Ведение журнала и анализ использования защиты из Azure Information Protection
Примечание.
Ищете информацию о Microsoft Purview Information Protection (прежнее название — Microsoft Information Protection, MIP)?
Надстройка Azure Information Protection отменяется и заменяется метками, встроенными в приложения и службы Microsoft 365. Дополнительные сведения о состоянии поддержки других компонентов Azure Information Protection.
Клиент Защита информации Microsoft Purview (без надстройки) общедоступен.
Эти сведения помогут вам понять, как использовать ведение журнала использования для службы защиты (Azure Rights Management) из Azure Information Protection. Эта служба защищает данные, содержащиеся в корпоративных документах и сообщениях электронной почты. Также она может регистрировать каждый запрос к этим данным. Эти запросы включают в себя, когда пользователи защищают документы и электронную почту, а также используют это содержимое, действия, выполняемые администраторами для этой службы, и действия, выполняемые операторами Майкрософт для поддержки развертывания Azure Information Protection.
Затем эти журналы использования защиты можно использовать для поддержки следующих бизнес-сценариев:
Анализ бизнес-аналитики
Журналы, созданные службой защиты, можно импортировать в выбранный репозиторий (например, базу данных, систему оперативной аналитической обработки (OLAP) или систему для анализа информации и создания отчетов. Например, можно определить, кто обращается к защищенным данным. Вы можете определить, какие защищенные пользователи получают доступ к данным, а также от каких устройств и откуда. Вы можете узнать, могут ли пользователи успешно читать защищенное содержимое. Вы также можете определить, какие люди прочитали важный документ, защищенный.
Мониторинг злоупотреблений
Ведение журнала об использовании защиты доступно для вас практически в реальном времени, чтобы вы могли непрерывно отслеживать использование службы защиты вашей компании. 99,9% журналов доступны в течение 15 минут после инициированного действия в службе.
Например, вы можете быть оповещены, если при внезапном увеличении числа людей, читающих защищенные данные за пределами стандартных рабочих часов, что может указывать на то, что злоумышленник собирает информацию для продажи конкурентам. Или, если один и тот же пользователь, по-видимому, обращается к данным из двух разных IP-адресов в течение короткого промежутка времени, что может указывать на то, что учетная запись пользователя скомпрометирована.
Выполнение судебно-криминалистического анализа
Если у вас утечка информации, скорее всего, вам будет предложено, кто недавно получил доступ к определенным документам и какие сведения недавно сделал подозреваемый человек. Вы можете ответить на эти типы вопросов при использовании этого журнала, так как пользователи, использующие защищенное содержимое, всегда должны получить лицензию Rights Management для открытия документов и изображений, защищенных Azure Information Protection, даже если эти файлы перемещаются по электронной почте или копируются на USB-накопители или другие устройства хранения. Это означает, что эти журналы можно использовать в качестве окончательного источника информации для судебно-судебного анализа при защите данных с помощью Azure Information Protection.
Помимо этого ведения журнала использования, вы также можете использовать следующие параметры ведения журнала:
Параметр ведения журнала | Description |
---|---|
журнал Администратор | Регистрирует административные задачи для службы защиты. Например, если служба деактивирована, когда включена функция суперпользователей и когда пользователи делегируют разрешения администратора службе. Дополнительные сведения см. в командлете PowerShell Get-AipService Администратор Log. |
Отслеживание документов | Позволяет пользователям отслеживать и отзывать свои документы, отслеживаемые клиентом Azure Information Protection. Глобальные администраторы также могут отслеживать эти документы от имени пользователей. Дополнительные сведения см. в статье "Настройка и использование отслеживания документов для Azure Information Protection". |
Журналы событий клиента | Действие использования для клиента Azure Information Protection, зарегистрированное в локальном журнале событий приложений и служб Windows, Azure Information Protection. Дополнительные сведения см. в разделе "Ведение журнала использования" для клиента Azure Information Protection. |
Файлы журнала клиента | Устранение неполадок журналов для клиента Azure Information Protection, расположенного в %localappdata%\Microsoft\MSIP. Эти файлы предназначены для служба поддержки Майкрософт. |
Кроме того, сведения из журналов использования клиента Azure Information Protection и сканера Azure Information Protection собираются и агрегируются для создания отчетов в портал Azure. Дополнительные сведения см. в статье "Отчеты для Azure Information Protection".
