioni
ProtectedBefore Indica se il contenuto è stato protetto prima della modifica: Sì/No
ProtectionOwnerBefore Rights Management proprietario prima della modifica
UserJustification Giustificazione durante il downgrade o la rimozione dell'etichetta
LastModifiedBy Utente in formato UPN che ha modificato l'ultimo file. Disponibile solo per Office e SharePoint
LastModifiedDate UTC nel formato AAAA-MM-GGTHH:MM:SS: disponibile solo per Office e SharePoint

Esempi di utilizzo di InformationProtectionEvents

Gli esempi seguenti mostrano come è possibile usare lo schema descrittivo per creare query personalizzate.

Esempio 1: Restituire tutti gli utenti che hanno inviato i dati di controllo negli ultimi 31 giorni
InformationProtectionEvents 
| where Time > ago(31d) 
| distinct User 
Esempio 2: Restituire il numero di etichette di cui è stato effettuato il downgrade al giorno negli ultimi 31 giorni
InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| summarize Label_Downgrades_per_Day = count(Activity) by bin(Time, 1d) 
 
Esempio 3: Restituire il numero di etichette di cui è stato effettuato il downgrade da Riservato dall'utente negli ultimi 31 giorni

InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| where LabelNameBefore contains "Confidential" and LabelName !contains "Confidential"  
| summarize Label_Downgrades_by_User = count(Activity) by User | sort by Label_Downgrades_by_User desc 

In questo esempio, un'etichetta di cui è stato effettuato il downgrade viene conteggiata solo se il nome dell'etichetta prima dell'azione conteneva il nome Confidential e il nome dell'etichetta dopo l'azione non conteneva il nome Confidential.

Passaggi successivi

Dopo aver esaminato le informazioni nei report, se si usa il client di Azure Information Protection, è possibile decidere di apportare modifiche ai criteri di etichettatura nel Centro conformità Microsoft 365. Per altre informazioni, vedere la documentazione di Microsoft 365.

I log di controllo AIP vengono inviati anche al Microsoft 365 Activity Explorer, in cui possono essere visualizzati con nomi diversi. Per altre informazioni, vedere: