Udostępnij za pośrednictwem


Rejestrowanie i analizowanie użycia ochrony z usługi Azure Information Protection

Uwaga

Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Dodatek usługi Azure Information Protection został wycofany i zastąpiony etykietami wbudowanymi w aplikacje i usługi platformy Microsoft 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.

Klient usługi Microsoft Purview Information Protection (bez dodatku) jest ogólnie dostępny.

Te informacje ułatwiają zrozumienie, jak korzystać z funkcji rejestrowania użycia usługi ochrony (Azure Rights Management) w usłudze Azure Information Protection. Ta usługa ochrony zapewnia ochronę danych w przypadku dokumentów i wiadomości e-mail organizacji oraz umożliwia rejestrowanie w niej każdego żądania. Te żądania obejmują, gdy użytkownicy chronią dokumenty i wiadomości e-mail, a także używają tej zawartości, akcji wykonywanych przez administratorów tej usługi oraz akcji wykonywanych przez operatorów firmy Microsoft w celu obsługi wdrożenia usługi Azure Information Protection.

Następnie można użyć tych dzienników użycia ochrony do obsługi następujących scenariuszy biznesowych:

  • Analizowanie pod kątem szczegółowych informacji biznesowych

    Dzienniki generowane przez usługę ochrony można zaimportować do wybranego repozytorium (takiego jak baza danych, system przetwarzania analitycznego online lub system redukcji map), aby analizować informacje i tworzyć raporty. Na przykład możesz określić, kto uzyskuje dostęp do chronionych danych. Możesz określić, do jakich chronionych danych uzyskują dostęp, oraz z jakich urządzeń i z jakich urządzeń. Możesz dowiedzieć się, czy użytkownicy mogą pomyślnie odczytać chronioną zawartość. Możesz również zidentyfikować osoby, które przeczytały ważny dokument, który był chroniony.

  • Monitorowanie pod kątem nadużyć

    Rejestrowanie informacji o użyciu ochrony jest dostępne niemal w czasie rzeczywistym, dzięki czemu można stale monitorować korzystanie z usługi ochrony w firmie. 99,9% dzienników jest dostępnych w ciągu 15 minut od zainicjowanej akcji w usłudze.

    Na przykład możesz chcieć otrzymywać alerty w przypadku nagłego wzrostu liczby osób odczytujących chronione dane poza standardowymi godzinami pracy, co może wskazywać, że złośliwy użytkownik zbiera informacje do sprzedaży konkurentom. Lub jeśli ten sam użytkownik najwyraźniej uzyskuje dostęp do danych z dwóch różnych adresów IP w krótkim czasie, co może wskazywać, że konto użytkownika zostało naruszone.

  • Przeprowadzanie analizy kryminalistycznej

    Jeśli masz wyciek informacji, prawdopodobnie zostanie wyświetlony monit o to, kto ostatnio uzyskiwał dostęp do określonych dokumentów i jakie informacje miały ostatnio podejrzany dostęp do osoby. W przypadku korzystania z tego rejestrowania można odpowiedzieć na te typy pytań, ponieważ osoby korzystające z chronionej zawartości muszą zawsze uzyskać licencję usługi Rights Management, aby otwierać dokumenty i obrazy chronione przez usługę Azure Information Protection, nawet jeśli te pliki są przenoszone pocztą e-mail lub kopiowane na dyski USB lub inne urządzenia magazynujące. Oznacza to, że te dzienniki można użyć jako ostatecznego źródła informacji do analizy śledczej podczas ochrony danych przy użyciu usługi Azure Information Protection.

Oprócz tego rejestrowania użycia dostępne są również następujące opcje rejestrowania:

Opcja rejestrowania opis
dziennik Administracja Rejestruje zadania administracyjne usługi ochrony. Jeśli na przykład usługa jest dezaktywowana, gdy funkcja administratora jest włączona, a użytkownicy są delegowani uprawnień administratora do usługi.

Aby uzyskać więcej informacji, zobacz polecenie cmdlet programu PowerShell Get-AipService Administracja Log.
Śledzenie dokumentów Umożliwia użytkownikom śledzenie i odwoływanie dokumentów śledzonych za pomocą klienta usługi Azure Information Protection. Administratorzy globalni mogą również śledzić te dokumenty w imieniu użytkowników.