Дополнительные сведения об ведении журнала использования для службы защиты см. в следующих разделах.
Включение ведения журнала для использования защиты
Ведение журнала использования защиты включается по умолчанию для всех клиентов.
Дополнительные затраты на хранилище журналов или функции ведения журнала не требуются.
Как получить доступ к журналам использования защиты и использовать их
Azure Information Protection записывает журналы в виде ряда больших двоичных объектов в учетную запись хранения Azure, которая автоматически создается для вашего клиента. Каждый большой двоичный объект содержит одну или несколько записей журнала в расширенном формате журнала W3C. Имена BLOB-объектов — это числа, в том порядке, в котором они были созданы. Сведения о том, как интерпретировать журналы использования Azure Rights Management далее в этом документе, содержат дополнительные сведения о содержимом журнала и их создании.
Журналы могут отображаться в учетной записи хранения после действия защиты. Большинство журналов отображаются в течение 15 минут. Журналы использования доступны только в том случае, если имя поля date содержит значение предыдущей даты (в формате UTC). Журналы использования с текущей даты недоступны. Рекомендуется скачать журналы в локальное хранилище, например локальную папку, базу данных или репозиторий map-reduce.
Чтобы скачать журналы использования, вы будете использовать модуль AIPService PowerShell для Azure Information Protection. Инструкции по установке см. в разделе "Установка модуля AIPService PowerShell".
Скачивание журналов использования с помощью PowerShell
Запустите Windows PowerShell с помощью параметра "Запуск от имени администратора" и используйте командлет Подключение-AipService для подключения к Azure Information Protection:
Connect-AipService
Выполните следующую команду, чтобы скачать журналы для определенной даты:
Get-AipServiceUserLog -Path <location> -fordate <date>
Например, после создания папки с именем Logs на диске E:
Чтобы скачать журналы для определенной даты (например, 2.1.2016), выполните следующую команду:
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016
Чтобы скачать журналы для диапазона дат (например, с 2.1.2016 по 2.14.2016), выполните следующую команду:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016
При указании только дня, как в наших примерах, предполагается, что время равно 00:00:00 в локальном времени, а затем преобразуется в utc. При указании времени с параметрами fromdate или -todate (например, -fordate "2/1/2016 15:00:00"), эта дата и время преобразуется в UTC. Затем команда Get-AipServiceUserLog получает журналы за этот период времени UTC.
Вы не можете указать меньше всего дня для скачивания.
По умолчанию этот командлет использует три потока для скачивания журналов. Если у вас достаточно пропускной способности сети и требуется уменьшить время, необходимое для скачивания журналов, используйте параметр -NumberOfThreads, который поддерживает значение от 1 до 32. Например, если выполнить следующую команду, командлет создает 10 потоков для скачивания журналов: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10
Совет
Вы можете агрегировать все скачанные файлы журнала в формате CSV с помощью средства синтаксического анализа журналов Майкрософт, который является средством для преобразования между различными известными форматами журналов. Это средство также можно использовать для преобразования данных в формат SYSLOG или импорта в базу данных. После установки средства запустите LogParser.exe /?
справку и сведения, чтобы использовать это средство.
Например, можно выполнить следующую команду, чтобы импортировать все сведения в формат файла .log: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
Интерпретация журналов использования
Используйте следующие сведения, чтобы интерпретировать журналы использования защиты.
Последовательность журналов
Azure Information Protection записывает журналы в виде ряда больших двоичных объектов.
Каждая запись в журнале содержит метку времени UTC. Так как служба защиты работает на нескольких серверах в нескольких центрах обработки данных, иногда журналы могут быть не последовательность, даже если они отсортированы по метке времени. Однако разница небольшая и обычно в течение минуты. В большинстве случаев это не проблема, которая будет проблемой для анализа журналов.
Формат большого двоичного объекта
Каждый большой двоичный объект находится в расширенном формате журнала W3C. Она начинается со следующих двух строк:
#Software: RMS
#Version: 1.1
Первая строка определяет, что это журналы защиты из Azure Information Protection. Вторая строка определяет, что остальная часть большого двоичного объекта соответствует спецификации версии 1.1. Мы рекомендуем всем приложениям, которые синтаксируют эти журналы, перед продолжением анализа остальной части большого двоичного объекта.
