Azure 資訊保護 (公開預覽版的分析與集中報告)

注意

您正在尋找 Microsoft 資訊保護嗎? Azure 資訊保護統一標籤用戶端目前處於維護模式。 建議您為 Office 365 應用程式啟用 Microsoft 資訊保護的內建標籤。 深入了解

2022 年 3 月 18日起,我們終止了 AIP 稽核記錄和分析,其完整淘汰日期為 2022 年 9 月 30 日。 如需詳細資訊,請參閱已移除和已淘汰的服務

本文說明如何使用 Azure 資訊保護 (AIP) 分析進行集中報告,以協助您追蹤分類和保護組織資料的標籤採用。

AIP 分析也可讓您執行下列步驟:

  • 監視您組織中加上標籤並受到保護的文件和電子郵件

  • 識別您組織中含有敏感性資訊的文件

  • 監視使用者對加上標籤之文件與電子郵件的存取,並追蹤文件分類變更。

  • 識別包含敏感性資訊的文件,這些資訊可能會讓您的組織在未受保護時蒙受風險,另外也藉由遵循建議來降低風險。

  • 識別內部或外部使用者從Windows電腦存取受保護的檔,以及是否授與或拒絕存取權。

您看到的資料會從您的 Azure 資訊保護用戶端和掃描器、從Microsoft Defender for Cloud Apps,以及保護使用量記錄匯總。 報表會使用 Azure 監視器在您組織擁有的 Log Analytics 工作區中儲存資料。

適用于中央報告的 Azure 資訊保護分析目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

AIP 報告資料

例如,中央報告的 Azure 資訊保護分析會顯示下列資料:

報告 顯示的範例資料
使用方式報告 選取時間週期以顯示下列任一項:

- 正在套用哪些標籤

- 標籤的檔和電子郵件數目

- 要保護的檔和電子郵件數目

- 有多少使用者和有多少裝置為檔和電子郵件加上標籤

- 哪些應用程式正用於標記
活動記錄 選取時間週期以顯示下列任一項:

- 掃描器先前探索到的檔案已從掃描的存放庫中刪除

- 特定使用者執行了哪些標籤動作

- 從特定裝置執行了哪些標籤動作

- 哪些使用者已存取特定標籤的檔

- 針對特定檔案路徑執行了哪些標籤動作

- 特定應用程式執行了哪些標籤動作,例如檔案總管並按一下滑鼠右鍵、PowerShell、掃描器或Microsoft Defender for Cloud Apps

- 使用者成功存取哪些受保護的檔,或拒絕使用者存取,即使這些使用者未安裝 Azure 資訊保護用戶端或位於組織外部也一樣

- 向下切入至報告檔案,以檢視 活動詳細 資料以取得其他資訊
資料探索報告 - 掃描的資料存放庫、Windows 10電腦或執行 Azure 資訊保護用戶端的電腦上有哪些檔案

- 哪些檔案會加上標籤和保護,以及依標籤的檔案位置

- 哪些檔案包含已知類別的敏感性資訊,例如財務資料和個人資訊,以及這些類別的檔案位置
建議報表 - 識別未受保護的檔案,其中包含已知的敏感性資訊類型。 建議可讓您立即針對其中一個標籤來設定對應的條件,以套用自動或建議標籤。
如果您遵循建議
:下次由使用者開啟檔案或由 Azure 資訊保護掃描器掃描時,可以自動分類及保護檔案。

- 哪些資料存放庫具有已識別敏感性資訊的檔案,但 Azure 資訊保護不會掃描。 建議可讓您立即將已識別的資料存放區新增至其中一個掃描器設定檔。
如果您遵循建議:在下一個掃描器週期中,檔案可以自動分類及保護。

如果您熟悉 Log Analytics 查詢語言,您可以修改查詢,並建立新的報表和Power BI儀表板。 您可能會發現下列教學課程有助於瞭解查詢語言:使用 Azure 監視器記錄查詢開始

AIP 稽核記錄最多可能需要 24 小時才會出現在 Log Analytics 工作區中。

如需詳細資訊,請參閱使用 Microsoft 資訊保護 來探索、報告和分析所有資料

收集並傳送至 Log Analytics 的資訊

為了產生這些報告,端點會將下列資訊類型傳送給客戶的 Log Analytics:

  • 標籤動作。 例如,設定標籤、變更標籤、新增或移除保護、自動與建議的標籤。

  • 標籤動作前後的標籤名稱。

  • 組織的租用戶識別碼。

  • 使用者識別碼 (電子郵件地址或 UPN)。

  • 使用者裝置的名稱。

  • 使用者裝置的 IP 位址。

  • 相關的程式名稱,例如 outlookmsip.app

  • 執行標籤的應用程式名稱,例如Outlook檔案總管

  • 適用於文件:加上標籤的文件檔案路徑與檔案名稱。

  • 針對電子郵件:已標記之電子郵件的電子郵件主旨和電子郵件寄件者。

  • 在內容中偵測到的敏感性資訊類型 (預先定義與自訂)。

  • Azure 資訊保護用戶端版本。

  • 用戶端作業系統版本。

此資訊存放在您的組織所擁有的 Azure Log Analytics 工作區中,而且可由具有此工作區存取權的使用者與 Azure 資訊保護分開檢視。

如需詳細資訊,請參閱:

防止 AIP 用戶端傳送稽核資料

若要防止 Azure 資訊保護統一標籤用戶端傳送稽核資料,請設定卷標原則進階設定

用於深入分析的內容相符項目

Azure 資訊保護可讓您收集並儲存識別為敏感性資訊類型的實際資料, (預先定義或自訂) 。 例如,這可能包含找到的信用卡號碼、社會安全號碼、護照號碼,以及銀行帳戶號碼。 當您從 [活動記錄] 中選取專案,並檢視 [活動詳細資料] 時,會顯示內容相符專案。

根據預設,Azure 資訊保護用戶端不會傳送內容相符專案。 若要變更此行為,以便傳送內容相符專案,請在標籤原則中設定 進階設定

先決條件

若要檢視 Azure 資訊保護報表並自行建立,請確定下列需求已備妥。

需求 詳細資料
Azure 訂用帳戶 您的 Azure 訂用帳戶必須在與 Azure 資訊保護相同的租使用者中包含 Log Analytics。

如需詳細資訊,請參閱 Azure 監視器定價 頁面。

如果您沒有 Azure 訂用帳戶,或您目前未使用 Azure Log Analytics,定價頁面會包含免費試用版的連結。
稽核記錄 URL 網路連線能力 AIP 必須能夠存取下列 URL,才能支援 AIP 稽核記錄:
- https://*.events.data.microsoft.com
- https://*.aria.microsoft.com僅) (Android裝置資料
Azure 資訊保護用戶端 用於從用戶端報告。

如果您尚未安裝用戶端,您可以從 Microsoft 下載中心下載並安裝統一標籤用戶端。
Azure 資訊保護內部部署掃描器 用於從內部部署資料存放區報告。

如需詳細資訊,請參閱部署 Azure 資訊保護掃描器以自動分類和保護檔案
Microsoft Defender for Cloud Apps 用於從雲端式資料存放區報告。

如需詳細資訊,請參閱 適用於雲端的 Defender Apps 檔中的Azure 資訊保護整合

Azure 資訊保護分析所需的權限

特別針對 Azure 資訊保護分析 (在設定 Azure Log Analytics 工作區之後),您可以使用 Azure AD 的「安全性讀取者」系統管理員角色做為 Azure 入口網站中,支援管理 Azure 資訊保護的其他 Azure AD 角色的替代角色。 只有當租使用者不在 統一標籤平臺上時,才支援這個額外的角色。

因為 Azure 資訊保護分析使用 Azure 監視,所以 Azure 的角色型存取控制 (RBAC) 也會控制您工作區的存取權。 因此您需要 Azure 角色和 Azure AD 系統管理員角色來管理 Azure 資訊保護分析。 若您還不是很熟悉 Azure 角色,建議您閱讀 Azure RBAC 角色與 Azure AD 系統管理員角色之間的差異

如需詳細資訊,請參閱

必要的 Azure AD 系統管理員角色

您必須具備下列其中一個Azure AD 系統管理員角色,才能存取 [Azure 資訊保護分析] 窗格:

  • 若要建立 Log Analytics 工作區或建立自訂查詢:

    • Azure 資訊保護系統管理員
    • 安全性系統管理員
    • 合規性管理員
    • 合規性資料管理員
    • 全域管理員
  • 建立工作區之後,您就可以使用具有較少許可權的下列角色來檢視收集的資料:

    • 安全性讀取者
    • 全域讀取者

必要的 Azure Log Analytics 角色

您必須具備下列其中一個 Azure Log Analytics 角色 或標準 Azure 角色 ,才能存取您的 Azure Log Analytics 工作區:

  • 若要建立工作區或建立自訂查詢,必須具備下列其中一個角色:

    • Log Analytics 參與者
    • 參與者
    • 擁有者
  • 在建立工作區之後,可以使用下列具備較少權限的其中一個角色檢視收集的資料:

    • Log Analytics 讀者
    • 讀取者

檢視報告的最低權限角色

針對 Azure 資訊保護分析設定好工作區之後,最少需具備下列兩個角色才能檢視分析報表:

  • Azure AD 系統管理員角色: 安全性讀取者
  • Azure 角色: Log Analytics 讀者

不過,許多組織的典型角色指派是 Azure AD 角色為安全性讀取者,Azure 角色為讀取者

儲存體需求和資料保留

每個租用戶收集和儲存在 Azure 資訊保護工作區的資料量將會有很大的差異,這取決於很多因素,包括:您所擁有的 Azure 資訊保護用戶端數目及其他支援端點數目、是否正在收集端點探索資料、是否已部署掃描器、已存取的受保護文件數目等。

不過,作為起點,您可能會發現下列估計值很有用:

  • 僅適用于 Azure 資訊保護用戶端所產生的稽核資料:每月每 10,000 位作用中使用者 2 GB。

  • 針對 Azure 資訊保護用戶端所產生的稽核資料,以及掃描器:每月每 10,000 位作用中使用者 20 GB。

如果您使用強制標籤,或已為大部分使用者設定預設標籤,您的費率可能會大幅提高。

Azure 監視器記錄具有 使用量和估計成本 功能,可協助您預估和檢閱儲存的資料量,也可以控制 Log Analytics 工作區的資料保留期間。 如需詳細資訊,請參閱 使用 Azure 監視器記錄管理使用量和成本

設定報表的 Log Analytics 工作區

  1. 若您尚未這樣做,請開啟新的瀏覽器視窗並使用具有 Azure 資訊保護分析必要權限的帳戶登入 Azure 入口網站。 然後瀏覽至 [Azure 資訊保護] 窗格。

    例如,在資源、服務及文件的搜尋方塊中:開始輸入資訊,然後選取 [Azure 資訊保護]。

  2. 尋找 [管理] 功能表選項,然後選取 [設定分析 (預覽)]

  3. [Azure 資訊保護記錄分析] 窗格中,您會看到租使用者所擁有的任何 Log Analytics 工作區清單。 執行下列其中一個動作:

    • 若要建立新的 Log Analytics 工作區:選取 [ 建立新工作區],然後在 [ Log Analytics 工作區 ] 窗格中提供要求的資訊。

    • 若要使用現有的 Log Analytics 工作區:從清單中選取工作區。

    如果您需要建立 Log Analytics 工作區的說明,請參閱在 Azure 入口網站中建立 Log Analytics 工作區

    如需此設定的詳細資訊,請參閱此頁面上 的內容相符專案以取得更深入的分析 一節。

  4. 選取 [確定]。

您現在已準備好檢視報表。

檢視 AIP 分析報告

從 [Azure 資訊保護] 窗格中,找出 [儀表板]功能表選項,然後選取下列其中一個選項:

Report 描述
(Preview) 使用量報告 使用此報表可查看您的標籤使用情形。
(Preview) 的活動記錄 使用此報表可查看來自使用者、裝置和檔案路徑上的標籤動作。 此外,針對受保護的檔,即使他們未安裝 Azure 資訊保護用戶端,您還是可以看到存取嘗試 (成功或拒絕) 。

此報告有 [資料行] 選項,可讓您顯示比預設顯示更多的活動資訊。 您也可以選取某個檔案以顯示 [活動詳細資料],藉此查看該檔案的更多詳細資料。
資料探索 (Preview) 使用此報表可查看掃描器或支援之端點所發現加上標籤檔案的相關資訊。

提示:從收集的資訊中,您可能會發現使用者從您不知道或目前未掃描的位置存取包含敏感性資訊的檔案:

- 如果位置是內部部署,請考慮將位置新增為 Azure 資訊保護掃描器的其他資料存放庫。
- 如果位置位於雲端,請考慮使用Microsoft Defender for Cloud Apps來管理這些位置。
建議 (Preview) 使用此報表來識別具有敏感性資訊的檔案,並遵循建議來降低風險。

當您選取項目時,[檢視資料] 選項會顯示觸發建議的稽核活動。

修改 AIP 分析報告並建立自訂查詢

選取儀表板中的查詢圖示以開啟 [記錄搜尋 ] 窗格:

Log Analytics icon to customize Azure Information Protection reports

「Azure 資訊保護」的記錄資料會儲存在下列資料表中:InformationProtectionLogs_CL

當您建立自己的查詢時,請使用已實作為 InformationProtectionEvents 函式的易記結構描述名稱。 這些函式衍生自自訂查詢支援的屬性 (有些屬性僅供內部使用),而且其名稱經過一段時間後也不會改變,即使用於改進功能和新功能的基礎屬性變更也一樣。

