Auditoría en el SDK de MIP

El portal de administración de Azure Information Protection proporciona acceso a informes de administrador. Estos informes proporcionan visibilidad en las etiquetas que los usuarios aplican, de forma manual o automática, en todas las aplicaciones que han integrado el SDK de MIP. Los partners de desarrollo que aprovechan el SDK pueden habilitar fácilmente esta funcionalidad, lo que permite que la información de sus aplicaciones se pueda ver en los informes de los clientes.

Tipos de evento

Hay tres tipos de eventos que se pueden enviar a través del SDK a Azure Information Protection Analytics. Eventos de latidodel corazón, eventos de deteccióny eventos de cambio

Eventos de heartbeat

Los eventos de heartbeat se generan automáticamente para cualquier aplicación que haya integrado el SDK de directiva. Los eventos de heartbeat incluyen:

  • TenantId
  • Tiempo generado
  • Nombre principal del usuario
  • Nombre del equipo donde se generó la auditoría
  • Nombre del proceso
  • Plataforma
  • Id. de aplicación: corresponde al Azure AD de aplicación.

Estos eventos son útiles para detectar aplicaciones en toda la empresa que usan el SDK de Microsoft Information Protection.

Eventos de detección

Los eventos de detección proporcionan información sobre la información etiquetada que lee o consume el SDK de directiva. Estos eventos son útiles a medida que superficie los dispositivos, la ubicación y los usuarios que tienen acceso a la información en toda una organización.

Los eventos de detección se generan en el SDK de directiva estableciendo una marca al crear el mip::PolicyHandler objeto. En el ejemplo siguiente, el valor de isAuditDiscoveryEnabled se establece en . Cuando mip::ExecutionState se pasa a o ComputeActions() (con información de metadatos existente e identificador de contenido), la información de detección se GetSensitivityLabel() envía a Azure Information Protection Analytics.

La auditoría de detección se genera una vez que la aplicación llama ComputeActions() o GetSensitivityLabel() proporciona mip::ExecutionState . Este evento se genera solo una vez por controlador.

Revise la documentación mip::ExecutionState de conceptos para obtener más información sobre el estado de ejecución.

// Create PolicyHandler, passing in true for isAuditDiscoveryEnabled
auto handler = mEngine->CreatePolicyHandler(true);

// Returns vector of mip::Action and generates discovery event.
auto actions = handler->ComputeActions(*state);

//Or, get the label for a given state
auto label = handler->GetSensitivityLabel(*state);

En la práctica, isAuditDiscoveryEnabled debe estar durante la construcción, para permitir que la información de acceso a archivos fluya a Azure Information Protection mip::PolicyHandler Analytics.

Cambiar evento

Los eventos de cambio proporcionan información sobre el archivo, la etiqueta que se aplicó o modificó y las justificaciones proporcionadas por el usuario. Los eventos de cambio se generan llamando NotifyCommittedActions() al mip::PolicyHandler archivo . La llamada se realiza después de que un cambio se haya confirmado correctamente en un archivo, pasando el que se mip::ExecutionState usó para calcular las acciones.

Si la aplicación no llama a esta función, no aparecerá ningún evento en Azure Information Protection Analytics.

handler->NotifyCommittedActions(*state);

Panel de auditoría

Los eventos enviados a la canalización de auditoría de Azure Information Protection aparecerán en los informes en https://portal.azure.com . Azure Information Protection Analytics está en versión preliminar pública y las características o funcionalidades pueden cambiar.

Pasos siguientes