Третья строка перечисляет список имен полей, разделенных вкладками:
#Fields: date time row-id request-type user-id result correlation-id content-id content-id owner-email issuer template-id file-name file-name date-published c-ip admin-action действует как пользователь
Каждая из последующих строк — это запись журнала. Значения полей находятся в том же порядке, что и предыдущая строка, и разделены вкладками. Для интерпретации полей используйте следующую таблицу.
Имя поля | Тип данных W3C | Description | Пример значения |
---|---|---|---|
date | Дата | Дата UTC при выполнении запроса. Источник — это локальные часы на сервере, который обслуживал запрос. |
2013-06-25 |
time | Время | Время в формате UTC в формате 24 часа при выполнении запроса. Источник — это локальные часы на сервере, который обслуживал запрос. |
21:59:28 |
row-id | Текст | Уникальный GUID для этой записи журнала. Если значение отсутствует, используйте значение идентификатора корреляции для идентификации записи. Это значение полезно при агрегации журналов или копирования журналов в другой формат. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
тип запроса | Имя. | Имя запрошенного API RMS. | AcquireLicense |
user-id | Строка | Пользователь, который сделал запрос. Значение заключено в одинарные кавычки. Вызовы из ключа клиента, управляемого вами (BYOK), имеют значение ", которое также применяется, когда типы запросов анонимны. |
'joe@contoso.com' |
result | Строка | "Успешно", если запрос был выполнен успешно. Тип ошибки в одинарных кавычках, если запрос завершился сбоем. |
'Success' |
идентификатор корреляции | Текст | GUID, который является общим между журналом клиента RMS и журналом сервера для данного запроса. Это значение может быть полезно для устранения неполадок с клиентом. |
cab52088-8925-4371-be34-4b71a3112356 |
content-id | Текст | GUID, заключенный в фигурные скобки, определяющие защищенное содержимое (например, документ). Это поле имеет значение, только если тип запроса — AcquireLicense и пусто для всех других типов запросов. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
owner-email | Строка | Адрес электронной почты владельца документа. Это поле пусто, если тип запроса — RevokeAccess. |
alice@contoso.com |
Издатель | Строка | Адрес электронной почты издателя документа. Это поле пусто, если тип запроса — RevokeAccess. |
alice@contoso.com (или) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
template-id | Строка | Идентификатор шаблона, используемого для защиты документа. Это поле пусто, если тип запроса — RevokeAccess. |
{6d9371a6-4e2d-4e97-9a38-20233fed26e} |
имя файла | Строка | Имя файла защищенного документа, отслеживаемого с помощью клиента Azure Information Protection для Windows. В настоящее время некоторые файлы (например, документы Office) отображаются как идентификаторы GUID, а не фактическое имя файла. Это поле пусто, если тип запроса — RevokeAccess. |
TopSecretDocument.docx |
дата публикации | Дата | Дата, когда документ был защищен. Это поле пусто, если тип запроса — RevokeAccess. |
2015-10-15T21:37:00 |
c-info | Строка | Сведения о клиентской платформе, выполняющей запрос. Конкретная строка зависит от приложения (например, операционной системы или браузера). |
"MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64' |
c-ip | Адрес | IP-адрес клиента, который выполняет запрос. | 64.51.202.144 |
admin-action | Bool | Имеет ли администратор доступ к сайту отслеживания документов в режиме Администратор istrator. | Истина |
действующий как пользователь | Строка | Адрес электронной почты пользователя, для которого администратор обращается к сайту отслеживания документов. | 'joe@contoso.com' |
Исключения для поля идентификатора пользователя
Хотя поле идентификатора пользователя обычно указывает пользователя, который сделал запрос, существует два исключения, в которых значение не сопоставляется с реальным пользователем:
Значение "microsoftrmsonline@<YourTenantID.rms>".<region.aadrm.com>'.
Это означает, что служба Office 365, например Exchange Online или Microsoft SharePoint, выполняет запрос. В строке <YourTenantID> — это GUID для вашего клиента и <региона> — регион, в котором зарегистрирован ваш клиент. Например, na представляет Северная Америка, eu представляет Европу, а ap представляет Азию.
Если вы используете соединитель RMS.
Запросы из этого соединителя регистрируются с именем субъекта-службы Aadrm_S-1-7-0, который автоматически создается при установке соединителя RMS.
Типичные типы запросов
Существует множество типов запросов для службы защиты, но в следующей таблице перечислены некоторые из наиболее часто используемых типов запросов.