Aby uzyskać więcej informacji, zobacz Konfigurowanie i używanie śledzenia dokumentów dla usługi Azure Information Protection.
Dzienniki zdarzeń klienta Działanie użycia klienta usługi Azure Information Protection, zarejestrowane w lokalnym dzienniku zdarzeń aplikacji i usług systemu Windows, Azure Information Protection.

Aby uzyskać więcej informacji, zobacz Rejestrowanie użycia dla klienta usługi Azure Information Protection.
Pliki dziennika klienta Dzienniki rozwiązywania problemów z klientem usługi Azure Information Protection znajdujące się w folderze %localappdata%\Microsoft\MSIP.

Te pliki są przeznaczone do pomoc techniczna firmy Microsoft.

Ponadto informacje z dzienników użycia klienta usługi Azure Information Protection oraz skaner usługi Azure Information Protection są zbierane i agregowane w celu tworzenia raportów w witrynie Azure Portal. Aby uzyskać więcej informacji, zobacz Raportowanie dla usługi Azure Information Protection.

Więcej informacji na temat rejestrowania użycia dla usługi ochrony można znaleźć w poniższych sekcjach.

Jak włączyć rejestrowanie na potrzeby użycia ochrony

Rejestrowanie użycia ochrony jest domyślnie włączone dla wszystkich klientów.

Nie ma dodatkowych kosztów magazynu dzienników ani funkcji rejestrowania.

Jak uzyskać dostęp do dzienników użycia ochrony i korzystać z nich

Usługa Azure Information Protection zapisuje dzienniki jako serię obiektów blob na koncie usługi Azure Storage, które automatycznie tworzy dla dzierżawy. Każdy obiekt blob zawiera co najmniej jeden rekord dziennika w rozszerzonym formacie dziennika W3C. Nazwy obiektów blob to liczby, w kolejności, w jakiej zostały utworzone. Sekcja How to interpret your Azure Rights Management usage logs (Jak interpretować dzienniki użycia usługi Azure Rights Management) w dalszej części tego dokumentu zawiera więcej informacji na temat zawartości dziennika i ich tworzenia.

Wyświetlenie dzienników na koncie magazynu po wykonaniu akcji ochrony może zająć trochę czasu. Większość dzienników jest wyświetlana w ciągu 15 minut. Dzienniki użycia są dostępne tylko wtedy, gdy nazwa pola "date" zawiera wartość poprzedniej daty (w godzinie UTC). Dzienniki użycia z bieżącej daty nie są dostępne. Zalecamy pobranie dzienników do magazynu lokalnego, takiego jak folder lokalny, baza danych lub repozytorium map-reduce.

Aby pobrać dzienniki użycia, użyjesz modułu AIPService programu PowerShell dla usługi Azure Information Protection. Aby uzyskać instrukcje dotyczące instalacji, zobacz Instalowanie modułu AIPService programu PowerShell.

Aby pobrać dzienniki użycia przy użyciu programu PowerShell

  1. Uruchom program Windows PowerShell z opcją Uruchom jako administrator i użyj polecenia cmdlet Połączenie-AipService, aby nawiązać połączenie z usługą Azure Information Protection:

    Connect-AipService
    
  2. Uruchom następujące polecenie, aby pobrać dzienniki dla określonej daty:

    Get-AipServiceUserLog -Path <location> -fordate <date>
    

    Na przykład po utworzeniu folderu o nazwie Dzienniki na dysku E:

    • Aby pobrać dzienniki dla określonej daty (np. 2.1.2016), uruchom następujące polecenie: Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016

    • Aby pobrać dzienniki dla zakresu dat (np. od 2.1.2016 do 2.14.2016 r.), uruchom następujące polecenie: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016

Jeśli określisz tylko dzień, tak jak w naszych przykładach, zakłada się, że czas to 00:00:00 w czasie lokalnym, a następnie przekonwertowany na utc. Po określeniu godziny z parametrami -fromdate lub -todate (na przykład -fordate "2/1/2016 15:00:00"), data i godzina są konwertowane na UTC. Polecenie Get-AipServiceUserLog pobiera dzienniki dla tego okresu UTC.

Nie można określić mniej niż cały dzień do pobrania.

