Registro y análisis del uso de protección de Azure Information Protection
Nota
¿Estás buscando Microsoft Information Protection? El cliente de etiquetado unificado de Azure Information Protection está actualmente en modo de mantenimiento. Se recomienda habilitar el etiquetado integrado de Microsoft Information Protection para las aplicaciones de Office 365. Más información.
Use esta información para ayudarle a comprender cómo puede usar el registro de uso para el servicio de protección (Azure Rights Management) de Azure Information Protection. Este servicio de protección proporciona protección de datos para los documentos y correos electrónicos de su organización y puede registrar todas las solicitudes que se le soliciten. Entre estas solicitudes se incluyen cuando los usuarios protegen los documentos y el correo electrónico, y también consumen este contenido, las acciones realizadas por los administradores de este servicio y las acciones realizadas por operadores de Microsoft para admitir la implementación de Azure Information Protection.
A continuación, puede usar estos registros de uso de protección para admitir los siguientes escenarios empresariales:
Analizar para obtener información empresarial
Los registros generados por el servicio de protección se pueden importar en un repositorio de su elección (como una base de datos, un sistema de procesamiento analítico en línea (OLAP) o un sistema de reducción de mapas) para analizar la información y generar informes. Por ejemplo, puede identificar quién obtiene acceso a sus datos protegidos. Puede determinar a qué datos protegidos acceden los usuarios y desde qué dispositivos y desde dónde. Puede averiguar si los usuarios pueden leer correctamente el contenido protegido. También puede identificar qué personas han leído un documento importante que estaba protegido.
Supervisar si hay abuso
La información de registro sobre el uso de la protección está disponible en casi tiempo real, para que pueda supervisar continuamente el uso que hace su empresa del servicio de protección. El 99,9 % de los registros están disponibles en un plazo de 15 minutos tras una acción iniciada en el servicio.
Por ejemplo, es posible que desee recibir una alerta si hay un aumento repentino de personas leyendo datos protegidos fuera del horario laboral estándar, lo que podría indicar que un usuario malintencionado está recopilando información para vender a sus competidores. O bien, si el mismo usuario accede aparentemente a datos de dos direcciones IP diferentes dentro de un breve período de tiempo, lo que podría indicar que una cuenta de usuario se ha visto comprometida.
Realizar análisis forense
Si tiene alguna filtración de información, es probable que se le pregunte quién accedió recientemente a documentos específicos y a qué información accedió recientemente una persona sospechosa. Puede responder a estos tipos de preguntas al usar este registro, ya que los usuarios que usan contenido protegido siempre deben obtener una licencia de Rights Management para abrir documentos e imágenes protegidos por Azure Information Protection, incluso si estos archivos se mueven por correo electrónico o se copian en unidades USB u otros dispositivos de almacenamiento. Esto significa que puede usar estos registros como fuente definitiva de información para el análisis forense cuando proteja sus datos con Azure Information Protection.
Además de este registro de uso, también tiene las siguientes opciones de registro:
| Opción Registro | Descripción |
|---|---|
| Registro de administración | Registra las tareas administrativas del servicio de protección. Por ejemplo, si el servicio está desactivado, cuando la característica de superusuario está habilitada y cuando los usuarios tienen permisos de administrador delegado en el servicio. Para obtener más información, vea el cmdlet de PowerShell Get-AipServiceAdminLog. |
| Seguimiento de documentos | Permite a los usuarios realizar un seguimiento de sus documentos y revocarlos con el cliente de Azure Information Protection. Los administradores globales también pueden realizar un seguimiento de estos documentos en nombre de los usuarios. Para obtener más información, consulte Configuración y uso del seguimiento de documentos para Azure Information Protection. |
| Registros de eventos de cliente | Actividad de uso del cliente de Azure Information Protection, iniciada en el registro de eventos de Aplicaciones y servicios de Windows local, Azure Information Protection. Para obtener más información, vea Registro de uso del cliente de Azure Information Protection. |
| Archivos de registro de cliente | Registros de solución de problemas del cliente de Azure Information Protection, que se encuentra en %localappdata%\Microsoft\MSIP. Estos archivos están diseñados para Soporte técnico de Microsoft. |
Además, la información de los registros de uso del cliente de Azure Information Protection y del escáner de Azure Information Protection se recopila y agrega para crear informes en la Azure Portal. Para obtener más información, vea Informes para Azure Information Protection.
Use las siguientes secciones para obtener más información sobre el registro de uso del servicio de protección.
Cómo habilitar el registro para uso de protección
El registro de uso de protección está habilitado de forma predeterminada para todos los clientes.
No hay ningún costo adicional para el almacenamiento de registros ni para la funcionalidad de características de registro.
Cómo acceder a los registros de uso de protección y usarlos
Azure Information Protection escribe registros como una serie de blobs en una cuenta de Azure Storage que crea automáticamente para su inquilino. Cada blob contiene uno o más registros de registro, en formato de registro extendido W3C. Los nombres de los blobs son números, en el orden en que se crearon. La sección Cómo interpretar los registros de uso de Azure Rights Management más adelante en este documento contiene más información sobre el contenido del registro y su creación.
Pueden pasar un tiempo hasta que los registros aparezcan en la cuenta de almacenamiento después de una acción de protección. La mayoría de los registros aparecen en 15 minutos. Le recomendamos que descargue los registros en el almacenamiento local, como una carpeta local, una base de datos o un repositorio de reducción de mapas.
Para descargar los registros de uso, usará el módulo de PowerShell AIPService para Azure Information Protection. Para obtener instrucciones de instalación, consulte Instalar el módulo AIPService PowerShell.
Para descargar los registros de uso con PowerShell
Inicie Windows PowerShell con la opción Ejecutar como administrador y use el cmdlet Conectar-AipService para conectarse a Azure Information Protection:
Connect-AipServiceEjecute el siguiente comando para descargar los registros para una fecha específica:
Get-AipServiceUserLog -Path <location> -fordate <date>Por ejemplo, después de crear una carpeta denominada Registros en la unidad E::
Para descargar registros para una fecha específica (como 1/2/2016), ejecute el siguiente comando:
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016Para descargar registros de un intervalo de fechas (por ejemplo, del 1/2/2016 al 14/02/2016), ejecute el siguiente comando:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016
Al especificar solo el día, como en nuestros ejemplos, se supone que la hora es 00:00:00 en la hora local y, a continuación, se convierte en UTC. Cuando se especifica una hora con los parámetros -fromdate o -todate (por ejemplo, -fordate "1/2/2016 15:00:00"), esa fecha y hora se convierten a UTC. A continuación, el comando Get-AipServiceUserLog obtiene los registros para ese período de tiempo UTC.
No se puede especificar que se descargue menos de un día entero.
De forma predeterminada, este cmdlet usa tres subprocesos para descargar los registros. Si tiene suficiente ancho de banda de red y desea reducir el tiempo necesario para descargar los registros, utilice el parámetro -NumberOfThreads, que admite un valor de 1 a 32. Por ejemplo, si ejecuta el siguiente comando, el cmdlet genera 10 subprocesos para descargar los registros: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10
Propina
Puede agregar todos los archivos de registro descargados a un formato CSV mediante el Analizador de registros de Microsoft, que es una herramienta para convertir entre varios formatos de registro conocidos. También puede usar esta herramienta para convertir datos a formato SYSLOG o importarlos a una base de datos. Después de instalar la herramienta, ejecute LogParser.exe /? para obtener ayuda e información para usar esta herramienta.
Por ejemplo, puede ejecutar el siguiente comando para importar toda la información a un formato de archivo .log: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
Cómo interpretar los registros de uso
Use la siguiente información para ayudarle a interpretar los registros de uso de protección.
La secuencia de registro
Azure Information Protection escribe los registros como una serie de blobs.
Cada entrada del registro tiene una marca de tiempo UTC. Dado que el servicio de protección se ejecuta en varios servidores en varios centros de datos, a veces los registros pueden parecer estar fuera de secuencia, incluso cuando se ordenan por su marca de tiempo. Sin embargo, la diferencia es pequeña y normalmente se encuentra en un minuto. En la mayoría de los casos, este no es un problema que sería un problema para el análisis del registro.
El formato blob
Cada blob tiene el formato de registro extendido W3C. Comienza con las dos líneas siguientes:
#Software: RMS
#Version: 1.1
La primera línea identifica que se trata de registros de protección de Azure Information Protection. La segunda línea identifica que el resto del blob sigue a la especificación de la versión 1.1. Le recomendamos que todas las aplicaciones que analizan estos registros comprueben estas dos líneas antes de continuar analizando el resto del blob.
La tercera línea enumera una lista de nombres de campo separados por tabulaciones:
#Fields: date time row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user
Cada una de las líneas siguientes es un registro. Los valores de los campos están en el mismo orden que la línea anterior y están separados por tabulaciones. Use la tabla siguiente para interpretar los campos.
| Nombre de campo | Tipo de datos W3C | Descripción | Valor de ejemplo |
|---|---|---|---|
| Fecha | Fecha | Fecha UTC en la que se ha servido la solicitud. El origen es el reloj local del servidor que atendió la solicitud. |
2013-06-25 |
| hora | Hora | Hora UTC en formato de 24 horas cuando se ha servido la solicitud. El origen es el reloj local del servidor que atendió la solicitud. |
21:59:28 |
| id. de fila | Texto | GUID único para este registro de registro. Si un valor no está presente, use el valor de id. de correlación para identificar la entrada. Este valor es útil cuando agrega registros o copia registros en otro formato. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
| tipo de solicitud | Nombre | Nombre de la API de RMS que se solicitó. | AcquireLicense |
| id. de usuario | Cadena | El usuario que realizó la solicitud. El valor se incluye entre comillas simples. Las llamadas desde una clave de inquilino administrada por usted (BYOK) tienen un valor de ", que también se aplica cuando los tipos de solicitud son anónimos. |
‘joe@contoso.com’ |
| Resultado | Cadena | "Correcto" si la solicitud se ha cumplido. El tipo de error entre comillas simples si se produce un error en la solicitud. |
'Éxito' |
| id. de correlación | Texto | GUID que es común entre el registro de cliente rms y el registro del servidor para una solicitud determinada. Este valor puede ser útil para ayudar a solucionar problemas de los clientes. |
cab52088-8925-4371-be34-4b71a3112356 |
| content-id | Texto | GUID, entre llaves que identifica el contenido protegido (por ejemplo, un documento). Este campo solo tiene un valor si tipo de solicitud es AcquireLicense y está en blanco para el resto de tipos de solicitud. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
| correo electrónico del propietario | Cadena | Dirección de correo electrónico del propietario del documento. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
alice@contoso.com |
| Emisor | Cadena | Dirección de correo electrónico del emisor del documento. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
alice@contoso.com (o) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
| id. de plantilla | Cadena | Identificador de la plantilla usada para proteger el documento. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
| nombre de archivo | Cadena | Nombre de archivo de un documento protegido al que se realiza un seguimiento con el cliente de Azure Information Protection para Windows. Actualmente, algunos archivos (como Office documentos) se muestran como GUID en lugar del nombre de archivo real. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
TopSecretDocument.docx |
| fecha de publicación | Fecha | Fecha en la que se protegió el documento. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
2015-10-15T21:37:00 |
| c-info | Cadena | Información sobre la plataforma del cliente que realiza la solicitud. La cadena específica varía, dependiendo de la aplicación (por ejemplo, el sistema operativo o el explorador). |
'MSIPC;version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86;OSName=Windows;OSVersion=6.1.7601;OSArch=amd64' |
| c-ip | Dirección | Dirección IP del cliente que realiza la solicitud. | 64.51.202.144 |
| admin-action | Bool | Si un administrador ha accedido al sitio de seguimiento de documentos en modo administrador. | Verdad |
| actuar como usuario | Cadena | La dirección de correo electrónico del usuario al que un administrador tiene acceso al sitio de seguimiento de documentos. | 'joe@contoso.com' |
Excepciones para el campo user-id
Aunque el campo user-id normalmente indica el usuario que realizó la solicitud, hay dos excepciones en las que el valor no se asigna a un usuario real:
El valor 'microsoftrmsonline@<YourTenantID.rms>.< region.aadrm.com>'.
Esto indica que un servicio Office 365, como Exchange Online o Microsoft SharePoint, está realizando la solicitud. En la cadena, <YourTenantID> es el GUID de su inquilino y <la región> es la región donde está registrado el inquilino. Por ejemplo, na representa Norteamérica, eu representa Europa y ap representa Asia.
Si usa el conector RMS.
Las solicitudes de este conector se registran con el nombre principal de servicio de Aadrm_S-1-7-0, que se genera automáticamente al instalar el conector RMS.
Tipos de solicitud típicos
Hay muchos tipos de solicitudes para el servicio de protección, pero en la tabla siguiente se identifican algunos de los tipos de solicitud más usados.
| Tipo de solicitud | Descripción |
|---|---|
| AcquireLicense | Un cliente de un equipo basado en Windows solicita una licencia para el contenido protegido. |
| AcquirePreLicense | Un cliente, en nombre del usuario, solicita una licencia para el contenido protegido. |
| AcquireTemplates | Se realizó una llamada para adquirir plantillas basadas en identificadores de plantilla |
| AcquireTemplateInformation | Se realizó una llamada para obtener los identificadores de la plantilla del servicio. |
| AddTemplate | Se realiza una llamada desde la Azure Portal para agregar una plantilla. |
| AllDocsCsv | Se realiza una llamada desde el sitio de seguimiento de documentos para descargar el archivo CSV desde la página Todos los documentos . |
| BECreateEndUserLicenseV1 | Se realiza una llamada desde un dispositivo móvil para crear una licencia para el usuario final. |
| BEGetAllTemplatesV1 | Se realiza una llamada desde un dispositivo móvil (back-end) para obtener todas las plantillas. |
| Certificar | El cliente certifica al usuario para el consumo y la creación de contenido protegido. |
| FECreateEndUserLicenseV1 | Similar a la solicitud AcquireLicense, pero desde dispositivos móviles. |
| FECreatePublishingLicenseV1 | Igual que las combinadas Certify y GetClientLicensorCert, de clientes móviles. |
| FEGetAllTemplates | Se realiza una llamada desde un dispositivo móvil (front-end) para obtener las plantillas. |
| FindServiceLocationsForUser | Se realiza una llamada para consultar las direcciones URL, que se usan para llamar a Certify o AcquireLicense. |
| GetClientLicensorCert | El cliente solicita un certificado de publicación (que se usará más adelante para proteger el contenido) de un equipo basado en Windows. |
| GetConfiguration | Se llama a un cmdlet de Azure PowerShell para obtener la configuración del inquilino de Azure RMS. |
| GetConnectorAuthorizations | Se realiza una llamada desde los conectores RMS para obtener su configuración desde la nube. |
| Obtener a los máscipientes | Se realiza una llamada desde el sitio de seguimiento de documentos para ir a la vista de lista de un solo documento. |
| GetTenantFunctionalState | El Azure Portal comprueba si el servicio de protección (Azure Rights Management) está activado. |
| KeyVaultDecryptRequest | El cliente está intentando descifrar el contenido protegido por RMS. Solo se aplica a una clave de inquilino administrada por el cliente (BYOK) en Azure Key Vault. |
| KeyVaultGetKeyInfoRequest | Se realiza una llamada para comprobar que la clave especificada para usar en Azure Key Vault para la clave de inquilino de Azure Information Protection es accesible y aún no se usa. |
| KeyVaultSignDigest | Se realiza una llamada cuando se usa una clave administrada por el cliente (BYOK) en Azure Key Vault con fines de firma. Normalmente, esto se llama una vez por AcquireLicence (o FECreateEndUserLicenseV1), Certify y GetClientLicensorCert (o FECreateingLicenseV1). |
| KMSPDecrypt | El cliente está intentando descifrar el contenido protegido por RMS. Solo se aplica a una clave de inquilino administrada por el cliente (BYOK) heredada. |
| KMSPSignDigest | Se realiza una llamada cuando se usa una clave heredada administrada por el cliente (BYOK) con fines de firma. Normalmente, esto se llama una vez por AcquireLicence (o FECreateEndUserLicenseV1), Certify y GetClientLicensorCert (o FECreateingLicenseV1). |
| ServerCertify | Se realiza una llamada desde un cliente habilitado para RMS (por ejemplo, SharePoint) para certificar el servidor. |
| SetUsageLogFeatureState | Se realiza una llamada para habilitar el registro de uso. |
| SetUsageLogStorageAccount | Se realiza una llamada para especificar la ubicación de los registros de servicio de Azure Rights Management. |
| UpdateTemplate | Se realiza una llamada desde la Azure Portal para actualizar una plantilla existente. |
Referencia de PowerShell
El único cmdlet de PowerShell que necesita para obtener acceso al registro de uso de protección es Get-AipServiceUserLog.
Para obtener más información sobre el uso de PowerShell para Azure Information Protection, vea Administrar la protección de Azure Information Protection mediante PowerShell.