Registrando e analisando o uso de proteção da Proteção de Informações do Azure
Nota
Você está procurando por Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?
O suplemento Proteção de Informações do Azure foi retirado e substituído por rótulos incorporados aos seus aplicativos e serviços do Microsoft 365. Saiba mais sobre o status de suporte de outros componentes da Proteção de Informações do Azure.
O cliente Microsoft Purview Information Protection (sem o suplemento) está disponível em geral.
Utilize estas informações para o ajudar a compreender como pode utilizar o registo de utilização do serviço de proteção (Azure Rights Management) do Azure Information Protection. Este serviço de proteção fornece proteção de dados para os documentos e e-mails da sua organização e pode registar todos os pedidos. Essas solicitações incluem quando os usuários protegem documentos e emails e também consomem esse conteúdo, ações executadas por seus administradores para este serviço e ações executadas por operadores da Microsoft para dar suporte à implantação da Proteção de Informações do Azure.
Em seguida, você pode usar esses logs de uso de proteção para oferecer suporte aos seguintes cenários de negócios:
Analise para obter insights de negócios
Os logs gerados pelo serviço de proteção podem ser importados para um repositório de sua escolha (como um banco de dados, um sistema de processamento analítico on-line (OLAP) ou um sistema de redução de mapas) para analisar as informações e produzir relatórios. Por exemplo, pode identificar quem está a aceder aos seus dados protegidos. Você pode determinar quais dados protegidos as pessoas estão acessando, e de quais dispositivos e de onde. Você pode descobrir se as pessoas podem ler com êxito o conteúdo protegido. Também é possível identificar quais pessoas leram um documento importante que foi protegido.
Monitorar abusos
As informações de registro sobre o uso da proteção estão disponíveis para você quase em tempo real, para que você possa monitorar continuamente o uso do serviço de proteção pela sua empresa. 99,9% dos logs estão disponíveis dentro de 15 minutos de uma ação iniciada para o serviço.
Por exemplo, você pode querer ser alertado se houver um aumento repentino de pessoas lendo dados protegidos fora do horário de trabalho padrão, o que pode indicar que um usuário mal-intencionado está coletando informações para vender a concorrentes. Ou, se o mesmo usuário aparentemente acessa dados de dois endereços IP diferentes dentro de um curto período de tempo, o que pode indicar que uma conta de usuário foi comprometida.
Realizar análises forenses
Se tiver uma fuga de informação, é provável que lhe perguntem quem acedeu recentemente a documentos específicos e a que informações acedeu recentemente uma pessoa suspeita. Você pode responder a esses tipos de perguntas ao usar esse log porque as pessoas que usam conteúdo protegido sempre devem obter uma licença do Rights Management para abrir documentos e imagens protegidos pela Proteção de Informações do Azure, mesmo que esses arquivos sejam movidos por email ou copiados para unidades USB ou outros dispositivos de armazenamento. Isso significa que você pode usar esses logs como uma fonte definitiva de informações para análise forense ao proteger seus dados usando a Proteção de Informações do Azure.
Além desse log de uso, você também tem as seguintes opções de log:
Opção de registo | Description |
---|---|
Registo de administrador | Registra tarefas administrativas para o serviço de proteção. Por exemplo, se o serviço estiver desativado, quando o recurso de superusuário estiver habilitado e quando os usuários tiverem permissões de administrador delegadas ao serviço. Para obter mais informações, consulte o cmdlet do PowerShell, Get-AipServiceAdminLog. |
Rastreamento de documentos | Permite que os usuários rastreiem e revoguem seus documentos que rastrearam com o cliente do Azure Information Protection. Os administradores globais também podem rastrear esses documentos em nome dos usuários. Para obter mais informações, consulte Configurando e usando o controle de documentos para a Proteção de Informações do Azure. |
Logs de eventos do cliente | Atividade de uso para o cliente do Azure Information Protection, registrado no log de eventos local de Aplicativos e Serviços do Windows, Proteção de Informações do Azure. Para obter mais informações, consulte Log de uso para o cliente do Azure Information Protection. |
Arquivos de log do cliente | Logs de solução de problemas para o cliente do Azure Information Protection, localizado em %localappdata%\Microsoft\MSIP. Esses arquivos são projetados para o suporte da Microsoft. |
Além disso, as informações dos logs de uso do cliente do Azure Information Protection e do verificador do Azure Information Protection são coletadas e agregadas para criar relatórios no portal do Azure. Para obter mais informações, consulte Relatórios para a Proteção de Informações do Azure.
Use as seções a seguir para obter mais informações sobre o log de uso do serviço de proteção.
