Comment collecter les journaux des événements d'audit de la Protection des informations Windows (WIP)

S’applique à :

• Windows 10, version 1607 et ultérieures

La Protection des informations Windows (WIP) crée des événements d’audit dans les situations suivantes :

• Si un employé change la propriété d’un fichier de Professionnel à personnel.

• Si les données sont marquées comme relevant d'un usage Professionnel, mais qu'elles sont partagées sur une application ou une page web personnelle. Par exemple, en effectuant un copier-coller ou un glisser-déplacer, en partageant un contact, en effectuant un téléchargement sur une page web personnelle, ou si l’utilisateur accorde à une application personnelle un accès temporaire à un fichier de travail.

• Si une application contient des événements d’audit personnalisés.

Collecter les journaux d’audit WIP à l’aide du fournisseur de services de configuration (CSP) Reporting

Collectez les journaux d’audit WIP à partir des appareils de vos employés en suivant les instructions fournies dans la documentation du fournisseur de services de configuration (CSP) de création de rapports. Cette rubrique fournit des informations sur les événements d’audit réels.

Remarque

L'élément Data contenu dans la réponse inclut les journaux d’audit demandés dans un format codé en XML.

Élément et attributs User

Le tableau ci-dessous comprend tous les attributs disponibles pour l'élément User.

Attribut	Type de valeur	Description
UserID	Chaîne	Identifiant de sécurité (SID) de l’utilisateur correspondant à ce rapport d’audit.
EnterpriseID	Chaîne	ID d’entreprise correspondant à ce rapport d’audit.

Élément et attributs Log

Le tableau ci-dessous comprend tous les attributs/éléments disponibles pour l'élément Log. La réponse peut contenir zéro (0) ou plusieurs éléments Log.

Attribut/Élément	Type de valeur	Description
ProviderType	Chaîne	Est toujours défini sur la valeur EDPAudit.
LogType	Chaîne	Inclut : DataCopied. Les données de travail sont copiées ou partagées dans un emplacement personnel. ProtectionRemoved. Windows Information Protection est supprimé d’un fichier défini par le travail. ApplicationGenerated. Journal d’audit personnalisé fourni par une application.
TimeStamp	Entier	Utilise la structure FILETIME pour représenter l’heure à laquelle l’événement s’est produit.
Stratégie	Chaîne	Mode de partage des données de travail dans l’emplacement personnel : CopyPaste. Données de travail ayant été collées dans un emplacement ou une application personnel(-le). ProtectionRemoved. Données de travail ayant été modifiées pour ne plus être protégées. DragDrop. Données de travail ayant été déposées dans un emplacement ou une application personnel(-le). Share. Données de travail ayant été partagées avec un emplacement ou une application personnel(-le). NULL. Toutes les autres manières de basculer les données de travail en données personnelles au-delà des options ci-dessus. Par exemple, lorsqu’un fichier de travail est ouvert à l’aide d’une application personnelle (ce que l'on appelle également « accès temporaire »).
Justification	Chaîne	Non implémentée. Toujours vide ou NULL. Remarque Élément réservé pour collecter ultérieurement la justification de l’utilisateur pour basculer de Professionnel à Personnel.
Object	Chaîne	Description des données de travail partagées. Par exemple, si un employé ouvre un fichier de travail à l’aide d’une application personnelle, il s'agit du chemin d’accès au fichier.
DataInfo	Chaîne	Toute information supplémentaire concernant la modification du fichier de travail : Chemin d’accès au fichier. Si un employé charge un fichier de travail sur un site web personnel à l’aide de Microsoft Edge ou d'Internet Explorer, le chemin d’accès au fichier apparaît ici. Types de données du Presse-papiers. Si un employé colle des données de travail dans une application personnelle, la liste des types de données du Presse-papiers fournie par l’application de travail apparaît ici. Pour plus d’informations, voir la section Exemples de cette rubrique.
Action	Entier	Fournit des informations sur les événements qui se sont produits lorsque les données de travail ont été partagées avec des données personnelles, notamment : 1. Déchiffrement de fichier. 2. Copie vers un emplacement. 3. Envoi au destinataire. 4. Autres.
FilePath	Chaîne	Chemin d’accès au fichier spécifié dans l’événement d’audit. Par exemple, l’emplacement d’un fichier qui a été déchiffré par un employé ou chargé sur un site web personnel.
SourceApplicationName	Chaîne	Application ou site web source. Pour l’application source, il s’agit de l’identité d’AppLocker. Pour le site web source, il s’agit du nom d’hôte.
SourceName	Chaîne	Chaîne fournie par l’application qui journaliser l’événement. Il est destiné à décrire la source des données de travail.
DestinationEnterpriseID	Chaîne	Valeur de l'ID d'entreprise pour l’application ou le site web où l’employé partage les données. NULL, Personnel ou vide signifie qu’il n’y a pas d’ID d’entreprise, car les données professionnelles ont été partagées vers un emplacement personnel. Étant donné que nous ne prenons pas en charge plusieurs inscriptions, vous verrez toujours l’une de ces valeurs.
DestinationApplicationName	Chaîne	Application ou site web de destination. Pour l’application de destination, il s’agit de l’identité d’AppLocker. Pour le site web de destination, il s’agit du nom d’hôte.
DestinationName	Chaîne	Chaîne fournie par l’application qui journaliser l’événement. Il est destiné à décrire la destination des données de travail.
Application	Chaîne	Identité d’AppLocker pour l’application où l’événement d’audit s’est produit.

Exemples

Voici quelques exemples de réponses provenant du fournisseur CSP Reporting.

La propriété du fichier passe de Professionnelle à Personnelle

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
      <Policy>Protection removed</Policy>
      <Justification>NULL</Justification>
      <FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Un fichier de travail est téléchargé vers une page web personnelle dans Edge

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>NULL</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Les données de travail sont collées dans une page web personnelle

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Un fichier de travail est ouvert avec une application personnelle

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
      <Policy>NULL</Policy>
      <Justification></Justification>
      <Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
      <Action>1</Action>
      <SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
      <DestinationEnterpriseID>Personal</DestinationEnterpriseID>
      <DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
      <Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Les données de travail sont collées dans une application personnelle

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName></DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Collecter les journaux d’audit WIP à l’aide de Windows Event Forwarding (pour les appareils joints à un domaine de bureau Windows uniquement)

Utilisez le transfert d’événements Windows pour collecter et agréger vos événements d’audit windows Information Protection. Vous pouvez afficher vos événements d’audit dans l’Observateur d’événements.

Pour afficher les événements WIP dans l’Observateur d’événements

1. Ouvrez l’observateur d’événements.

2. Dans l’arborescence de la console sous Application and Services Logs\Microsoft\Windows, cliquez sur EDP-Audit-Regular et EDP-Audit-TCB.

Collecter les journaux d’audit WIP à l’aide d’Azure Monitor

Vous pouvez collecter des journaux d’audit à l’aide d’Azure Monitor. Consultez Sources de données du journal des événements Windows dans Azure Monitor.

Pour afficher les événements WIP dans Azure Monitor

1. Utilisez un espace de travail Log Analytics existant ou créez-en un.

2. DansParamètres avancéslog Analytics>, sélectionnez Données. Dans les journaux des événements Windows, ajoutez les journaux pour recevoir :

   Microsoft-Windows-EDP-Application-Learning/Admin
   Microsoft-Windows-EDP-Audit-TCB/Admin
   

   Remarque

   Si vous utilisez les journaux d’événements Windows, les noms des journaux des événements se trouvent sous Propriétés de l’événement dans le dossier Événements (Journaux des applications et des services\Microsoft\Windows, cliquez sur EDP-Audit-Regular et EDP-Audit-TCB).

3. Téléchargez Microsoft Monitoring Agent.

4. Pour obtenir msi pour Intune installation comme indiqué dans l’article Azure Monitor, extrayez :MMASetup-.exe /c /t:

   Installez Microsoft Monitoring Agent sur les appareils WIP à l’aide de l’ID d’espace de travail et de la clé primaire. Pour plus d’informations sur l’ID d’espace de travail et la clé primaire, consultezParamètres avancéslog Analytics>.

5. Pour déployer MSI via Intune, dans paramètres d’installation, ajoutez :/q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1

   Remarque

   Remplacez <WORKSPACE_ID> & <WORKSPACE_KEY> reçues à l’étape 5. Dans les paramètres d’installation, ne placez <pas WORKSPACE_ID> & <WORKSPACE_KEY> entre guillemets (« » ou « »).

6. Une fois l’agent déployé, les données sont reçues dans un délai d’environ 10 minutes.

7. Pour rechercher des journaux, accédez àJournaux de l’espace de travail> Log Analytics, puis tapez Événement dans la recherche.

   Exemple

   Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"
   

Ressources supplémentaires

• Comment déployer une application via Intune
• Comment créer un espace de travail journal
• Comment utiliser Microsoft Monitoring Agents pour Windows