Protokolování a analýza využití ochrany ze služby Azure Information Protection
Poznámka:
Hledáte Microsoft Purview Information Protection, dříve Microsoft Information Protection (MIP)?
Doplněk Azure Information Protection se vyřadí a nahradí popisky, které jsou integrované v aplikacích a službách Microsoftu 365. Přečtěte si další informace o stavu podpory dalších komponent služby Azure Information Protection.
Klient Microsoft Purview Information Protection (bez doplňku) je obecně dostupný.
Pomocí těchto informací lépe pochopíte možnosti použití protokolování využití ochranné služby (Azure Rights Management) z Azure Information Protection. Tato služba ochrany poskytuje ochranu dat pro dokumenty a e-maily vaší organizace a dokáže zaznamenávat všechny požadavky. Mezi tyto požadavky patří, když uživatelé chrání dokumenty a e-maily a také využívají tento obsah, akce prováděné správci pro tuto službu a akce prováděné operátory Microsoftu za účelem podpory nasazení služby Azure Information Protection.
Tyto protokoly využití ochrany pak můžete použít k podpoře následujících obchodních scénářů:
Analýza obchodních přehledů
Protokoly vygenerované službou ochrany je možné importovat do libovolného úložiště (například do databáze, systému OLAP (online analytického zpracování) nebo systému pro redukci mapy) a analyzovat informace a vytvářet sestavy. Můžete například určit, kdo přistupuje k vašim chráněným datům. Můžete určit, k jakým chráněným datům uživatelé přistupují a z jakých zařízení a odkud. Zjistíte, jestli lidé můžou úspěšně číst chráněný obsah. Můžete také určit, kteří lidé si přečetli důležitý dokument, který byl chráněn.
Monitorování zneužití
Protokolování informací o použití ochrany je dostupné téměř v reálném čase, takže můžete nepřetržitě monitorovat používání služby ochrany vaší společnosti. 99,9 % protokolů je k dispozici do 15 minut od zahájené akce pro službu.
Můžete být například upozorněni, pokud dojde k náhlému zvýšení počtu lidí, kteří čtou chráněná data mimo standardní pracovní dobu, což může znamenat, že škodlivý uživatel shromažďuje informace pro prodej konkurentům. Nebo pokud stejný uživatel zřejmě přistupuje k datům ze dvou různých IP adres během krátkého časového rámce, což může znamenat, že došlo k ohrožení uživatelského účtu.
Provedení forenzní analýzy
Pokud dojde k úniku informací, pravděpodobně budete požádáni, kdo nedávno přistupoval ke konkrétním dokumentům a jaké informace udělal podezřelý přístup k osobě nedávno. Na tyto typy otázek můžete odpovědět při použití tohoto protokolování, protože uživatelé, kteří používají chráněný obsah, musí vždy získat licenci Rights Management k otevírání dokumentů a obrázků chráněných službou Azure Information Protection, a to i v případě, že jsou tyto soubory přesunuty e-mailem nebo zkopírovány do jednotek USB nebo jiných úložných zařízení. To znamená, že tyto protokoly můžete použít jako konečný zdroj informací pro forenzní analýzu při ochraně dat pomocí služby Azure Information Protection.
Kromě tohoto protokolování využití máte také následující možnosti protokolování:
Možnost protokolování | Popis |
---|---|
protokol Správa | Zaznamenává úlohy správy pro službu ochrany. Pokud je například služba deaktivována, když je povolená funkce superuživatele a když jsou uživatelé delegovaní oprávnění správce ke službě. Další informace najdete v rutině PowerShellu Get-AipService Správa Log. |
Sledování dokumentů | Umožňuje uživatelům sledovat a odvolat dokumenty, které sledovali pomocí klienta služby Azure Information Protection. Globální správci můžou tyto dokumenty sledovat také jménem uživatelů. Další informace najdete v tématu Konfigurace a používání sledování dokumentů pro Azure Information Protection. |
Protokoly událostí klienta | Aktivita využití pro klienta Služby Azure Information Protection, přihlášená do místního protokolu událostí aplikací a služeb systému Windows, Azure Information Protection. Další informace najdete v tématu Protokolování využití pro klienta služby Azure Information Protection. |
Soubory protokolu klienta | Řešení potíží s protokoly klienta služby Azure Information Protection umístěným v %localappdata%\Microsoft\MSIP Tyto soubory jsou navržené pro podpora Microsoftu. |
Kromě toho se shromažďují a agregují informace z protokolů využití klienta služby Azure Information Protection a skeneru Azure Information Protection za účelem vytváření sestav na webu Azure Portal. Další informace najdete v tématu Vytváření sestav pro Azure Information Protection.
Další informace o protokolování využití pro službu ochrany najdete v následujících částech.
Povolení protokolování pro využití ochrany
Protokolování využití ochrany je ve výchozím nastavení povolené pro všechny zákazníky.
Za úložiště protokolů ani pro funkci protokolování nejsou žádné další poplatky.
Přístup k protokolům využití ochrany a jejich používání
Azure Information Protection zapisuje protokoly jako řadu objektů blob do účtu úložiště Azure, který automaticky vytvoří pro vašeho tenanta. Každý objekt blob obsahuje jeden nebo více záznamů protokolu ve formátu rozšířeného protokolu W3C. Názvy objektů blob jsou čísla v pořadí, v jakém byly vytvořeny. Část Protokoly použití služby Azure Rights Management interpretuje dále v tomto dokumentu obsahuje další informace o obsahu protokolu a jejich vytvoření.
Může chvíli trvat, než se protokoly zobrazí v účtu úložiště po akci ochrany. Většina protokolů se zobrazuje během 15 minut. Protokoly použití jsou k dispozici pouze v případech, kdy název pole "date" obsahuje hodnotu předchozího data (v čase UTC). Protokoly využití z aktuálního data nejsou k dispozici. Doporučujeme stáhnout protokoly do místního úložiště, jako je místní složka, databáze nebo úložiště pro redukci mapování.
Ke stažení protokolů využití použijete modul AIPService PowerShell pro Azure Information Protection. Pokyny k instalaci najdete v tématu Instalace modulu AIPService PowerShell.
Stažení protokolů využití pomocí PowerShellu
Spusťte Windows PowerShell s možností Spustit jako správce a pomocí rutiny Připojení-AipService se připojte ke službě Azure Information Protection:
Connect-AipService
Spuštěním následujícího příkazu stáhněte protokoly pro konkrétní datum:
Get-AipServiceUserLog -Path <location> -fordate <date>
Například po vytvoření složky s názvem Protokoly na jednotce E:
Pokud chcete stáhnout protokoly pro konkrétní datum (například 1. 2. 2016), spusťte následující příkaz:
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016
Pokud chcete stáhnout protokoly pro rozsah kalendářních dat (například od 1. 2. 2016 do 14. 2. 2016), spusťte následující příkaz:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016
Když zadáte pouze den, například v našich příkladech, předpokládá se, že čas bude v místním čase 00:00:00 a pak se převede na UTC. Když zadáte čas s parametry -fromdate nebo -todate (například -fordate "2/1/2016 15:00:00"), toto datum a čas se převede na UTC. Příkaz Get-AipServiceUserLog pak získá protokoly pro dané časové období UTC.
Nelze zadat méně než celý den ke stažení.
Ve výchozím nastavení tato rutina ke stažení protokolů používá tři vlákna. Pokud máte dostatečnou šířku pásma sítě a chcete zkrátit čas potřebný ke stažení protokolů, použijte parametr -NumberOfThreads, který podporuje hodnotu od 1 do 32. Pokud například spustíte následující příkaz, rutina vytvoří 10 vláken pro stažení protokolů: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10
Tip
Všechny stažené soubory protokolu můžete agregovat do formátu CSV pomocí nástroje Log Parser od Microsoftu, což je nástroj pro převod mezi různými známými formáty protokolů. Pomocí tohoto nástroje můžete také převést data do formátu SYSLOG nebo je importovat do databáze. Jakmile nástroj nainstalujete, spusťte LogParser.exe /?
nápovědu a informace, které tento nástroj použijí.
Spuštěním následujícího příkazu můžete například importovat všechny informace do formátu .log souboru: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
Jak interpretovat protokoly využití
Následující informace vám pomůžou interpretovat protokoly využití ochrany.
Posloupnost protokolů
Azure Information Protection zapisuje protokoly jako řadu objektů blob.
Každá položka v protokolu má časové razítko UTC. Vzhledem k tomu, že služba ochrany běží na více serverech v několika datových centrech, někdy se může zdát, že protokoly nejsou sekvencované, i když jsou seřazené podle časového razítka. Rozdíl je však malý a obvykle do minuty. Ve většiněpřípadůch
Formát objektu blob
Každý objekt blob je ve formátu rozšířeného protokolu W3C. Začíná následujícími dvěma řádky:
#Software: RMS
#Version: 1.1
První řádek identifikuje, že se jedná o protokoly ochrany ze služby Azure Information Protection. Druhý řádek identifikuje, že zbytek objektu blob se řídí specifikací verze 1.1. Než budete pokračovat v analýze zbytku objektu blob, doporučujeme, aby všechny aplikace, které tyto protokoly parsují, ověřily tyto dva řádky.
Třetí řádek vypíše seznam názvů polí oddělených tabulátory:
#Fields: Datum a čas, řádek id požadavku typu user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user
Každý z následujících řádků je záznam protokolu. Hodnoty polí jsou ve stejném pořadí jako předchozí řádek a jsou oddělené tabulátory. K interpretaci polí použijte následující tabulku.
Název pole | Datový typ W3C | Popis | Příklad hodnoty |
---|---|---|---|
Datum | Datum | Datum UTC, kdy se žádost obsloužila. Zdrojem jsou místní hodiny na serveru, který požadavek obsluhoval. |
2013-06-25 |
Čas | Čas | Čas UTC ve 24hodinovém formátu, kdy se žádost obsloužila. Zdrojem jsou místní hodiny na serveru, který požadavek obsluhoval. |
21:59:28 |
ID řádku | Text | Jedinečný identifikátor GUID pro tento záznam protokolu. Pokud hodnota není k dispozici, identifikujte položku pomocí hodnoty ID korelace. Tato hodnota je užitečná při agregaci protokolů nebo kopírování protokolů do jiného formátu. |
1c3fe7a9-d9e0-4654-97b7-14fa72ea63 |
typ požadavku | Název | Název požadovaného rozhraní API služby RMS | AcquireLicense |
ID uživatele | String | Uživatel, který žádost provedl. Hodnota je uzavřena v jednoduchých uvozovkách. Volání z klíče tenanta spravovaného vámi (BYOK) mají hodnotu ", která platí také v případě, že typy požadavků jsou anonymní. |
'joe@contoso.com' |
Výsledek | String | "Úspěch", pokud se žádost úspěšně obsloužila. Typ chyby v jednoduchých uvozovkách, pokud požadavek selhal. |
Úspěch |
ID korelace | Text | Identifikátor GUID, který je společný mezi protokolem klienta SLUŽBY RMS a protokolem serveru pro danou žádost. Tato hodnota může být užitečná při řešení potíží s klienty. |
cab52088-8925-4371-be34-4b71a3112356 |
content-id | Text | IDENTIFIKÁTOR GUID uzavřený ve složených závorkách, které identifikují chráněný obsah (například dokument). Toto pole má hodnotu pouze v případě, že typ požadavku je AcquireLicense a je prázdný pro všechny ostatní typy požadavků. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
vlastník-e-mail | String | E-mailová adresa vlastníka dokumentu Toto pole je prázdné, pokud je typ požadavku RevokeAccess. |
alice@contoso.com |
Emitenta | String | E-mailová adresa vystavitele dokumentu Toto pole je prázdné, pokud je typ požadavku RevokeAccess. |
alice@contoso.com (nebo) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com" |
template-id | String | ID šablony použité k ochraně dokumentu Toto pole je prázdné, pokud je typ požadavku RevokeAccess. |
{6d9371a6-4e2d-4e97-9a38-2022333fed26e} |
název souboru | String | Název souboru chráněného dokumentu, který je sledován pomocí klienta služby Azure Information Protection pro Windows. Některé soubory (například dokumenty Office) se v současné době zobrazují jako identifikátory GUID, nikoli jako skutečný název souboru. Toto pole je prázdné, pokud je typ požadavku RevokeAccess. |
TopSecretDocument.docx |
datum publikování | Datum | Datum, kdy byl dokument chráněn. Toto pole je prázdné, pokud je typ požadavku RevokeAccess. |
2015-10-15T21:37:00 |
c-info | String | Informace o klientské platformě, která žádost provádí. Konkrétní řetězec se liší v závislosti na aplikaci (například operační systém nebo prohlížeč). |
MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64' |
c-ip | Adresa | IP adresa klienta, který požadavek provede. | 64.51.202.144 |
akce správce | Bool | Zda správce získal přístup k webu pro sledování dokumentů v režimu Správa istrator. | True |
acting-as-user | String | E-mailová adresa uživatele, pro kterého správce přistupuje k webu pro sledování dokumentů. | 'joe@contoso.com' |
Výjimky pro pole ID uživatele
I když pole ID uživatele obvykle označuje uživatele, který požadavek provedl, existují dvě výjimky, kdy se hodnota nemapuje na skutečného uživatele:
Hodnota 'microsoftrmsonline@<YourTenantID.rms>.<region.aadrm.com>'.
To znamená, že žádost provádí služba Office 365, jako je Exchange Online nebo Microsoft SharePoint. V řetězci je YourTenantID> identifikátor GUID vašeho tenanta a <oblast je oblast>, <ve které je váš tenant zaregistrovaný. Například na představuje Severní Amerika, eu představuje Evropu a ap představuje Asii.
Pokud používáte rms Connector.
Požadavky z tohoto konektoru se protokolují s hlavním názvem služby Aadrm_S-1-7-0, který se automaticky vygeneruje při instalaci služby RMS Connector.
