Sammeln von Windows Information Protection (WIP)-Überwachungsprotokollen

Gilt für:

• Windows 10, Version 1607 und höher

Windows Information Protection (WIP) erstellt Überwachungsereignisse für die folgenden Situationen:

• Wenn ein Mitarbeiter den Besitz einer Datei von Arbeit zu Persönlich ändert.

• Wenn Daten als Arbeit markiert sind und mit einer persönlichen App oder einer Webseite geteilt werden. Beispiele: Kopieren und Einfügen, Ziehen und Ablegen, Teilen von Kontakten, Upload auf eine persönliche Webseite, oder wenn ein Benutzer einer persönlichen App temporären Zugriff auf eine Arbeitsdatei erteilt.

• Wenn eine App benutzerdefinierte Überwachungsereignisse enthält.

Sammeln von WIP-Überwachungsprotokollen mit dem Reporting-Konfigurationsdienstanbieter (CSP)

Sammeln Sie die WIP-Überwachungsprotokolle von den Geräten Ihrer Mitarbeiter, indem Sie die Anleitung in der Dokumentation zum Reporting Configuration Service Provider (CSP) befolgen. Dieses Thema enthält Informationen zu den eigentlichen Überwachungsereignissen.

Hinweis

Das Data-Element in der Antwort enthält die angeforderten Überwachungsprotokolle in einem XML-codierten Format.

User-Element und Attribute

Diese Tabelle enthält alle verfügbaren Attribute für das User-Element.

Attribut	Werttyp	Beschreibung
UserID	Zeichenfolge	Die Sicherheits-ID (SID) des entsprechenden Benutzers für diesen Überwachungsbericht.
EnterpriseID	Zeichenfolge	Die Enterprise-ID für diesen Überwachungsbericht.

Log-Element und Attribute

Diese Tabelle enthält alle verfügbaren Attribute/Elemente für das Log-Element. Die Antwort kann 0 (null) oder mehr Log-Elemente enthalten.

Attribut oder Element	Werttyp	Beschreibung
ProviderType	Zeichenfolge	Dieser Wert lautet immer EDPAudit.
LogType	Zeichenfolge	Enthält: DataCopied. Arbeitsdaten wurden an einen persönlichen Speicherort kopiert oder freigegeben. ProtectionRemoved. Windows Information Protection wird aus einer arbeitsdefinierten Datei entfernt. ApplicationGenerated. Ein benutzerdefiniertes, von einer App bereitgestelltes Überwachungsprotokoll.
TimeStamp	Ganze Zahl	Verwendet die FILETIME-Struktur, um den Zeitpunkt darzustellen, zu dem das Ereignis aufgetreten ist.
Policy	Zeichenfolge	Gibt an, auf welche Art die Arbeitsdaten für den persönlichen Speicherort freigegeben wurden: CopyPaste. Arbeitsdaten wurden in einen persönlichen Speicherort oder eine App eingefügt. ProtectionRemoved. Der Schutz von Arbeitsdaten wurde aufgehoben. DragDrop. Arbeitsdaten wurden per Ziehen und Ablegen in einen persönlichen Speicherort oder eine App eingefügt. Share. Arbeitsdaten wurden für einen persönlichen Standort oder eine App freigegeben. NULL. Alle nicht oben aufgeführten Methoden, mit denen Arbeitsdaten persönlich verwendet werden können. Beispiel: eine Arbeitsdatei wird mit einer persönlichen Anwendung (auch bekannt als temporärer Zugriff) geöffnet.
Justification	Zeichenfolge	Nicht implementiert. Dieser Wert ist immer leer oder NULL. Hinweis Reserviert für die zukünftige Verwendung, um eine Begründung des Benutzers für den Wechsel von Arbeit zu Persönlich zu erfassen.
Object	Zeichenfolge	Eine Beschreibung der freigegebenen Arbeitsdaten. Wenn ein Mitarbeiter beispielsweise eine Datei mit einer persönlichen App öffnet, enthält dieses Feld den Dateipfad.
DataInfo	Zeichenfolge	Alle zusätzlichen Informationen zur Änderung der Arbeitsdatei: Ein Dateipfad. Wenn ein Mitarbeiter eine Datei mit Microsoft Edge oder Internet Explorer auf einer persönlichen Website hochlädt, enthält dieses Feld den Pfad. Zwischenablage-Datentypen. Wenn ein Mitarbeiter Arbeitsdaten in eine persönliche App einfügt, enthält dieses Feld die von der Arbeits-App bereitgestellte Liste der Zwischenablage-Datentypen. Weitere Informationen finden Sie im Abschnitt Beispiele in diesem Thema.
Action	Ganze Zahl	Enthält Informationen zum weiteren Ablauf, nachdem die Arbeitsdaten persönlich verwendet wurden, inklusive: 1. Datei entschlüsseln. 2. An Speicherort kopieren. 3. An Empfänger senden. 4. Sonstiges.
FilePath	Zeichenfolge	Der Pfad zu der im Überwachungsereignis angegebenen Datei. Beispielsweise der Speicherort einer Datei, die von einem Mitarbeiter entschlüsselt oder auf eine persönliche Website hochgeladen wurde.
SourceApplicationName	Zeichenfolge	Die Quell-App oder Website. Für die Quell-App enthält dieses Feld die AppLocker-Identität. Für die Quell-Website enthält dieses Feld den Hostnamen.
SourceName	Zeichenfolge	Eine Zeichenfolge, die von der App bereitgestellt wird, die das Ereignis protokolliert. Sie soll die Quelle der Arbeitsdaten beschreiben.
DestinationEnterpriseID	Zeichenfolge	Der Enterprise-ID-Wert für die App oder Website, auf der die Daten freigegeben wurden. NULL, Persönlich oder leer bedeutet, dass keine Unternehmens-ID vorhanden ist, da die Arbeitsdaten an einem persönlichen Speicherort freigegeben wurden. Da mehrere Registrierungen derzeit nicht unterstützt werden, wird immer einer dieser Werte angezeigt.
DestinationApplicationName	Zeichenfolge	Die Ziel-App oder Website. Für die Ziel-App enthält dieses Feld die AppLocker-Identität. Für die Ziel-Website enthält dieses Feld den Hostnamen.
DestinationName	Zeichenfolge	Eine Zeichenfolge, die von der App bereitgestellt wird, die das Ereignis protokolliert. Sie soll das Ziel der Arbeitsdaten beschreiben.
Application	Zeichenfolge	Die AppLocker-Identität der App, in der das Überwachungsereignis aufgetreten ist.

Beispiele

Hier sind einige Beispiele für die Antworten vom Reporting-CSP.

Der Besitz einer Datei wird von Arbeit zu Persönlich geändert.

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
      <Policy>Protection removed</Policy>
      <Justification>NULL</Justification>
      <FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Eine Datei wird mit Edge auf eine persönliche Webseite hochgeladen

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>NULL</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Arbeitsdaten werden in eine persönliche Webseite eingefügt

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Eine Arbeitsdatei wird mit einer persönlichen Anwendung geöffnet

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
      <Policy>NULL</Policy>
      <Justification></Justification>
      <Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
      <Action>1</Action>
      <SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
      <DestinationEnterpriseID>Personal</DestinationEnterpriseID>
      <DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
      <Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Arbeitsdaten werden in eine persönliche Anwendung eingefügt

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName></DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Sammeln von WIP-Überwachungsprotokollen mit der Windows-Ereignisweiterleitung (nur für Windows-Desktopgeräte, die mit einer Domäne verbunden sind)

Verwenden Sie die Windows-Ereignisweiterleitung, um Ihre Windows-Information Protection Überwachungsereignisse zu sammeln und zu aggregieren. Sie können die Überwachungsereignisse in der Ereignisanzeige öffnen.

So öffnen Sie die WIP-Ereignisse in der Ereignisanzeige

1. Öffnen Sie die Ereignisanzeige.

2. Klicken Sie in der Konsolenstruktur unter Anwendungs- und Dienstprotokolle\Microsoft\Windows auf Unternehmensdatenschutz-Überwachung-Standard und auf Unternehmensdatenschutz-Überwachung-TCB.

Sammeln von WIP-Überwachungsprotokollen mithilfe von Azure Monitor

Sie können Überwachungsprotokolle mithilfe von Azure Monitor sammeln. Weitere Informationen finden Sie unter Windows-Ereignisprotokolldatenquellen in Azure Monitor.

So zeigen Sie die WIP-Ereignisse in Azure Monitor an

1. Verwenden Sie einen vorhandenen Log Analytics-Arbeitsbereich, oder erstellen Sie einen neuen Log Analytics-Arbeitsbereich.

2. Wählen Sieunter Erweiterte Einstellungen für Log Analytics>die Option Daten aus. Fügen Sie unter Windows-Ereignisprotokolle Protokolle hinzu, die empfangen werden sollen:

   Microsoft-Windows-EDP-Application-Learning/Admin
   Microsoft-Windows-EDP-Audit-TCB/Admin
   

   Hinweis

   Wenn Sie Windows-Ereignisprotokolle verwenden, finden Sie die Ereignisprotokollnamen unter Eigenschaften des Ereignisses im Ordner Ereignisse (Anwendungs- und Dienstprotokolle\Microsoft\Windows, klicken Sie auf EDP-Audit-Regular und EDP-Audit-TCB).

3. Laden Sie Microsoft Monitoring Agent herunter.

4. Um MSI für Intune Installation wie im Artikel Azure Monitor beschrieben zu erhalten, extrahieren Sie Folgendes:MMASetup-.exe /c /t:

   Installieren Sie Microsoft Monitoring Agent mithilfe der Arbeitsbereichs-ID und des Primärschlüssels auf WIP-Geräten. Weitere Informationen zur Arbeitsbereichs-ID und zum Primärschlüssel finden Sie unterErweiterte Einstellungen für Log Analytics>.

5. Um MSI über Intune bereitzustellen, fügen Sie in den Installationsparametern Folgendes hinzu:/q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1

   Hinweis

   Ersetzen Sie <WORKSPACE_ID> & <aus Schritt 5 empfangenen WORKSPACE_KEY> . Platzieren Sie in Installationsparametern WORKSPACE_ID> & <WORKSPACE_KEY> nicht <in Anführungszeichen ("" oder "").

6. Nach der Bereitstellung des Agents werden die Daten innerhalb von etwa 10 Minuten empfangen.

7. Um nach Protokollen zu suchen, wechseln Sie zu Log Analytics-Arbeitsbereichsprotokolle>, und geben Sie Ereignis in die Suche ein.

   Beispiel

   Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"
   

Zusätzliche Ressourcen

• Bereitstellen einer App über Intune
• Erstellen eines Protokollarbeitsbereichs
• Verwenden von Microsoft Monitoring Agents für Windows