Rejestrowanie i analizowanie użycia ochrony z usługi Azure Information Protection
Uwaga
Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?
Dodatek usługi Azure Information Protection został wycofany i zastąpiony etykietami wbudowanymi w aplikacje i usługi platformy Microsoft 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.
Nowy klient usługi Microsoft Information Protection (bez dodatku) jest obecnie w wersji zapoznawczej i jest zaplanowany na potrzeby ogólnej dostępności.
Te informacje ułatwiają zrozumienie, jak korzystać z funkcji rejestrowania użycia usługi ochrony (Azure Rights Management) w usłudze Azure Information Protection. Ta usługa ochrony zapewnia ochronę danych w przypadku dokumentów i wiadomości e-mail organizacji oraz umożliwia rejestrowanie w niej każdego żądania. Te żądania obejmują, gdy użytkownicy chronią dokumenty i wiadomości e-mail, a także używają tej zawartości, akcji wykonywanych przez administratorów tej usługi oraz akcji wykonywanych przez operatorów firmy Microsoft w celu obsługi wdrożenia usługi Azure Information Protection.
Następnie można użyć tych dzienników użycia ochrony do obsługi następujących scenariuszy biznesowych:
Analizowanie pod kątem szczegółowych informacji biznesowych
Dzienniki generowane przez usługę ochrony można zaimportować do wybranego repozytorium (takiego jak baza danych, system przetwarzania analitycznego online lub system redukcji map), aby analizować informacje i tworzyć raporty. Na przykład możesz określić, kto uzyskuje dostęp do chronionych danych. Możesz określić, do jakich chronionych danych uzyskują dostęp, oraz z jakich urządzeń i z jakich urządzeń. Możesz dowiedzieć się, czy użytkownicy mogą pomyślnie odczytać chronioną zawartość. Możesz również zidentyfikować osoby, które przeczytały ważny dokument, który był chroniony.
Monitorowanie pod kątem nadużyć
Rejestrowanie informacji o użyciu ochrony jest dostępne niemal w czasie rzeczywistym, dzięki czemu można stale monitorować korzystanie z usługi ochrony w firmie. 99,9% dzienników jest dostępnych w ciągu 15 minut od zainicjowanej akcji w usłudze.
Na przykład możesz chcieć otrzymywać alerty w przypadku nagłego wzrostu liczby osób odczytujących chronione dane poza standardowymi godzinami pracy, co może wskazywać, że złośliwy użytkownik zbiera informacje do sprzedaży konkurentom. Lub jeśli ten sam użytkownik najwyraźniej uzyskuje dostęp do danych z dwóch różnych adresów IP w krótkim czasie, co może wskazywać, że konto użytkownika zostało naruszone.
Przeprowadzanie analizy kryminalistycznej
Jeśli masz wyciek informacji, prawdopodobnie zostanie wyświetlony monit o to, kto ostatnio uzyskiwał dostęp do określonych dokumentów i jakie informacje miały ostatnio podejrzany dostęp do osoby. W przypadku korzystania z tego rejestrowania można odpowiedzieć na te typy pytań, ponieważ osoby korzystające z chronionej zawartości muszą zawsze uzyskać licencję usługi Rights Management, aby otwierać dokumenty i obrazy chronione przez usługę Azure Information Protection, nawet jeśli te pliki są przenoszone pocztą e-mail lub kopiowane na dyski USB lub inne urządzenia magazynujące. Oznacza to, że te dzienniki można użyć jako ostatecznego źródła informacji do analizy śledczej podczas ochrony danych przy użyciu usługi Azure Information Protection.
