Informes centrales para Azure Information ProtectionCentral reporting for Azure Information Protection

Se aplica a: Azure Information ProtectionApplies to: Azure Information Protection

Nota

Esta característica se encuentra actualmente en versión preliminar y está sujeta a cambios.This feature is currently in preview and subject to change.

Use Azure Information Protection Analytics para informes centrales que le ayuden a realizar un seguimiento de la adopción de las etiquetas que clasifican y protegen los datos de su organización.Use Azure Information Protection analytics for central reporting to help you track the adoption of your labels that classify and protect your organization's data. Además:In addition:

  • Supervise los documentos y correos electrónicos protegidos y con etiquetas en toda la organización.Monitor labeled and protected documents and emails across your organization

  • Identifique los documentos que contienen información confidencial dentro de la organización.Identify documents that contain sensitive information within your organization

  • Supervise el acceso de los usuarios a documentos y correos electrónicos con etiquetas y haga seguimiento de los cambios en la clasificación de los documentos.Monitor user access to labeled documents and emails, and track document classification changes.

  • Identifique los documentos con información confidencial que podrían poner en riesgo a la organización si no están protegidos y mitigue el riesgo con las recomendaciones siguientes.Identify documents that contain sensitive information that might be putting your organization at risk if they are not protected, and mitigate your risk by following recommendations.

  • Identifique Cuándo los usuarios internos o externos acceden a los documentos protegidos desde equipos Windows y si se concedió o denegó el acceso.Identify when protected documents are accessed by internal or external users from Windows computers, and whether access was granted or denied.

Los datos que ve se agregan desde el Azure Information Protection clientes y escáneres, desde Microsoft Cloud App Security, desde equipos con Windows 10 mediante protección contra amenazas avanzada de Microsoft defender y desde registros de uso de protección.The data that you see is aggregated from your Azure Information Protection clients and scanners, from Microsoft Cloud App Security, from Windows 10 computers using Microsoft Defender Advanced Threat Protection, and from protection usage logs.

Por ejemplo, podrá ver lo siguiente:For example, you'll be able to see the following:

  • Desde Usage report (Informe de uso), donde puede seleccionar un período de tiempo:From the Usage report, where you can select a time period:

    • Qué etiquetas se aplicanWhich labels are being applied

    • Cuántos documentos y correos electrónicos se etiquetanHow many documents and emails are being labeled

    • Cuántos documentos y correos electrónicos se protegenHow many documents and emails are being protected

    • Cuántos usuarios y dispositivos están etiquetando documentos y correos electrónicosHow many users and how many devices are labeling documents and emails

    • Qué aplicaciones se usan para el etiquetadoWhich applications are being used for labeling

  • Desde Registros de actividades, donde puede seleccionar un período de tiempo:From the Activity logs, where you can select a time period:

    • Qué acciones de etiquetado se realizaron por un usuario específicoWhat labeling actions were performed by a specific user

    • Qué acciones de etiquetado se realizaron desde un dispositivo específicoWhat labeling actions were performed from a specific device

    • Qué usuarios han tenido acceso a un documento etiquetado específicoWhich users have accessed a specific labeled document

    • Qué acciones de etiquetado se realizaron para una ruta de acceso de archivos específicaWhat labeling actions were performed for a specific file path

    • Qué acciones de etiqueta fueron realizadas por una aplicación específica, como el explorador de archivos, haga clic con el botón derecho, PowerShell, el escáner o Microsoft Cloud App SecurityWhat labeling actions were performed by a specific application, such File Explorer and right-click, PowerShell, the scanner, or Microsoft Cloud App Security

    • Los usuarios a los que se correctamente los documentos protegidos o denegó el acceso a los usuarios, incluso si esos usuarios no tienen el cliente de Azure Information Protection instalado o están fuera de la organizaciónWhich protected documents were accessed successfully by users or denied access to users, even if those users don't have the Azure Information Protection client installed or are outside your organization

    • Explore en profundidad los archivos notificados para ver los detalles de actividad y conocer información adicionalDrill down into reported files to view Activity Details for additional information

  • Desde el informe Data discovery (Detección de datos):From the Data discovery report:

    • Qué archivos se encuentran en los repositorios de datos digitalizados, equipos con Windows 10 o equipos que ejecutan los clientes de Azure Information ProtectionWhat files are on your scanned data repositories, Windows 10 computers, or computers running the Azure Information Protection clients

    • Qué archivos están etiquetados y protegidos, y la ubicación de los archivos por etiquetasWhich files are labeled and protected, and the location of files by labels

    • Qué archivos contienen información confidencial para categorías conocidas, como datos financieros e información personal, y la ubicación de los archivos por estas categoríasWhich files contain sensitive information for known categories, such as financial data and personal information, and the location of files by these categories

  • Desde el informe Recomendaciones:From the Recommendations report:

    • Identifique qué archivos desprotegidos contienen un tipo conocido de información confidencial.Identify unprotected files that contain a known sensitive information type. Una recomendación permite configurar inmediatamente la condición correspondiente para una de las etiquetas a fin de aplicar el etiquetado automático o recomendado.A recommendation lets you immediately configure the corresponding condition for one of your labels to apply automatic or recommended labeling.

      Si sigue la recomendación: la próxima vez que un usuario abra o Azure Information Protection examine los archivos, los archivos se pueden clasificar y proteger automáticamente.If you follow the recommendation: The next time the files are opened by a user or scanned by the Azure Information Protection scanner, the files can be automatically classified and protected.

    • Consulte qué repositorios de datos tienen archivos con información confidencial identificada, pero Azure Information Protection no está examinando.Which data repositories have files with identified sensitive information but are not being scanned by the Azure Information Protection. Una recomendación permite agregar inmediatamente el almacén de datos identificado a uno de los perfiles del analizador.A recommendation lets you immediately add the identified data store to one of your scanner's profiles.

      Si sigue la recomendación: en el siguiente ciclo del escáner, los archivos se pueden clasificar y proteger automáticamente.If you follow the recommendation: On the next scanner cycle, the files can be automatically classified and protected.

Los informes usan Azure Monitor para almacenar los datos en un área de trabajo de Log Analytics de su organización.The reports use Azure Monitor to store the data in a Log Analytics workspace that your organization owns. Si está familiarizado con el lenguaje de consulta, puede modificar las consultas y crear nuevos informes y paneles de Power BI.If you're familiar with the query language, you can modify the queries, and create new reports and Power BI dashboards. Puede que le resulte útil el siguiente tutorial para comprender el lenguaje de consulta: Introducción a las consultas de registro de Azure monitor.You might find the following tutorial helpful to understand the query language: Get started with Azure Monitor log queries.

Para más información, lea las siguientes entradas de blog:For more information, read the following blog posts:

Información recopilada y enviada a MicrosoftInformation collected and sent to Microsoft

Para generar estos informes, los puntos de conexión envían los siguientes tipos de información a Microsoft:To generate these reports, endpoints send the following types of information to Microsoft:

  • La acción de la etiqueta.The label action. Por ejemplo, establecer una etiqueta, cambiar una etiqueta, agregar o quitar la protección, etiquetas automáticas y recomendadas.For example, set a label, change a label, add or remove protection, automatic and recommended labels.

  • El nombre de etiqueta antes y después de la acción de la etiqueta.The label name before and after the label action.

  • El identificador del inquilino de la organización.Your organization's tenant ID.

  • El identificador de usuario (dirección de correo electrónico o UPN).The user ID (email address or UPN).

  • El nombre del dispositivo del usuario.The name of the user's device.

  • Para documentos: la ruta de acceso y el nombre de archivo de los documentos etiquetados.For documents: The file path and file name of documents that are labeled.

  • Para correos electrónicos: el asunto del correo electrónico y el remitente del correo electrónico para los correos electrónicos que se etiquetan.For emails: The email subject and email sender for emails that are labeled.

  • Los tipos de información confidencial (predefinidos y personalizados) que se han detectado en el contenido.The sensitive information types (predefined and custom) that were detected in content.

  • La versión del cliente de Azure Information Protection.The Azure Information Protection client version.

  • La versión del sistema operativo cliente.The client operating system version.

Esta información se almacena en un área de trabajo de Azure Log Analytics de su organización y los usuarios con derechos de acceso a ella pueden verla de forma independiente de Azure Information Protection.This information is stored in an Azure Log Analytics workspace that your organization owns and can be viewed independently from Azure Information Protection by users who have access rights to this workspace. Para más información, consulte la sección Permisos requeridos para el análisis de Azure Information Protection.For details, see the Permissions required for Azure Information Protection analytics section. Para obtener información sobre cómo administrar el acceso al área de trabajo, vea la sección sobre la administración del acceso al área de trabajo de Log Analytics mediante permisos de Azure de la documentación de Azure.For information about managing access to your workspace, see the Manage access to Log Analytics Workspace using Azure permissions section from the Azure documentation.

Para evitar que los clientes de Azure Information Protection (clásico) envíen estos datos, establezca la configuración de directiva de enviar datos de auditoría a Azure Information Protection Analytics en OFF:To prevent Azure Information Protection clients (classic) from sending this data, set the policy setting of Send audit data to Azure Information Protection analytics to Off:

  • Para que la mayoría de los usuarios envíen estos datos y un subconjunto de usuarios no puede enviar los datos de auditoría:For most users to send this data and a subset of users cannot send auditing data:

    • Establezca enviar datos de auditoría a Azure Information Protection Analytics en OFF en una directiva con ámbito para el subconjunto de usuarios.Set Send audit data to Azure Information Protection analytics to Off in a scoped policy for the subset of users. Esta configuración es típica en los escenarios de producción.This configuration is typical for production scenarios.
  • Para que solo un subconjunto de usuarios envíe datos de auditoría:For only a subset of users to send auditing data:

    • Establezca enviar datos de auditoría a Azure Information Protection Analytics en OFF en la directiva global y en una directiva con ámbito para el subconjunto de usuarios.Set Send audit data to Azure Information Protection analytics to Off in the global policy, and On in a scoped policy for the subset of users. Esta configuración es típica en los escenarios de prueba.This configuration is typical for testing scenarios.

Para evitar que Azure Information Protection clientes unificados envíen estos datos, configure una Configuración avanzadade directiva de etiqueta.To prevent Azure Information Protection unified clients from sending this data, configure a label policy advanced setting.

Coincidencias de contenido para un análisis más profundoContent matches for deeper analysis

Azure Information Protection le permite recopilar y almacenar los datos reales que se identifican como un tipo de información confidencial (predefinido o personalizado).Azure Information Protection lets you collect and store the actual data that's identified as being a sensitive information type (predefined or custom). Por ejemplo, esto puede incluir números de tarjeta de crédito que se encuentran, así como números de la seguridad social, números de pasaportes y números de cuentas bancarias.For example, this can include credit card numbers that are found, as well as social security numbers, passport numbers, and bank account numbers. Las coincidencias de contenido se muestran al seleccionar una entrada de los registros de actividady ver los detalles de la actividad.The content matches are displayed when you select an entry from Activity logs, and view the Activity Details.

De forma predeterminada, los clientes Azure Information Protection no envían coincidencias de contenido.By default, Azure Information Protection clients don't send content matches. Para cambiar este comportamiento de modo que se envíen coincidencias de contenido:To change this behavior so that content matches are sent:

  • En el caso del cliente clásico, seleccione una casilla como parte de la configuración de análisis de Azure Information Protection.For the classic client, select a checkbox as part of the configuration for Azure Information Protection analytics. La casilla se denomina permitir un análisis más profundo de los datos confidenciales.The checkbox is named Enable deeper analytics into your sensitive data.

    Si desea que la mayoría de los usuarios que usan este cliente envíen coincidencias de contenido pero un subconjunto de usuarios no pueden enviar coincidencias de contenido, active la casilla y, a continuación, configure una configuración de cliente avanzada en una directiva con ámbito para el subconjunto de usuarios.If you want most users who are using this client to send content matches but a subset of users cannot send content matches, select the checkbox and then configure an advanced client setting in a scoped policy for the subset of users.

  • Para el cliente de etiquetado unificado, configure una Configuración avanzada en una directiva de etiqueta.For the unified labeling client, configure an advanced setting in a label policy.

Requisitos previosPrerequisites

Para ver los informes de Azure Information Protection y crear los suyos propios, asegúrese de que se hayan satisfecho los siguientes requisitos previos.To view the Azure Information Protection reports and create your own, make sure that the following requirements are in place.

RequisitosRequirement Información adicionalMore information
Una suscripción de Azure que incluye Log Analytics y que es para el mismo inquilino que Azure Information ProtectionAn Azure subscription that includes Log Analytics and that is for the same tenant as Azure Information Protection Consulte la página de precios de Azure Monitor.See the Azure Monitor pricing page.

Si no tiene una suscripción a Azure o actualmente no usa Azure Log Analytics, la página de precios incluye un vínculo a una evaluación gratuita.If you don't have an Azure subscription or you don't currently use Azure Log Analytics, the pricing page includes a link for a free trial.
Para notificar información de los clientes de etiquetado:For reporting information from labeling clients:

-Azure Information Protection clientes- Azure Information Protection clients
Se admiten tanto el cliente de etiquetado unificado como el cliente clásico.Both the unified labeling client and the classic client are supported.

Si aún no está instalado, puede descargar e instalar estos clientes desde el centro de descarga de Microsoft.If not already installed, you can download and install these clients from the Microsoft Download Center.
Para notificar información de almacenes de datos basados en la nube:For reporting information from cloud-based data stores:

-Microsoft Cloud App Security- Microsoft Cloud App Security
Para mostrar información desde Microsoft Cloud App Security, configure la integración de Azure Information Protection.To display information from Microsoft Cloud App Security, configure Azure Information Protection integration.
Para notificar información de almacenes de datos locales:For reporting information from on-premises data stores:

-Azure Information Protection escáner- Azure Information Protection scanner
Para obtener instrucciones de instalación del analizador, consulte Implementación del analizador de Azure Information Protection para clasificar y proteger automáticamente los archivos.For installation instructions for the scanner, see Deploying the Azure Information Protection scanner to automatically classify and protect files.
Para notificar información de los equipos con Windows 10:For reporting information from Windows 10 computers:

-Compilación mínima de 1809 con protección contra amenazas avanzada de Microsoft defender (ATP de Microsoft defender)- Minimum build of 1809 with Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP)
Debe habilitar la característica de integración de Azure Information Protection de Microsoft defender Security Center.You must enable the Azure Information Protection integration feature from Microsoft Defender Security Center. Para obtener más información, vea información general sobre la protección de información en Windows.For more information, see Information protection in Windows overview.

Permisos requeridos para el análisis de Azure Information ProtectionPermissions required for Azure Information Protection analytics

Específico del análisis de Azure Information Protection, después de haber configurado el área de trabajo de Azure Log Analytics, puede usar el rol de administrador de Azure AD de Lector de seguridad como alternativa a los otros roles de Azure AD que admiten la administración de Azure Information Protection en Azure Portal.Specific to Azure Information Protection analytics, after you have configured your Azure Log Analytics workspace, you can use the Azure AD administrator role of Security Reader as an alternative to the other Azure AD roles that support managing Azure Information Protection in the Azure portal.

Como esta característica usa Supervisión de Azure, el control de acceso basado en rol (RBAC) para Azure también controla el acceso al área de trabajo.Because this feature uses Azure Monitoring, role-based access control (RBAC) for Azure also controls access to your workspace. Por lo tanto, necesitará un rol de Azure, así como un rol de administrador de Azure AD para administrar los análisis de Azure Information Protection.You therefore need an Azure role as well as an Azure AD administrator role to manage Azure Information Protection analytics. Si está familiarizado con los roles de Azure, le resultará útil leer Diferencias entre los roles de RBAC de Azure y los roles de administrador de Azure AD.If you're new to Azure roles, you might find it useful to read Differences between Azure RBAC roles and Azure AD administrator roles.

Detalles:Details:

  1. Uno de los siguientes roles de administrador de Azure ad para tener acceso al panel de Azure Information Protection Analytics:One of the following Azure AD administrator roles to access the Azure Information Protection analytics pane:

    • Para crear un área de trabajo de Log Analytics o consultas personalizadas:To create your Log Analytics workspace or to create custom queries:

      • Administrador de Azure Information ProtectionAzure Information Protection administrator
      • Administrador de seguridadSecurity administrator
      • Administrador de cumplimientoCompliance administrator
      • Administrador de datos de cumplimientoCompliance data administrator
      • Administrador globalGlobal administrator
    • Una vez creado el área de trabajo, puede usar los siguientes roles con menos permisos para ver los datos recopilados:After the workspace has been created, you can then use the following roles with fewer permissions to view the data collected:

      • Lector de seguridadSecurity reader
      • Lector globalGlobal reader

    Nota

    No se puede usar el rol de administrador de Azure Information Protection o el rol de lector global si el inquilino está en la plataforma de etiquetado unificada.You cannot use the Azure Information Protection administrator role or the Global reader role if your tenant is on the unified labeling platform.

  2. Además, necesita uno de los roles de Azure Log Analytics siguientes o los roles de Azure estándar para acceder al área de trabajo de Azure Log Analytics:In addition, you need one of the following Azure Log Analytics roles or standard Azure roles to access your Azure Log Analytics workspace:

    • Para crear el área de trabajo o consultas personalizadas, debe tener uno de los siguientes elementos:To create the workspace or to create custom queries, one of the following:

      • Colaborador de Log AnalyticsLog Analytics Contributor
      • ColaboradorContributor
      • PropietarioOwner
    • Una vez que se crea el área de trabajo, puede usar uno de estos roles con menos permisos para ver los datos recopilados:After the workspace has been created, you can then use one of the following roles with fewer permissions to view the data collected:

      • Lector de Log AnalyticsLog Analytics Reader
      • LectorReader

Roles mínimos para ver los informesMinimum roles to view the reports

Después de haber configurado el área de trabajo para el análisis de Azure Information Protection, los roles mínimos necesarios para ver los informes de análisis de Azure Information Protection son estos dos:After you have configured your workspace for Azure Information Protection analytics, the minimum roles needed to view the Azure Information Protection analytics reports are both of the following:

  • Rol de administrador de Azure AD: lector de seguridadAzure AD administrator role: Security reader
  • Rol de Azure: lector de log AnalyticsAzure role: Log Analytics Reader

Sin embargo, una asignación de roles típica para muchas organizaciones es el rol de Azure AD de Lector de seguridad y el rol de Azure de Lector.However, a typical role assignment for many organizations is the Azure AD role of Security reader and the Azure role of Reader.

Requisitos de almacenamiento y retención de datosStorage requirements and data retention

La cantidad de datos recopilados y almacenados en el área de trabajo de Azure Information Protection variará significativamente para cada inquilino, en función de factores como el número de clientes Azure Information Protection y otros puntos de conexión admitidos que tenga, tanto si está recopilación de datos de detección de extremos, ha implementado escáneres, el número de documentos protegidos a los que se tiene acceso, etc.The amount of data collected and stored in your Azure Information Protection workspace will vary significantly for each tenant, depending on factors such as how many Azure Information Protection clients and other supported endpoints you have, whether you're collecting endpoint discovery data, you've deployed scanners, the number of protected documents that are accessed, and so on.

Sin embargo, como punto de partida, puede que le resulte útil la siguiente estimación:However, as a starting point, you might find the following estimates useful:

  • Solo para los datos de auditoría generados por Azure Information Protection clientes: 2 GB por 10.000 usuarios activos al mes.For audit data generated by Azure Information Protection clients only: 2 GB per 10,000 active users per month.

  • Para los datos de auditoría generados por Azure Information Protection clientes, escáneres y ATP de Microsoft defender: 20 GB por 10.000 usuarios activos al mes.For audit data generated by Azure Information Protection clients, scanners, and Microsoft Defender ATP: 20 GB per 10,000 active users per month.

Si usa el etiquetado obligatorio o ha configurado una etiqueta predeterminada para la mayoría de los usuarios, es probable que las tarifas sean mucho mayores.If you use mandatory labeling or you've configured a default label for most users, your rates are likely to be significantly higher.

Azure Monitor registros tiene una característica de uso y costos estimados para ayudarle a estimar y revisar la cantidad de datos almacenados, y también puede controlar el período de retención de datos para el área de trabajo log Analytics.Azure Monitor Logs has a Usage and estimated costs feature to help you estimate and review the amount of data stored, and you can also control the data retention period for your Log Analytics workspace. Para obtener más información, vea administrar el uso y los costos con registros de Azure monitor.For more information, see Manage usage and costs with Azure Monitor Logs.

Configuración de un área de trabajo de Log Analytics para los informesConfigure a Log Analytics workspace for the reports

  1. Si aún no lo ha hecho, abra una nueva ventana del explorador e inicie sesión en Azure Portal con una cuenta que tenga los permisos necesarios para el análisis de Azure Information Protection.If you haven't already done so, open a new browser window and sign in to the Azure portal with an account that has the permissions required for Azure Information Protection analytics. A continuación, vaya al panel Azure Information Protection .Then navigate to the Azure Information Protection pane.

    Por ejemplo, en el cuadro de búsqueda de recursos, servicios y documentos: comience a escribir información y seleccione Azure Information Protection.For example, in the search box for resources, services, and docs: Start typing Information and select Azure Information Protection.

  2. Busque las opciones de menú Administrar y seleccione Configurar análisis (versión preliminar) .Locate the Manage menu options, and select Configure analytics (Preview).

  3. En el panel Azure Information Protection log Analytics , verá una lista de las áreas de trabajo de log Analytics que son propiedad del inquilino.On the Azure Information Protection log analytics pane, you see a list of any Log Analytics workspaces that are owned by your tenant. Realice una de las acciones siguientes:Do one of the following:

    • Para crear un nuevo área de trabajo de Log Analytics: seleccione crear nuevo áreade trabajo y, en el panel del área de trabajo de log Analytics , proporcione la información solicitada.To create a new Log Analytics workspace: Select Create new workspace, and on the Log analytics workspace pane, supply the requested information.

    • Para usar un área de trabajo de Log Analytics existente, selecciónela de la lista.To use an existing Log Analytics workspace: Select the workspace from the list.

    Si necesita ayuda para crear el área de trabajo de Log Analytics, vea Creación de un área de trabajo de Log Analytics en Azure Portal.If you need help with creating the Log Analytics workspace, see Create a Log Analytics workspace in the Azure portal.

  4. Si tiene Azure Information Protection clientes (clásico), active la casilla Habilitar el análisis más profundo de los datos confidenciales si desea almacenar los datos reales que se identifican como un tipo de información confidencial.If you have Azure Information Protection clients (classic), select the checkbox Enable deeper analytics into your sensitive data if you want to store the actual data that's identified as being a sensitive information type. Para obtener más información acerca de esta configuración, consulte la sección coincidencias de contenido para análisis más profundos de esta página.For more information about this setting, see the Content matches for deeper analysis section on this page.

  5. Seleccione Aceptar.Select OK.

Una vez configurado el área de trabajo, haga lo siguiente si publica etiquetas de confidencialidad en uno de los siguientes centros de administración: Office 365 Centro de seguridad y cumplimiento, Microsoft 365 Security Center, Microsoft 365 centro de cumplimiento:After the workspace is configured, do the following if you publish sensitivity labels in one of the following management centers: Office 365 Security & Compliance Center, Microsoft 365 security center, Microsoft 365 compliance center:

  • En el Azure Portal vaya a Azure Information Protection > administrarlaetiqueta unificada > y seleccione publicar.In the Azure portal go to Azure Information Protection > Manage > Unified labeling, and select Publish.

    Seleccione esta opción de publicación cada vez que realice un cambio de etiquetado (crear, modificar, eliminar) en el centro de etiquetado.Select this Publish option every time you make a labeling change (create, modify, delete) in your labeling center.

Ahora está listo para ver los informes.You're now ready to view the reports.

Cómo ver los informesHow to view the reports

En el panel Azure Information Protection, busque las opciones del menú paneles y seleccione una de las siguientes opciones:From the Azure Information Protection pane, locate the Dashboards menu options, and select one of the following options:

  • Informe de uso (versión preliminar) : use este informe para ver cómo se usan las etiquetas.Usage report (Preview): Use this report to see how your labels are being used.

  • Registros de actividades (versión preliminar) : use este informe para ver las acciones de etiquetado de los usuarios, y en dispositivos y rutas de acceso de archivos.Activity logs (Preview): Use this report to see labeling actions from users, and on devices and file paths. Además, en el caso de los documentos protegidos, puede ver los intentos de acceso (correctos o denegados) para los usuarios tanto dentro como fuera de la organización, incluso si no tienen el cliente de Azure Information Protection instalado.In addition, for protected documents, you can see access attempts (successful or denied) for users both inside and outside your organization, even if they don't have the Azure Information Protection client installed

    Este informe tiene una opción Columnas que le permite mostrar más información de actividad que la visualización predeterminada.This report has a Columns option that lets you display more activity information than the default display. También puede ver más detalles sobre un archivo si lo selecciona para mostrar los detalles de actividad.You can also see more details about a file by selecting it to display Activity Details.

  • Detección de datos (versión preliminar) : Use este informe para ver información acerca de los archivos etiquetados encontrados por los escáneres y los puntos de conexión admitidos.Data discovery (Preview): Use this report to see information about labeled files found by scanners and supported endpoints.

    Sugerencia: a partir de la información recopilada, puede que los usuarios tengan acceso a los archivos que contienen información confidencial de la ubicación que no ha conocido o que no están explorando actualmente:Tip: From the information collected, you might find users accessing files that contain sensitive information from location that you didn't know about or aren't currently scanning:

    • Si las ubicaciones son locales, considere la posibilidad de agregarlas como repositorios de datos adicionales para el analizador de Azure Information Protection.If the locations are on-premises, consider adding the locations as additional data repositories for the Azure Information Protection scanner.
    • Si las ubicaciones se encuentran en la nube, considere la posibilidad de usar Microsoft Cloud App Security para administrarlas.If the locations are in the cloud, consider using Microsoft Cloud App Security to manage them.
  • Recomendaciones (versión preliminar) : Use este informe para identificar los archivos que tienen información confidencial y mitigar el riesgo siguiendo las recomendaciones.Recommendations (Preview): Use this report to identify files that have sensitive information and mitigate your risk by following the recommendations.

    Al seleccionar un elemento, la opción Ver datos muestra las actividades de auditoría que desencadenaron la recomendación.When you select an item, the View data option displays the audit activities that triggered the recommendation.

Modificación de informes y creación de consultas personalizadasHow to modify the reports and create custom queries

Seleccione el icono de consulta en el panel para abrir un panel de búsqueda de registros :Select the query icon in the dashboard to open a Log Search pane:

Icono de Log Analytics para personalizar los informes de Azure Information Protection

Los datos registrados de Azure Information Protection se almacenan en la tabla siguiente: InformationProtectionLogs_CLThe logged data for Azure Information Protection is stored in the following table: InformationProtectionLogs_CL

Cuando cree sus propias consultas, use los nombres de esquemas descriptivos que se implementaron como funciones InformationProtectionEvents.When you create your own queries, use the friendly schema names that have been implemented as InformationProtectionEvents functions. Estas funciones derivan de los atributos que son compatible con las consultas personalizadas(algunos atributos solo son para uso interno) y sus nombres no cambiarán con el tiempo, incluso si los atributos subyacentes cambian para realizar mejoras y funcionalidad nueva.These functions are derived from the attributes that are supported for custom queries (some attributes are for internal use only) and their names will not change over time, even if the underlying attributes change for improvements and new functionality.

Referencia de esquema descriptivo para funciones de eventoFriendly schema reference for event functions

Use la tabla siguiente para identificar el nombre descriptivo de las funciones de evento que puede usar para las consultas personalizadas con el análisis de Azure Information Protection.Use the following table to identify the friendly name of event functions that you can use for custom queries with Azure Information Protection analytics.

Nombre de columnaColumn name DescripciónDescription
TiempoTime Hora del evento: UTC en formato AAAA-MM-DDTHH: MM: SSEvent time: UTC in format YYYY-MM-DDTHH:MM:SS
UsuarioUser Usuario: formato UPN o dominio\usuarioUser: Format UPN or DOMAIN\USER
ItemPathItemPath Ruta de acceso del elemento completo o asunto del correo electrónicoFull item path or email subject
ItemNameItemName Nombre de archivo o asunto del correo electrónicoFile name or email subject
MétodoMethod Método asignado de etiqueta: manual, automático, recomendado, predeterminado u obligatorioLabel assigned method: Manual, Automatic, Recommended, Default, or Mandatory
ActividadActivity Actividad de auditoría: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection o NewCustomProtectionAudit activity: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection, or NewCustomProtection
EtiquetaLabelName Nombre de etiqueta (no localizado)Label name (not localized)
LabelNameBeforeLabelNameBefore Nombre de etiqueta antes del cambio (no localizado)Label name before change (not localized)
ProtectionTypeProtectionType Tipo de protección [JSON]Protection type [JSON]
{{
"Type": ["Template", "Custom", "DoNotForward"],"Type": ["Template", "Custom", "DoNotForward"],
"TemplateID": "GUID""TemplateID": "GUID"
}}
ProtectionBeforeProtectionBefore Tipo de protección antes del cambio [JSON]Protection type before change [JSON]
MachineNameMachineName FQDN si está disponible; en caso contrario, nombre de hostFQDN when available; otherwise host name
DeviceRiskDeviceRisk Puntuación de riesgo de dispositivo de WDATP cuando está disponibleDevice risk score from WDATP when available
PlataformaPlatform Plataforma de dispositivos (Win, OSX, Android, iOS)Device platform (Win, OSX, Android, iOS)
ApplicationNameApplicationName Nombre descriptivo de la aplicaciónApplication friendly name
AIPVersionAIPVersion Versión del cliente de Azure Information Protection que realizó la acción de auditoríaVersion of the Azure Information Protection client that performed the audit action
TenantIdTenantId El identificador del inquilino de Azure ADAzure AD tenant ID
AzureApplicationIdAzureApplicationId Azure AD ID. de aplicación registrado (GUID)Azure AD registered application ID (GUID)
CessnaProcessName Proceso que hospeda el SDK de MIPProcess that hosts MIP SDK
LabelIdLabelId GUID de etiqueta o nullLabel GUID or null
IsProtectedIsProtected Si está protegido: sí/noWhether protected: Yes/No
ProtectionOwnerProtectionOwner Rights Management propietario en formato UPNRights Management owner in UPN format
LabelIdBeforeLabelIdBefore Etiqueta GUID o NULL antes del cambioLabel GUID or null before change
InformationTypesAbove55InformationTypesAbove55 Se encontró una matriz JSON de SensitiveInformation en los datos con el nivel de confianza 55 o superior.JSON array of SensitiveInformation found in data with confidence level 55 or above
InformationTypesAbove65InformationTypesAbove65 Se encontró una matriz JSON de SensitiveInformation en los datos con el nivel de confianza 65 o superior.JSON array of SensitiveInformation found in data with confidence level 65 or above
InformationTypesAbove75InformationTypesAbove75 Se encontró una matriz JSON de SensitiveInformation en los datos con el nivel de confianza 75 o superior.JSON array of SensitiveInformation found in data with confidence level 75 or above
InformationTypesAbove85InformationTypesAbove85 Se encontró una matriz JSON de SensitiveInformation en los datos con el nivel de confianza 85 o superior.JSON array of SensitiveInformation found in data with confidence level 85 or above
InformationTypesAbove95InformationTypesAbove95 Se encontró una matriz JSON de SensitiveInformation en los datos con el nivel de confianza 95 o superior.JSON array of SensitiveInformation found in data with confidence level 95 or above
DiscoveredInformationTypesDiscoveredInformationTypes La matriz JSON de SensitiveInformation se encuentra en los datos y su contenido coincidente (si está habilitado), donde una matriz vacía significa que no se encontraron tipos de información y null significa que no hay información disponibleJSON array of SensitiveInformation found in data and their matched content (if enabled) where an empty array means no information types found, and null means no information available
ProtectedBeforeProtectedBefore Si el contenido se protegió antes del cambio: sí/noWhether the content was protected before change: Yes/No
ProtectionOwnerBeforeProtectionOwnerBefore Rights Management propietario antes del cambioRights Management owner before change
UserJustificationUserJustification Justificación al degradar o quitar una etiquetaJustification when downgrading or removing label
LastModifiedByLastModifiedBy Usuario en formato UPN que modificó el archivo por última vez.User in UPN format who last modified the file. Solo disponible para Office y SharePoint OnlineAvailable for Office and SharePoint Online only
LastModifiedDate & gtLastModifiedDate UTC en formato AAAA-MM-DDTHH: MM: SS: disponible solo para Office & SharePoint OnlineUTC in format YYYY-MM-DDTHH:MM:SS: Available for Office & SharePoint Online only

Ejemplos de uso de InformationProtectionEventsExamples using InformationProtectionEvents

Use los ejemplos siguientes para ver cómo podría usar el esquema descriptivo para crear consultas personalizadas.Use the following examples to see how you might use the friendly schema to create custom queries.

Ejemplo 1: devolver todos los usuarios que enviaron datos de auditoría en los últimos 31 díasExample 1: Return all users who sent audit data in the last 31 days
InformationProtectionEvents 
| where Time > ago(31d) 
| distinct User 
Ejemplo 2: devolver el número de etiquetas degradadas por día en los últimos 31 díasExample 2: Return the number of labels that were downgraded per day in the last 31 days
InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| summarize Label_Downgrades_per_Day = count(Activity) by bin(Time, 1d) 
 
Ejemplo 3: devolver el número de etiquetas degradadas de confidencialidad por usuario, en los últimos 31 díasExample 3: Return the number of labels that were downgraded from Confidential by user, in the last 31 days

InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| where LabelNameBefore contains "Confidential" and LabelName !contains "Confidential"  
| summarize Label_Downgrades_by_User = count(Activity) by User | sort by Label_Downgrades_by_User desc 

En este ejemplo, una etiqueta degrada se cuenta solo si el nombre de la etiqueta antes de la acción incluía el nombre Confidential (Confidencial) y el nombre de la etiqueta después de la acción no incluía Confidential (Confidencial).In this example, a downgraded label is counted only if the label name before the action contained the name Confidential and the label name after the action didn't contain the name of Confidential.

Pasos siguientesNext steps

Después de revisar la información de los informes, si usa el cliente de Azure Information Protection, podría decidir realizar cambios en la Directiva de Azure Information Protection.After reviewing the information in the reports, if you are using the Azure Information Protection client, you might decide to make changes to your Azure Information Protection policy. Para obtener instrucciones, consulte Configuración de la directiva de Azure Information Protection.For instructions, see Configuring the Azure Information Protection policy.

Si tiene una suscripción de Microsoft 365, también puede ver el uso de etiqueta en el centro de cumplimiento de Microsoft 365 y el centro de seguridad de Microsoft 365.If you have a Microsoft 365 subscription, you can also view label usage in the Microsoft 365 compliance center and Microsoft 365 security center. Para más información, consulte Ver el uso de etiquetas con el análisis de etiquetas.For more information, see View label usage with label analytics.