Analiza i centralne raportowanie dla usługi Azure Information Protection

Uwaga

Szukasz Microsoft Information Protection? Klient ujednoliconego etykietowania platformy Azure Information Protection jest obecnie w trybie konserwacji. Zalecamy włączenie wbudowanego etykietowania Microsoft Information Protection dla aplikacji Office 365. Dowiedz się więcej.

W tym artykule opisano sposób używania rozwiązania inspekcji z usługi Microsoft Purview do wyświetlania zdarzeń inspekcji generowanych przez klienta ujednoliconego etykietowania na platformie Azure Information Protection. Zdarzenia inspekcji emitowane do ujednoliconego dziennika inspekcji usługi Microsoft 365 dla centralnego raportowania są widoczne w Eksploratorze działań, co może pomóc w śledzeniu wdrażania etykiet, które klasyfikują i chronią dane organizacji.

Inspekcja umożliwia wykonanie następujących kroków:

  • Agregowanie danych z klientów usługi Azure Information Protection, skanerów usługi Azure Information Protection i Microsoft Defender for Cloud Apps.
  • Wyświetlanie zdarzeń inspekcji w ujednoliconym dzienniku inspekcji platformy Microsoft 365 i Office 365 dziennika aktywności dla organizacji.
  • Wykonywanie zapytań, wyświetlanie i wykrywanie zdarzeń inspekcji w Eksploratorze działań za pomocą interfejsu graficznego w portalu zgodności.

Inspekcja zdarzeń z ujednoliconego dziennika inspekcji platformy Microsoft 365

Klient ujednoliconego etykietowania usługi AIP zawiera dodatek dla pakietu Office, skaner, przeglądarkę dla systemu Windows, program PowerShell klienta oraz rozszerzenie powłoki Klasyfikuj i chroń dla systemu Windows. Wszystkie te składniki generują zdarzenia inspekcji, które są wyświetlane w dziennikach aktywności Office 365 i można wykonywać zapytania przy użyciu interfejsu API działań zarządzania Office 365.

Zdarzenia inspekcji umożliwiają administratorowi:

  • Monitorowanie dokumentów i wiadomości e-mail oznaczonych etykietami i wiadomościami e-mail w organizacji.
  • Monitoruj dostęp użytkowników do oznaczonych dokumentów i wiadomości e-mail oraz śledź zmiany klasyfikacji dokumentów.

Ujednolicony schemat zdarzeń dziennika inspekcji platformy Microsoft 365

Pięć zdarzeń (nazywanych również "AuditLogRecordType") specyficznych dla usługi AIP wymienionych poniżej, a więcej szczegółów na temat każdego z nich można znaleźć w dokumentacji interfejsu API.

Wartość Nazwa elementu członkowskiego Opis
93 AipDiscover Zdarzenia skanera usługi Azure Information Protection (AIP).
94 AipSensitivityLabelAction Zdarzenia etykiety poufności usługi AIP.
95 AipProtectionAction Zdarzenia ochrony usługi AIP.
96 AipFileDeleted Zdarzenia usuwania plików usługi AIP.
97 AipHeartBeat Zdarzenia pulsu usługi AIP.

Te informacje są dostępne w ujednoliconym dzienniku inspekcji platformy Microsoft 365 dla organizacji i można je wyświetlić w Eksploratorze aktywności.

Wykonywanie zapytań o zdarzenia inspekcji w Eksploratorze aktywności

Obrazu

Eksplorator działań w portal zgodności Microsoft Purview to graficzny interfejs umożliwiający wyświetlanie zdarzeń inspekcji emitowanych do ujednoliconego dziennika inspekcji platformy Microsoft 365. Administrator dzierżawy może używać wbudowanych zapytań w celu określenia, czy zasady i mechanizmy kontroli zaimplementowane przez organizację są skuteczne. Dzięki dostępności do 30 dni administrator może ustawić filtry i wyraźnie zobaczyć, kiedy i jak poufne dane są obsługiwane w organizacji.