Oprócz tego rejestrowania użycia dostępne są również następujące opcje rejestrowania:
| Opcja rejestrowania | opis |
|---|---|
| dziennik Administracja | Rejestruje zadania administracyjne usługi ochrony. Jeśli na przykład usługa jest dezaktywowana, gdy funkcja administratora jest włączona, a użytkownicy są delegowani uprawnień administratora do usługi. Aby uzyskać więcej informacji, zobacz polecenie cmdlet programu PowerShell Get-AipService Administracja Log. |
| Śledzenie dokumentów | Umożliwia użytkownikom śledzenie i odwoływanie dokumentów śledzonych za pomocą klienta usługi Azure Information Protection. Administratorzy globalni mogą również śledzić te dokumenty w imieniu użytkowników. Aby uzyskać więcej informacji, zobacz Konfigurowanie i używanie śledzenia dokumentów dla usługi Azure Information Protection. |
| Dzienniki zdarzeń klienta | Działanie użycia klienta usługi Azure Information Protection, zarejestrowane w lokalnym dzienniku zdarzeń aplikacji i usług systemu Windows, Azure Information Protection. Aby uzyskać więcej informacji, zobacz Rejestrowanie użycia dla klienta usługi Azure Information Protection. |
| Pliki dziennika klienta | Dzienniki rozwiązywania problemów z klientem usługi Azure Information Protection znajdujące się w folderze %localappdata%\Microsoft\MSIP. Te pliki są przeznaczone do pomoc techniczna firmy Microsoft. |
Ponadto informacje z dzienników użycia klienta usługi Azure Information Protection oraz skaner usługi Azure Information Protection są zbierane i agregowane w celu tworzenia raportów w witrynie Azure Portal. Aby uzyskać więcej informacji, zobacz Raportowanie dla usługi Azure Information Protection.
Więcej informacji na temat rejestrowania użycia dla usługi ochrony można znaleźć w poniższych sekcjach.
Jak włączyć rejestrowanie na potrzeby użycia ochrony
Rejestrowanie użycia ochrony jest domyślnie włączone dla wszystkich klientów.
Nie ma dodatkowych kosztów magazynu dzienników ani funkcji rejestrowania.
Jak uzyskać dostęp do dzienników użycia ochrony i korzystać z nich
Usługa Azure Information Protection zapisuje dzienniki jako serię obiektów blob na koncie usługi Azure Storage, które automatycznie tworzy dla dzierżawy. Każdy obiekt blob zawiera co najmniej jeden rekord dziennika w rozszerzonym formacie dziennika W3C. Nazwy obiektów blob to liczby, w kolejności, w jakiej zostały utworzone. Sekcja How to interpret your Azure Rights Management usage logs (Jak interpretować dzienniki użycia usługi Azure Rights Management) w dalszej części tego dokumentu zawiera więcej informacji na temat zawartości dziennika i ich tworzenia.
Wyświetlenie dzienników na koncie magazynu po wykonaniu akcji ochrony może zająć trochę czasu. Większość dzienników jest wyświetlana w ciągu 15 minut. Dzienniki użycia są dostępne tylko wtedy, gdy nazwa pola "date" zawiera wartość poprzedniej daty (w godzinie UTC). Dzienniki użycia z bieżącej daty nie są dostępne. Zalecamy pobranie dzienników do magazynu lokalnego, takiego jak folder lokalny, baza danych lub repozytorium map-reduce.
Aby pobrać dzienniki użycia, użyjesz modułu AIPService programu PowerShell dla usługi Azure Information Protection. Aby uzyskać instrukcje dotyczące instalacji, zobacz Instalowanie modułu AIPService programu PowerShell.
Aby pobrać dzienniki użycia przy użyciu programu PowerShell
Uruchom program Windows PowerShell z opcją Uruchom jako administrator i użyj polecenia cmdlet Połączenie-AipService, aby nawiązać połączenie z usługą Azure Information Protection:
Connect-AipServiceUruchom następujące polecenie, aby pobrać dzienniki dla określonej daty:
Get-AipServiceUserLog -Path <location> -fordate <date>Na przykład po utworzeniu folderu o nazwie Dzienniki na dysku E:
Aby pobrać dzienniki dla określonej daty (np. 2.1.2016), uruchom następujące polecenie:
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016Aby pobrać dzienniki dla zakresu dat (np. od 2.1.2016 do 2.14.2016 r.), uruchom następujące polecenie:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016
Jeśli określisz tylko dzień, tak jak w naszych przykładach, zakłada się, że czas to 00:00:00 w czasie lokalnym, a następnie przekonwertowany na utc. Po określeniu godziny z parametrami -fromdate lub -todate (na przykład -fordate "2/1/2016 15:00:00"), data i godzina są konwertowane na UTC. Polecenie Get-AipServiceUserLog pobiera dzienniki dla tego okresu UTC.
Nie można określić mniej niż cały dzień do pobrania.
Domyślnie to polecenie cmdlet używa trzech wątków do pobierania dzienników. Jeśli masz wystarczającą przepustowość sieci i chcesz skrócić czas wymagany do pobrania dzienników, użyj parametru -NumberOfThreads, który obsługuje wartość z zakresu od 1 do 32. Jeśli na przykład uruchomisz następujące polecenie, polecenie cmdlet zduplikuje 10 wątków w celu pobrania dzienników: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10
Napiwek
Wszystkie pobrane pliki dziennika można agregować w formacie CSV przy użyciu analizatora dzienników firmy Microsoft, który jest narzędziem do konwertowania między różnymi dobrze znanymi formatami dzienników. Za pomocą tego narzędzia można również przekonwertować dane na format SYSLOG lub zaimportować je do bazy danych. Po zainstalowaniu narzędzia uruchom polecenie LogParser.exe /? , aby uzyskać pomoc i informacje, aby użyć tego narzędzia.
Na przykład możesz uruchomić następujące polecenie, aby zaimportować wszystkie informacje do formatu pliku .log: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
Jak interpretować dzienniki użycia
Skorzystaj z poniższych informacji, aby ułatwić interpretację dzienników użycia ochrony.
Sekwencja dzienników
Usługa Azure Information Protection zapisuje dzienniki jako serię obiektów blob.
Każdy wpis w dzienniku ma znacznik czasu UTC. Ponieważ usługa ochrony działa na wielu serwerach w wielu centrach danych, czasami dzienniki mogą wydawać się poza sekwencją, nawet jeśli są sortowane według sygnatury czasowej. Jednak różnica jest niewielka i zwykle w ciągu minuty. W większości przypadków nie jest to problem, który byłby problemem w przypadku analizy dzienników.
Format obiektu blob
Każdy obiekt blob ma rozszerzony format dziennika W3C. Zaczyna się od następujących dwóch wierszy:
#Software: RMS
#Version: 1.1
Pierwszy wiersz wskazuje, że są to dzienniki ochrony z usługi Azure Information Protection. Drugi wiersz identyfikuje, że reszta obiektu blob jest zgodna ze specyfikacją wersji 1.1. Zalecamy, aby wszystkie aplikacje, które analizują te dzienniki, weryfikują te dwa wiersze przed kontynuowaniem analizowania pozostałej części obiektu blob.
Trzeci wiersz wylicza listę nazw pól rozdzielonych tabulatorami:
#Fields: data/godzina identyfikatora wiersza-identyfikatora żądania identyfikatora użytkownika identyfikator korelacji identyfikator zawartości-id właściciela-wystawcy wiadomości e-mail template-id nazwa pliku data-opublikowana c-info c-ip admin-action działająca jako użytkownik
Każdy z kolejnych wierszy jest rekordem dziennika. Wartości pól są w tej samej kolejności co poprzedni wiersz i są oddzielone tabulatorami. Poniższa tabela służy do interpretowania pól.
| Nazwa pola | Typ danych W3C | opis | Przykładowa wartość |
|---|---|---|---|
| Data | Data | Data UTC, kiedy żądanie zostało obsłużone. Źródłem jest zegar lokalny na serwerze, który obsłużył żądanie. |
2013-06-25 |
| Czas | Czas | Czas UTC w formacie 24-godzinnym, gdy żądanie zostało obsłużone. Źródłem jest zegar lokalny na serwerze, który obsłużył żądanie. |
21:59:28 |
| identyfikator wiersza | Text | Unikatowy identyfikator GUID dla tego rekordu dziennika. Jeśli wartość nie jest obecna, użyj wartości correlation-id, aby zidentyfikować wpis. Ta wartość jest przydatna podczas agregowania dzienników lub kopiowania dzienników do innego formatu. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
| typ żądania | Nazwisko | Nazwa żądanego interfejsu API usługi RMS. | Uzyskiwanielicencjonowania |
