Аналитика и централизованное создание отчетов для Azure Information Protection
Примечание.
Ищете информацию о Microsoft Information Protection? Клиент унифицированных меток Azure Information Protection сейчас предоставляется в режиме обслуживания. Для приложений Office 365 рекомендуется включить встроенную маркировку Microsoft Information Protection. Подробнее.
В этой статье описывается, как использовать решение аудита из Microsoft Purview для просмотра событий аудита, созданных клиентом унифицированных меток Azure Information Protection. События аудита, созданные в едином журнале аудита Microsoft 365 для централизованной отчетности, доступны в обозревателе действий, которые помогут вам отслеживать внедрение меток, которые классифицируют и защищают данные вашей организации.
Аудит позволяет выполнить следующие действия.
- Агрегируйте данные из клиентов Azure Information Protection, сканеров Azure Information Protection и Microsoft Defender для облака приложений.
- Просмотр событий аудита в едином журнале аудита Microsoft 365 и журнале действий Office 365 для вашей организации.
- Запрос, просмотр и обнаружение событий аудита в обозревателе действий с графическим интерфейсом на портале соответствия требованиям.
События аудита из единого журнала аудита Microsoft 365
Клиент единой маркировки AIP включает надстройку для Office, сканер, средство просмотра для Windows, клиент PowerShell и расширение оболочки Classify и protect для Windows. Все эти компоненты создают события аудита, которые отображаются в журналах действий Office 365 и могут запрашиваться с помощью API действий управления Office 365.
События аудита позволяют администратору:
- Отслеживайте помеченные и защищенные документы и сообщения электронной почты в организации.
- Отслеживайте доступ пользователей к помеченным документам и электронным письмам и отслеживайте изменения классификации документов.
Схема событий единого журнала аудита Microsoft 365
Пять событий (также называемых AuditLogRecordType), относящиеся к AIP, перечисленным ниже, и дополнительные сведения о каждом из них можно найти в справочнике по API.
| Значение | Имя участника | Description |
|---|---|---|
| 93 | AipDiscover | События проверки Azure Information Protection (AIP). |
| 94 | AipSensitivityLabelAction | События метки конфиденциальности AIP. |
| 95 | AipProtectionAction | События защиты AIP. |
| 96 | AipFileDeleted | События удаления файлов AIP. |
| 97 | AipHeartBeat | События пульса AIP. |
Эта информация доступна в едином журнале аудита Microsoft 365 для вашей организации и может просматриваться в обозревателе действий.
События аудита запросов в действии Обозреватель
Обозреватель действий в Портал соответствия требованиям Microsoft Purview — это графический интерфейс для просмотра событий аудита, создаваемых в едином журнале аудита Microsoft 365. Администратор клиента может использовать встроенные запросы, чтобы определить, эффективны ли политики и элементы управления, реализованные вашей организацией. Если доступно до 30 дней данных, администратор может задать фильтры и четко узнать, когда и как обрабатываются конфиденциальные данные в организации.
Чтобы просмотреть действия, относящиеся к AIP, администратор может начать с следующих фильтров:
- Тип действия:
- метка применена
- метка изменена
- Удалена метка
- Чтение файла меток
- приложение: ;
- Надстройка Microsoft Azure Information Protection Word
- Надстройка Microsoft Azure Information Protection Excel
- Надстройка Microsoft Azure Information Protection PowerPoint
- Надстройка Microsoft Azure Information Protection Outlook
Администратор может не видеть все параметры в фильтре или увидеть больше; Значения фильтра зависят от того, какие действия записываются для вашего клиента. Дополнительные сведения об обозревателе действий см. в следующих разделах:
Собранные и отправленные в Microsoft Purview сведения из клиента унифицированных меток AIP
Для создания этих отчетов конечные точки отправляют следующие типы сведений в единый журнал аудита Microsoft 365:
Действие метки. Например, задайте метку, измените метку, добавьте или удалите защиту, автоматические и рекомендуемые метки.
Имя метки до и после действия метки.
Идентификатор клиента вашей организации.
Идентификатор пользователя (адрес электронной почты или имя участника-пользователя).
Имя устройства пользователя.
IP-адрес устройства пользователя.
Соответствующее имя процесса, например outlook или msip.app.
Имя приложения, выполняющего метку, например Outlook или проводник
Для документов: путь к файлу и имя файла документов, помеченных.
Для сообщений электронной почты: тема электронной почты и отправитель электронной почты для сообщений электронной почты, помеченных.
Типы конфиденциальной информации (предопределенные и настраиваемые), обнаруженные в содержимом.
Версия клиента Azure Information Protection.
Версия клиентской операционной системы.
Запрет клиентам AIP отправлять данные аудита
Чтобы предотвратить отправку данных аудита клиентом унифицированных меток Azure Information Protection, настройте расширенный параметр политики меток.
Совпадения содержимого для более глубокого анализа
Azure Information Protection позволяет собирать и хранить фактические данные, определенные как тип конфиденциальной информации (предопределенный или настраиваемый). Например, это может включать кредитные карта номера, найденные, а также номера социального страхования, номера паспортов и банковских счетов. Совпадения содержимого отображаются при выборе записи из журналов действий и просмотре сведений о действии.
По умолчанию клиенты Azure Information Protection не отправляют совпадения содержимого. Чтобы изменить это поведение таким образом, чтобы содержимое соответствовало, настройте расширенный параметр в политике меток.
Необходимые компоненты
События аудита включены по умолчанию для вашей организации. Чтобы просмотреть события аудита в Microsoft Purview, ознакомьтесь с требованиями к лицензированию для базовых решений и решений аудита (Премиум).
Следующие шаги
После просмотра сведений в отчетах вам может потребоваться узнать больше о настройке решения аудита Microsoft Purview для вашей организации.
- Узнайте, как экспортировать события аудита из единого журнала аудита Microsoft 365 в рабочую область Azure log analytics с помощью экспорта аудита AIP на GitHub.
- Ознакомьтесь с Администратор руководством по аудиту и составлению отчетов для клиента унифицированных меток AIP, чтобы подробно ознакомиться с решением аудита Microsoft Purview.
- Ознакомьтесь с документацией по журналам использования защиты для доступа к файлам и событиям, созданным службой Rights Management. Эти события обрабатываются отдельно от событий, созданных клиентом унифицированных меток Azure Information Protection.
- Ознакомьтесь с документацией Microsoft 365 о метках конфиденциальности, чтобы узнать, как вносить изменения в политику маркировки на портале соответствия требованиям.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по