Analiza i centralne raportowanie dla usługi Azure Information Protection
Uwaga
Szukasz Microsoft Information Protection? Klient ujednoliconego etykietowania platformy Azure Information Protection jest obecnie w trybie konserwacji. Zalecamy włączenie wbudowanego etykietowania Microsoft Information Protection dla aplikacji Office 365. Dowiedz się więcej.
W tym artykule opisano sposób używania rozwiązania inspekcji z usługi Microsoft Purview do wyświetlania zdarzeń inspekcji generowanych przez klienta ujednoliconego etykietowania na platformie Azure Information Protection. Zdarzenia inspekcji emitowane do ujednoliconego dziennika inspekcji usługi Microsoft 365 dla centralnego raportowania są widoczne w Eksploratorze działań, co może pomóc w śledzeniu wdrażania etykiet, które klasyfikują i chronią dane organizacji.
Inspekcja umożliwia wykonanie następujących kroków:
- Agregowanie danych z klientów usługi Azure Information Protection, skanerów usługi Azure Information Protection i Microsoft Defender for Cloud Apps.
- Wyświetlanie zdarzeń inspekcji w ujednoliconym dzienniku inspekcji platformy Microsoft 365 i Office 365 dziennika aktywności dla organizacji.
- Wykonywanie zapytań, wyświetlanie i wykrywanie zdarzeń inspekcji w Eksploratorze działań za pomocą interfejsu graficznego w portalu zgodności.
Inspekcja zdarzeń z ujednoliconego dziennika inspekcji platformy Microsoft 365
Klient ujednoliconego etykietowania usługi AIP zawiera dodatek dla pakietu Office, skaner, przeglądarkę dla systemu Windows, program PowerShell klienta oraz rozszerzenie powłoki Klasyfikuj i chroń dla systemu Windows. Wszystkie te składniki generują zdarzenia inspekcji, które są wyświetlane w dziennikach aktywności Office 365 i można wykonywać zapytania przy użyciu interfejsu API działań zarządzania Office 365.
Zdarzenia inspekcji umożliwiają administratorowi:
- Monitorowanie dokumentów i wiadomości e-mail oznaczonych etykietami i wiadomościami e-mail w organizacji.
- Monitoruj dostęp użytkowników do oznaczonych dokumentów i wiadomości e-mail oraz śledź zmiany klasyfikacji dokumentów.
Ujednolicony schemat zdarzeń dziennika inspekcji platformy Microsoft 365
Pięć zdarzeń (nazywanych również "AuditLogRecordType") specyficznych dla usługi AIP wymienionych poniżej, a więcej szczegółów na temat każdego z nich można znaleźć w dokumentacji interfejsu API.
| Wartość | Nazwa elementu członkowskiego | Opis |
|---|---|---|
| 93 | AipDiscover | Zdarzenia skanera usługi Azure Information Protection (AIP). |
| 94 | AipSensitivityLabelAction | Zdarzenia etykiety poufności usługi AIP. |
| 95 | AipProtectionAction | Zdarzenia ochrony usługi AIP. |
| 96 | AipFileDeleted | Zdarzenia usuwania plików usługi AIP. |
| 97 | AipHeartBeat | Zdarzenia pulsu usługi AIP. |
Te informacje są dostępne w ujednoliconym dzienniku inspekcji platformy Microsoft 365 dla organizacji i można je wyświetlić w Eksploratorze aktywności.
Wykonywanie zapytań o zdarzenia inspekcji w Eksploratorze aktywności
Eksplorator działań w portal zgodności Microsoft Purview to graficzny interfejs umożliwiający wyświetlanie zdarzeń inspekcji emitowanych do ujednoliconego dziennika inspekcji platformy Microsoft 365. Administrator dzierżawy może używać wbudowanych zapytań w celu określenia, czy zasady i mechanizmy kontroli zaimplementowane przez organizację są skuteczne. Dzięki dostępności do 30 dni administrator może ustawić filtry i wyraźnie zobaczyć, kiedy i jak poufne dane są obsługiwane w organizacji.