Como habilitar o registro em log para uso de proteção
O registo de utilização da proteção está ativado por predefinição para todos os clientes.
Não há custo extra para o armazenamento de log ou para a funcionalidade do recurso de registro.
Como aceder e utilizar os registos de utilização da proteção
A Proteção de Informações do Azure grava logs como uma série de blobs em uma conta de armazenamento do Azure que cria automaticamente para seu locatário. Cada blob contém um ou mais registros de log, no formato de log estendido W3C. Os nomes de blob são números, na ordem em que foram criados. A seção Como interpretar seus logs de uso do Azure Rights Management mais adiante neste documento contém mais informações sobre o conteúdo do log e sua criação.
Pode demorar algum tempo até que os registos apareçam na sua conta de armazenamento após uma ação de proteção. A maioria dos logs aparece em 15 minutos. Os logs de uso só estão disponíveis quando o nome do campo "data" contém um valor de uma data anterior (em hora UTC). Os logs de uso da data atual não estão disponíveis. Recomendamos que você baixe os logs para o armazenamento local, como uma pasta local, um banco de dados ou um repositório de redução de mapas.
Para baixar seus logs de uso, você usará o módulo AIPService PowerShell para Proteção de Informações do Azure. Para obter instruções de instalação, consulte Instalando o módulo AIPService PowerShell.
Para baixar seus logs de uso usando o PowerShell
Inicie o Windows PowerShell com a opção Executar como administrador e use o cmdlet Connect-AipService para se conectar à Proteção de Informações do Azure:
Connect-AipService
Execute o seguinte comando para baixar os logs de uma data específica:
Get-AipServiceUserLog -Path <location> -fordate <date>
Por exemplo, depois de criar uma pasta chamada Logs na sua unidade E::
Para baixar logs para uma data específica (como 01/02/2016), execute o seguinte comando:
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016
Para baixar logs para um intervalo de datas (como de 01/02/2016 a 14/02/2016), execute o seguinte comando:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016
Quando você especifica apenas o dia, como em nossos exemplos, a hora é assumida como 00:00:00 em seu horário local e, em seguida, convertida para UTC. Quando você especifica uma hora com seus parâmetros -fromdate ou -todate (por exemplo, -fordate "2/1/2016 15:00:00"), essa data e hora são convertidas em UTC. Em seguida, o comando Get-AipServiceUserLog obtém os logs desse período de tempo UTC.
Não é possível especificar menos de um dia inteiro para fazer o download.
Por padrão, esse cmdlet usa três threads para baixar os logs. Se você tiver largura de banda de rede suficiente e quiser diminuir o tempo necessário para baixar os logs, use o parâmetro -NumberOfThreads, que suporta um valor de 1 a 32. Por exemplo, se você executar o seguinte comando, o cmdlet gerará 10 threads para baixar os logs: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10
Gorjeta
Você pode agregar todos os seus arquivos de log baixados em um formato CSV usando o Log Parser da Microsoft, que é uma ferramenta para converter entre vários formatos de log conhecidos. Você também pode usar essa ferramenta para converter dados para o formato SYSLOG ou importá-los para um banco de dados. Depois de instalar a ferramenta, execute LogParser.exe /?
para obter ajuda e informações para usar essa ferramenta.
Por exemplo, você pode executar o seguinte comando para importar todas as informações para um formato de arquivo .log: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
Como interpretar seus logs de uso
Use as informações a seguir para ajudá-lo a interpretar os logs de uso da proteção.
A sequência de log
A Proteção de Informações do Azure grava os logs como uma série de blobs.
Cada entrada no log tem um carimbo de data/hora UTC. Como o serviço de proteção é executado em vários servidores em vários data centers, às vezes os logs podem parecer fora de sequência, mesmo quando são classificados por seu carimbo de data/hora. No entanto, a diferença é pequena e geralmente dentro de um minuto. Na maioria dos casos, esse não é um problema que seria um problema para a análise de log.
O formato de blob
Cada blob está no formato de log estendido do W3C. Começa com as duas linhas seguintes:
#Software: RMS
#Version: 1.1
A primeira linha identifica que esses são logs de proteção da Proteção de Informações do Azure. A segunda linha identifica que o resto do blob segue a especificação da versão 1.1. Recomendamos que todos os aplicativos que analisam esses logs verifiquem essas duas linhas antes de continuar a analisar o restante do blob.
A terceira linha enumera uma lista de nomes de campos separados por tabulações:
#Fields: data hora row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user
Cada uma das linhas subsequentes é um registro de log. Os valores dos campos estão na mesma ordem da linha anterior e são separados por tabulações. Use a tabela a seguir para interpretar os campos.
Nome do campo | Tipo de dados W3C | Description | Valor de exemplo |
---|---|---|---|
data | Date | Data UTC em que o pedido foi notificado. A origem é o relógio local no servidor que atendeu a solicitação. |
2013-06-25 |
Hora | Hora | Hora UTC no formato de 24 horas quando o pedido foi atendido. A origem é o relógio local no servidor que atendeu a solicitação. |
21:59:28 |
linha-id | Texto | GUID exclusivo para este registro de log. Se um valor não estiver presente, use o valor correlation-id para identificar a entrada. Esse valor é útil quando você agrega logs ou copia logs em outro formato. |
1C3FE7A9-D9E0-4654-97B7-14FAFA72EA63 |
tipo de pedido | Nome | Nome da API do RMS solicitada. | AcquireLicense |
ID de utilizador | String | O usuário que fez a solicitação. O valor está entre aspas simples. As chamadas de uma chave de locatário gerenciada por você (BYOK) têm um valor de ", que também se aplica quando os tipos de solicitação são anônimos. |
'joe@contoso.com' |
Resultado | String | «Êxito» se o pedido tiver sido notificado com êxito. O tipo de erro entre aspas simples se a solicitação falhar. |
'Sucesso' |
Correlação-ID | Texto | GUID que é comum entre o log do cliente RMS e o log do servidor para uma determinada solicitação. Esse valor pode ser útil para ajudar a solucionar problemas do cliente. |
cab52088-8925-4371-be34-4b71a3112356 |
ID de conteúdo | Texto | GUID, entre chaves que identificam o conteúdo protegido (por exemplo, um documento). Este campo tem um valor somente se request-type for AcquireLicense e estiver em branco para todos os outros tipos de solicitação. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
e-mail do proprietário | String | Endereço de e-mail do proprietário do documento. Este campo estará em branco se o tipo de solicitação for RevokeAccess. |
alice@contoso.com |
emitente | String | Endereço de e-mail do emissor do documento. Este campo estará em branco se o tipo de solicitação for RevokeAccess. |
alice@contoso.com (ou) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com« |
ID do modelo | String | ID do modelo usado para proteger o documento. Este campo estará em branco se o tipo de solicitação for RevokeAccess. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
nome-do-ficheiro | String | Nome de arquivo de um documento protegido que é rastreado usando o cliente do Azure Information Protection para Windows. Atualmente, alguns arquivos (como documentos do Office) são exibidos como GUIDs em vez do nome real do arquivo. Este campo estará em branco se o tipo de solicitação for RevokeAccess. |
TopSecretDocument.docx |
data-publicação | Date | Data em que o documento foi protegido. Este campo estará em branco se o tipo de solicitação for RevokeAccess. |
2015-10-15T21:37:00 |
c-info | String | Informações sobre a plataforma do cliente que está fazendo a solicitação. A cadeia de caracteres específica varia, dependendo do aplicativo (por exemplo, o sistema operacional ou o navegador). |
«MSIPC; versão=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName = Windows; OSVersion=6.1.7601; OSArch=amd64' |
C-IP | Endereço | Endereço IP do cliente que faz o pedido. | 64.51.202.144 |
admin-ação | Bool | Se um administrador acessou o site de rastreamento de documentos no modo Administrador. | True |
Agir como utilizador | String | O endereço de e-mail do usuário para o qual um administrador está acessando o site de rastreamento de documentos. | 'joe@contoso.com' |
Exceções para o campo user-id
Embora o campo user-id geralmente indique o usuário que fez a solicitação, há duas exceções em que o valor não é mapeado para um usuário real:
O valor 'microsoftrmsonline@<YourTenantID.rms>.<região.aadrm.com>».
Isso indica que um serviço do Office 365, como o Exchange Online ou o Microsoft SharePoint, está fazendo a solicitação. Na cadeia de caracteres, <YourTenantID> é o GUID do locatário e <região> é a região onde o locatário está registrado. Por exemplo, na representa a América do Norte, a UE representa a Europa e ap representa a Ásia.
Se estiver a utilizar o conector RMS.
As solicitações desse conector são registradas com o nome da entidade de serviço do Aadrm_S-1-7-0, que é gerado automaticamente quando você instala o conector RMS.
Tipos de solicitação típicos
Há muitos tipos de solicitação para o serviço de proteção, mas a tabela a seguir identifica alguns dos tipos de solicitação mais usados.
Tipo de pedido | Description |
---|---|
AcquireLicense | Um cliente de um computador baseado no Windows está solicitando uma licença para conteúdo protegido. |
AcquirePreLicense | Um cliente, em nome do usuário, está solicitando uma licença para conteúdo protegido. |
AcquireTemplates | Foi feita uma chamada para adquirir modelos com base em IDs de modelo |
AcquireTemplateInformation | Foi feita uma chamada para obter os IDs do modelo do serviço. |
AddTemplate | Uma chamada é feita no portal do Azure para adicionar um modelo. |
AllDocsCsv | É feita uma chamada a partir do site de acompanhamento de documentos para transferir o ficheiro CSV a partir da página Todos os Documentos . |
BECreateEndUserLicenseV1 | Uma chamada é feita a partir de um dispositivo móvel para criar uma licença de usuário final. |
BEGetAllTemplatesV1 | Uma chamada é feita a partir de um dispositivo móvel (back-end) para obter todos os modelos. |
Certificar | O cliente está a certificar o utilizador para o consumo e criação de conteúdos protegidos. |
FECreateEndUserLicenseV1 | Semelhante à solicitação AcquireLicense, mas de dispositivos móveis. |
FECreatePublishingLicenseV1 | O mesmo que Certify e GetClientLicensorCert combinados, de clientes móveis. |
FEGetAllTemplates | Uma chamada é feita, a partir de um dispositivo móvel (front-end) para obter os modelos. |
FindServiceLocationsForUser | Uma chamada é feita para consultar URLs, que é usada para chamar Certify ou AcquireLicense. |
GetClientLicensorCert | O cliente está solicitando um certificado de publicação (que é usado posteriormente para proteger o conteúdo) de um computador baseado no Windows. |
GetConfiguration | Um cmdlet do Azure PowerShell é chamado para obter a configuração do locatário do Azure RMS. |
GetConnectorAuthorizations | Uma chamada é feita a partir dos conectores RMS para obter sua configuração da nuvem. |
GetRecipientes | É feita uma chamada a partir do site de controlo de documentos para navegar até à vista de lista de um único documento. |
GetTenantFunctionalState | O portal do Azure está verificando se o serviço de proteção (Azure Rights Management) está ativado. |
KeyVaultDecryptRequest | O cliente está a tentar desencriptar o conteúdo protegido pelo RMS. Aplicável apenas a uma chave de inquilino gerida pelo cliente (BYOK) no Cofre de Chaves do Azure. |
KeyVaultGetKeyInfoRequest | Uma chamada é feita para verificar se a chave especificada para ser usada no Cofre de Chaves do Azure para a chave de locatário da Proteção de Informações do Azure está acessível e ainda não foi usada. |
KeyVaultSignDigest | Uma chamada é feita quando uma chave gerenciada pelo cliente (BYOK) no Cofre de Chaves do Azure é usada para fins de assinatura. Isso é chamado normalmente uma vez por AcquireLicence (ou FECreateEndUserLicenseV1), Certify, e GetClientLicensorCert (ou FECreatePublishingLicenseV1). |
KMSPDecrypt | O cliente está a tentar desencriptar o conteúdo protegido pelo RMS. Aplicável apenas para uma chave de locatário herdada gerenciada pelo cliente (BYOK). |
KMSPSignDigest | Uma chamada é feita quando uma chave herdada gerenciada pelo cliente (BYOK) é usada para fins de assinatura. Isso é chamado normalmente uma vez por AcquireLicence (ou FECreateEndUserLicenseV1), Certify, e GetClientLicensorCert (ou FECreatePublishingLicenseV1). |
ServerCertify | Uma chamada é feita de um cliente habilitado para RMS (como o SharePoint) para certificar o servidor. |
SetUsageLogFeatureState | Uma chamada é feita para habilitar o registro de uso. |
SetUsageLogStorageAccount | Uma chamada é feita para especificar o local dos logs de serviço do Azure Rights Management. |
UpdateTemplate | Uma chamada é feita a partir do portal do Azure para atualizar um modelo existente. |
Logs de uso de proteção e log de auditoria unificado do Microsoft 365
Acesso a arquivos e eventos negados atualmente não incluem nome de arquivo e não estão acessíveis no log de auditoria unificada do Microsoft 365. Esses eventos serão aprimorados para serem úteis e adicionados do Rights Management Service em uma data posterior.
Referência do PowerShell
O único cmdlet do PowerShell que você precisa para acessar seu log de uso de proteção é Get-AipServiceUserLog.
Para obter mais informações sobre como usar o PowerShell para Proteção de Informações do Azure, consulte Administrando a proteção da Proteção de Informações do Azure usando o PowerShell.