Domyślnie to polecenie cmdlet używa trzech wątków do pobierania dzienników. Jeśli masz wystarczającą przepustowość sieci i chcesz skrócić czas wymagany do pobrania dzienników, użyj parametru -NumberOfThreads, który obsługuje wartość z zakresu od 1 do 32. Jeśli na przykład uruchomisz następujące polecenie, polecenie cmdlet zduplikuje 10 wątków w celu pobrania dzienników: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10

Napiwek

Wszystkie pobrane pliki dziennika można agregować w formacie CSV przy użyciu analizatora dzienników firmy Microsoft, który jest narzędziem do konwertowania między różnymi dobrze znanymi formatami dzienników. Za pomocą tego narzędzia można również przekonwertować dane na format SYSLOG lub zaimportować je do bazy danych. Po zainstalowaniu narzędzia uruchom polecenie LogParser.exe /? , aby uzyskać pomoc i informacje, aby użyć tego narzędzia.

Na przykład możesz uruchomić następujące polecenie, aby zaimportować wszystkie informacje do formatu pliku .log: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"

Jak interpretować dzienniki użycia

Skorzystaj z poniższych informacji, aby ułatwić interpretację dzienników użycia ochrony.

Sekwencja dzienników

Usługa Azure Information Protection zapisuje dzienniki jako serię obiektów blob.

Każdy wpis w dzienniku ma znacznik czasu UTC. Ponieważ usługa ochrony działa na wielu serwerach w wielu centrach danych, czasami dzienniki mogą wydawać się poza sekwencją, nawet jeśli są sortowane według sygnatury czasowej. Jednak różnica jest niewielka i zwykle w ciągu minuty. W większości przypadków nie jest to problem, który byłby problemem w przypadku analizy dzienników.

Format obiektu blob

Każdy obiekt blob ma rozszerzony format dziennika W3C. Zaczyna się od następujących dwóch wierszy:

#Software: RMS

#Version: 1.1

Pierwszy wiersz wskazuje, że są to dzienniki ochrony z usługi Azure Information Protection. Drugi wiersz identyfikuje, że reszta obiektu blob jest zgodna ze specyfikacją wersji 1.1. Zalecamy, aby wszystkie aplikacje, które analizują te dzienniki, weryfikują te dwa wiersze przed kontynuowaniem analizowania pozostałej części obiektu blob.

Trzeci wiersz wylicza listę nazw pól rozdzielonych tabulatorami:

#Fields: data/godzina identyfikatora wiersza-identyfikatora żądania identyfikatora użytkownika identyfikator korelacji identyfikator zawartości-id właściciela-wystawcy wiadomości e-mail template-id nazwa pliku data-opublikowana c-info c-ip admin-action działająca jako użytkownik

Każdy z kolejnych wierszy jest rekordem dziennika. Wartości pól są w tej samej kolejności co poprzedni wiersz i są oddzielone tabulatorami. Poniższa tabela służy do interpretowania pól.

Nazwa pola Typ danych W3C opis Przykładowa wartość
Data Data Data UTC, kiedy żądanie zostało obsłużone.

Źródłem jest zegar lokalny na serwerze, który obsłużył żądanie.
2013-06-25
Czas Czas Czas UTC w formacie 24-godzinnym, gdy żądanie zostało obsłużone.

Źródłem jest zegar lokalny na serwerze, który obsłużył żądanie.
21:59:28
identyfikator wiersza Text Unikatowy identyfikator GUID dla tego rekordu dziennika. Jeśli wartość nie jest obecna, użyj wartości correlation-id, aby zidentyfikować wpis.

Ta wartość jest przydatna podczas agregowania dzienników lub kopiowania dzienników do innego formatu.
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63
typ żądania Nazwisko Nazwa żądanego interfejsu API usługi RMS. Uzyskiwanielicencjonowania
identyfikator użytkownika String Użytkownik, który złożył żądanie.

Wartość jest ujęta w pojedynczy cudzysłów. Wywołania z klucza dzierżawy zarządzanego przez Użytkownika (BYOK) mają wartość ", która ma zastosowanie również wtedy, gdy typy żądań są anonimowe.
"joe@contoso.com"
Wynik String "Powodzenie", jeśli żądanie zostało pomyślnie obsłużone.

Typ błędu w pojedynczych cudzysłowach, jeśli żądanie nie powiodło się.
"Sukces"
identyfikator korelacji Text Identyfikator GUID wspólny między dziennikiem klienta usługi RMS i dziennikiem serwera dla danego żądania.