Typické typy požadavků
Pro službu ochrany existuje mnoho typů požadavků, ale následující tabulka uvádí některé z nejčastěji používaných typů požadavků.
Typ žádosti | Popis |
---|---|
AcquireLicense | Klient z počítače s Windows požaduje licenci na chráněný obsah. |
AcquirePreLicense | Klient jménem uživatele žádá o licenci na chráněný obsah. |
AcquireTemplates | Bylo provedeno volání k získání šablon na základě ID šablon |
AcquireTemplateInformation | Bylo provedeno volání pro získání ID šablony ze služby. |
AddTemplate | Volání se provádí z webu Azure Portal pro přidání šablony. |
AllDocsCsv | Z webu pro sledování dokumentů se volá volání ke stažení souboru CSV ze stránky Všechny dokumenty . |
BECreateEndUserLicenseV1 | Volání se provádí z mobilního zařízení za účelem vytvoření licence koncového uživatele. |
BEGetAllTemplatesV1 | Volání se provádí z mobilního zařízení (back-end) a získá všechny šablony. |
Potvrzuji | Klient certifikuje uživatele za použití a vytvoření chráněného obsahu. |
FECreateEndUserLicenseV1 | Podobá se žádosti AcquireLicense, ale z mobilních zařízení. |
FECreatePublishingLicenseV1 | Totéž jako certifikace a GetClientLicensorCert zkombinované z mobilních klientů. |
FEGetAllTemplates | Z mobilního zařízení (front-endu) se volá, aby se šablony získaly. |
FindServiceLocationsForUser | Volá se dotaz na adresy URL, které se používají k volání Certifikace nebo AcquireLicense. |
GetClientLicensorCert | Klient požaduje certifikát publikování (který se později používá k ochraně obsahu) z počítače se systémem Windows. |
GetConfiguration | Volá se rutina Azure PowerShellu pro získání konfigurace tenanta Azure RMS. |
Získat Připojení orAuthorizations | Volání se provádí z konektorů RMS, aby získaly konfiguraci z cloudu. |
GetRecipients | Volání se provádí z webu pro sledování dokumentů a přejde do zobrazení seznamu pro jeden dokument. |
GetTenantFunctionalState | Azure Portal kontroluje, jestli je aktivovaná služba ochrany (Azure Rights Management). |
KeyVaultDecryptRequest | Klient se pokouší dešifrovat obsah chráněný službou RMS. Platí jenom pro klíč tenanta spravovaný zákazníkem (BYOK) ve službě Azure Key Vault. |
KeyVaultGetKeyInfoRequest | Provede se volání, které ověří, že klíč zadaný pro použití ve službě Azure Key Vault pro klíč tenanta Azure Information Protection je přístupný a ještě se nepoužívá. |
KeyVaultSignDigest | Volání se provede, když se ke podepisování použije klíč spravovaný zákazníkem (BYOK) ve službě Azure Key Vault. Tato funkce se obvykle volá jednou za AcquireLicence (nebo FECreateEndUserLicenseV1), certifikovat a GetClientLicensorCert (nebo FECreatePublishingLicenseV1). |
Služba správy klíčů PDecrypt | Klient se pokouší dešifrovat obsah chráněný službou RMS. Platí jenom pro starší klíč tenanta spravovaného zákazníkem (BYOK). |
Služba správy klíčů PSignDigest | Volání se provede, když se pro podpisové účely použije starší klíč spravovaný zákazníkem (BYOK). Tato funkce se obvykle volá jednou za AcquireLicence (nebo FECreateEndUserLicenseV1), certifikovat a GetClientLicensorCert (nebo FECreatePublishingLicenseV1). |
ServerCertify | Volání se provádí z klienta s podporou RMS (například Ze SharePointu), který server certifikuje. |
SetUsageLogFeatureState | K povolení protokolování využití se provede volání. |
SetUsageLogStorageAccount | Zavolá se k určení umístění protokolů služby Azure Rights Management. |
UpdateTemplate | Z webu Azure Portal se provede volání pro aktualizaci existující šablony. |
Protokoly využití ochrany a jednotný protokol auditu Microsoftu 365
Události přístupu k souborům a odepření v současné době nezahrnují název souboru a nejsou přístupné v sjednoceném protokolu auditu Microsoftu 365. Tyto události budou rozšířeny tak, aby byly samostatné užitečné a přidané ze služby Rights Management později.
Referenční informace prostředí
Jedinou rutinou PowerShellu, kterou potřebujete pro přístup k protokolování využití ochrany, je Get-AipServiceUserLog.
Další informace o používání PowerShellu pro Azure Information Protection najdete v tématu Správa stering ochrany ze služby Azure Information Protection pomocí PowerShellu.