Analýza a centrální vytváření sestav pro Azure Information Protection (public preview)
Platí pro:Azure Information Protection
Relevantní pro:AIP unified labeling client and classic client
Poznámka:
Pro zajištění jednotného a efektivnějšího uživatelského prostředí je klasický klient Azure Information Protection a správa štítků na portálu Azure Portal zastaralé od 31. března 2021. Pro klasické klienty už není poskytována žádná další podpora a verze údržby už nebudou vydány.
Klasický klient bude oficiálně vyřazen a přestane fungovat 31. března 2022.
Všichni stávající zákazníci klasického klienta Azure Information Protection musí migrovat na Microsoft Information Protection jednotné platformy pro označování a upgradovat na klienta jednotného označování štítků. Další informace najdete v našem blogu o migraci.
Tento článek popisuje, jak používat analýzu Azure Information Protection (AIP) pro centrální vytváření sestav, která vám pomůže sledovat přijetí štítků, které klasifikují a chrání data vaší organizace.
Analýza AIP vám taky umožňuje provést následující kroky:
Sledování štítků a chráněných dokumentů a e-mailů ve vaší organizaci
Identifikace dokumentů, které obsahují citlivé informace ve vaší organizaci
Sledujte přístup uživatelů k označeným dokumentům a e-mailům a sledujte změny klasifikace dokumentů.
Identifikujte dokumenty, které obsahují citlivé informace, které můžou vaši organizaci vystavovat riziku, pokud nejsou chráněné, a zmírňujte riziko podle doporučení.
Určete, kdy mají interní nebo externí uživatelé přístup k chráněným dokumentům z Windows počítačů a jestli byl přístup udělen nebo odepřen.
Data, která vidíte, se agregují z vašich klientů a skenerů Azure Information Protection, z Programu Microsoft Defender pro cloudové aplikace a z protokolů využití ochrany.
Analýza Azure Information Protection pro centrální vytváření sestav je momentálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, ve verzi Preview nebo jinak ještě nejsou vydané do obecné dostupnosti.
AIP reporting data
Například analýza Azure Information Protection pro centrální vytváření sestav zobrazuje následující data:
| Sestava | Ukázková data zobrazená |
|---|---|
| Sestava využití | Výběrem časového období zobrazíte jednu z těchto možností: - Které popisky se používají - Kolik dokumentů a e-mailů je označených - Kolik dokumentů a e-mailů je chráněných - Kolik uživatelů a kolik zařízení má označení dokumentů a e-mailů – Které aplikace se používají k označování štítků |
| Protokoly aktivit | Výběrem časového období zobrazíte jednu z těchto možností: – Soubory, které skener dříve objevil, byly odstraněny z naskenovaného úložiště. - Jaké akce označování provedl konkrétní uživatel - Jaké akce označování byly provedeny z určitého zařízení – Kteří uživatelé mají přístup k určitému dokumentu označenému štítkem - Jaké akce označování byly provedeny pro konkrétní cestu k souboru - Jaké akce označování prováděla určitá aplikace, jako je Průzkumník souborů, a klikněte pravým tlačítkem myši, PowerShell, skener nebo Microsoft Defender pro cloudové aplikace – K chráněným dokumentům měli uživatelé přístup úspěšně nebo jim byl odepřen přístup, a to i v případě, že tito uživatelé nemají klienta Azure Information Protection nainstalovaného nebo mimo vaši organizaci. - Přejít k podrobnostem o nahlášených souborech a zobrazit podrobnosti o aktivitě pro další informace |
| Sestava zjišťování dat | - Jaké soubory jsou ve vašich naskenovaných úložištích dat, Windows 10 nebo Windows 11 nebo na počítačích s klienty Azure Information Protection - Které soubory jsou označené a chráněné a umístění souborů popisky - Které soubory obsahují citlivé informace pro známé kategorie, jako jsou finanční údaje a osobní údaje, a umístění souborů podle těchto kategorií |
| Recommendations sestavy | - Identifikujte nechráněné soubory, které obsahují známý typ citlivých informací. Doporučení vám umožní okamžitě nakonfigurovat odpovídající podmínku pro jeden z vašich štítků tak, aby se u jednoho z štítků automaticky nebo doporučenou nálepkou. Pokud se budete řídit doporučením: Při příštím otevření souborů uživatelem nebo naskenovaném skenerem Azure Information Protection je možné soubory automaticky klasifikovat a chránit. – Které úložiště dat mají soubory s identifikovanou citlivou informací, ale nejsou kontrolovány službou Azure Information Protection. Doporučení vám umožní okamžitě přidat identifikované úložiště dat do jednoho z profilů skeneru. Pokud se budete řídit doporučením:Při dalším cyklu skeneru se soubory automaticky klasifikují a zamkazují. |
Sestavy používají Azure Monitor k ukládání dat v pracovním prostoru Log Analytics, který vlastní vaše organizace. Pokud znáte jazyk dotazu, můžete dotazy upravit a vytvářet nové sestavy a Power BI řídicí panely. Následující kurz může být užitečný pro pochopení jazyka dotazu: Začínáme s dotazy protokolu Azure Monitoru.
