Udostępnij za pośrednictwem


Analiza i centralne raportowanie dla usługi Azure Information Protection

Uwaga

Szukasz usługi Microsoft Information Protection? Klient ujednoliconego etykietowania usługi Azure Information Protection jest obecnie w trybie konserwacji. Zalecamy włączenie wbudowanego etykietowania usługi Microsoft Information Protection dla aplikacji usługi Office 365. Dowiedz się więcej.

W tym artykule opisano sposób używania rozwiązania inspekcji z usługi Microsoft Purview do wyświetlania zdarzeń inspekcji generowanych przez klienta ujednoliconego etykietowania usługi Azure Information Protection. Zdarzenia inspekcji emitowane do ujednoliconego dziennika inspekcji usługi Microsoft 365 dla centralnego raportowania są widoczne w Eksploratorze działań, co może pomóc w śledzeniu wdrażania etykiet, które klasyfikują i chronią dane organizacji.

Inspekcja umożliwia wykonanie następujących czynności:

  • Agregowanie danych od klientów usługi Azure Information Protection, skanerów usługi Azure Information Protection i aplikacji Microsoft Defender dla Chmury.
  • Wyświetlanie zdarzeń inspekcji w ujednoliconym dzienniku inspekcji platformy Microsoft 365 i dzienniku aktywności usługi Office 365 dla organizacji.
  • Wykonywanie zapytań, wyświetlanie i wykrywanie zdarzeń inspekcji w Eksploratorze działań za pomocą interfejsu graficznego w portalu zgodności.

Inspekcja zdarzeń z ujednoliconego dziennika inspekcji platformy Microsoft 365

Klient ujednoliconego etykietowania usługi AIP zawiera dodatek dla pakietu Office, skaner, przeglądarkę dla systemu Windows, program PowerShell klienta oraz rozszerzenie powłoki Klasyfikuj i chroń dla systemu Windows. Wszystkie te składniki generują zdarzenia inspekcji wyświetlane w dziennikach aktywności usługi Office 365 i mogą być odpytywane przy użyciu interfejsu API działań usługi Office 365 Management.

Zdarzenia inspekcji umożliwiają administratorowi:

  • Monitorowanie dokumentów i wiadomości e-mail oznaczonych etykietami i wiadomościami e-mail w organizacji.
  • Monitoruj dostęp użytkowników do dokumentów oznaczonych etykietami i wiadomościami e-mail oraz śledź zmiany klasyfikacji dokumentów.

Ujednolicony schemat zdarzeń dziennika inspekcji platformy Microsoft 365

Pięć zdarzeń (nazywanych również "AuditLogRecordType") specyficznych dla usługi AIP wymienionych poniżej i więcej szczegółów na temat każdego z nich można znaleźć w dokumentacji interfejsu API.

Wartość Nazwa elementu członkowskiego opis
93 AipDiscover Zdarzenia skanera usługi Azure Information Protection (AIP).
94 AipSensitivityLabelAction Zdarzenia etykiet poufności usługi AIP.
95 AipProtectionAction Zdarzenia ochrony usługi AIP.
96 AipFileDeleted Zdarzenia usuwania plików usługi AIP.
97 AipHeartBeat Zdarzenia pulsu usługi AIP.

Te informacje są dostępne w ujednoliconym dzienniku inspekcji platformy Microsoft 365 dla organizacji i można je wyświetlić w Eksploratorze działań.

Wykonywanie zapytań dotyczących zdarzeń inspekcji w Eksploratorze działań

image

Eksplorator działań w portal zgodności Microsoft Purview jest interfejsem graficznym służącym do wyświetlania zdarzeń inspekcji emitowanych do ujednoliconego dziennika inspekcji platformy Microsoft 365. Administrator dzierżawy może używać wbudowanych zapytań, aby określić, czy zasady i mechanizmy kontroli implementowane przez organizację są skuteczne. Dzięki dostępnym maksymalnie 30 dniom administrator może ustawić filtry i wyraźnie zobaczyć, kiedy i jak poufne dane są obsługiwane w organizacji.

