Análisis y informes centrales para Azure Information Protection (versión preliminar pública)

Se aplica a: Azure Information Protection

Relevante para:cliente de etiquetado unificado AIP y cliente clásico

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso a partir del 31 de marzo de 2021. Ya no se proporciona soporte técnico para las versiones clásicas de cliente y el mantenimiento ya no se lanzará.

El cliente clásico se retirará oficialmente y dejará de funcionar el 31 de marzo de 2022.

Todos los clientes del cliente clásico de Azure Information Protection actuales deben migrar Microsoft Information Protection la plataforma unificada de etiquetado y actualizar al cliente de etiquetado unificado. Más información en nuestro blog de migración.

En este artículo se describe cómo usar el análisis de Azure Information Protection (AIP) para informes centrales, lo que puede ayudarle a realizar un seguimiento de la adopción de las etiquetas que clasifican y protegen los datos de su organización.

Los análisis de AIP también le permiten realizar los pasos siguientes:

  • Supervisar documentos y correos electrónicos etiquetados y protegidos en toda la organización

  • Identificar documentos que contienen información confidencial dentro de su organización

  • Supervise el acceso de los usuarios a documentos y correos electrónicos etiquetados y realice un seguimiento de los cambios en la clasificación de documentos.

  • Identifique documentos que contengan información confidencial que pueda poner en riesgo su organización si no están protegidos y mitigue el riesgo siguiendo las recomendaciones.

  • Identifique cuándo los usuarios internos o externos acceden a documentos protegidos desde Windows equipos y si se ha concedido o denegado el acceso.

Los datos que ve se agregan de sus clientes y escáneres de Azure Information Protection, de Microsoft Defender para aplicaciones en la nube y de registros de uso de protección.

Azure Information Protection analytics para informes centrales se encuentra actualmente en PREVIEW. Los Términos complementarios de Azure Preview incluyen términos legales adicionales que se aplican a las características de Azure que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.

Datos de informes AIP

Por ejemplo, el análisis de Azure Information Protection para informes centrales muestra los siguientes datos:

Informe Datos de ejemplo mostrados
Informe de uso Seleccione un período de tiempo para mostrar cualquiera de los siguientes procedimientos:

- Qué etiquetas se están aplicando

- Cuántos documentos y correos electrónicos se etiquetan

- Cuántos documentos y correos electrónicos se protegen

- Cuántos usuarios y cuántos dispositivos etiquetan documentos y correos electrónicos

- Qué aplicaciones se usan para etiquetar
Registros de actividades Seleccione un período de tiempo para mostrar cualquiera de los siguientes procedimientos:

- Qué archivos detectados previamente por el escáner se eliminaron del repositorio digitalizado

- Qué acciones de etiquetado realizó un usuario específico

- Qué acciones de etiquetado se realizaron desde un dispositivo específico

- Qué usuarios han accedido a un documento etiquetado específico

- Qué acciones de etiquetado se realizaron para una ruta de acceso de archivo específica

- Qué acciones de etiquetado realizó una aplicación específica, como el Explorador de archivos y haga clic con el botón derecho, PowerShell, el escáner o Microsoft Defender para aplicaciones en la nube

- A qué documentos protegidos se ha accedido correctamente los usuarios o se les ha denegado el acceso a ellos, incluso si esos usuarios no tienen instalado el cliente de Azure Information Protection o están fuera de su organización

- Explorar en profundidad los archivos notificados para ver detalles de la actividad para obtener información adicional
Informe de detección de datos - Qué archivos están en los repositorios de datos digitalizados, Windows 10 o Windows 11 equipos o equipos que ejecutan los clientes de Azure Information Protection

- Qué archivos están etiquetados y protegidos, y la ubicación de los archivos por etiquetas

- Qué archivos contienen información confidencial para categorías conocidas, como datos financieros e información personal, y la ubicación de los archivos por estas categorías
Recomendaciones informe - Identificar archivos sin protección que contengan un tipo de información confidencial conocido. Una recomendación le permite configurar inmediatamente la condición correspondiente para que una de las etiquetas aplique el etiquetado automático o recomendado.
Si sigue la recomendación: la próxima vez que un usuario abra los archivos o los digitalizará el escáner de Azure Information Protection, los archivos se pueden clasificar y
proteger automáticamente.

- Qué repositorios de datos tienen archivos con información confidencial identificada pero que azure Information Protection no está analizando. Una recomendación le permite agregar inmediatamente el almacén de datos identificado a uno de los perfiles del escáner.
Si sigue la recomendación:En el siguiente ciclo de escáner, los archivos se pueden clasificar y proteger automáticamente.