Může trvat až 24 hodin, než se protokoly auditování AIP zobrazí v pracovním prostoru Analýzy protokolů.
Další informace najdete v tématu Zjišťování, vytváření sestava analýzy dat pro všechna data pomocí Microsoft Information Protection .
Shromažďované a odeslané informace analýze protokolů
Pokud chcete vygenerovat tyto sestavy, koncové body odesílaly zákazníkově analýze protokolů následující typy informací:
Akce popisku Můžete třeba nastavit popisek, změnit popisek, přidat nebo odebrat ochranu, automatické a doporučené popisky.
Název popisku před a za akcí popisku
ID tenanta vaší organizace.
ID uživatele (e-mailová adresa nebo hlavní název uživatele).
Jméno zařízení uživatele.
IP adresa zařízení uživatele.
Název příslušného procesu, například outlook nebo msip.app.
Název aplikace, která prováděla popisek, například Outlooknebo Průzkumníka souborů
Dokumenty: Cesta k souboru a název souboru dokumentů, které jsou označené.
E-maily: Předmět e-mailu a odesílatel e-mailu pro e-maily, které jsou označené.
Typy citlivých informací(předdefinované a vlastní), které byly zjištěny v obsahu.
Verze klienta Azure Information Protection.
Verze klientského operačního systému.
Tyto informace jsou uložené v pracovním prostoru Azure Log Analytics, který vlastní vaše organizace, a uživatelé, kteří mají přístupová práva k tomuto pracovnímu prostoru, si je mohou prohlížet nezávisle na Azure Information Protection.
Další podrobnosti najdete v tématu:
- Oprávnění požadovaná pro analýzu Azure Information Protection
- Správa přístupu k pracovnímu prostoru Log Analytics pomocí oprávnění Azure
- Referenční informace o protokolu auditování Azure Information Protection
Zabránění klientům AIP v odesílání dat auditování
Unified labeling client
Pokud chcete, aby klient s jednotným popiskem Azure Information Protection odesílal data auditování, nakonfigurujte rozšířené nastavení zásad popisků.
Klasický klient
Pokud chcete klasickému klientovi Azure Information Protection zabránit v odesílání těchto dat, nastavte nastavení zásad Odesílání dat auditování do analýzy Azure Information Protection na Vypnuto:
| Požadavek | Pokyny |
|---|---|
| Konfigurace většiny uživatelů pro odesílání dat s podskupinou uživatelů, kteří nemohou odesílat data | V zásadách s rozsahem pro podmnožinu uživatelů nastavte Možnost Odesílat data auditování do analýzy Azure Information Protection na Vypnuto. Tato konfigurace je typická pro produkční scénáře. |
| Konfigurace jenom podmnožiny uživatelů, kteří odesílat data | V globálních zásadách nastavte Odeslat data auditování do analýzy Azure Information Protection na Vypnuto a v zásadách s rozsahem pro podmnožinu uživatelů. Tato konfigurace je typická pro testovací scénáře. |
Obsah odpovídá hlubší analýze
Azure Information Protection umožňuje shromažďovat a ukládat skutečná data identifikovaná jako typ citlivých informací (předdefinovaný nebo vlastní). Může to například zahrnovat nalezená čísla kreditních karet a čísla sociálního pojištění, čísla pasů a čísla bankovních účtů. Shody obsahu se zobrazí, když vyberete položku z protokolů aktivita zobrazíte podrobnosti o aktivitě.
Ve výchozím nastavení klienti Azure Information Protection neposílat shody obsahu. Pokud chcete toto chování změnit tak, aby se shoda obsahu odesílala:
| Klient | Pokyny |
|---|---|
| Unified labeling client | Nakonfigurujte upřesňující nastavení v zásadách popisků. |
| Klasický klient | Zaškrtněte políčko jako součást konfigurace analýzy Azure Information Protection. Zaškrtávací políčko se jmenuje Povolit hlubší analýzu citlivých dat. Pokud chcete, aby většina uživatelů, kteří používají tohoto klienta k odesílání shod obsahu, ale podmnožina uživatelů nemůže odesílat shody obsahu, zaškrtněte toto políčko a nakonfigurujte rozšířené nastavení klienta v zásadách s oborem pro podmnožinu uživatelů. |
Předpoklady
Pokud chcete zobrazit sestavy Azure Information Protection a vytvořit si vlastní, ujistěte se, že jsou splněny následující požadavky.
| Požadavek | Podrobnosti |
|---|---|
| Předplatné Azure | Vaše předplatné Azure musí zahrnovat Log Analytics na stejném tenantovi jako Azure Information Protection. Další informace najdete na stránce s cenami azure monitoru. Pokud nemáte předplatné Azure nebo v současné době Azure Log Analytics používáte, stránka s cenami obsahuje odkaz na bezplatnou zkušební verzi. |
| Připojení k síti s adresami URL protokolování auditování | Aby bylo možné podporovat protokoly auditování AIP, musí mít AIP přístup k následujícím adresm URL: - https://*.events.data.microsoft.com - https://*.aria.microsoft.com (Jenom data zařízení s Androidem) |
| Klient Azure Information Protection | Pro vytváření sestav od klienta. Pokud ještě nemáte nainstalovaného klienta, můžete si stáhněte a nainstalujte sjednoceného klienta štítků z Webu pro stahování Microsoft Download Center. Poznámka:Podporuje se sjednocený klient štítků i klasický klient. Pokud chcete nasadit klasického klienta AIP, otevřete lístek podpory a získejte přístup ke stažení. |
| Místní skener Azure Information Protection | Pro vytváření sestav z místních úložišť dat. Další informace najdete v tématu Nasazení skeneru Azure Information Protection, který automaticky klasifikujea chrání soubory . |
| Microsoft Defender pro cloudové aplikace | Pro vytváření sestav z cloudových úložišť dat. Další informace najdete v tématu Integrace Azure Information Protection v dokumentaci MCAS. |
Oprávnění požadovaná pro analýzu Azure Information Protection
Specifické pro analýzu Azure Information Protection: Po nakonfigurování pracovního prostoru Azure Log Analytics můžete jako alternativu k ostatním rolím Azure AD, které podporují správu Azure Information Protection na portálu Azure Portal, použít roli správce Azure AD čtečky zabezpečení. Tato další role je podporovaná jenom v případě, že váš tenant není na jednotné platformě štítků.
Vzhledem k tomu, že analýza Azure Information Protection používá Azure Monitoring, řídí přístup k pracovnímu prostoru taky řízení přístupu založené na rolích (RBAC) pro Azure. Ke správě analýzy Azure Information Protection proto potřebujete roli Azure i roli správce Azure AD. Pokud s rolemi Azure ještě nejste, může být užitečné přečíst rozdíly mezi rolemi Azure RBACa rolemi správce Azure AD.
Další informace najdete v těchto článku:
Povinné role správce Azure AD
Abyste měli přístup k podokně analýzy Azure Information Protection, musíte mít jednu z následujících rolí správce Azure AD:
Vytvoření pracovního prostoru Log Analytics nebo vytvoření vlastních dotazů:
- Správce Azure Information Protection
- Správce zabezpečení
- Správce dodržování předpisů
- Správce dat dodržování předpisů
- Globální správce
Po vytvoření pracovního prostoru pak můžete pomocí následujících rolí s menším počtem oprávnění zobrazit shromažďováná data:
- Čtečka zabezpečení
- Globální čtečka
Povinné role Azure Log Analytics
Abyste měli přístup k pracovnímu prostoru Azure Log Analytics, musíte mít jednu z následujících rolí Azure Log Analytics nebo standardní role Azure:
Pokud chcete vytvořit pracovní prostor nebo vytvořit vlastní dotazy, jednu z těchto možností:
- Přispěvatel analýzy protokolů
- Přispěvatel
- Vlastník
Po vytvoření pracovního prostoru pak můžete pomocí jedné z následujících rolí s menším počtem oprávnění zobrazit shromažďováná data:
- Čtečka analýzy protokolů
- Čtečka
Minimální role pro zobrazení sestav
Po nakonfigurování pracovního prostoru pro analýzu Azure Information Protection jsou minimální role potřebné k zobrazení sestav analýzy Azure Information Protection následující:
- Role správce Azure AD: Čtečka zabezpečení
- Role Azure: Čtečka analýzy protokolů
Typickým přiřazením rolí pro mnoho organizací je ale role Azure AD čtečky zabezpečení a role Azure Readeru.
Storage a uchovávání dat
Množství dat shromážděných a uložených v pracovním prostoru Azure Information Protection se výrazně liší pro každého tenanta v závislosti na faktorech, jako je počet klientů Azure Information Protection a dalších podporovaných koncových bodů, ať už shromažďujete data zjišťování koncových bodů, nasadili jste skenery, počet chráněných dokumentů, ke kterým se dostanete atd.
Jako výchozí bod ale můžou být užitečné následující odhady:
U auditovaných dat generovaných jenom klienty Azure Information Protection: 2 GB na 10 000 aktivních uživatelů měsíčně.
U auditovaných dat generovaných klienty Azure Information Protection a skenery: 20 GB na 10 000 aktivních uživatelů měsíčně.
Pokud používáte povinné označování nebo jste pro většinu uživatelů nakonfigurovali výchozí popisek, budou vaše sazby pravděpodobně výrazně vyšší.
Protokoly azure monitoru mají funkci Využití a odhadované náklady, která vám pomůže odhadnout a zkontrolovat množství uložených dat a můžete taky řídit dobu uchovávání dat v pracovním prostoru Analýzy protokolů. Další informace najdete v tématu Správa využití a nákladů pomocí protokolů Azure Monitor.
Konfigurace pracovního prostoru Analýzy protokolů pro sestavy
Pokud jste to ještě neudělali, otevřete nové okno prohlížeče a přihlaste se k webu Azure Portal pomocí účtu, který má oprávnění potřebná pro analýzu Azure Information Protection. Pak přejděte do podokna Azure Information Protection.
Například do vyhledávacího pole pro zdroje, služby a dokumenty: Začněte psát informace a vyberte Azure Information Protection.
Vyhledejte možnosti nabídky Spravovat a vyberte Konfigurovat analýzu (Náhled).
V podokně analýzy protokolů Azure Information Protection se zobrazí seznam všech pracovních prostorů Log Analytics, které vlastní váš tenant. Proveďte jednu z těchto akcí:
Vytvoření nového pracovního prostoru Analýzyprotokolů: Vyberte Vytvořit novýpracovní prostor a v podokně Pracovního prostoru Analýzy protokolů zadejte požadované informace.
Použití existujícího pracovního prostoru Analýzy protokolů:Vyberte pracovní prostor ze seznamu.
Pokud potřebujete pomoct s vytvořením pracovního prostoru Log Analytics, podívejte se na stránku Vytvoření pracovního prostoru Log Analytics na portálu Azure Portal.
Jenom klasický klient AIP:Zaškrtněte políčko Povolit hlubší analýzu citlivých dat, pokud chcete uložit skutečná data, která jsou identifikována jako typ citlivých informací.
Další informace o tomto nastavení najdete v části Obsah odpovídá podrobnější analýze na této stránce.
Vyberte OK.
Teď můžete sestavy zobrazit.
Zobrazení sestav analýzy AIP
V podokně Azure Information Protection vyhledejte možnosti nabídky Řídicí panely a vyberte jednu z následujících možností:
| Sestava | Popis |
|---|---|
| Sestava využití (Verze Preview) | V této sestavě se můžete podívat, jak se štítky používají. |
| Protokoly aktivit (Preview) | Pomocí této sestavy můžete zobrazit akce označování od uživatelů a na zařízeních a cestách souborů. U chráněných dokumentů můžete navíc vidět pokusy o přístup (úspěšné nebo zamítnuté) pro uživatele ve vaší organizaci i mimo ni, i když nemají nainstalovaného klienta Azure Information Protection. Tato sestava má možnost Sloupce, která umožňuje zobrazit více informací o aktivitách než výchozí zobrazení. Další podrobnosti o souboru zobrazíte také tak, že ho vyberete a zobrazíte podrobnosti o aktivitě. |
| Zjišťování dat (Verze Preview) | V této sestavě můžete zobrazit informace o souborech označených štítky, které skenery a podporované koncové body našli. Tip:Ze shromažďovaných informací můžete najít uživatele, kteří přistupují k souborům, které obsahují citlivé informace z místa, o které jste nevěděli nebo o které momentálně neskenujete: – Pokud jsou umístění místně, zvažte přidání umístění jako dalších úložišť dat pro skener Azure Information Protection. – Pokud jsou umístění v cloudu, zvažte jejich správu pomocí microsoft defenderu pro cloudové aplikace. |
| Recommendations (Náhled) | Tato sestava slouží k identifikaci souborů, které mají citlivé informace, a zmírní vaše riziko podle doporučení. Když vyberete položku, možnost Zobrazit data zobrazí aktivity auditování, které vyvolaly doporučení. |
Úprava sestav analýzy AIP a vytváření vlastních dotazů
Výběrem ikony dotazu na řídicím panelu otevřete podokno Hledání protokolů:
Protokolovaná data pro Azure Information Protection jsou uložená v následující tabulce: InformationProtectionLogs_CL
Při vytváření vlastních dotazů použijte popisné názvy schémat implementované jako funkce InformationProtectionEvents. Tyto funkce jsou odvozené od atributů podporovaných pro vlastní dotazy (některé atributy jsou jenom pro interní použití) a jejich názvy se v průběhu času nezmění, i když se základní atributy mění pro vylepšení a nové funkce.
Popisný odkaz na schéma pro funkce událostí
V následující tabulce můžete identifikovat popisný název funkcí událostí, které můžete použít pro vlastní dotazy pomocí analýzy Azure Information Protection.
| Název sloupce | Popis |
|---|---|
| Čas | Čas události: UTC ve formátu RRRR-MM-DDTHH:MM:SS |
| Uživatel | Uživatel: Formát OUD nebo DOMÉNA\UŽIVATEL |
| ItemPath | Cesta k celé položce nebo předmět e-mailu |
| Název_položky | Název souboru nebo předmět e-mailu |
| Metoda | Metoda přiřazená popiskem: Ruční, Automatická, Doporučená, Výchozí nebo Povinná |
| Aktivita | Auditování: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection, NewCustomProtection nebo FileRemoved |
| ResultStatus | Stav výsledku akce: Úspěšné nebo neúspěšné (hlášené pouze skenerem AIP) |
| ErrorMessage_s | Obsahuje podrobnosti o chybové zprávě, pokud resultstatus=failed. Nahlášeno jenom skenerem AIP |
| LabelName | Název popisku (není lokalizovaný) |
| LabelNameBefore | Název popisku před změnou (ne lokalizováno) |
| ProtectionType | Typ ochrany [JSON] { "Type": ["Template", "Custom", "DoNotForward"], "TemplateID": "GUID" } |
| ProtectionBefore | Typ ochrany před změnou [JSON] |
| Název_počítače | Plně kvalifikovaný název domény (pokud je dostupný); v opačném případě název hostitele |
| Platforma | Platforma zařízení (Win, OSX, Android, iOS) |
| ApplicationName | Popisný název aplikace |
| AIPVersion | Verze klienta Azure Information Protection, který provedl auditování |
| Id tenanta | ID tenanta Azure AD |
| AzureApplicationId | ID aplikace zaregistrované ve službě Azure AD (GUID) |
| Název_procesu | Proces, který hostuje sadu MIP SDK |
| Id popisku | Identifikátor GUID popisku nebo null |
| IsProtected | Zamknuté: Ano/Ne |
| ProtectionOwner | Vlastník rights managementu ve formátu UPN |
| LabelIdBefore | Identifikátor GUID popisku nebo null před změnou |
| InformationTypesAbove55 | Json array of SensitiveInformation found in data with confidence level 55 or above |
| InformationTypesAbove65 | Json array of SensitiveInformation found in data with confidence level 65 or above |
| InformationTypesAbove75 | Json array of SensitiveInformation found in data with confidence level 75 or above |
| InformationTypesAbove85 | Json array of SensitiveInformation found in data with confidence level 85 or above |
| InformationTypesAbove95 | Json array of SensitiveInformation found in data with confidence level 95 or above |
| DiscoveredInformationTypes | Json array of SensitiveInformation found in data and their matched content (if enabled) where an empty array means no information types found, and null means no information available |
| ProtectedBefore | Jestli byl obsah před změnou zamknuté: Ano/Ne |
| ProtectionOwnerBefore | Rights Management owner before change |
| UserJustification | Zarovnání při snížení nebo odebrání popisku |
| LastModifiedBy | Uživatel ve formátu UPN, který soubor naposledy upravil K dispozici jenom Office a SharePoint. |
| LastModifiedDate | UTC ve formátu RRRR-MM-DDTHH:MM:SS: K dispozici jenom pro Office a SharePoint. |
Příklady použití funkce InformationProtectionEvents
V následujících příkladech se můžete podívat, jak můžete k vytváření vlastních dotazů použít popisné schéma.
Příklad 1: Vrácení všech uživatelů, kteří odeslali data auditování za posledních 31 dní
InformationProtectionEvents
| where Time > ago(31d)
| distinct User
Příklad 2: Vrátí počet štítků, které byly za posledních 31 dní sníženy na den.
InformationProtectionEvents
| where Time > ago(31d)
| where Activity == "DowngradeLabel"
| summarize Label_Downgrades_per_Day = count(Activity) by bin(Time, 1d)
Příklad 3: Vrátí počet štítků, které uživatel v posledních 31 dnech zhodnotil z funkce Důvěrné.
InformationProtectionEvents
| where Time > ago(31d)
| where Activity == "DowngradeLabel"
| where LabelNameBefore contains "Confidential" and LabelName !contains "Confidential"
| summarize Label_Downgrades_by_User = count(Activity) by User | sort by Label_Downgrades_by_User desc
V tomto příkladu se downgradovaný popisek počítá jenom v případě, že název popisku před akcí obsahoval název Důvěrné a název popisku za akcí neobsahuje název Důvěrné.
Další kroky
Po prohlédněte si informace v sestavách, pokud používáte klienta Azure Information Protection, můžete se rozhodnout, že změníte zásady označování.
Unified labeling client: Proveďte změny zásad označování v Centrum dodržování předpisů Microsoftu 365. Další informace najdete v Microsoft 365 dokumentaci.
Klasický klient:Proveďte změny zásad na portálu Azure Portal. Další informace najdete v tématu Konfigurace zásad Azure Information Protection.
Protokoly auditování AIP se také posílají do průzkumníka Microsoft 365 aktivit, kde se mohou zobrazovat s různými názvy. Další informace najdete v těchto článku:
- Začínáme s průzkumníkem aktivit
- Odkaz na aktivitu popisků, včetně mapování mezi názvy zobrazenými v protokolech aktivit AIP a názvy zobrazenými v Průzkumníku aktivit