Aby wyświetlić działanie specyficzne dla usługi AIP, administrator może rozpocząć od następujących filtrów:

  • Typ działania:
    • Zastosowano etykietę
    • Zmieniono etykietę
    • Usunięto etykietę
    • Odczyt pliku etykiety
  • Aplikacji:
    • Dodatek programu Word usługi Microsoft Azure Information Protection
    • Dodatek programu Excel usługi Microsoft Azure Information Protection
    • Dodatek programu PowerPoint usługi Microsoft Azure Information Protection
    • Dodatek Microsoft Azure Information Protection Outlook

Administrator może nie zobaczyć wszystkich opcji w filtrze lub zobaczyć więcej; wartości filtru zależą od tego, jakie działania są przechwytywane dla dzierżawy. Aby uzyskać więcej informacji na temat Eksploratora działań, zobacz:

Informacje zebrane i wysłane do usługi Microsoft Purview z klienta ujednoliconego etykietowania usługi AIP

Aby wygenerować te raporty, punkty końcowe wysyłają następujące typy informacji do ujednoliconego dziennika inspekcji platformy Microsoft 365:

  • Akcja etykiety. Na przykład ustaw etykietę, zmień etykietę, dodaj lub usuń ochronę, automatyczne i zalecane etykiety.

  • Nazwa etykiety przed akcją etykiety i po jej wykonaniu.

  • Identyfikator dzierżawy organizacji.

  • Identyfikator użytkownika (adres e-mail lub nazwa UPN).

  • Nazwa urządzenia użytkownika.

  • Adres IP urządzenia użytkownika.

  • Odpowiednia nazwa procesu, taka jak outlook lub msip.app.

  • Nazwa aplikacji, która wykonała etykietowanie, na przykład Outlook lub Eksplorator plików

  • W przypadku dokumentów: ścieżka pliku i nazwa pliku dokumentów, które są oznaczone.

  • W przypadku wiadomości e-mail: temat wiadomości e-mail i nadawca wiadomości e-mail z etykietami.

  • Typy informacji poufnych (wstępnie zdefiniowane i niestandardowe), które zostały wykryte w zawartości.

  • Wersja klienta usługi Azure Information Protection.

  • Wersja systemu operacyjnego klienta.

Uniemożliwianie klientom usługi AIP wysyłania danych inspekcji

Aby uniemożliwić klientowi ujednoliconego etykietowania usługi Azure Information Protection wysyłanie danych inspekcji, skonfiguruj zaawansowane ustawienie zasad etykiet.

Dopasowania zawartości do dokładniejszej analizy

Usługa Azure Information Protection umożliwia zbieranie i przechowywanie rzeczywistych danych zidentyfikowanych jako typ informacji poufnych (wstępnie zdefiniowany lub niestandardowy). Może to na przykład obejmować znalezione numery kart kredytowych, a także numery ubezpieczenia społecznego, numery paszportów i numery kont bankowych. Dopasowania zawartości są wyświetlane po wybraniu wpisu z dzienników aktywności i wyświetleniu szczegółów działania.

Domyślnie klienci usługi Azure Information Protection nie wysyłają dopasowań zawartości. Aby zmienić to zachowanie tak, aby dopasowania zawartości zostały wysłane, skonfiguruj zaawansowane ustawienie w zasadach etykiet.

Wymagania wstępne

Zdarzenia inspekcji są domyślnie włączone dla organizacji. Aby wyświetlić zdarzenia inspekcji w usłudze Microsoft Purview, zapoznaj się z wymaganiami dotyczącymi licencjonowania dla rozwiązań podstawowych i inspekcji (Premium).

Następne kroki

Po przejrzeniu informacji w raportach możesz dowiedzieć się więcej o sposobie konfigurowania rozwiązania do inspekcji usługi Microsoft Purview dla organizacji.

  • Dowiedz się, jak wyeksportować zdarzenia inspekcji z ujednoliconego dziennika inspekcji platformy Microsoft 365 do obszaru roboczego analizy dzienników platformy Azure przy użyciu funkcji Eksportowanie inspekcji usługi AIP w usłudze GitHub.
  • Przeczytaj przewodnik Administracja dotyczący inspekcji i raportowania dla klienta ujednoliconego etykietowania usługi AIP, aby uzyskać szczegółowe informacje na temat rozwiązania do inspekcji usługi Microsoft Purview.
  • Zapoznaj się z dokumentacją dzienników użycia ochrony, aby uzyskać dostęp do plików i zdarzenia odmowy wygenerowane z usługi Rights Management. Te zdarzenia są obsługiwane oddzielnie od zdarzeń generowanych przez klienta ujednoliconego etykietowania usługi Azure Information Protection.
  • Zapoznaj się z dokumentacją platformy Microsoft 365 dotyczącą etykiet poufności, aby dowiedzieć się, jak wprowadzać zmiany w zasadach etykietowania w portalu zgodności.