Logboekregistratie en analyse van het beveiligingsgebruik van Azure Information Protection
Notitie
Zoekt u Microsoft Purview Informatiebeveiliging, voorheen Microsoft Information Protection (MIP)?
De Azure Information Protection-invoegtoepassing wordt buiten gebruik gesteld en vervangen door labels die zijn ingebouwd in uw Microsoft 365-apps en -services. Meer informatie over de ondersteuningsstatus van andere Azure Information Protection-onderdelen.
De Microsoft Purview Informatiebeveiliging-client (zonder de invoegtoepassing) is algemeen beschikbaar.
Hier wordt uitgelegd hoe je de gebruiksregistratie voor de beveiligingsservice (Azure Rights Management) van Azure Information Protection kunt gebruiken. Deze beveiligingsservice biedt de gegevensbescherming voor de documenten en e-mailberichten van je organisatie en kan elke aanvraag bij de organisatie vastleggen. Deze aanvragen omvatten wanneer gebruikers documenten en e-mail beveiligen en deze inhoud ook gebruiken, acties die door uw beheerders voor deze service worden uitgevoerd en acties die door Microsoft-operators worden uitgevoerd ter ondersteuning van uw Azure Information Protection-implementatie.
Vervolgens kunt u deze beveiligingsgebruikslogboeken gebruiken ter ondersteuning van de volgende bedrijfsscenario's:
Analyseren voor zakelijke inzichten
De logboeken die door de beveiligingsservice worden gegenereerd, kunnen worden geïmporteerd in een opslagplaats van uw keuze (zoals een database, een OLAP-systeem (Online Analytical Processing) of een map-reduce-systeem) om de informatie te analyseren en rapporten te produceren. U kunt bijvoorbeeld bepalen wie toegang heeft tot uw beveiligde gegevens. U kunt bepalen welke beveiligde gegevens personen openen en vanaf welke apparaten en vanaf waar. U kunt nagaan of personen beveiligde inhoud kunnen lezen. U kunt ook bepalen welke personen een belangrijk document hebben gelezen dat is beveiligd.
Controleren op misbruik
Logboekinformatie over het beveiligingsgebruik is in bijna realtime beschikbaar, zodat u het gebruik van de beveiligingsservice continu kunt bewaken. 99,9% van de logboeken is beschikbaar binnen 15 minuten na een geïnitieerde actie voor de service.
U kunt bijvoorbeeld worden gewaarschuwd als er plotseling meer mensen zijn die beveiligde gegevens lezen buiten de standaardwerkuren. Dit kan erop wijzen dat een kwaadwillende gebruiker informatie verzamelt om aan concurrenten te verkopen. Of, als dezelfde gebruiker blijkbaar binnen een korte periode toegang heeft tot gegevens van twee verschillende IP-adressen, wat erop kan duiden dat een gebruikersaccount is aangetast.
Forensische analyse uitvoeren
Als u een informatielek hebt, wordt u waarschijnlijk gevraagd wie onlangs toegang heeft tot specifieke documenten en welke informatie onlangs een verdachte toegang heeft gedaan. U kunt deze typen vragen beantwoorden wanneer u deze logboekregistratie gebruikt, omdat personen die beveiligde inhoud gebruiken altijd een Rights Management-licentie moeten krijgen om documenten en afbeeldingen te openen die worden beveiligd door Azure Information Protection, zelfs als deze bestanden worden verplaatst via e-mail of gekopieerd naar USB-stations of andere opslagapparaten. Dit betekent dat u deze logboeken kunt gebruiken als een definitieve bron van informatie voor forensische analyse wanneer u uw gegevens beveiligt met behulp van Azure Information Protection.