| identyfikator użytkownika | String | Użytkownik, który złożył żądanie. Wartość jest ujęta w pojedynczy cudzysłów. Wywołania z klucza dzierżawy zarządzanego przez Użytkownika (BYOK) mają wartość ", która ma zastosowanie również wtedy, gdy typy żądań są anonimowe. |
"joe@contoso.com" |
| Wynik | String | "Powodzenie", jeśli żądanie zostało pomyślnie obsłużone. Typ błędu w pojedynczych cudzysłowach, jeśli żądanie nie powiodło się. |
"Sukces" |
| identyfikator korelacji | Text | Identyfikator GUID wspólny między dziennikiem klienta usługi RMS i dziennikiem serwera dla danego żądania. Ta wartość może być przydatna do rozwiązywania problemów z klientem. |
cab52088-8925-4371-be34-4b71a3112356 |
| content-id | Text | Identyfikator GUID ujęty w nawiasy klamrowe identyfikujące chronioną zawartość (na przykład dokument). To pole ma wartość tylko wtedy, gdy typ żądania to AcquireLicense i jest pusty dla wszystkich innych typów żądań. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
| adres e-mail właściciela | String | Adres e-mail właściciela dokumentu. To pole jest puste, jeśli typ żądania to RevokeAccess. |
alice@contoso.com |
| Emitenta | String | Adres e-mail wystawcy dokumentu. To pole jest puste, jeśli typ żądania to RevokeAccess. |
alice@contoso.com (lub) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
| identyfikator szablonu | String | Identyfikator szablonu używanego do ochrony dokumentu. To pole jest puste, jeśli typ żądania to RevokeAccess. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
| nazwa pliku | String | Nazwa pliku chronionego dokumentu śledzonego przy użyciu klienta usługi Azure Information Protection dla systemu Windows. Obecnie niektóre pliki (takie jak dokumenty pakietu Office) są wyświetlane jako identyfikatory GUID, a nie rzeczywista nazwa pliku. To pole jest puste, jeśli typ żądania to RevokeAccess. |
TopSecretDocument.docx |
| data publikacji | Data | Data, kiedy dokument był chroniony. To pole jest puste, jeśli typ żądania to RevokeAccess. |
2015-10-15T21:37:00 |
| c-info | String | Informacje o platformie klienta wysyłającej żądanie. Określony ciąg różni się w zależności od aplikacji (na przykład systemu operacyjnego lub przeglądarki). |
"MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64' |
| c-ip | Adres | Adres IP klienta wysyłającego żądanie. | 64.51.202.144 |
| akcja administratora | Bool | Czy administrator uzyskał dostęp do witryny śledzenia dokumentów w trybie Administracja istratora. | Prawda |
| działając jako użytkownik | String | Adres e-mail użytkownika, dla którego administrator uzyskuje dostęp do witryny śledzenia dokumentów. | "joe@contoso.com" |
Wyjątki dla pola user-id
Chociaż pole user-id zwykle wskazuje użytkownika, który złożył żądanie, istnieją dwa wyjątki, w których wartość nie jest mapowane na rzeczywistego użytkownika:
Wartość "microsoftrmsonline@<YourTenantID.rms>.<region.aadrm.com>".
Oznacza to, że usługa Office 365, taka jak Exchange Online lub Microsoft SharePoint, wysyła żądanie. W ciągu <YourTenantID> to identyfikator GUID dzierżawy, a <region to region>, w którym zarejestrowano dzierżawę. Na przykład na reprezentuje Ameryka Północna, eu reprezentuje Europę, a ap reprezentuje Azja.
Jeśli używasz łącznika usługi RMS.
Żądania z tego łącznika są rejestrowane przy użyciu głównej nazwy usługi Aadrm_S-1-7-0, która jest generowana automatycznie podczas instalowania łącznika usługi RMS.
Typowe typy żądań
Istnieje wiele typów żądań dla usługi ochrony, ale w poniższej tabeli przedstawiono niektóre z najczęściej używanych typów żądań.
