Analýzy a centrální vytváření sestav pro Azure Information Protection
Poznámka:
Hledáte Microsoft Information Protection? Klient sjednoceného popisování služby Azure Information Protection je aktuálně v režimu údržby. Doporučujeme povolit integrované popisování Microsoft Information Protection pro vaše aplikace Office 365. Další informace.
Tento článek popisuje, jak používat řešení auditování z Microsoft Purview k zobrazení událostí auditu vygenerovaných z klienta sjednoceného popisování služby Azure Information Protection. Události auditu generované do sjednoceného protokolu auditu Microsoftu 365 pro centrální generování sestav se dají zobrazit v Průzkumníku aktivit, což vám může pomoct sledovat přijetí popisků, které klasifikují a chrání data vaší organizace.
Audit umožňuje provést následující kroky:
- Agregujte data z klientů služby Azure Information Protection, skenerů Azure Information Protection a Microsoft Defenderu for Cloud Apps.
- Podívejte se na události auditu v jednotném protokolu auditu Microsoftu 365 a protokolu aktivit Office 365 pro vaši organizaci.
- Dotazování, zobrazení a zjišťování událostí auditu v Průzkumníku aktivit pomocí grafického rozhraní na portálu pro dodržování předpisů
Auditování událostí z sjednoceného protokolu auditu Microsoftu 365
Klient sjednoceného popisování AIP obsahuje doplněk pro Office, skener, Prohlížeč pro Windows, klientský PowerShell a rozšíření Klasifikovat a chránit prostředí pro Windows. Všechny tyto komponenty generují události auditu, které se zobrazují v protokolech aktivit Office 365 a dají se dotazovat pomocí rozhraní API aktivit správy Office 365.
Události auditu umožňují správci:
- Monitorujte dokumenty a e-maily s popisky a chráněnými e-maily v celé organizaci.
- Monitorujte přístup uživatelů k označeným dokumentům a e-mailům a sledujte změny klasifikace dokumentů.
Schéma událostí protokolu auditování v Microsoftu 365
Pět událostí (označovaných také jako AuditLogRecordType) specifické pro AIP uvedené níže a další podrobnosti o jednotlivých událostech najdete v referenčních informacích k rozhraní API.
| Hodnota | Název členu | Popis |
|---|---|---|
| 93 | AipDiscover | Události skeneru Azure Information Protection (AIP). |
| 94 | AipSensitivityLabelAction | Události popisků citlivosti AIP |
| 95 | AipProtectionAction | Události ochrany AIP |
| 96 | AipFileDeleted | Události odstranění souboru AIP. |
| 97 | AipHeartBeat | Události prezenčních signálů AIP. |
Tyto informace jsou přístupné v jednotném protokolu auditu Microsoftu 365 pro vaši organizaci a dají se zobrazit v Průzkumníku aktivit.
Dotazování na události auditu v Průzkumníku aktivit
Průzkumník aktivit v Portál dodržování předpisů Microsoft Purview je grafické rozhraní pro zobrazení událostí auditu vygenerovaných do sjednoceného protokolu auditu Microsoftu 365. Správce tenanta může pomocí předdefinovaných dotazů určit, jestli jsou zásady a ovládací prvky implementované vaší organizací efektivní. S až 30 dny dostupnosti dat může správce nastavit filtry a jasně zjistit, kdy a jak se citlivá data zpracovávají ve vaší organizaci.
Pokud chcete zobrazit aktivitu specifickou pro AIP, může správce začít následujícími filtry:
- Typ aktivity:
- Použitý popisek
- Změněný popisek
- Odebraný popisek
- Čtení souboru popisku
- Aplikace:
- Doplněk Microsoft Azure Information Protection pro Word
- Doplněk Microsoft Azure Information Protection pro Excel
- Doplněk Microsoft Azure Information Protection pro PowerPoint
- Doplněk Aplikace Microsoft Azure Information Protection pro Outlook
Správce nemusí zobrazit všechny možnosti ve filtru nebo může zobrazit více; hodnoty filtru závisí na tom, jaké aktivity se zaznamenávají pro vašeho tenanta. Další informace o Průzkumníku aktivit najdete tady:
Shromažďované a odeslané informace do Microsoft Purview z klienta sjednoceného popisování AIP
Pokud chcete tyto sestavy vygenerovat, koncové body odesílají do sjednoceného protokolu auditu Microsoftu 365 následující typy informací:
Akce popisku Můžete například nastavit popisek, změnit popisek, přidat nebo odebrat ochranu, automatické a doporučené popisky.
Název popisku před a za akcí popisku.
ID tenanta vaší organizace.
ID uživatele (e-mailová adresa nebo hlavní název uživatele (UPN).
Jméno zařízení uživatele.
IP adresa zařízení uživatele.
Název příslušného procesu, například outlook nebo msip.app.
Název aplikace, která prováděla označování, například Outlook nebo Průzkumník souborů
Pro dokumenty: Cesta k souboru a název souboru dokumentů, které jsou označené.
Pro e-maily: Předmět e-mailu a odesílatel e-mailu s popiskem.
Typy citlivých informací (předdefinované a vlastní), které byly zjištěny v obsahu.
Verze klienta služby Azure Information Protection.
Verze klientského operačního systému.
Zabránění odesílání dat auditování klientůM AIP
Pokud chcete klientovi sjednoceného popisování služby Azure Information Protection zabránit v odesílání dat auditování, nakonfigurujte rozšířené nastavení zásad popisku.
Shody obsahu pro hlubší analýzu
Azure Information Protection umožňuje shromažďovat a ukládat skutečná data identifikovaná jako typ citlivých informací (předdefinovaný nebo vlastní). Může to například zahrnovat čísla platebních karet, která jsou nalezena, a také čísla sociálního pojištění, čísla pasů a čísla bankovního účtu. Shody obsahu se zobrazí, když vyberete položku z protokolů aktivit a zobrazíte podrobnosti o aktivitě.
Ve výchozím nastavení klienti služby Azure Information Protection neodesílají shody obsahu. Pokud chcete toto chování změnit tak, aby se odesílaly shody obsahu, nakonfigurujte rozšířené nastavení v zásadách popisku.
Předpoklady
Události auditu jsou ve výchozím nastavení povolené pro vaši organizaci. Pokud chcete zobrazit události auditu v Microsoft Purview, projděte si licenční požadavky pro základní řešení a audit (Premium).
Další kroky
Po kontrole informací v sestavách můžete chtít získat další informace o tom, jak nakonfigurovat řešení auditování Microsoft Purview pro vaši organizaci.
- Zjistěte, jak exportovat události auditu z sjednoceného protokolu auditu Microsoftu 365 do pracovního prostoru Azure Log Analytics s exportem auditu AIP na GitHubu.
- Přečtěte si průvodce Správa auditováním a generováním sestav pro klienta sjednoceného popisování AIP a podrobně se seznámíte s řešením auditování Microsoft Purview.
- Projděte si dokumentaci k protokolům využití ochrany pro přístup k souborům a událostem odepřeným vygenerovaným ze služby Rights Management. Tyto události se zpracovávají odděleně od událostí vygenerovaných z klienta sjednoceného popisování služby Azure Information Protection.
- V dokumentaci k Microsoftu 365 o popiscích citlivosti se dozvíte, jak provádět změny zásad označování na portálu pro dodržování předpisů.