Los informes usan Azure Monitor para almacenar los datos en un área de trabajo de Log Analytics que posee su organización. Si está familiarizado con el idioma de la consulta, puede modificar las consultas y crear nuevos informes y Power BI paneles. Es posible que el siguiente tutorial le sea útil para comprender el idioma de la consulta: Introducción a las consultas de registro de Azure Monitor.

Los registros de auditoría AIP pueden tardar hasta 24 horas en aparecer en el área de trabajo de Log Analytics.

Para obtener más información, vea Detección de datos, informes y análisisde todos los datos con Microsoft Information Protection .

Información recopilada y enviada a Log Analytics

Para generar estos informes, los puntos de conexión envían los siguientes tipos de información a Log Analytics del cliente:

  • La acción de etiqueta. Por ejemplo, establezca una etiqueta, cambie una etiqueta, agregue o quite la protección, las etiquetas automáticas y las recomendadas.

  • El nombre de la etiqueta antes y después de la acción de etiqueta.

  • Id. de inquilino de su organización.

  • El id. de usuario (dirección de correo electrónico o UPN).

  • El nombre del dispositivo del usuario.

  • La dirección IP del dispositivo del usuario.

  • El nombre del proceso relevante, como outlooko msip.app.

  • El nombre de la aplicación que realizó el etiquetado, como Outlook o el Explorador de archivos

  • Para documentos: la ruta de acceso de archivo y el nombre de archivo de los documentos etiquetados.

  • Para los correos electrónicos: el asunto del correo electrónico y el remitente de los correos electrónicos que están etiquetados.

  • Los tipos de información confidencial(predefinidos y personalizados) que se detectaron en el contenido.

  • La versión del cliente de Azure Information Protection.

  • La versión del sistema operativo cliente.

Esta información se almacena en un área de trabajo de Azure Log Analytics de la que es propietario su organización y los usuarios que tienen derechos de acceso a este área de trabajo pueden ver esta información independientemente de Azure Information Protection.

Para obtener más información, vea:

Impedir que los clientes AIP envíen datos de auditoría

Cliente de etiquetado unificado

Para evitar que el cliente de etiquetado unificado de Azure Information Protection envíe datos de auditoría, configure una configuración avanzada de directiva de etiquetas.

Cliente clásico

Para evitar que el cliente clásico de Azure Information Protection envíe estos datos, establezca la configuración de directiva de Enviar datos de auditoría a Análisis de Azure Information Protection en Desactivado:

Requisito Instrucciones
Para configurar la mayoría de los usuarios para enviar datos, con un subconjunto de usuarios que no pueden enviar datos Establezca Enviar datos de auditoría a Análisis de Azure Information Protection en Desactivado en una directiva de ámbito para el subconjunto de usuarios.

Esta configuración es típica para escenarios de producción.
Para configurar solo un subconjunto de usuarios que envían datos Establezca Enviar datos de auditoría a Análisis de Azure Information Protection en Desactivado en la directiva global y En en una directiva de ámbito para el subconjunto de usuarios.

Esta configuración es típica para escenarios de prueba.

Coincidencias de contenido para un análisis más profundo

Azure Information Protection le permite recopilar y almacenar los datos reales identificados como un tipo de información confidencial (predefinido o personalizado). Por ejemplo, esto puede incluir números de tarjetas de crédito que se encuentran, así como números de la seguridad social, números de pasaporte y números de cuenta bancaria. Las coincidencias de contenido se muestran al seleccionar una entrada de registros de actividady ver los Detalles de la actividad.

De forma predeterminada, los clientes de Azure Information Protection no envían coincidencias de contenido. Para cambiar este comportamiento para que se envíen coincidencias de contenido:

Cliente Instrucciones
Cliente de etiquetado unificado Configure una configuración avanzada en una directiva de etiquetas.
Cliente clásico Seleccione una casilla como parte de la configuración de Azure Information Protection analytics. La casilla se denomina Habilitar análisis más profundos en los datos confidenciales.

Si desea que la mayoría de los usuarios que usan este cliente envíen coincidencias de contenido, pero un subconjunto de usuarios no puede enviar coincidencias de contenido, active la casilla y configure una configuración de cliente avanzada en una directiva de ámbito para el subconjunto de usuarios.

Requisitos previos

Para ver los informes de Azure Information Protection y crear los suyos propios, asegúrese de que se cumplen los siguientes requisitos.