事件函式的易記結構描述參考

使用下表識別您可以搭配 Azure 資訊保護分析,用於自訂查詢之事件函式的易記名稱。

資料行名稱 描述
Time 事件時間:格式為 YYYY-MM-DDTHH:MM:SS 的 UTC
使用者 使用者:格式化 UPN 或 DOMAIN\USER
ItemPath 完整專案路徑或電子郵件主旨
ItemName 檔案名或電子郵件主旨
方法 標籤指派的方法:手動、自動、建議、預設或強制
活動 稽核活動:DowngradeLabel、UpgradeLabel、RemoveLabel、NewLabel、Discover、Access、RemoveCustomProtection、ChangeCustomProtection、NewCustomProtection 或 FileRemoved
ResultStatus 動作的結果狀態:

AIP 掃描器僅回報成功或失敗 ()
ErrorMessage_s 包含 ResultStatus=Failed 的錯誤訊息詳細資料。 僅限 AIP 掃描器回報
LabelName 標籤名稱 (未當地語系化)
LabelNameBefore 變更前的標籤名稱 (未當地語系化)
ProtectionType 保護類型 [JSON]
{
"Type": ["Template", "Custom", "DoNotForward"],
  「TemplateID」: 「GUID」
 }
ProtectionBefore 變更之前的保護類型 [JSON]
MachineName FQDN 可用時;否則為主機名
平台 裝置平臺 (Win、OSX、Android、iOS)
ApplicationName 應用程式易記名稱
AIPVersion 執行稽核動作的 Azure 資訊保護用戶端版本
TenantId Azure AD 租用戶識別碼
AzureApplicationId Azure AD 註冊的應用程式識別碼 (GUID)
ProcessName 裝載 MIP SDK 的程式
LabelId 標籤 GUID 或 Null
IsProtected 是否受保護:是/否
ProtectionOwner RIGHTS MANAGEMENT UPN 格式的擁有者
LabelIdBefore 變更前的標籤 GUID 或 Null
InformationTypesAbove55 在信賴等級為 55 或更新版本的資料中找到 的 SensitiveInformation JSON 陣列
InformationTypesAbove65 在信賴等級為 65 或更新版本的資料中找到 的 SensitiveInformation JSON 陣列
InformationTypesAbove75 在信賴等級為 75 或更新版本的資料中找到 的 SensitiveInformation JSON 陣列
InformationTypesAbove85 在信賴等級為 85 或更新版本的資料中找到 的 SensitiveInformation JSON 陣列
InformationTypesAbove95 在信賴等級為 95 或更新版本的資料中找到 的 SensitiveInformation JSON 陣列
DiscoveredInformationTypes 在資料中找到 的 SensitiveInformation JSON 陣列及其相符的內容 (如果已啟用) ,其中空陣列表示找不到任何資訊類型,null 表示沒有可用的資訊
ProtectedBefore 內容是否在變更前受到保護:是/否
ProtectionOwnerBefore 變更前Rights Management擁有者
UserJustification 降級或移除標籤時的理由
LastModifiedBy 上次修改檔案的使用者格式為 UPN。 僅適用于Office和SharePoint
LastModifiedDate 格式為 YYYY-MM-DDTHH:MM:SS 的 UTC:僅適用于Office和SharePoint

使用 InformationProtectionEvents 的範例

使用下列範例了解如何使用易記的結構描述建立自訂查詢。

範例 1:傳回過去 31 天內傳送稽核資料的所有使用者
InformationProtectionEvents 
| where Time > ago(31d) 
| distinct User 
範例 2:傳回過去 31 天內每天降級的標籤數目
InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| summarize Label_Downgrades_per_Day = count(Activity) by bin(Time, 1d) 
 
範例 3:傳回過去 31 天內從機密降級的標籤數目

InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| where LabelNameBefore contains "Confidential" and LabelName !contains "Confidential"  
| summarize Label_Downgrades_by_User = count(Activity) by User | sort by Label_Downgrades_by_User desc 

在此範例中,只有在動作之前的標籤名稱中含有 Confidential 名稱時,以及動作之後的名稱中不含 Confidential 的名稱時,才會計算降級的標籤。

後續步驟

檢閱報表中的資訊之後,如果您使用 Azure 資訊保護用戶端,您可能會決定變更Microsoft 365 合規性中心中的標籤原則。 如需詳細資訊,請參閱 Microsoft 365 文件

AIP 稽核記錄也會傳送至Microsoft 365活動總管,其中可能會以不同的名稱顯示。 如需詳細資訊,請參閱