Sammeln von Windows Information Protection (WIP)-Überwachungsprotokollen

Betrifft:

  • Windows10, Version 1607 und höher
  • Windows10 Mobile, Version 1607 und höher

Windows Information Protection (WIP) erstellt Überwachungsereignisse für die folgenden Situationen:

  • Wenn ein Mitarbeiter den Besitz einer Datei von Arbeit zu Persönlich ändert.

  • Wenn Daten als Arbeit markiert sind und mit einer persönlichen App oder einer Webseite geteilt werden. Beispiele: Kopieren und Einfügen, Ziehen und Ablegen, Teilen von Kontakten, Upload auf eine persönliche Webseite, oder wenn ein Benutzer einer persönlichen App temporären Zugriff auf eine Arbeitsdatei erteilt.

  • Wenn eine App benutzerdefinierte Überwachungsereignisse enthält.

Sammeln von WIP-Überwachungsprotokollen mit dem Reporting-Konfigurationsdienstanbieter (CSP)

Sie finden eine Anleitung zum Sammeln der WIP-Überwachungsprotokolle von den Geräten Ihrer Mitarbeiter in der Dokumentation des Reporting-Konfigurationsdienstanbieters (CSP). Dieses Thema enthält Informationen zu den eigentlichen Überwachungsereignissen.

Hinweis

Das Data-Element in der Antwort enthält die angeforderten Überwachungsprotokolle in einem XML-codierten Format.

User-Element und Attribute

Diese Tabelle enthält alle verfügbaren Attribute für das User-Element.

Attribut Werttyp Beschreibung
UserID String Die Sicherheits-ID (SID) des entsprechenden Benutzers für diesen Überwachungsbericht.
EnterpriseID String Die Enterprise-ID für diesen Überwachungsbericht.

Log-Element und Attribute

Diese Tabelle enthält alle verfügbaren Attribute/Elemente für das Log-Element. Die Antwort kann 0 (null) oder mehr Log-Elemente enthalten.

Attribut oder Element Werttyp Beschreibung
ProviderType String Dieser Wert lautet immer EDPAudit.
LogType String Enthält:
  • DataCopied. Arbeitsdaten wurden an einen persönlichen Speicherort kopiert oder freigegeben.
  • ProtectionRemoved. Der WIP-Schutz wurde von einer Arbeitsdatei entfernt.
  • ApplicationGenerated. Ein benutzerdefiniertes, von einer App bereitgestelltes Überwachungsprotokoll.
TimeStamp Ganze Zahl Verwendet die FILETIME-Struktur, um den Zeitpunkt darzustellen, zu dem das Ereignis aufgetreten ist.
Policy String Gibt an, auf welche Art die Arbeitsdaten für den persönlichen Speicherort freigegeben wurden:
  • CopyPaste. Arbeitsdaten wurden in einen persönlichen Speicherort oder eine App eingefügt.
  • ProtectionRemoved. Der Schutz von Arbeitsdaten wurde aufgehoben.
  • DragDrop. Arbeitsdaten wurden per Ziehen und Ablegen in einen persönlichen Speicherort oder eine App eingefügt.
  • Share. Arbeitsdaten wurden für einen persönlichen Standort oder eine App freigegeben.
  • NULL. Alle nicht oben aufgeführten Methoden, mit denen Arbeitsdaten persönlich verwendet werden können. Beispiel: eine Arbeitsdatei wird mit einer persönlichen Anwendung (auch bekannt als temporärer Zugriff) geöffnet.
Justification String Nicht implementiert. Dieser Wert ist immer leer oder NULL.

Hinweis:
Reserviert für die zukünftige Verwendung, um eine Begründung des Benutzers für den Wechsel von Arbeit zu Persönlich zu erfassen.
Object String Eine Beschreibung der freigegebenen Arbeitsdaten. Wenn ein Mitarbeiter beispielsweise eine Datei mit einer persönlichen App öffnet, enthält dieses Feld den Dateipfad.
DataInfo String Alle zusätzlichen Informationen zur Änderung der Arbeitsdatei:
  • Ein Dateipfad. Wenn ein Mitarbeiter eine Datei mit Microsoft Edge oder Internet Explorer auf einer persönlichen Website hochlädt, enthält dieses Feld den Pfad.
  • Zwischenablage-Datentypen. Wenn ein Mitarbeiter Arbeitsdaten in eine persönliche App einfügt, enthält dieses Feld die von der Arbeits-App bereitgestellte Liste der Zwischenablage-Datentypen. Weitere Informationen finden Sie im Abschnitt Beispiele in diesem Thema.
Action Ganze Zahl Enthält Informationen zum weiteren Ablauf, nachdem die Arbeitsdaten persönlich verwendet wurden, inklusive:
  • 1. Datei entschlüsseln.
  • 2. An Speicherort kopieren.
  • 3. An Empfänger senden.
  • 4. Sonstiges.
FilePath String Der Pfad zu der im Überwachungsereignis angegebenen Datei. Beispielsweise der Speicherort einer Datei, die von einem Mitarbeiter entschlüsselt oder auf einer persönlichen Website hochgeladen wurde.
SourceApplicationName String Die Quell-App oder Website. Für die Quell-App enthält dieses Feld die AppLocker-Identität. Für die Quell-Website enthält dieses Feld den Hostnamen.
SourceName Zeichenfolge Eine Zeichenfolge, die von der App bereitgestellt wird, die das Ereignis protokolliert. Diese Zeichenfolge beschreibt die Quelle der Arbeitsdaten.
DestinationEnterpriseID String Der Enterprise-ID-Wert für die App oder Website, auf der die Daten freigegeben wurden.

NULL, Persönlich oder ein leerer Wert bedeutet, dass keine Enterprise-ID vorhanden ist, da die Arbeitsdaten an einem persönlichen Speicherort freigegeben wurden. Mehrfache Registrierungen werden derzeit nicht unterstützt, daher wird immer einer dieser Werte angezeigt.
DestinationApplicationName String Die Ziel-App oder Website. Für die Ziel-App enthält dieses Feld die AppLocker-Identität. Für die Ziel-Website enthält dieses Feld den Hostnamen.
DestinationName String Eine Zeichenfolge, die von der App bereitgestellt wird, die das Ereignis protokolliert. Diese Zeichenfolge beschreibt das Ziel der Arbeitsdaten.
Application Zeichenfolge Die AppLocker-Identität der App, in der das Überwachungsereignis aufgetreten ist.

Beispiele

Hier sind einige Beispiele für die Antworten vom Reporting-CSP.

Der Besitz einer Datei wird von Arbeit zu Persönlich geändert.

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
      <Policy>Protection removed</Policy>
      <Justification>NULL</Justification>
      <FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Eine Datei wird mit Edge auf eine persönliche Webseite hochgeladen

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>NULL</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Arbeitsdaten werden in eine persönliche Webseite eingefügt

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Eine Arbeitsdatei wird mit einer persönlichen Anwendung geöffnet

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
      <Policy>NULL</Policy>
      <Justification></Justification>
      <Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
      <Action>1</Action>
      <SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
      <DestinationEnterpriseID>Personal</DestinationEnterpriseID>
      <DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
      <Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Arbeitsdaten werden in eine persönliche Anwendung eingefügt

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName></DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Sammeln von WIP-Überwachungsprotokollen mit der Windows-Ereignisweiterleitung (nur für Windows-Desktopgeräte, die mit einer Domäne verbunden sind)

Verwenden Sie die Windows-Ereignisweiterleitung, um Ihre WIP-Überwachungsereignisse zu sammeln und zu aggregieren. Sie können die Überwachungsereignisse in der Ereignisanzeige öffnen.

Hinweis

Unter Windows10 Mobile müssen Sie stattdessen den Reporting CSP-Prozess verwenden.

So öffnen Sie die WIP-Ereignisse in der Ereignisanzeige

  1. Öffnen Sie die Ereignisanzeige.

  2. Klicken Sie in der Konsolenstruktur unter Anwendungs- und Dienstprotokolle\Microsoft\Windows auf Unternehmensdatenschutz-Überwachung-Standard und auf Unternehmensdatenschutz-Überwachung-TCB.

Erfassen von WIP-Überwachungsprotokollen mithilfe des Azure Monitors

Sie können Überwachungsprotokolle mithilfe des Azure Monitors sammeln. Informationen finden Sie unter Windows-Ereignisprotokoll-Datenquellen in Azure Monitor.

So zeigen Sie die WIP-Ereignisse in Azure Monitor an

  1. Verwenden Sie einen vorhandenen oder erstellen Sie einen neuen Arbeitsbereich für die Protokollanalyse.

  2. Wählen Sie unterErweiterte Einstellungenfür Protokollanalyse > die Option Datenaus. Fügen Sie in Windows-Ereignisprotokollen Protokolle hinzu, die empfangen werden sollen:

    Microsoft-Windows-EDP-Application-Learning/Admin
    Microsoft-Windows-EDP-Audit-TCB/Admin
    

    Hinweis

    Wenn Sie Windows-Ereignisprotokolle verwenden, finden Sie die Ereignisprotokollnamen unter Eigenschaften des Ereignisses im Ordner "Ereignisse" (Application and Services Logs\Microsoft\Windows, klicken Sie auf EDP-Audit-Regular und EDP-Audit-TCB).

  3. Microsoft- Überwachungs-Agentherunterladen.

  4. Um die MSI-Installation für InTune zu erhalten, wie im Azure Monitor-Artikel angegeben, extrahieren Sie: MMASetup-. exe/c/t: Installieren des Microsoft-Überwachungs-Agents auf WIP-Geräten mithilfe der Arbeitsbereichs-ID und des Primärschlüssels. Weitere Informationen zur Arbeitsbereichs-ID und zum Primärschlüssel finden Sie unterErweiterte Einstellungenfür Protokollanalyse > .

  5. Wenn Sie MSI über InTune bereitstellen möchten, fügen Sie in den Installationsparametern Folgendes hinzu:/q/norestart NOAPM = 1 ADD_OPINSIGHTS_WORKSPACE = 1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE = 0 OPINSIGHTS_WORKSPACE_ID =<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY =<WORKSPACE_KEY> AcceptEndUserLicenseAgreement = 1

Hinweis

Ersetzen Sie <WORKSPACE_ID> & <WORKSPACE_KEY, die von Schritt 5 empfangen>. Setzen Sie in den Installationsparametern nicht <WORKSPACE_ID> & <WORKSPACE_KEY> in Anführungszeichen ("" oder "").

  1. Nach der Bereitstellung des Agents werden die Daten innerhalb von ungefähr 10 Minuten empfangen.

  2. Wenn Sie nach Protokollen suchen möchten, wechseln Sie zu Protokollanalyse-Arbeitsbereichs > Protokollen, und geben Sie Ereignis in Suche ein.

Beispiel

Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"

Zusätzliche Ressourcen