Сбор журналов событий аудита Windows Information Protection (WIP)
Относится к:
- Windows 10 версии 1607 и выше
Windows Information Protection (WIP) создает события аудита в следующих случаях:
Когда сотрудник изменяет значение параметра "Владение файлом" с Рабочий на Личный.
Когда данные отмечаются как Рабочие, но передаются в личное приложение или на личную веб-страницу (например, путем копирования и вставки, перетаскивания, предоставления общего доступа к контакту, размещения на личной веб-странице, или если пользователь предоставляет личному приложению временный доступ к рабочему файлу).
Когда приложение имеет пользовательские события аудита.
Сбор журналов аудита WIP с помощью поставщика службы конфигурации отчетов (CSP)
Соберите журналы аудита WIP с устройств сотрудника, следуя рекомендациям, предоставленным поставщиком службы конфигурации отчетов (CSP). Этот раздел содержит сведения о фактических событиях аудита.
Примечание.
Элемент Данные в ответе содержит запрошенные журналы аудита в формате XML.
Элемент "Пользователь" и его атрибуты
В данной таблице содержатся все доступные атрибуты для элемента Пользователь.
Атрибут | Тип значения | Описание |
---|---|---|
UserID | Строка | Идентификатор безопасности (SID) пользователя, соответствующий данному отчету об аудите. |
EnterpriseID | Строка | Идентификатор предприятия, соответствующий данному отчету об аудите. |
Элемент "Журнал" и его атрибуты
В данной таблице содержатся все доступные атрибуты/элементы для элемента Журнал. Ответ может содержать ноль (0) или несколько элементов Журнал.
Атрибут/элемент | Тип значения | Описание |
---|---|---|
ProviderType | Строка | Всегда EDPAudit. |
LogType | Строка | Включает:
|
TimeStamp | Целое число | Использует структуру FILETIME для обозначения времени события. |
Политика | Строка | Способ передачи рабочих данных в личное расположение:
|
Обоснование | Строка | Не реализовано. Это значение всегда будет пустым или NULL. Примечание Сохраните для будущего использования при сборе пользовательских обоснований изменения статуса файлов с Рабочий на Личный. |
Объект | Строка | Описание рабочих данных, к которым был осуществлен личный доступ. Например, если сотрудник открывает рабочий файл с помощью личного приложения, здесь будет указан путь к файлу. |
DataInfo | Строка | Любая дополнительная информация о том, каким образом был изменен рабочий файл:
|
Действие | Целое число | Предоставляет информацию о том, что произошло в тот момент, когда рабочие данные были переданы в личное расположение, включая:
|
FilePath | Строка | Путь к файлу, указанному в событии аудита Например, расположение файла, который был расшифрован сотрудником или загружен на личный веб-сайт. |
SourceApplicationName | Строка | Исходное приложение или веб-сайт. Для исходного приложения это удостоверение AppLocker. Для исходного веб-сайта это имя узла. |
SourceName | Строка | Строка, предоставляемая приложением, которое регистрируют событие. Он предназначен для описания источника рабочих данных. |
DestinationEnterpriseID | Строка | Значение корпоративного идентификатора приложения или веб-сайта, куда сотрудник передал данные. Значение NULL, Личное или пустое означает, что идентификатор предприятия отсутствует, так как рабочие данные были переданы в личное расположение. Так как в настоящее время мы не поддерживаем несколько регистраций, вы всегда увидите одно из этих значений. |
DestinationApplicationName | Строка | Целевое приложение или веб-сайт. Для целевого приложения это удостоверение AppLocker. Для целевого веб-сайта это имя узла. |
DestinationName | Строка | Строка, предоставляемая приложением, которое регистрируют событие. Он предназначен для описания назначения рабочих данных. |
Приложение | Строка | Удостоверение AppLocker приложения, в котором произошло событие аудита. |
Примеры
Вот несколько примеров ответов от поставщика службы конфигурации отчетов.
Статус владения файлом изменен с рабочего на личный
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
<Policy>Protection removed</Policy>
<Justification>NULL</Justification>
<FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Рабочий файл отправлен на личную веб-страницу в Edge
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>NULL</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
<DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Рабочие данные были вставлены на личную веб-страницу
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Рабочий файл открыт с помощью личного приложения
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
<Policy>NULL</Policy>
<Justification></Justification>
<Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
<Action>1</Action>
<SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
<DestinationEnterpriseID>Personal</DestinationEnterpriseID>
<DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
<Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Рабочие данные были вставлены в личное приложение
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName></DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Сбор журналов аудита WIP с помощью службы пересылки событий Windows (только на компьютерах с Windows, подключенных к домену)
Используйте переадресацию событий Windows для сбора и агрегирования событий аудита Information Protection Windows. Просматривать события аудита можно в средстве просмотра событий.
Для просмотра событий WIP в средстве просмотра событий
Откройте окно просмотра событий.
В дереве консоли в подменю Журналы приложений и служб\Microsoft\Windows щелкните EDP-Audit-Regular и EDP-Audit-TCB.
Сбор журналов аудита WIP с помощью Azure Monitor
Журналы аудита можно собирать с помощью Azure Monitor. См. статью Источники данных журнала событий Windows в Azure Monitor.
Просмотр событий WIP в Azure Monitor
Используйте существующую или создайте новую рабочую область Log Analytics.
В разделеДополнительные параметрыLog Analytics> выберите Данные. В журналы событий Windows добавьте журналы для получения:
Microsoft-Windows-EDP-Application-Learning/Admin Microsoft-Windows-EDP-Audit-TCB/Admin
Примечание.
При использовании журналов событий Windows имена журналов событий можно найти в разделе Свойства события в папке События (Журналы приложений и служб\Microsoft\Windows, щелкните EDP-Audit-Regular и EDP-Audit-TCB).
Скачайте Microsoft Monitoring Agent.
Чтобы получить MSI для установки Intune, как описано в статье Azure Monitor, извлеките:
MMASetup-.exe /c /t:
Установите Microsoft Monitoring Agent на устройства WIP с помощью идентификатора рабочей области и первичного ключа. Дополнительные сведения об идентификаторе рабочей области и первичном ключе см. в разделеДополнительные параметрыLog Analytics>.
Чтобы развернуть MSI с помощью Intune, в параметрах установки добавьте:
/q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1
Примечание.
Замените <WORKSPACE_ID> & <WORKSPACE_KEY> , полученные на шаге 5. В параметрах установки не помещайте <WORKSPACE_ID> & <WORKSPACE_KEY> в кавычки ("" или "".
После развертывания агента данные будут получены примерно через 10 минут.
Чтобы найти журналы, перейдите в разделЖурналырабочей области> Log Analytics и введите Событие в поиске.
Примере
Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"
Дополнительные ресурсы
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по