Requisito Detalles
Una suscripción de Azure Su suscripción de Azure debe incluir Log Analytics en el mismo espacio empresarial que Azure Information Protection.

Para obtener más información, vea la página de precios de Azure Monitor.

Si no tiene una suscripción a Azure o actualmente no usa Azure Log Analytics, la página de precios incluye un vínculo para una prueba gratuita.
Conectividad de red URL de registro de auditoría AIP debe poder obtener acceso a las siguientes direcciones URL para admitir los registros de auditoría AIP:
- https://*.events.data.microsoft.com
- https://*.aria.microsoft.com (solo datos de dispositivos Android)
Cliente de Azure Information Protection Para informes desde el cliente.

Si aún no tiene un cliente instalado, puede descargar e instalar el cliente de etiquetado unificado desde el Centro de descarga de Microsoft.

Nota:Se admiten tanto el cliente de etiquetado unificado como el cliente clásico. Para implementar el cliente clásico de AIP, abra un vale de soporte técnico para obtener acceso a la descarga.
Escáner local de Azure Information Protection Para informes de almacenes de datos locales.

Para obtener más información, vea Implementar el escáner de Azure Information Protection para clasificar y proteger automáticamente los archivos.
Microsoft Defender para aplicaciones en la nube Para informes de almacenes de datos basados en la nube.

Para obtener más información, vea Integración de Azure Information Protection en la documentación de MCAS.

Permisos necesarios para análisis de Azure Information Protection

Específico de Azure Information Protection analytics, después de configurar su área de trabajo de Azure Log Analytics, puede usar el rol de administrador de Azure AD del Lector de seguridad como alternativa a los otros roles de Azure AD que admiten la administración de Azure Information Protection en Azure Portal. Este rol adicional solo es compatible si el inquilino no está en la plataforma de etiquetado unificada.

Como Azure Information Protection analytics usa Azure Monitoring, el control de acceso basado en roles (RBAC) para Azure también controla el acceso a su área de trabajo. Por lo tanto, necesita un rol de Azure, así como un Azure AD de administrador para administrar análisis de Azure Information Protection. Si es nuevo en los roles de Azure, es posible que le sea útil leer Diferencias entre los roles de RBACde Azure y Azure AD de administrador.

Para obtener más información, vea:

Roles Azure AD administrador necesarios

Debe tener uno de los siguientes roles Azure AD administrador para obtener acceso al panel de análisis de Azure Information Protection:

  • Para crear el área de trabajo de Log Analytics o para crear consultas personalizadas:

    • Administrador de Azure Information Protection
    • Administrador de seguridad
    • Administrador de cumplimiento
    • Administrador de datos de cumplimiento
    • Administrador global
  • Después de crear el área de trabajo, puede usar los siguientes roles con menos permisos para ver los datos recopilados:

    • Lector de seguridad
    • Lector global

Roles de Azure Log Analytics necesarios

Debe tener uno de los siguientes roles de Azure Log Analytics o roles estándar de Azure para obtener acceso a su área de trabajo de Azure Log Analytics:

  • Para crear el área de trabajo o crear consultas personalizadas, una de las siguientes opciones:

    • Colaborador de Log Analytics
    • Colaborador
    • Propietario
  • Después de crear el área de trabajo, puede usar uno de los siguientes roles con menos permisos para ver los datos recopilados:

    • Lector de análisis de registros
    • Lector

Roles mínimos para ver los informes

Después de configurar el área de trabajo para azure Information Protection analytics, los roles mínimos necesarios para ver los informes de análisis de Azure Information Protection son los siguientes:

  • Azure AD de administrador: Lector de seguridad
  • Rol de Azure: Lector de análisis de registros

Sin embargo, una asignación de roles típica para muchas organizaciones es el Azure AD de lector de seguridad y el rol de Azure de Lector.

Storage y retención de datos

La cantidad de datos recopilados y almacenados en el área de trabajo de Azure Information Protection variará significativamente para cada espacio empresarial, dependiendo de factores como cuántos clientes de Azure Information Protection y otros puntos de conexión compatibles tiene, si está recopilando datos de detección de puntos de conexión, ha implementado escáneres, el número de documentos protegidos a los que se tiene acceso, y así sucesivamente.

Sin embargo, como punto de partida, puede encontrar útiles las siguientes estimaciones:

  • Solo para los datos de auditoría generados por clientes de Azure Information Protection: 2 GB por cada 10 000 usuarios activos al mes.

  • Para los datos de auditoría generados por los clientes y escáneres de Azure Information Protection: 20 GB por 10 000 usuarios activos al mes.

