Análise e relatório central da Proteção de Informações do Azure

Observação

Você está procurando a Proteção de Informações da Microsoft? O cliente de rotulagem unificada da Proteção de Informações do Azure encontra-se no momento em modo de manutenção. Recomendamos que a rotulagem interna da Proteção de Informações da Microsoft seja habilitada nos aplicativos do Office 365. Saiba mais.

Este artigo descreve como usar a solução de auditoria do Microsoft Purview para exibir eventos de auditoria gerados a partir do cliente de Rotulagem Unificada da Proteção de Informações do Azure. Os eventos de auditoria emitidos para o log de auditoria unificada do Microsoft 365 para relatórios centrais podem ser visualizados no Explorer de atividades, que pode ajudá-lo a controlar a adoção de seus rótulos que classificam e protegem os dados da sua organização.

A auditoria habilita você a executar as seguintes etapas:

  • Agregar dados de seus clientes da Proteção de Informações do Azure, scanners da Proteção de Informações do Azure e Microsoft Defender para Aplicativos em Nuvem.
  • Exiba eventos de auditoria no log de auditoria unificada do Microsoft 365 e no log de atividades do Office 365 para sua organização.
  • Consulte, exiba e detecte eventos de auditoria no Explorer de atividades com uma interface gráfica no portal de conformidade.

Eventos de auditoria do log de auditoria unificada do Microsoft 365

O cliente de Rotulagem Unificada de AIP inclui o Suplemento para Office, o Scanner, o Espectador para Windows, o cliente PowerShell e a extensão de shell Classify-and-Protect para Windows. Todos esses componentes geram eventos de auditoria que aparecem nos logs de atividade do Office 365 e podem ser consultados usando a API de Atividade de Gerenciamento do Office 365.

Os eventos de auditoria permitem que um administrador:

  • Monitore os documentos e emails rotulados e protegidos em toda sua organização.
  • Monitore o acesso de usuário a documentos e emails rotulados e acompanhe as alterações de classificação.

Esquema de eventos de log de auditoria unificada do Microsoft 365

Os cinco eventos (também chamados de "AuditLogRecordType") específicos de AIP listados abaixo e mais detalhes sobre cada um podem ser encontrados na referência de API.

Valor Nome do membro Descrição
93 AipDiscover Eventos do scanner de Proteção de Informações do Azure (AIP).
94 AipSensitivityLabelAction Eventos de rótulo de confidencialidade de AIP.
95 AipProtectionAction Eventos de proteção AIP.
96 AipFileDeleted Eventos de exclusão de arquivo AIP.
97 AipHeartBeat Eventos de pulsação de API.

Essas informações podem ser acessadas no log de auditoria unificada do Microsoft 365 para sua organização e podem ser exibidas no explorer de atividades.

Consultar eventos de auditoria no Explorer de atividades

image

O explorer de atividades no portal de conformidade do Microsoft Purview é uma interface gráfica para exibir eventos de auditoria emitidos para o log de auditoria unificada do Microsoft 365. Um administrador do locatário pode usar consultas internas para determinar se as políticas e controles implementados pela sua organização são eficazes. Com até 30 dias de dados disponíveis, um administrador pode definir filtros e ver claramente quando e como os dados confidenciais são tratados em sua organização.

Para ver a atividade específica de AIP, um administrador pode começar com os seguintes filtros:

  • Tipo de atividade:
    • Rótulo aplicado
    • Rótulo alterado
    • Rótulo removido
    • Leitura do arquivo de rótulo
  • Aplicativo:
    • Suplemento do Word para Proteção de Informações do Microsoft Azure
    • Suplemento do Excel para Proteção de Informações do Microsoft Azure
    • Suplemento do PowerPoint para Proteção de Informações do Microsoft Azure
    • Suplemento do Outlook para Proteção de Informações do Microsoft Azure

Um administrador pode não ver todas as opções no filtro ou pode ver mais; os valores do filtro dependem de quais atividades são capturadas para seu locatário. Para obter mais informações sobre o explorer de atividades, consulte:

Informações coletadas e enviadas ao Microsoft Purview a partir do cliente de Rotulagem Unificada de AIP

Para gerar esses relatórios, os pontos de extremidade enviam os seguintes tipos de informações para o log de auditoria unificada do Microsoft 365:

  • A ação de rótulo. Por exemplo, definir um rótulo, alterar um rótulo, adicionar ou remover proteção, rótulos automáticos e recomendados.

  • O nome do rótulo antes e depois da ação do rótulo.

  • ID do locatário da sua organização.

  • ID do usuário (endereço de email ou UPN).

  • O nome do site do usuário.

  • Endereço IP do dispositivo do usuário.

  • O nome do processo relevante, como outlook ou msip.app.

  • O nome do aplicativo que executou a rotulagem, como Outlook ou o Explorador de Arquivos

  • Para documentos: o caminho do arquivo e o nome do arquivo dos documentos rotulados.

  • Para emails: o assunto e o remetente do email para emails rotulados.

  • Os tipos de informações confidenciais (predefinidas e personalizadas) que foram detectadas no conteúdo.

  • Versão do cliente da Proteção de Informações do Azure.

  • Versão do sistema operacional do cliente.

Impedir que os clientes AIP enviem dados de auditoria

Para impedir que o cliente de rotulagem unificada da Proteção de Informações do Azure envie dados de auditoria, defina uma configuração avançada de política de rótulo.

Correspondências de conteúdo para uma análise mais profunda

A Proteção de Informações do Azure permite coletar e armazenar os dados reais identificados como sendo um tipo de informação confidencial (predefinido ou personalizado). Por exemplo, isso pode incluir números de cartão de crédito encontrados, bem como números do seguro social, números de passaporte e números de conta bancária. As correspondências de conteúdo são exibidas quando você seleciona uma entrada noslogs de atividade e exibe os Detalhes da atividade.

Por padrão, os clientes da Proteção de Informações do Azure não enviam correspondências de conteúdo. Para alterar esse comportamento para que as correspondências de conteúdo sejam enviadas, defina uma configuração avançada em uma política de rótulo.

Pré-requisitos

Os eventos de auditoria são habilitados por padrão para sua organização. Para exibir eventos de auditoria no Microsoft Purview, examine os requisitos de licenciamento para soluções básicas e de auditoria (Premium).

Próximas etapas

Depois de examinar as informações nos relatórios, convém saber mais sobre como configurar a solução de auditoria do Microsoft Purview para sua organização.