Ta wartość może być przydatna do rozwiązywania problemów z klientem.
cab52088-8925-4371-be34-4b71a3112356
content-id Text Identyfikator GUID ujęty w nawiasy klamrowe identyfikujące chronioną zawartość (na przykład dokument).

To pole ma wartość tylko wtedy, gdy typ żądania to AcquireLicense i jest pusty dla wszystkich innych typów żądań.
{bb4af47b-cfed-4719-831d-71b98191a4f2}
adres e-mail właściciela String Adres e-mail właściciela dokumentu.

To pole jest puste, jeśli typ żądania to RevokeAccess.
alice@contoso.com
Emitenta String Adres e-mail wystawcy dokumentu.

To pole jest puste, jeśli typ żądania to RevokeAccess.
alice@contoso.com (lub) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com'
identyfikator szablonu String Identyfikator szablonu używanego do ochrony dokumentu.

To pole jest puste, jeśli typ żądania to RevokeAccess.
{6d9371a6-4e2d-4e97-9a38-202233fed26e}
nazwa pliku String Nazwa pliku chronionego dokumentu śledzonego przy użyciu klienta usługi Azure Information Protection dla systemu Windows.

Obecnie niektóre pliki (takie jak dokumenty pakietu Office) są wyświetlane jako identyfikatory GUID, a nie rzeczywista nazwa pliku.

To pole jest puste, jeśli typ żądania to RevokeAccess.
TopSecretDocument.docx
data publikacji Data Data, kiedy dokument był chroniony.

To pole jest puste, jeśli typ żądania to RevokeAccess.
2015-10-15T21:37:00
c-info String Informacje o platformie klienta wysyłającej żądanie.

Określony ciąg różni się w zależności od aplikacji (na przykład systemu operacyjnego lub przeglądarki).
"MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64'
c-ip Adres Adres IP klienta wysyłającego żądanie. 64.51.202.144
akcja administratora Bool Czy administrator uzyskał dostęp do witryny śledzenia dokumentów w trybie Administracja istratora. Prawda
działając jako użytkownik String Adres e-mail użytkownika, dla którego administrator uzyskuje dostęp do witryny śledzenia dokumentów. "joe@contoso.com"

Wyjątki dla pola user-id

Chociaż pole user-id zwykle wskazuje użytkownika, który złożył żądanie, istnieją dwa wyjątki, w których wartość nie jest mapowane na rzeczywistego użytkownika:

  • Wartość "microsoftrmsonline@<YourTenantID.rms>.<region.aadrm.com>".

    Oznacza to, że usługa Office 365, taka jak Exchange Online lub Microsoft SharePoint, wysyła żądanie. W ciągu <YourTenantID> to identyfikator GUID dzierżawy, a <region to region>, w którym zarejestrowano dzierżawę. Na przykład na reprezentuje Ameryka Północna, eu reprezentuje Europę, a ap reprezentuje Azja.

  • Jeśli używasz łącznika usługi RMS.

    Żądania z tego łącznika są rejestrowane przy użyciu głównej nazwy usługi Aadrm_S-1-7-0, która jest generowana automatycznie podczas instalowania łącznika usługi RMS.

Typowe typy żądań

Istnieje wiele typów żądań dla usługi ochrony, ale w poniższej tabeli przedstawiono niektóre z najczęściej używanych typów żądań.

Typ żądania opis
Uzyskiwanielicencjonowania Klient z komputera z systemem Windows żąda licencji na chronioną zawartość.
AcquirePreLicense Klient w imieniu użytkownika żąda licencji na chronioną zawartość.
AcquireTemplates Wykonano wywołanie w celu uzyskania szablonów na podstawie identyfikatorów szablonów
AcquireTemplateInformation Wykonano wywołanie w celu pobrania identyfikatorów szablonu z usługi.
AddTemplate Wywołanie jest wykonywane z witryny Azure Portal w celu dodania szablonu.
AllDocsCsv Wykonano wywołanie z witryny śledzenia dokumentów w celu pobrania pliku CSV ze strony Wszystkie dokumenty .
BECreateEndUserLicenseV1 Wywołanie jest wykonywane z urządzenia przenośnego w celu utworzenia licencji użytkownika końcowego.
BEGetAllTemplatesV1 Wywołanie jest wykonywane z urządzenia przenośnego (zaplecza), aby pobrać wszystkie szablony.
Zaświadczam Klient certyfikowa użytkownika pod kątem użycia i tworzenia chronionej zawartości.
FECreateEndUserLicenseV1 Podobnie jak żądanie AcquireLicense, ale z urządzeń przenośnych.
FECreatePublishingLicenseV1 Takie same jak w połączeniu Certify i GetClientLicensorCert z klientów mobilnych.
FEGetAllTemplates Wykonano wywołanie z urządzenia przenośnego (frontonu) w celu pobrania szablonów.
FindServiceLocationsForUser Wykonano wywołanie zapytania o adresy URL, które jest używane do wywoływania aplikacji Certify lub AcquireLicense.
GetClientLicensorCert Klient żąda certyfikatu publikowania (który jest później używany do ochrony zawartości) z komputera z systemem Windows.
GetConfiguration Polecenie cmdlet programu Azure PowerShell jest wywoływane w celu uzyskania konfiguracji dzierżawy usługi Azure RMS.
Get Połączenie orAuthorizations Wykonano wywołanie z łączników usługi RMS w celu pobrania ich konfiguracji z chmury.
GetRecipients Wykonano wywołanie z witryny śledzenia dokumentów w celu przejścia do widoku listy dla pojedynczego dokumentu.
GetTenantFunctionalState Witryna Azure Portal sprawdza, czy usługa ochrony (Azure Rights Management) została aktywowana.
KeyVaultDecryptRequest Klient próbuje odszyfrować zawartość chronioną przez usługę RMS. Dotyczy tylko klucza dzierżawy zarządzanego przez klienta (BYOK) w usłudze Azure Key Vault.
KeyVaultGetKeyInfoRequest Wykonano wywołanie w celu sprawdzenia, czy klucz określony do użycia w usłudze Azure Key Vault dla klucza dzierżawy usługi Azure Information Protection jest dostępny i nie jest jeszcze używany.
KeyVaultSignDigest Wywołanie jest wykonywane, gdy klucz zarządzany przez klienta (BYOK) w usłudze Azure Key Vault jest używany do celów podpisywania. Jest to wywoływane zazwyczaj raz na jednostkę AcquireLicence (lub FECreateEndUserLicenseV1), Certify i GetClientLicensorCert (lub FECreatePublishingLicenseV1).
KmSPDecrypt Klient próbuje odszyfrować zawartość chronioną przez usługę RMS. Dotyczy tylko starszego klucza dzierżawy zarządzanego przez klienta (BYOK).
KMSPSignDigest Wywołanie jest wykonywane, gdy starszy klucz zarządzany przez klienta (BYOK) jest używany do celów podpisywania. Jest to wywoływane zazwyczaj raz na jednostkę AcquireLicence (lub FECreateEndUserLicenseV1), Certify i GetClientLicensorCert (lub FECreatePublishingLicenseV1).
ServerCertify Wywołanie jest wykonywane z klienta obsługującego usługę RMS (na przykład programu SharePoint) w celu certyfikowania serwera.
SetUsageLogFeatureState Wykonano wywołanie w celu włączenia rejestrowania użycia.
SetUsageLogStorageAccount Wykonano wywołanie w celu określenia lokalizacji dzienników usługi Azure Rights Management.
UpdateTemplate Wykonano wywołanie z witryny Azure Portal w celu zaktualizowania istniejącego szablonu.

Dzienniki użycia ochrony i ujednolicony dziennik inspekcji platformy Microsoft 365

Zdarzenia dostępu do plików i odmowy nie zawierają obecnie nazwy pliku i nie są dostępne w ujednoliconym dzienniku inspekcji platformy Microsoft 365. Te zdarzenia zostaną ulepszone, aby były autonomiczne i dodawane z usługi Rights Management w późniejszym terminie.

Informacje dotyczące programu PowerShell

Jedynym poleceniem cmdlet programu PowerShell, które musisz uzyskać dostęp do rejestrowania użycia ochrony, jest Get-AipServiceUserLog.

Aby uzyskać więcej informacji na temat korzystania z programu PowerShell dla usługi Azure Information Protection, zobacz Administracja istering protection from Azure Information Protection by using PowerShell (Ochrona przed usługą Azure Information Protection przy użyciu programu PowerShell).