Si usa el etiquetado obligatorio o ha configurado una etiqueta predeterminada para la mayoría de los usuarios, es probable que las tarifas sean significativamente más altas.

Azure Monitor Logs tiene una característica De uso y costos estimados para ayudarle a estimar y revisar la cantidad de datos almacenados, y también puede controlar el período de retención de datos de su área de trabajo de Log Analytics. Para obtener más información, vea Administrar el uso y los costos con registros de Azure Monitor.

Configurar un área de trabajo de Log Analytics para los informes

  1. Si aún no lo ha hecho, abra una nueva ventana del explorador e inicie sesión en Azure Portal con una cuenta que tenga los permisos necesarios para el análisis de Azure Information Protection. A continuación, vaya al panel de Azure Information Protection.

    Por ejemplo, en el cuadro de búsqueda de recursos, servicios y documentos: Empiece a escribir Información y seleccione Azure Information Protection.

  2. Busque las opciones de menú Administrar y seleccione Configurar análisis (vista previa).

  3. En el panel análisis de registros de Azure Information Protection, verá una lista de las áreas de trabajo de Log Analytics que pertenecen a su inquilino. Realice una de las siguientes acciones:

    • Para crear un área de trabajo de Log Analytics:seleccioneCrear nuevo área de trabajo y, en el panel Área de trabajo análisis de registros, proporcione la información solicitada.

    • Para usar un área de trabajo de Log Analytics existente:seleccione el área de trabajo de la lista.

    Si necesita ayuda para crear el área de trabajo de Log Analytics, vea Crear un área de trabajo de Log Analytics en Azure Portal.

  4. Solo cliente clásico AIP:active la casilla Habilitar análisis más profundos en los datos confidenciales si desea almacenar los datos reales identificados como un tipo de información confidencial.

    Para obtener más información sobre esta configuración, vea la sección Coincidencias de contenido para un análisis más profundo en esta página.

  5. Seleccione Aceptar.

Ya está listo para ver los informes.

Ver los informes de análisis de AIP

En el panel de Azure Information Protection, busque las opciones de menú Paneles y seleccione una de las siguientes opciones:

Informe Descripción
Informe de uso (vista previa) Use este informe para ver cómo se usan las etiquetas.
Registros de actividad (vista previa) Use este informe para ver acciones de etiquetado de los usuarios y en dispositivos y rutas de archivo. Además, para los documentos protegidos, puede ver los intentos de acceso (correctos o denegados) para los usuarios tanto dentro como fuera de su organización, incluso si no tienen instalado el cliente de Azure Information Protection.

Este informe tiene una opción Columnas que le permite mostrar más información de actividad que la visualización predeterminada. También puede ver más detalles sobre un archivo seleccionándose para mostrar Detalles de actividad.
Detección de datos (vista previa) Use este informe para ver información sobre los archivos etiquetados encontrados por escáneres y puntos de conexión compatibles.

Sugerencia:A partir de la información recopilada, es posible que encuentre usuarios que accedan a archivos que contienen información confidencial desde una ubicación que no conocía o que no está analizando actualmente:

- Si las ubicaciones son locales, considere la posibilidad de agregar las ubicaciones como repositorios de datos adicionales para el escáner de Azure Information Protection.
- Si las ubicaciones están en la nube, considere la posibilidad de usar Microsoft Defender para aplicaciones en la nube para administrarlas.
Recomendaciones (vista previa) Use este informe para identificar archivos que tienen información confidencial y mitigar el riesgo siguiendo las recomendaciones.

Al seleccionar un elemento, la opción Ver datos muestra las actividades de auditoría que desencadenaron la recomendación.

Modificar los informes de análisis AIP y crear consultas personalizadas

Seleccione el icono de consulta en el panel para abrir un panel de búsqueda de registros:

Icono de Log Analytics para personalizar los informes de Azure Information Protection

Los datos registrados para Azure Information Protection se almacenan en la tabla siguiente: InformationProtectionLogs_CL

Al crear sus propias consultas, use los nombres de esquema descriptivos que se han implementado como funciones InformationProtectionEvents. Estas funciones se derivan de los atributos admitidos para consultas personalizadas (algunos atributos son solo para uso interno) y sus nombres no cambiarán con el tiempo, incluso si los atributos subyacentes cambian para mejoras y nuevas funcionalidades.

Referencia de esquema descriptivo para funciones de evento

Use la tabla siguiente para identificar el nombre descriptivo de las funciones de evento que puede usar para consultas personalizadas con análisis de Azure Information Protection.

Nombre de columna Descripción
Hora Hora del evento: UTC en formato YYYY-MM-DDTHH:MM:SS
Usuario Usuario: Dar formato UPN o DOMINIO\USUARIO
ItemPath Ruta de acceso de elemento completa o asunto de correo electrónico
ItemName Nombre de archivo o asunto de correo electrónico
Método Método asignado a etiquetas: Manual, Automático, Recomendado, Predeterminado o Obligatorio
Actividad Actividad de auditoría: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection, NewCustomProtection o FileRemoved
ResultStatus Estado del resultado de la acción:

Correcta o fallida (solo notificada por el escáner AIP)
ErrorMessage_s Incluye detalles del mensaje de error si ResultStatus=Failed. Notificado solo por escáner AIP
LabelName Nombre de etiqueta (no localizado)
LabelNameBefore Nombre de etiqueta antes del cambio (no localizado)
ProtectionType Tipo de protección [JSON]
{
"Tipo": ["Plantilla", "Personalizado", "DoNotForward"],
  "TemplateID": "GUID"
 }
ProtectionBefore Tipo de protección antes de cambiar [JSON]
MachineName FQDN cuando esté disponible; de lo contrario, nombre de host
Plataforma Plataforma de dispositivos (Win, OSX, Android, iOS)
NombreDeUsuario Nombre descriptivo de la aplicación
AIPVersion Versión del cliente de Azure Information Protection que realizó la acción de auditoría
TenantId Azure AD de inquilino
AzureApplicationId Azure AD de aplicación registrada (GUID)
ProcessName Proceso que hospeda el SDK de MIP
LabelId GUID de etiqueta o nulo
IsProtected Si está protegido: Sí/No
ProtectionOwner Propietario de Rights Management en formato UPN
LabelIdBefore GUID de etiqueta o nulo antes del cambio
InformationTypesAbove55 Matriz JSON de Información confidencial que se encuentra en datos con nivel de confianza 55 o superior
InformationTypesAbove65 Matriz JSON de Información confidencial que se encuentra en datos con nivel de confianza 65 o superior
InformationTypesAbove75 Matriz JSON de Información confidencial que se encuentra en datos con nivel de confianza 75 o superior
InformationTypesAbove85 Matriz JSON de Información confidencial que se encuentra en datos con nivel de confianza 85 o superior
InformationTypesAbove95 Matriz JSON de Información confidencial que se encuentra en datos con nivel de confianza 95 o superior
DiscoveredInformationTypes Matriz JSON de Información confidencial que se encuentra en los datos y su contenido coincidente (si está habilitado) donde una matriz vacía significa que no se han encontrado tipos de información y null significa que no hay información disponible
ProtectedBefore Si el contenido estaba protegido antes del cambio: Sí/No
ProtectionOwnerBefore Propietario de Rights Management antes del cambio
UserJustification Justificación al degradar o quitar etiqueta
LastModifiedBy Usuario en formato UPN que modificó por última vez el archivo. Disponible para Office y SharePoint solo
LastModifiedDate UTC en formato YYYY-MM-DDTHH:MM:SS: Disponible solo para Office y SharePoint

Ejemplos con InformationProtectionEvents

Use los siguientes ejemplos para ver cómo puede usar el esquema descriptivo para crear consultas personalizadas.

Ejemplo 1: Devolver todos los usuarios que enviaron datos de auditoría en los últimos 31 días
InformationProtectionEvents 
| where Time > ago(31d) 
| distinct User 
Ejemplo 2: Devolver el número de etiquetas que se han degradado al día en los últimos 31 días
InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| summarize Label_Downgrades_per_Day = count(Activity) by bin(Time, 1d) 
 
Ejemplo 3: Devolver el número de etiquetas que el usuario ha degradado de Confidencial en los últimos 31 días

InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| where LabelNameBefore contains "Confidential" and LabelName !contains "Confidential"  
| summarize Label_Downgrades_by_User = count(Activity) by User | sort by Label_Downgrades_by_User desc 

En este ejemplo, una etiqueta degradada solo se cuenta si el nombre de la etiqueta anterior a la acción contenía el nombre Confidencial y el nombre de la etiqueta después de que la acción no contenía el nombre de Confidencial.

Pasos siguientes

Después de revisar la información de los informes, si usa el cliente de Azure Information Protection, es posible que decida realizar cambios en la directiva de etiquetado.

Los registros de auditoría AIP también se envían al explorador de Microsoft 365 actividad, donde pueden mostrarse con nombres diferentes. Para obtener más información, vea: