Ведение журнала и анализ использования защиты из Azure Information Protection

Примечание

Ищете информацию о Microsoft Purview Information Protection (прежнее название — Microsoft Information Protection, MIP)?

Клиент унифицированных меток Azure Information Protection сейчас предоставляется в режиме обслуживания. Мы рекомендуем использовать метки, встроенные в приложения и службы Office 365. Подробнее

Используйте эти сведения, чтобы понять, как можно использовать ведение журнала использования для службы защиты (Azure Rights Management) из Azure Information Protection. Эта служба защиты обеспечивает защиту данных для документов и сообщений электронной почты вашей организации, и она может регистрировать каждый запрос к нему. действия пользователей при защите документов и электронной почты, а также использовании этого содержимого; действия, выполняемые администраторами для этой службы; действия, выполняемые операторами Майкрософт в рамках поддержки развертывания Azure Information Protection.

Затем эти журналы использования защиты можно использовать для поддержки следующих бизнес-сценариев:

  • Анализ бизнес-информации

    Журналы, созданные службой защиты, можно импортировать в выбранный репозиторий (например, базу данных, систему оперативной аналитической обработки (OLAP) или систему map-reduce), чтобы проанализировать информацию и создать отчеты. Например, можно установить, кто получает доступ к защищенным данным. Можно определить, к каким именно защищаемым данным имеют доступ пользователи, с каких устройств и откуда. Можно выяснить, могут ли пользователи успешно читать защищенное содержимое. Можно также установить, какие пользователи прочли важный защищенный документ.

  • Отслеживание нарушений

    Ведение журнала об использовании защиты доступно практически в режиме реального времени, чтобы вы могли непрерывно отслеживать использование службы защиты вашей компании. 99,9 % журналов становятся доступными в течение 15 минут после действия, запускающего службу.

    Например, можно получать оповещение, если происходит резкое увеличение количества пользователей, читающих защищенные данные вне стандартного рабочего времени, что может указывать на сбор злоумышленником информации для продажи конкурентам. Также, если один и тот же пользователь получает доступ к данным с разных IP-адресов в течение короткого времени, это может указывать на взлом учетной записи пользователя.

  • Выполнение криминалистического анализа

    Если происходит утечка информации, то скорее всего потребуются сведения о том, кто недавно использовал конкретные документы, и к какой информации имело доступ подозреваемое лицо в последнее время. Вы можете ответить на эти типы вопросов при использовании этого журнала, так как пользователи, использующие защищенное содержимое, всегда должны получить лицензию Rights Management для открытия документов и изображений, защищенных с помощью Azure Information Protection, даже если эти файлы перемещаются по электронной почте или копируются на USB-накопители или другие запоминающие устройства. Это означает, что эти журналы можно использовать в качестве окончательного источника информации для анализа при защите данных с помощью Azure Information Protection.

Кроме ведения журнала использования, вам также доступны следующие возможности:

Параметры ведения журнала Описание
Журнал администратора Регистрирует административные задачи для службы защиты. Пример: отключение службы, когда включена функция суперпользователя или когда пользователям делегируются разрешения администратора на доступ к службе.

Дополнительные сведения см. в командлете PowerShell Get-AipServiceAdminLog.
Отслеживание документов Предоставление пользователям возможности отслеживать и отзывать документы, отслеживаемые с помощью клиента Azure Information Protection. Глобальные администраторы также могут отслеживать эти документы от имени пользователей.

См. дополнительные сведения о настройке и использовании отслеживания документов для Azure Information Protection.
Журналы событий клиента Сведения об активности использования для клиента Azure Information Protection, записываемые в локальный журнал событий Приложения и службы Windows под названием Azure Information Protection.

См. дополнительные сведения о ведении журналов использования для клиента Azure Information Protection.
Файлы клиентских журналов Устранение неполадок с журналами клиента Azure Information Protection, расположенными в каталоге %localappdata%\Microsoft\MSIP.

Эти файлы предназначены для службы поддержки Майкрософт.

Кроме того, сведения из журналов использования клиента Azure Information Protection и средства проверки Azure Information Protection собираются и объединяются для создания отчетов на портале Azure. Дополнительные сведения см. в статье Центр отчетов для Microsoft Azure Information Protection.

Дополнительные сведения о ведении журнала использования для службы защиты см. в следующих разделах.

Включение ведения журнала для использования защиты

Ведение журнала использования защиты включено по умолчанию для всех клиентов.

За хранение журналов или работу функции ведения журналов дополнительная плата не взимается.

Как получить доступ к журналам использования защиты и использовать их

Azure Information Protection записывает журналы в виде ряда больших двоичных объектов в учетную запись хранения Azure, которую он автоматически создает для вашего клиента. Каждый BLOB-объект содержит от одной до нескольких записей журнала в расширенном формате журнала W3C. В качестве имен BLOB-объектов используются числа, показывающие порядок их создания. Дополнительные сведения о содержимом журналов и их создании см. в разделе Интерпретация журналов использования службы управления правами Azure далее в этом документе.

Для отображения журналов в учетной записи хранения после действия защиты может потребоваться некоторое время. Большинство журналов появляется в течение 15 минут. Журналы использования доступны только в том случае, если имя поля date содержит значение предыдущей даты (в формате UTC). Журналы использования с текущей даты недоступны. Рекомендуется загружать журналы в локальное хранилище, такое как локальная папка, база данных или репозиторий map-reduce.

Чтобы скачать журналы использования, используйте модуль AIPService PowerShell для Azure Information Protection. Инструкции по установке см. в разделе "Установка модуля AIPService PowerShell".

Загрузка журналов использования с помощью PowerShell

  1. Запустите Windows PowerShell с помощью параметра "Запуск от имени администратора" и используйте командлет Connect-AipService для подключения к Azure Information Protection:

    Connect-AipService
    
  2. Выполните следующую команду, чтобы загрузить журналы за определенную дату:

    Get-AipServiceUserLog -Path <location> -fordate <date>
    

    Например, если на диске E: была создана папка Logs:

    • Чтобы скачать журналы за определенную дату (например, 01.02.2016), выполните следующую команду: Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016

    • Чтобы скачать журналы за диапазон дат (например, с 01.02.2016 по 14.02.2016), выполните следующую команду: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016

При указании только одного дня, как в наших примерах, предполагается, что указано время 00:00:00 по местному времени, которое затем преобразуется в формат UTC. Если время указано с помощью параметра -fromdate или -todate (например, -fordate 2/1/2016 15:00:00), дата и время преобразуются в формат UTC. Затем команда Get-AipServiceUserLog получает журналы за этот период времени в формате UTC.

Нельзя задать для скачивания журнала время меньше, чем целый день.

По умолчанию этот командлет использует для скачивания журналов три потока. Если пропускная способность вашей сети достаточна и вы хотите уменьшить время загрузки журналов, используйте параметр -NumberOfThreads, который может принимать значения от 1 до 32. Например, если вы выполните следующую команду, командлет создаст для скачивания журналов 10 потоков: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10

Совет

Можно включить все скачанные файлы журналов в файл CSV с помощью средства синтаксического анализа журналов Майкрософт, которое преобразовывает разные популярные форматы журналов. Кроме того, этот инструмент можно также использовать для преобразования данных в формат SYSLOG или для импорта их в базу данных. После установки этого инструмента выполните команду LogParser.exe /?, чтобы получить справку и сведения о его использовании.

Например, для импорта всей информации в формате LOG-файла можно выполнить следующую команду: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"

Интерпретация журналов использования

Используйте следующие сведения, чтобы интерпретировать журналы использования защиты.

Последовательность журналов

Azure Information Protection записывает журналы в виде ряда больших двоичных объектов.

Каждая запись в журнале имеет метку времени в формате UTC. Так как служба защиты работает на нескольких серверах в нескольких центрах обработки данных, иногда журналы могут оказаться неупорядоченными, даже если они отсортированы по метке времени. Однако такая погрешность невелика и обычно не превышает одной минуты. В большинстве случаев это не представляет проблему для анализа журналов.

Формат BLOB-объекта

Каждый BLOB-объект находится в расширенном формате журналов W3C. Он начинается со следующих двух строк.

#Software: RMS

#Version: 1.1

Первая строка определяет, что это журналы защиты из Azure Information Protection. Вторая строка указывает, что остальная часть большого двоичного объекта соответствует версии 1.1 спецификации. Рекомендуется, чтобы любые приложения, выполняющие анализ этих журналов, проверяли эти две строки, прежде чем анализировать остальную часть BLOB-объекта.

В третьей строке перечисляются имена полей, разделенные табуляциями:

#Fields: date time row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user

Все следующие строки являются записями журнала. Значения полей находятся в том же порядке, как указано в третьей строке, и разделяются табуляциями. Для интерпретации этих полей используйте следующую таблицу.

Имя поля Тип данных W3C Описание Пример значения
date Дата Дата обслуживания запроса в формате UTC.

Источник — локальные часы сервера, обслужившего запрос.
2013-06-25
time Time Время UTC в 24-часовом формате, когда запрос был обработан.

Источник — локальные часы сервера, обслужившего запрос.
21:59:28
row-id Текст Уникальный GUID для этой записи журнала. Если значение не указано, для идентификации записи используется значение correlation-id.

Это значение удобно использовать при объединении журналов или копировании журналов в другой формат.
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63
тип запроса Название Имя запрошенного API RMS. AcquireLicense
идентификатор пользователя Строка Пользователь, отправивший запрос.

Значение заключается в одинарные кавычки. Вызовы из ключа клиента, который управляется вами (BYOK), имеют значение ", применяемое также с анонимными типами запросов.
‘joe@contoso.com’
result Строка Значение "Success", если запрос был обработан успешно.

Тип ошибки в одинарных кавычках, если запрос завершился неудачно.
'Success'
идентификатор корреляции Текст GUID, который для данного запроса является общим в клиентском и серверном журналах RMS.

Это значение может быть полезно при устранении проблем клиента.
cab52088-8925-4371-be34-4b71a3112356
content-id Текст GUID, заключенный в фигурные скобки, который идентифицирует защищенный контент (например, документ).

Это поле имеет значение только в том случае, если request-type имеет значение AcquireLicense; для всех остальных типов запросов это поле пустое.
{bb4af47b-cfed-4719-831d-71b98191a4f2}
owner-email Строка Адрес электронной почты владельца документа.

Если тип запроса — RevokeAccess, это поле пусто.
alice@contoso.com
Эмитента Строка Адрес электронной почты эмитента документа.

Если тип запроса — RevokeAccess, это поле пусто.
alice@contoso.com (или) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com'
template-id Строка Идентификатор шаблона, используемый для защиты документа.

Если тип запроса — RevokeAccess, это поле пусто.
{6d9371a6-4e2d-4e97-9a38-202233fed26e}
имя файла Строка Имя файла защищенного документа, которое отслеживается с помощью клиента Azure Information Protection.

Сейчас некоторые файлы (например, документы Office) отображаются с идентификаторами GUID вместо фактических имен файла.

Если тип запроса — RevokeAccess, это поле пусто.
TopSecretDocument.docx
date-published Дата Дата, когда документ был защищен.

Если тип запроса — RevokeAccess, это поле пусто.
2015-10-15T21:37:00
c-info Строка Сведения о клиентской платформе, с которой был выполнен запрос.

Конкретная строка зависит от приложения (например, от операционной системы или браузера).
'MSIPC;version=1.0.623.47;AppName=WINWORD.EXE;AppVersion=15.0.4753.1000;AppArch=x86;OSName=Windows;OSVersion=6.1.7601;OSArch=amd64'
c-ip Адрес IP-адрес клиента, из которого был сделан запрос. 64.51.202.144
admin-action Bool Получал ли администратор доступ к сайту отслеживания документов в режиме администратора. True
acting-as-user Строка Адрес электронной почты пользователя, для которого администратор получает доступ к сайту отслеживания документов. 'joe@contoso.com'

Исключения для поля user-id

Хотя поле user-id обычно указывает пользователя, сделавшего запрос, имеется два исключения, когда значение этого поля не соответствует реальному пользователю.

  • Значение 'microsoftrmsonline@<ИД_клиента>.rms.<регион>.aadrm.com'.

    Это означает, что служба Office 365, например Exchange Online или Microsoft SharePoint, выполняет запрос. В строке <YourTenantID> — это GUID для вашего клиента и <региона> , который является регионом, в котором зарегистрирован ваш клиент. Например na представляет Северную Америку, eu представляет Европу, а ap представляет Азию.

  • При использовании соединителя RMS.

    Запросы от этого соединителя регистрируются с именем субъекта-службы Aadrm_S-1-7-0, которое автоматически создается при установке соединителя RMS.

Распространенные типы запросов

Существует множество типов запросов для службы защиты, но в следующей таблице перечислены некоторые из наиболее часто используемых типов запросов.

Тип запроса Описание
AcquireLicense Клиент с компьютера под управлением Windows запрашивает лицензию на защищенное содержимое.
AcquirePreLicense Клиент от имени пользователя запрашивает лицензию на защищенное содержимое.
AcquireTemplates Был выполнен вызов для получения шаблонов по идентификаторам шаблонов.
AcquireTemplateInformation Был выполнен вызов для получения идентификаторов шаблона от службы.
AddTemplate Вызов выполняется из портал Azure для добавления шаблона.
AllDocsCsv Выполняется вызов с сайта отслеживания документов для скачивания CSV-файла со страницы Все документы.
BECreateEndUserLicenseV1 Вызов выполняется с мобильного устройства для создания лицензии конечного пользователя.
BEGetAllTemplatesV1 Для получения всех шаблонов выполняется вызов с мобильного устройства (серверной части).
Certify Клиент сертифицирует пользователя для использования и создания защищенного содержимого.
FECreateEndUserLicenseV1 Аналогичен типу запроса AcquireLicense, но для мобильных устройств.
FECreatePublishingLicenseV1 Этот тип аналогичен объединению типов Certify и GetClientLicensorCert, но для мобильных клиентов.
FEGetAllTemplates Для получения шаблонов выполняется вызов с мобильного устройства (внешнего интерфейса).
FindServiceLocationsForUser Выполняется вызов для запроса URL-адресов, который используется для вызова Certify или AcquireLicense.
GetClientLicensorCert Клиент запрашивает сертификат издателя (который впоследствии будет использоваться для защиты контента) от компьютера с ОС Windows.
GetConfiguration Вызывается командлет Azure PowerShell для получения конфигурации клиента Azure RMS.
GetConnectorAuthorizations Вызов выполняется из соединителей RMS для получения конфигурации из облака.
GetRecipients Выполняется вызов с сайта отслеживания документов для перехода к представлению списка для одного документа.
GetTenantFunctionalState Портал Azure проверяет, активирована ли служба защиты (Azure Rights Management).
KeyVaultDecryptRequest Клиент пытается расшифровать защищенное RMS-содержимое. Применимо только для ключа клиента, которым управляет пользователь (BYOK), в хранилище ключей Azure.
KeyVaultGetKeyInfoRequest Вызов выполняется, чтобы убедиться, что ключ, указанный для использования в хранилище ключей Azure для ключа клиента Azure Information Protection, доступен и еще не применяется.
KeyVaultSignDigest Вызов выполняется при использовании ключа BYOK в хранилище ключей Azure с целью подписи. Этот вызов обычно выполняется один раз для AcquireLicence (или FECreateEndUserLicenseV1), Certify и GetClientLicensorCert (или FECreatePublishingLicenseV1).
KMSPDecrypt Клиент пытается расшифровать защищенное RMS-содержимое. Применимо только для устаревшего ключа клиента, которым управляет пользователь (BYOK).
KMSPSignDigest Вызов выполняется при использовании устаревшего ключа BYOK с целью подписи. Этот вызов обычно выполняется один раз для AcquireLicence (или FECreateEndUserLicenseV1), Certify и GetClientLicensorCert (или FECreatePublishingLicenseV1).
ServerCertify Вызов выполняется из клиента с поддержкой RMS (например, SharePoint) для сертификации сервера.
SetUsageLogFeatureState Для включения ведения журнала использования выполняется вызов.
SetUsageLogStorageAccount Вызывается, чтобы указать расположение журналов службы Azure Rights Management.
UpdateTemplate Вызов выполняется из портал Azure для обновления существующего шаблона.

Журналы использования защиты и единый журнал аудита Microsoft 365

Доступ к файлам и события запрета в настоящее время не включают имя файла и недоступны в едином журнале аудита Microsoft 365. Эти события будут улучшены для автономной работы и добавлены из службы Rights Management позже.

Справочник по PowerShell

Единственным командлетом PowerShell, который требуется для доступа к журналу использования защиты, является Get-AipServiceUserLog.

Дополнительные сведения об использовании PowerShell для Azure Information Protection см. в статье "Администрирование защиты от Information Protection Azure с помощью PowerShell".