Тип запроса | Description |
---|---|
AcquireLicense | Клиент с компьютера под управлением Windows запрашивает лицензию на защищенное содержимое. |
AcquirePreLicense | Клиент от имени пользователя запрашивает лицензию на защищенное содержимое. |
AcquireTemplates | Был вызван вызов для получения шаблонов на основе идентификаторов шаблонов |
AcquireTemplateInformation | Был вызван вызов, чтобы получить идентификаторы шаблона из службы. |
AddTemplate | Вызов выполняется из портал Azure для добавления шаблона. |
AllDocsCsv | Вызов выполняется с сайта отслеживания документов, чтобы скачать CSV-файл на странице "Все документы ". |
BECreateEndUserLicenseV1 | Вызов выполняется с мобильного устройства для создания лицензии конечного пользователя. |
BEGetAllTemplatesV1 | Вызов выполняется с мобильного устройства (серверной части), чтобы получить все шаблоны. |
Certify | Клиент сертифицируется для потребления и создания защищенного содержимого. |
FECreateEndUserLicenseV1 | Аналогично запросу AcquireLicense, но с мобильных устройств. |
FECreatePublishingLicenseV1 | То же самое, что и Certificate и GetClientLicensorCert в сочетании с мобильными клиентами. |
FEGetAllTemplates | Вызов выполняется с мобильного устройства (внешнего интерфейса), чтобы получить шаблоны. |
FindServiceLocationsForUser | Вызов выполняется для запроса URL-адресов, которые используются для вызова Certify или AcquireLicense. |
GetClientLicensorCert | Клиент запрашивает сертификат публикации (который позже используется для защиты содержимого) с компьютера под управлением Windows. |
GetConfiguration | Командлет Azure PowerShell вызывается для получения конфигурации клиента Azure RMS. |
Get Подключение orAuthorizations | Вызов выполняется из соединителей RMS для получения конфигурации из облака. |
GetRecipients | Вызов выполняется с сайта отслеживания документов для перехода к представлению списка для одного документа. |
GetTenantFunctionalState | Портал Azure проверка активируется ли служба защиты (Azure Rights Management). |
KeyVaultDecryptRequest | Клиент пытается расшифровать защищенное с помощью RMS содержимое. Применимо только для ключа клиента, управляемого клиентом (BYOK) в Azure Key Vault. |
KeyVaultGetKeyInfoRequest | Вызов выполняется, чтобы убедиться, что указанный ключ используется в Azure Key Vault для ключа клиента Azure Information Protection, доступен и еще не используется. |
KeyVaultSignDigest | Вызов выполняется, когда ключ, управляемый клиентом (BYOK) в Azure Key Vault, используется для подписывания. Обычно это вызывается один раз для параметра AcquireLicence (или FECreateEndUserLicenseV1), Certificate и GetClientLicensorCert (или FECreatePublishingLicenseV1). |
KMSPDecrypt | Клиент пытается расшифровать защищенное с помощью RMS содержимое. Применимо только для устаревшего ключа клиента, управляемого клиентом (BYOK). |
KMSPSignDigest | Вызов выполняется при использовании устаревшего ключа, управляемого клиентом (BYOK), для подписывания. Обычно это вызывается один раз для параметра AcquireLicence (или FECreateEndUserLicenseV1), Certificate и GetClientLicensorCert (или FECreatePublishingLicenseV1). |
ServerCertify | Вызов выполняется из клиента с поддержкой RMS (например, SharePoint), чтобы сертифицировать сервер. |
SetUsageLogFeatureState | Вызов выполняется для включения ведения журнала использования. |
SetUsageLog служба хранилища Account | Вызывается, чтобы указать расположение журналов службы Azure Rights Management. |
UpdateTemplate | Вызов выполняется из портал Azure для обновления существующего шаблона. |
Журналы использования защиты и единый журнал аудита Microsoft 365
Доступ к файлам и события отказано в настоящее время не включают имя файла и недоступны в едином журнале аудита Microsoft 365. Эти события будут улучшены, чтобы быть автономными и добавлены из службы Rights Management на более позднюю дату.
Справочник по PowerShell
Единственным командлетом PowerShell, который требуется получить доступ к журналу использования защиты, является Get-AipServiceUserLog.
Дополнительные сведения об использовании PowerShell для Azure Information Protection см. в разделе Администратор защиты от Azure Information Protection с помощью PowerShell.