Aby wyświetlić działanie specyficzne dla usługi AIP, administrator może rozpocząć od następujących filtrów:
- Typ działania:
- Zastosowano etykietę
- Zmieniono etykietę
- Usunięto etykietę
- Odczyt pliku etykiety
- Aplikacji:
- Dodatek microsoft Azure Information Protection Word
- Dodatek microsoft Azure Information Protection Excel
- Dodatek microsoft Azure Information Protection PowerPoint
- Dodatek microsoft Azure Information Protection Outlook
Administrator może nie zobaczyć wszystkich opcji w filtrze lub może zobaczyć więcej; wartości filtru zależą od tego, jakie działania są przechwytywane dla dzierżawy. Aby uzyskać więcej informacji na temat Eksploratora działań, zobacz:
Informacje zebrane i wysłane do usługi Microsoft Purview z klienta ujednoliconego etykietowania usługi AIP
Aby wygenerować te raporty, punkty końcowe wysyłają następujące typy informacji do ujednoliconego dziennika inspekcji platformy Microsoft 365:
Akcja etykiety. Na przykład ustaw etykietę, zmień etykietę, dodaj lub usuń ochronę, automatyczne i zalecane etykiety.
Nazwa etykiety przed i po akcji etykiety.
Identyfikator dzierżawy organizacji.
Identyfikator użytkownika (adres e-mail lub nazwa UPN).
Nazwa urządzenia użytkownika.
Adres IP urządzenia użytkownika.
Odpowiednia nazwa procesu, taka jak outlook lub msip.app.
Nazwa aplikacji, która wykonała etykietowanie, takie jak Outlook lub Eksplorator plików
W przypadku dokumentów: ścieżka pliku i nazwa pliku dokumentów, które są oznaczone.
W przypadku wiadomości e-mail: temat wiadomości e-mail i nadawca wiadomości e-mail dla wiadomości e-mail, które są oznaczone etykietą.
Typy informacji poufnych (wstępnie zdefiniowane i niestandardowe), które zostały wykryte w zawartości.
Wersja klienta usługi Azure Information Protection.
Wersja systemu operacyjnego klienta.
Uniemożliwianie klientom usługi AIP wysyłania danych inspekcji
Aby zapobiec wysyłaniu danych inspekcji przez klienta ujednoliconego etykietowania na platformie Azure Information Protection, skonfiguruj zaawansowane ustawienie zasad etykiet.
Dopasowania zawartości do dokładniejszej analizy
Usługa Azure Information Protection umożliwia zbieranie i przechowywanie rzeczywistych danych zidentyfikowanych jako typ informacji poufnych (wstępnie zdefiniowany lub niestandardowy). Na przykład może to obejmować znalezione numery kart kredytowych, a także numery ubezpieczenia społecznego, numery paszportów i numery kont bankowych. Dopasowania zawartości są wyświetlane po wybraniu wpisu z dzienników aktywności i wyświetl szczegóły działania.
Domyślnie klienci usługi Azure Information Protection nie wysyłają dopasowań zawartości. Aby zmienić to zachowanie tak, aby dopasowania zawartości zostały wysłane, skonfiguruj zaawansowane ustawienie w zasadach etykiet.
Wymagania wstępne
Zdarzenia inspekcji są domyślnie włączone dla organizacji. Aby wyświetlić zdarzenia inspekcji w usłudze Microsoft Purview, zapoznaj się z wymaganiami dotyczącymi licencjonowania dla rozwiązań podstawowych i inspekcji (Premium).
Następne kroki
Po przejrzeniu informacji w raportach możesz dowiedzieć się więcej o sposobie konfigurowania rozwiązania do inspekcji usługi Microsoft Purview dla organizacji.
- Dowiedz się, jak wyeksportować zdarzenia inspekcji z ujednoliconego dziennika inspekcji platformy Microsoft 365 do obszaru roboczego analizy dzienników platformy Azure za pomocą eksportu inspekcji usługi AIP w usłudze GitHub.
- Przeczytaj przewodnik Administracja dotyczący inspekcji i raportowania dla klienta ujednoliconego etykietowania usługi AIP, aby uzyskać szczegółowe informacje na temat rozwiązania do inspekcji usługi Microsoft Purview.
- Zapoznaj się z dokumentacją dzienników użycia ochrony pod kątem zdarzeń dostępu do plików i odmowy generowanych w usłudze Rights Management. Te zdarzenia są obsługiwane niezależnie od zdarzeń generowanych przez klienta ujednoliconego etykietowania platformy Azure Information Protection.
- Zapoznaj się z dokumentacją platformy Microsoft 365 dotyczącą etykiet poufności, aby dowiedzieć się, jak wprowadzać zmiany w zasadach etykietowania w portalu zgodności.