Naast deze gebruikslogboekregistratie hebt u ook de volgende opties voor logboekregistratie:
Optie voor logboekregistratie | Beschrijving |
---|---|
Beheer logboek | Registreert beheertaken voor de beveiligingsservice. Als de service bijvoorbeeld is gedeactiveerd, wanneer de functie supergebruiker is ingeschakeld en wanneer gebruikers beheerdersmachtigingen voor de service hebben. Zie de PowerShell-cmdlet Get-AipService Beheer Log voor meer informatie. |
Documenttracking | Hiermee kunnen gebruikers hun documenten bijhouden en intrekken die ze hebben bijgehouden met de Azure Information Protection-client. Globale beheerders kunnen deze documenten ook namens gebruikers bijhouden. Zie Documenttracking configureren en gebruiken voor Azure Information Protection voor meer informatie. |
Gebeurtenislogboeken van client | Gebruiksactiviteit voor de Azure Information Protection-client, geregistreerd in het lokale gebeurtenislogboek van Windows-toepassingen en -services , Azure Information Protection. Zie Gebruikslogboeken voor de Azure Information Protection-client voor meer informatie. |
Clientlogboekbestanden | Problemen met logboeken voor de Azure Information Protection-client oplossen, die zich in %localappdata%\Microsoft\MSIP bevinden. Deze bestanden zijn ontworpen voor Microsoft Ondersteuning. |
Daarnaast worden gegevens uit de gebruikslogboeken van de Azure Information Protection-client en de Azure Information Protection-scanner verzameld en samengevoegd om rapporten te maken in Azure Portal. Zie Rapportage voor Azure Information Protection voor meer informatie.
Gebruik de volgende secties voor meer informatie over de gebruikslogboekregistratie voor de beveiligingsservice.
Logboekregistratie inschakelen voor beveiligingsgebruik
Logboekregistratie van beveiligingsgebruik is standaard ingeschakeld voor alle klanten.
Er zijn geen extra kosten verbonden aan de logboekopslag of voor de functionaliteit voor logboekregistratiefuncties.
Uw gebruikslogboeken voor beveiliging openen en gebruiken
Azure Information Protection schrijft logboeken als een reeks blobs naar een Azure-opslagaccount dat automatisch wordt gemaakt voor uw tenant. Elke blob bevat een of meer logboekrecords, in de uitgebreide W3C-logboekindeling. De blobnamen zijn getallen, in de volgorde waarin ze zijn gemaakt. De sectie Azure Rights Management-gebruikslogboeken verderop in dit document bevat meer informatie over de logboekinhoud en het maken ervan.
Het kan even duren voordat logboeken worden weergegeven in uw opslagaccount na een beveiligingsactie. De meeste logboeken worden binnen 15 minuten weergegeven. Gebruikslogboeken zijn alleen beschikbaar wanneer de veldnaam Datum een waarde van een vorige datum (in UTC-tijd) bevat. Gebruikslogboeken vanaf de huidige datum zijn niet beschikbaar. U wordt aangeraden de logboeken te downloaden naar lokale opslag, zoals een lokale map, een database of een opslagplaats voor kaartverperk.
Als u uw gebruikslogboeken wilt downloaden, gebruikt u de AIPService PowerShell-module voor Azure Information Protection. Zie De AIPService PowerShell-module installeren voor installatie-instructies.
Uw gebruikslogboeken downloaden met behulp van PowerShell
Start Windows PowerShell met de optie Uitvoeren als administrator en gebruik de cmdlet Verbinding maken-AipService om verbinding te maken met Azure Information Protection:
Connect-AipService
Voer de volgende opdracht uit om de logboeken voor een specifieke datum te downloaden:
Get-AipServiceUserLog -Path <location> -fordate <date>
Nadat u bijvoorbeeld een map hebt gemaakt met de naam Logboeken op uw E: station:
Voer de volgende opdracht uit om logboeken te downloaden voor een specifieke datum (zoals 2-1-2016):
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016
Als u logboeken wilt downloaden voor een datumbereik (bijvoorbeeld van 2-1-2016 tot en met 14-2-2016), voert u de volgende opdracht uit:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016
Wanneer u alleen de dag opgeeft, zoals in onze voorbeelden, wordt ervan uitgegaan dat de tijd 00:00:00 in uw lokale tijd is en vervolgens wordt geconverteerd naar UTC. Wanneer u een tijd opgeeft met de parameters -fromdate of -todate (bijvoorbeeld -fordate "2/1/2016 15:00:00"), wordt die datum en tijd geconverteerd naar UTC. Met de opdracht Get-AipServiceUserLog worden vervolgens de logboeken voor die UTC-periode opgeslagen.
U kunt niet minder dan een hele dag opgeven om te downloaden.
Deze cmdlet gebruikt standaard drie threads om de logboeken te downloaden. Als u voldoende netwerkbandbreedte hebt en de tijd wilt verkorten die nodig is om de logboeken te downloaden, gebruikt u de parameter -NumberOfThreads, die een waarde van 1 tot en met 32 ondersteunt. Als u bijvoorbeeld de volgende opdracht uitvoert, wordt met de cmdlet 10 threads opgehaald om de logboeken te downloaden: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10
Tip
U kunt al uw gedownloade logboekbestanden samenvoegen in een CSV-indeling met behulp van de logboekparser van Microsoft. Dit is een hulpprogramma om te converteren tussen verschillende bekende logboekindelingen. U kunt dit hulpprogramma ook gebruiken om gegevens te converteren naar de SYSLOG-indeling of deze te importeren in een database. Nadat u het hulpprogramma hebt geïnstalleerd, voert u de opdracht uit LogParser.exe /?
voor hulp en informatie om dit hulpprogramma te gebruiken.
U kunt bijvoorbeeld de volgende opdracht uitvoeren om alle gegevens te importeren in een .log bestandsindeling: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
Uw gebruikslogboeken interpreteren
Gebruik de volgende informatie om de gebruikslogboeken voor beveiliging te interpreteren.
De logboekvolgorde
Azure Information Protection schrijft de logboeken als een reeks blobs.
Elke vermelding in het logboek heeft een UTC-tijdstempel. Omdat de beveiligingsservice wordt uitgevoerd op meerdere servers in meerdere datacenters, lijken de logboeken soms niet op volgorde te zijn, zelfs als ze zijn gesorteerd op hun tijdstempel. Het verschil is echter klein en meestal binnen een minuut. In de meeste gevallen is dit geen probleem dat een probleem is voor logboekanalyse.
De blob-indeling
Elke blob heeft een uitgebreide W3C-logboekindeling. Het begint met de volgende twee regels:
#Software: RMS
#Version: 1.1
De eerste regel geeft aan dat dit beveiligingslogboeken van Azure Information Protection zijn. De tweede regel geeft aan dat de rest van de blob de specificatie van versie 1.1 volgt. Het is raadzaam dat toepassingen die deze logboeken parseren, deze twee regels controleren voordat u de rest van de blob blijft parseren.
De derde regel bevat een lijst met veldnamen die worden gescheiden door tabbladen:
#Fields: datum/tijd row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name-published c-info c-ip admin-action acting-as-user
Elk van de volgende regels is een logboekrecord. De waarden van de velden bevinden zich in dezelfde volgorde als de voorgaande regel en worden gescheiden door tabbladen. Gebruik de volgende tabel om de velden te interpreteren.
Veldnaam | W3C-gegevenstype | Beschrijving | Voorbeeldwaarde |
---|---|---|---|
Datum | Datum | UTC-datum waarop de aanvraag is verwerkt. De bron is de lokale klok op de server die de aanvraag heeft verwerkt. |
2013-06-25 |
time | Tijd | UTC-tijd in 24-uursnotatie toen de aanvraag werd verwerkt. De bron is de lokale klok op de server die de aanvraag heeft verwerkt. |
21:59:28 |
rij-id | Sms verzenden | Unieke GUID voor deze logboekrecord. Als een waarde niet aanwezig is, gebruikt u de correlatie-id-waarde om de vermelding te identificeren. Deze waarde is handig wanneer u logboeken samenvoegt of logboeken kopieert naar een andere indeling. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
aanvraagtype | Naam | Naam van de RMS-API die is aangevraagd. | AcquireLicense |
user-id | String | De gebruiker die de aanvraag heeft ingediend. De waarde wordt tussen enkele aanhalingstekens geplaatst. Aanroepen van een tenantsleutel die door u (BYOK) wordt beheerd, hebben de waarde ', wat ook van toepassing is wanneer de aanvraagtypen anoniem zijn. |
'joe@contoso.com' |
Resultaat | String | 'Geslaagd' als de aanvraag is uitgevoerd. Het fouttype tussen enkele aanhalingstekens als de aanvraag is mislukt. |
'Geslaagd' |
correlatie-id | Sms verzenden | GUID die gebruikelijk is tussen het RMS-clientlogboek en het serverlogboek voor een bepaalde aanvraag. Deze waarde kan handig zijn om problemen met clients op te lossen. |
cab52088-8925-4371-be34-4b71a3112356 |
content-id | Sms verzenden | GUID, tussen accolades die de beveiligde inhoud identificeren (bijvoorbeeld een document). Dit veld heeft alleen een waarde als aanvraagtype AcquireLicense is en leeg is voor alle andere aanvraagtypen. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
eigenaar-e-mail | String | E-mailadres van de eigenaar van het document. Dit veld is leeg als het aanvraagtype RevokeAccess is. |
alice@contoso.com |
Uitgevende instelling | String | E-mailadres van de verlener van het document. Dit veld is leeg als het aanvraagtype RevokeAccess is. |
alice@contoso.com (of) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
template-id | String | Id van de sjabloon die wordt gebruikt om het document te beveiligen. Dit veld is leeg als het aanvraagtype RevokeAccess is. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
bestandsnaam | String | Bestandsnaam van een beveiligd document dat wordt bijgehouden met behulp van de Azure Information Protection-client voor Windows. Op dit moment worden sommige bestanden (zoals Office-documenten) weergegeven als GUID's in plaats van de werkelijke bestandsnaam. Dit veld is leeg als het aanvraagtype RevokeAccess is. |
TopSecretDocument.docx |
datum gepubliceerd | Datum | Datum waarop het document is beveiligd. Dit veld is leeg als het aanvraagtype RevokeAccess is. |
2015-10-15T21:37:00 |
c-info | String | Informatie over het clientplatform dat de aanvraag doet. De specifieke tekenreeks varieert, afhankelijk van de toepassing (bijvoorbeeld het besturingssysteem of de browser). |
'MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64' |
c-ip | Adres | IP-adres van de client die de aanvraag doet. | 64.51.202.144 |
admin-action | Bool | Of een beheerder toegang heeft tot de site voor documenttracking in Beheer istratormodus. | Waar |
acting-as-user | String | Het e-mailadres van de gebruiker voor wie een beheerder toegang heeft tot de site voor documenttracking. | 'joe@contoso.com' |
Uitzonderingen voor het veld gebruikers-id
Hoewel het veld gebruikers-id meestal de gebruiker aangeeft die de aanvraag heeft ingediend, zijn er twee uitzonderingen waarbij de waarde niet wordt toegewezen aan een echte gebruiker:
De waarde 'microsoftrmsonline@<YourTenantID.rms>.<region.aadrm.com>'.
Dit geeft aan dat een Office 365-service, zoals Exchange Online of Microsoft SharePoint, de aanvraag indient. In de tekenreeks <is YourTenantID> de GUID voor uw tenant en <regio de regio> waar uw tenant is geregistreerd. Na vertegenwoordigt bijvoorbeeld Noord-Amerika, eu vertegenwoordigt Europa en ap vertegenwoordigt Azië.
Als u de RMS-connector gebruikt.
Aanvragen van deze connector worden geregistreerd met de service-principalnaam van Aadrm_S-1-7-0, die automatisch wordt gegenereerd wanneer u de RMS-connector installeert.
Typische aanvraagtypen
Er zijn veel aanvraagtypen voor de beveiligingsservice, maar in de volgende tabel worden enkele van de meest gebruikte aanvraagtypen geïdentificeerd.
Aanvraagtype | Beschrijving |
---|---|
AcquireLicense | Een client van een Windows-computer vraagt een licentie aan voor beveiligde inhoud. |
AcquirePreLicense | Een client vraagt namens de gebruiker om een licentie voor beveiligde inhoud. |
AcquireTemplates | Er is een aanroep gedaan om sjablonen te verkrijgen op basis van sjabloon-id's |
AcquireTemplateInformation | Er is een aanroep gedaan om de id's van de sjabloon op te halen uit de service. |
AddTemplate | Er wordt een aanroep uitgevoerd vanuit Azure Portal om een sjabloon toe te voegen. |
AllDocsCsv | Er wordt een aanroep uitgevoerd vanaf de site voor documenttracking om het CSV-bestand te downloaden van de pagina Alle documenten . |
BECreateEndUserLicenseV1 | Er wordt een aanroep uitgevoerd vanaf een mobiel apparaat om een licentie voor eindgebruikers te maken. |
BEGetAllTemplatesV1 | Er wordt een aanroep uitgevoerd vanaf een mobiel apparaat (back-end) om alle sjablonen op te halen. |
Certificeren | De client certificeert de gebruiker voor het verbruik en het maken van beveiligde inhoud. |
FECreateEndUserLicenseV1 | Vergelijkbaar met de AcquireLicense-aanvraag, maar van mobiele apparaten. |
FECreatePublishingLicenseV1 | Hetzelfde als Certify en GetClientLicensorCert gecombineerd, van mobiele clients. |
FEGetAllTemplates | Er wordt een aanroep uitgevoerd vanaf een mobiel apparaat (front-end) om de sjablonen op te halen. |
FindServiceLocationsForUser | Er wordt een aanroep uitgevoerd om een query uit te voeren op URL's die worden gebruikt om Certify of AcquireLicense aan te roepen. |
GetClientLicensorCert | De client vraagt een publicatiecertificaat aan (dat later wordt gebruikt om inhoud te beveiligen) tegen een Windows-computer. |
GetConfiguration | Een Azure PowerShell-cmdlet wordt aangeroepen om de configuratie van de Azure RMS-tenant op te halen. |
Get Verbinding maken orAuthorizations | Er wordt een aanroep uitgevoerd van de RMS-connectors om de configuratie van de cloud op te halen. |
GetRecipients | Er wordt een aanroep uitgevoerd vanaf de site voor documenttracking om naar de lijstweergave voor één document te navigeren. |
GetTenantFunctionalState | De Azure-portal controleert of de beveiligingsservice (Azure Rights Management) is geactiveerd. |
KeyVaultDecryptRequest | De client probeert de met RMS beveiligde inhoud te ontsleutelen. Alleen van toepassing op een door de klant beheerde tenantsleutel (BYOK) in Azure Key Vault. |
KeyVaultGetKeyInfoRequest | Er wordt een aanroep uitgevoerd om te controleren of de sleutel die is opgegeven voor gebruik in Azure Key Vault voor de Azure Information Protection-tenantsleutel toegankelijk is en nog niet is gebruikt. |
KeyVaultSignDigest | Er wordt een aanroep uitgevoerd wanneer een door de klant beheerde sleutel (BYOK) in Azure Key Vault wordt gebruikt voor ondertekeningsdoeleinden. Dit wordt doorgaans eenmaal aangeroepen per AcquireLicence (of FECreateEndUserLicenseV1), Certify en GetClientLicensorCert (of FECreatePublishingLicenseV1). |
KMSPDecrypt | De client probeert de met RMS beveiligde inhoud te ontsleutelen. Alleen van toepassing op een verouderde door de klant beheerde tenantsleutel (BYOK). |
KMSPSignDigest | Er wordt een aanroep uitgevoerd wanneer een verouderde door de klant beheerde sleutel (BYOK) wordt gebruikt voor ondertekeningsdoeleinden. Dit wordt doorgaans eenmaal aangeroepen per AcquireLicence (of FECreateEndUserLicenseV1), Certify en GetClientLicensorCert (of FECreatePublishingLicenseV1). |
ServerCertify | Er wordt een aanroep uitgevoerd vanaf een RMS-client (zoals SharePoint) om de server te certificeren. |
SetUsageLogFeatureState | Er wordt een aanroep uitgevoerd om logboekregistratie van gebruik in te schakelen. |
SetUsageLogStorageAccount | Er wordt een aanroep uitgevoerd om de locatie van de Azure Rights Management-servicelogboeken op te geven. |
UpdateTemplate | Er wordt een aanroep uitgevoerd vanuit Azure Portal om een bestaande sjabloon bij te werken. |
Beveiligingsgebruikslogboeken en geïntegreerde auditlogboeken van Microsoft 365
Bestandstoegang en geweigerde gebeurtenissen bevatten momenteel geen bestandsnaam en zijn niet toegankelijk in het geïntegreerde Auditlogboek van Microsoft 365. Deze gebeurtenissen worden uitgebreid om zelfstandig nuttig te zijn en op een later tijdstip vanuit de Rights Management-service toe te voegen.
PowerShell-referentie
De enige PowerShell-cmdlet die u nodig hebt om toegang te krijgen tot uw logboekregistratie voor beveiligingsgebruik is Get-AipServiceUserLog.
Zie voor meer informatie over het gebruik van PowerShell voor Azure Information Protection Beheer istering protection van Azure Information Protection met behulp van PowerShell.