Como coletar logs de eventos de auditoria de Proteção de Informações do Windows (WIP)
Aplica-se a:
- Windows 10, versão 1607 e posterior
Proteção de Informações do Windows (WIP) cria eventos de auditoria nas seguintes situações:
Se um funcionário alterar a propriedade de arquivo de um arquivo de Trabalho para Pessoal.
Se os dados estiverem marcados como Trabalho, mas compartilhados para um aplicativo pessoal ou página da Web. Por exemplo, por meio da cópia e colagem, arrastar e soltar, compartilhar um contato, carregar para uma página da Web pessoal ou se o usuário oferecer um aplicativo pessoal com acesso temporário a um arquivo de trabalho.
Se um aplicativo tem eventos de auditoria personalizada.
Coletar registros de auditoria do WIP usando o provedor de serviços de configuração (CSP) de relatórios
Colete os logs de auditoria wip dos dispositivos do seu funcionário seguindo as diretrizes fornecidas pela documentação do CSP (provedor de serviço de configuração de relatórios ). Este tópico fornece informações sobre os eventos de auditoria real.
Observação
O elemento Dados na resposta inclui os logs de auditoria solicitados em um formato XML codificado.
Atributos e elemento de usuário
Esta tabela inclui todos os atributos disponíveis para o elemento Usuário.
Atributo | Tipo de valor | Descrição |
---|---|---|
UserID | Sequência | O identificador de segurança (SID) do usuário correspondente a este relatório de auditoria. |
EnterpriseID | Sequência | A identificação da empresa correspondente a este relatório de auditoria. |
Atributos e elemento de log
Esta tabela inclui todos os atributos/elementos disponíveis para o elemento Log. A resposta pode conter zero (0) ou mais elementos de Log.
Atributo/Elemento | Tipo de valor | Descrição |
---|---|---|
ProviderType | Sequência | Isso é sempre EDPAudit. |
LogType | Sequência | Inclui:
|
TimeStamp | Int | Usa a estrutura FILETIME para representar o momento em que o evento ocorreu. |
Política | Sequência | Como os dados de trabalho foram compartilhados no local pessoal:
|
Justificação | Sequência | Não foi implementado. Isso sempre será nulo ou em branco. Observação Reservado para uso futuro para coletar a justificativa de usuário para mudar de Trabalho para Pessoal. |
Objeto | Sequência | Uma descrição dos dados de trabalho compartilhadas. Por exemplo, se um funcionário abrir um arquivo de trabalho usando um aplicativo pessoal, isso seria o caminho do arquivo. |
DataInfo | Sequência | Informações adicionais sobre como o arquivo de trabalho foi alterado:
|
Ação | Int | Fornece informações sobre o que aconteceu quando os dados de trabalho foram compartilhados para pessoal, incluindo:
|
FilePath | Sequência | O caminho de arquivo para o arquivo especificado no evento de auditoria. Por exemplo, o local de um arquivo que foi descriptografado por um funcionário ou carregado em um site pessoal. |
SourceApplicationName | Sequência | O aplicativo de origem ou site. Para o aplicativo de origem, esta é a identidade do AppLocker. Para o site de origem, este é o nome do host. |
SourceName | Sequência | Uma cadeia de caracteres fornecida pelo aplicativo que está registrando o evento. A intenção é descrever a origem dos dados de trabalho. |
DestinationEnterpriseID | Sequência | O valor de ID do enterprise para o aplicativo ou site em que o funcionário está compartilhando os dados. NULL, Pessoal ou em branco significa que não há nenhuma ID corporativa porque os dados de trabalho foram compartilhados em um local pessoal. Como atualmente não oferecemos suporte a vários registros, você sempre verá um desses valores. |
DestinationApplicationName | Sequência | O aplicativo de destino ou site. Para o aplicativo de destino, esta é a identidade do AppLocker. Para o site de destino, este é o nome do host. |
DestinationName | Sequência | Uma cadeia de caracteres fornecida pelo aplicativo que está registrando o evento. A intenção é descrever o destino dos dados de trabalho. |
Aplicativo | Sequência | A identidade do AppLocker para o aplicativo onde ocorreu o evento de auditoria. |
Exemplos
Aqui estão alguns exemplos de respostas do CSP do relatório.
Propriedade de arquivo em um arquivo é alterada de trabalho para pessoal
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
<Policy>Protection removed</Policy>
<Justification>NULL</Justification>
<FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Um arquivo de trabalho é carregado para uma página da Web pessoal no Edge
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>NULL</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
<DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Dados de trabalho são colados em uma página da Web pessoal
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Um arquivo de trabalho é aberto com um aplicativo pessoal
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
<Policy>NULL</Policy>
<Justification></Justification>
<Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
<Action>1</Action>
<SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
<DestinationEnterpriseID>Personal</DestinationEnterpriseID>
<DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
<Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Dados de trabalho são colados em uma página do aplicativo
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName></DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Coletar registros de auditoria do WIP usando o encaminhamento de eventos do Windows (Windows da área de trabalho ingressado no domínio somente para dispositivos)
Use o Encaminhamento de Eventos do Windows para coletar e agregar seus eventos de auditoria do Windows Proteção de Informações. Você pode exibir os eventos de auditoria no Visualizador de eventos.
Para exibir eventos WIP no Visualizador de eventos.
Abra o Visualizador de Eventos.
Na árvore do console em Logs de aplicativos e serviços\Microsoft\Windows, clique em EDP de auditoria Regular e EDP de auditoria TCB.
Coletar logs de auditoria wip usando o Azure Monitor
Você pode coletar logs de auditoria usando o Azure Monitor. Consulte Fontes de dados de log de eventos do Windows no Azure Monitor.
Para exibir os eventos wip no Azure Monitor
Use um workspace existente ou crie um novo workspace do Log Analytics.
Em Configurações Avançadas do Log Analytics>, selecione Dados. Em Logs de Eventos do Windows, adicione logs para receber:
Microsoft-Windows-EDP-Application-Learning/Admin Microsoft-Windows-EDP-Audit-TCB/Admin
Observação
Se usar logs de eventos do Windows, os nomes de log de eventos poderão ser encontrados em Propriedades do evento na pasta Eventos (Logs de Aplicativos e Serviços\Microsoft\Windows, clique em EDP-Audit-Regular e EDP-Audit-TCB).
Baixe o Microsoft Monitoring Agent.
Para obter o MSI para Intune instalação, conforme indicado no artigo do Azure Monitor, extraia:
MMASetup-.exe /c /t:
Instale o Microsoft Monitoring Agent em dispositivos WIP usando a ID do Workspace e a chave primária. Mais informações sobre a ID do Workspace e a chave primária podem ser encontradas emConfigurações Avançadasdo Log Analytics>.
Para implantar o MSI por meio de Intune, nos parâmetros de instalação, adicione:
/q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1
Observação
Substitua <WORKSPACE_ID> & <WORKSPACE_KEY> recebida da etapa 5. Em parâmetros de instalação, não coloque <WORKSPACE_ID> & <WORKSPACE_KEY> entre aspas ("" ou '').
Depois que o agente for implantado, os dados serão recebidos em aproximadamente 10 minutos.
Para pesquisar logs, acesse Logs do workspace> do LogAnalytics e digite Evento na pesquisa.
Exemplo
Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"
Recursos adicionais
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de