| Typ żądania | opis |
|---|---|
| Uzyskiwanielicencjonowania | Klient z komputera z systemem Windows żąda licencji na chronioną zawartość. |
| AcquirePreLicense | Klient w imieniu użytkownika żąda licencji na chronioną zawartość. |
| AcquireTemplates | Wykonano wywołanie w celu uzyskania szablonów na podstawie identyfikatorów szablonów |
| AcquireTemplateInformation | Wykonano wywołanie w celu pobrania identyfikatorów szablonu z usługi. |
| AddTemplate | Wywołanie jest wykonywane z witryny Azure Portal w celu dodania szablonu. |
| AllDocsCsv | Wykonano wywołanie z witryny śledzenia dokumentów w celu pobrania pliku CSV ze strony Wszystkie dokumenty . |
| BECreateEndUserLicenseV1 | Wywołanie jest wykonywane z urządzenia przenośnego w celu utworzenia licencji użytkownika końcowego. |
| BEGetAllTemplatesV1 | Wywołanie jest wykonywane z urządzenia przenośnego (zaplecza), aby pobrać wszystkie szablony. |
| Zaświadczam | Klient certyfikowa użytkownika pod kątem użycia i tworzenia chronionej zawartości. |
| FECreateEndUserLicenseV1 | Podobnie jak żądanie AcquireLicense, ale z urządzeń przenośnych. |
| FECreatePublishingLicenseV1 | Takie same jak w połączeniu Certify i GetClientLicensorCert z klientów mobilnych. |
| FEGetAllTemplates | Wykonano wywołanie z urządzenia przenośnego (frontonu) w celu pobrania szablonów. |
| FindServiceLocationsForUser | Wykonano wywołanie zapytania o adresy URL, które jest używane do wywoływania aplikacji Certify lub AcquireLicense. |
| GetClientLicensorCert | Klient żąda certyfikatu publikowania (który jest później używany do ochrony zawartości) z komputera z systemem Windows. |
| GetConfiguration | Polecenie cmdlet programu Azure PowerShell jest wywoływane w celu uzyskania konfiguracji dzierżawy usługi Azure RMS. |
| Get Połączenie orAuthorizations | Wykonano wywołanie z łączników usługi RMS w celu pobrania ich konfiguracji z chmury. |
| GetRecipients | Wykonano wywołanie z witryny śledzenia dokumentów w celu przejścia do widoku listy dla pojedynczego dokumentu. |
| GetTenantFunctionalState | Witryna Azure Portal sprawdza, czy usługa ochrony (Azure Rights Management) została aktywowana. |
| KeyVaultDecryptRequest | Klient próbuje odszyfrować zawartość chronioną przez usługę RMS. Dotyczy tylko klucza dzierżawy zarządzanego przez klienta (BYOK) w usłudze Azure Key Vault. |
| KeyVaultGetKeyInfoRequest | Wykonano wywołanie w celu sprawdzenia, czy klucz określony do użycia w usłudze Azure Key Vault dla klucza dzierżawy usługi Azure Information Protection jest dostępny i nie jest jeszcze używany. |
| KeyVaultSignDigest | Wywołanie jest wykonywane, gdy klucz zarządzany przez klienta (BYOK) w usłudze Azure Key Vault jest używany do celów podpisywania. Jest to wywoływane zazwyczaj raz na jednostkę AcquireLicence (lub FECreateEndUserLicenseV1), Certify i GetClientLicensorCert (lub FECreatePublishingLicenseV1). |
| KmSPDecrypt | Klient próbuje odszyfrować zawartość chronioną przez usługę RMS. Dotyczy tylko starszego klucza dzierżawy zarządzanego przez klienta (BYOK). |
| KMSPSignDigest | Wywołanie jest wykonywane, gdy starszy klucz zarządzany przez klienta (BYOK) jest używany do celów podpisywania. Jest to wywoływane zazwyczaj raz na jednostkę AcquireLicence (lub FECreateEndUserLicenseV1), Certify i GetClientLicensorCert (lub FECreatePublishingLicenseV1). |
| ServerCertify | Wywołanie jest wykonywane z klienta obsługującego usługę RMS (na przykład programu SharePoint) w celu certyfikowania serwera. |
| SetUsageLogFeatureState | Wykonano wywołanie w celu włączenia rejestrowania użycia. |
| SetUsageLogStorageAccount | Wykonano wywołanie w celu określenia lokalizacji dzienników usługi Azure Rights Management. |
| UpdateTemplate | Wykonano wywołanie z witryny Azure Portal w celu zaktualizowania istniejącego szablonu. |
Dzienniki użycia ochrony i ujednolicony dziennik inspekcji platformy Microsoft 365
Zdarzenia dostępu do plików i odmowy nie zawierają obecnie nazwy pliku i nie są dostępne w ujednoliconym dzienniku inspekcji platformy Microsoft 365. Te zdarzenia zostaną ulepszone, aby były autonomiczne i dodawane z usługi Rights Management w późniejszym terminie.
Informacje dotyczące programu PowerShell
Jedynym poleceniem cmdlet programu PowerShell, które musisz uzyskać dostęp do rejestrowania użycia ochrony, jest Get-AipServiceUserLog.
Aby uzyskać więcej informacji na temat korzystania z programu PowerShell dla usługi Azure Information Protection, zobacz Administracja istering protection from Azure Information Protection by using PowerShell (Ochrona przed usługą Azure Information Protection przy użyciu programu PowerShell).
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla