Сбор журналов событий аудита Windows Information Protection (WIP)

  • Статья

Относится к:

  • Windows 10 версии 1607 и выше

Windows Information Protection (WIP) создает события аудита в следующих случаях:

  • Когда сотрудник изменяет значение параметра "Владение файлом" с Рабочий на Личный.

  • Когда данные отмечаются как Рабочие, но передаются в личное приложение или на личную веб-страницу (например, путем копирования и вставки, перетаскивания, предоставления общего доступа к контакту, размещения на личной веб-странице, или если пользователь предоставляет личному приложению временный доступ к рабочему файлу).

  • Когда приложение имеет пользовательские события аудита.

Сбор журналов аудита WIP с помощью поставщика службы конфигурации отчетов (CSP)

Соберите журналы аудита WIP с устройств сотрудника, следуя рекомендациям, предоставленным поставщиком службы конфигурации отчетов (CSP). Этот раздел содержит сведения о фактических событиях аудита.

Примечание.

Элемент Данные в ответе содержит запрошенные журналы аудита в формате XML.

Элемент "Пользователь" и его атрибуты

В данной таблице содержатся все доступные атрибуты для элемента Пользователь.

Атрибут Тип значения Описание
UserID Строка Идентификатор безопасности (SID) пользователя, соответствующий данному отчету об аудите.
EnterpriseID Строка Идентификатор предприятия, соответствующий данному отчету об аудите.

Элемент "Журнал" и его атрибуты

В данной таблице содержатся все доступные атрибуты/элементы для элемента Журнал. Ответ может содержать ноль (0) или несколько элементов Журнал.

Атрибут/элемент Тип значения Описание
ProviderType Строка Всегда EDPAudit.
LogType Строка Включает:
  • DataCopied. Рабочие данные были скопированы или переданы в личное расположение.
  • ProtectionRemoved. Windows Information Protection удаляется из рабочего файла.
  • ApplicationGenerated. Настраиваемый журнал аудита, предоставленный приложением.
TimeStamp Целое число Использует структуру FILETIME для обозначения времени события.
Политика Строка Способ передачи рабочих данных в личное расположение:
  • CopyPaste. Рабочие данные были вставлены в личное расположение или приложение.
  • ProtectionRemoved. Статус рабочих данных был изменен на незащищенный.
  • DragDrop. Рабочие данные были переданы в личное расположение или приложение путем перетаскивания.
  • Share. Личному расположению или приложению был предоставлен доступ к рабочим данным.
  • NULL. Любой другой способ, с помощью которого рабочие данные могли стать личными (например, при открытии рабочего файла в личном приложении (что также известно как временный доступ)).
Обоснование Строка Не реализовано. Это значение всегда будет пустым или NULL.

Примечание
Сохраните для будущего использования при сборе пользовательских обоснований изменения статуса файлов с Рабочий на Личный.
Объект Строка Описание рабочих данных, к которым был осуществлен личный доступ. Например, если сотрудник открывает рабочий файл с помощью личного приложения, здесь будет указан путь к файлу.
DataInfo Строка Любая дополнительная информация о том, каким образом был изменен рабочий файл:
  • Путь к файлу. Если сотрудник разместил рабочий файл на личном веб-сайте с помощью Microsoft Edge или Internet Explorer, здесь будет указан путь к файлу.
  • Типы данных буфера обмена. Если сотрудник вставил рабочие данные в личное приложение, здесь будет приведен список типов данных буфера обмена, предоставленных рабочем приложением. Дополнительные сведения см. в разделе Примеры данной статьи.
Действие Целое число Предоставляет информацию о том, что произошло в тот момент, когда рабочие данные были переданы в личное расположение, включая:
  • 1. Расшифрование файла.
  • 2. Копирование в расположение.
  • 3. Отправка получателю.
  • 4. Другое.
FilePath Строка Путь к файлу, указанному в событии аудита Например, расположение файла, который был расшифрован сотрудником или загружен на личный веб-сайт.
SourceApplicationName Строка Исходное приложение или веб-сайт. Для исходного приложения это удостоверение AppLocker. Для исходного веб-сайта это имя узла.
SourceName Строка Строка, предоставляемая приложением, которое регистрируют событие. Он предназначен для описания источника рабочих данных.
DestinationEnterpriseID Строка Значение корпоративного идентификатора приложения или веб-сайта, куда сотрудник передал данные.

Значение NULL, Личное или пустое означает, что идентификатор предприятия отсутствует, так как рабочие данные были переданы в личное расположение. Так как в настоящее время мы не поддерживаем несколько регистраций, вы всегда увидите одно из этих значений.
DestinationApplicationName Строка Целевое приложение или веб-сайт. Для целевого приложения это удостоверение AppLocker. Для целевого веб-сайта это имя узла.
DestinationName Строка Строка, предоставляемая приложением, которое регистрируют событие. Он предназначен для описания назначения рабочих данных.
Приложение Строка Удостоверение AppLocker приложения, в котором произошло событие аудита.

Примеры

Вот несколько примеров ответов от поставщика службы конфигурации отчетов.

Статус владения файлом изменен с рабочего на личный

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
      <Policy>Protection removed</Policy>
      <Justification>NULL</Justification>
      <FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Рабочий файл отправлен на личную веб-страницу в Edge

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>NULL</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Рабочие данные были вставлены на личную веб-страницу

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Рабочий файл открыт с помощью личного приложения

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
      <Policy>NULL</Policy>
      <Justification></Justification>
      <Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
      <Action>1</Action>
      <SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
      <DestinationEnterpriseID>Personal</DestinationEnterpriseID>
      <DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
      <Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Рабочие данные были вставлены в личное приложение

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName></DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Сбор журналов аудита WIP с помощью службы пересылки событий Windows (только на компьютерах с Windows, подключенных к домену)

Используйте переадресацию событий Windows для сбора и агрегирования событий аудита Information Protection Windows. Просматривать события аудита можно в средстве просмотра событий.

Для просмотра событий WIP в средстве просмотра событий

  1. Откройте окно просмотра событий.

  2. В дереве консоли в подменю Журналы приложений и служб\Microsoft\Windows щелкните EDP-Audit-Regular и EDP-Audit-TCB.

Сбор журналов аудита WIP с помощью Azure Monitor

Журналы аудита можно собирать с помощью Azure Monitor. См. статью Источники данных журнала событий Windows в Azure Monitor.

Просмотр событий WIP в Azure Monitor

  1. Используйте существующую или создайте новую рабочую область Log Analytics.

  2. В разделеДополнительные параметрыLog Analytics> выберите Данные. В журналы событий Windows добавьте журналы для получения:

    Microsoft-Windows-EDP-Application-Learning/Admin
Microsoft-Windows-EDP-Audit-TCB/Admin

    Примечание.

    При использовании журналов событий Windows имена журналов событий можно найти в разделе Свойства события в папке События (Журналы приложений и служб\Microsoft\Windows, щелкните EDP-Audit-Regular и EDP-Audit-TCB).

  3. Скачайте Microsoft Monitoring Agent.

  4. Чтобы получить MSI для установки Intune, как описано в статье Azure Monitor, извлеките:MMASetup-.exe /c /t:

    Установите Microsoft Monitoring Agent на устройства WIP с помощью идентификатора рабочей области и первичного ключа. Дополнительные сведения об идентификаторе рабочей области и первичном ключе см. в разделеДополнительные параметрыLog Analytics>.

  5. Чтобы развернуть MSI с помощью Intune, в параметрах установки добавьте:/q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1

    Примечание.

    Замените <WORKSPACE_ID> & <WORKSPACE_KEY> , полученные на шаге 5. В параметрах установки не помещайте <WORKSPACE_ID> & <WORKSPACE_KEY> в кавычки ("" или "".

  6. После развертывания агента данные будут получены примерно через 10 минут.

  7. Чтобы найти журналы, перейдите в разделЖурналырабочей области> Log Analytics и введите Событие в поиске.

    Примере

    Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"

Дополнительные ресурсы