Aby wyświetlić działanie specyficzne dla usługi AIP, administrator może rozpocząć od następujących filtrów:

  • Typ działania:
    • Zastosowano etykietę
    • Zmieniono etykietę
    • Usunięto etykietę
    • Odczyt pliku etykiety
  • Aplikacji:
    • Dodatek microsoft Azure Information Protection Word
    • Dodatek microsoft Azure Information Protection Excel
    • Dodatek microsoft Azure Information Protection PowerPoint
    • Dodatek microsoft Azure Information Protection Outlook

Administrator może nie zobaczyć wszystkich opcji w filtrze lub może zobaczyć więcej; wartości filtru zależą od tego, jakie działania są przechwytywane dla dzierżawy. Aby uzyskać więcej informacji na temat Eksploratora działań, zobacz:

Informacje zebrane i wysłane do usługi Microsoft Purview z klienta ujednoliconego etykietowania usługi AIP

Aby wygenerować te raporty, punkty końcowe wysyłają następujące typy informacji do ujednoliconego dziennika inspekcji platformy Microsoft 365:

  • Akcja etykiety. Na przykład ustaw etykietę, zmień etykietę, dodaj lub usuń ochronę, automatyczne i zalecane etykiety.

  • Nazwa etykiety przed i po akcji etykiety.

  • Identyfikator dzierżawy organizacji.

  • Identyfikator użytkownika (adres e-mail lub nazwa UPN).

  • Nazwa urządzenia użytkownika.

  • Adres IP urządzenia użytkownika.

  • Odpowiednia nazwa procesu, taka jak outlook lub msip.app.

  • Nazwa aplikacji, która wykonała etykietowanie, takie jak Outlook lub Eksplorator plików

  • W przypadku dokumentów: ścieżka pliku i nazwa pliku dokumentów, które są oznaczone.

  • W przypadku wiadomości e-mail: temat wiadomości e-mail i nadawca wiadomości e-mail dla wiadomości e-mail, które są oznaczone etykietą.

  • Typy informacji poufnych (wstępnie zdefiniowane i niestandardowe), które zostały wykryte w zawartości.

  • Wersja klienta usługi Azure Information Protection.

  • Wersja systemu operacyjnego klienta.

Uniemożliwianie klientom usługi AIP wysyłania danych inspekcji

Aby zapobiec wysyłaniu danych inspekcji przez klienta ujednoliconego etykietowania na platformie Azure Information Protection, skonfiguruj zaawansowane ustawienie zasad etykiet.

Dopasowania zawartości do dokładniejszej analizy

Usługa Azure Information Protection umożliwia zbieranie i przechowywanie rzeczywistych danych zidentyfikowanych jako typ informacji poufnych (wstępnie zdefiniowany lub niestandardowy). Na przykład może to obejmować znalezione numery kart kredytowych, a także numery ubezpieczenia społecznego, numery paszportów i numery kont bankowych. Dopasowania zawartości są wyświetlane po wybraniu wpisu z dzienników aktywności i wyświetl szczegóły działania.

Domyślnie klienci usługi Azure Information Protection nie wysyłają dopasowań zawartości. Aby zmienić to zachowanie tak, aby dopasowania zawartości zostały wysłane, skonfiguruj zaawansowane ustawienie w zasadach etykiet.

Wymagania wstępne

Zdarzenia inspekcji są domyślnie włączone dla organizacji. Aby wyświetlić zdarzenia inspekcji w usłudze Microsoft Purview, zapoznaj się z wymaganiami dotyczącymi licencjonowania dla rozwiązań podstawowych i inspekcji (Premium).

Następne kroki

Po przejrzeniu informacji w raportach możesz dowiedzieć się więcej o sposobie konfigurowania rozwiązania do inspekcji usługi Microsoft Purview dla organizacji.