Comment collecter les journaux des événements d'audit de la Protection des informations Windows (WIP)
S’applique à :
- Windows 10, version 1607 et ultérieures
La Protection des informations Windows (WIP) crée des événements d’audit dans les situations suivantes :
Si un employé change la propriété d’un fichier de Professionnel à personnel.
Si les données sont marquées comme relevant d'un usage Professionnel, mais qu'elles sont partagées sur une application ou une page web personnelle. Par exemple, en effectuant un copier-coller ou un glisser-déplacer, en partageant un contact, en effectuant un téléchargement sur une page web personnelle, ou si l’utilisateur accorde à une application personnelle un accès temporaire à un fichier de travail.
Si une application contient des événements d’audit personnalisés.
Collecter les journaux d’audit WIP à l’aide du fournisseur de services de configuration (CSP) Reporting
Collectez les journaux d’audit WIP à partir des appareils de vos employés en suivant les instructions fournies dans la documentation du fournisseur de services de configuration (CSP) de création de rapports. Cette rubrique fournit des informations sur les événements d’audit réels.
Remarque
L'élément Data contenu dans la réponse inclut les journaux d’audit demandés dans un format codé en XML.
Élément et attributs User
Le tableau ci-dessous comprend tous les attributs disponibles pour l'élément User.
Attribut | Type de valeur | Description |
---|---|---|
UserID | Chaîne | Identifiant de sécurité (SID) de l’utilisateur correspondant à ce rapport d’audit. |
EnterpriseID | Chaîne | ID d’entreprise correspondant à ce rapport d’audit. |
Élément et attributs Log
Le tableau ci-dessous comprend tous les attributs/éléments disponibles pour l'élément Log. La réponse peut contenir zéro (0) ou plusieurs éléments Log.
Attribut/Élément | Type de valeur | Description |
---|---|---|
ProviderType | Chaîne | Est toujours défini sur la valeur EDPAudit. |
LogType | Chaîne | Inclut :
|
TimeStamp | Entier | Utilise la structure FILETIME pour représenter l’heure à laquelle l’événement s’est produit. |
Stratégie | Chaîne | Mode de partage des données de travail dans l’emplacement personnel :
|
Justification | Chaîne | Non implémentée. Toujours vide ou NULL. Remarque Élément réservé pour collecter ultérieurement la justification de l’utilisateur pour basculer de Professionnel à Personnel. |
Object | Chaîne | Description des données de travail partagées. Par exemple, si un employé ouvre un fichier de travail à l’aide d’une application personnelle, il s'agit du chemin d’accès au fichier. |
DataInfo | Chaîne | Toute information supplémentaire concernant la modification du fichier de travail :
|
Action | Entier | Fournit des informations sur les événements qui se sont produits lorsque les données de travail ont été partagées avec des données personnelles, notamment :
|
FilePath | Chaîne | Chemin d’accès au fichier spécifié dans l’événement d’audit. Par exemple, l’emplacement d’un fichier qui a été déchiffré par un employé ou chargé sur un site web personnel. |
SourceApplicationName | Chaîne | Application ou site web source. Pour l’application source, il s’agit de l’identité d’AppLocker. Pour le site web source, il s’agit du nom d’hôte. |
SourceName | Chaîne | Chaîne fournie par l’application qui journaliser l’événement. Il est destiné à décrire la source des données de travail. |
DestinationEnterpriseID | Chaîne | Valeur de l'ID d'entreprise pour l’application ou le site web où l’employé partage les données. NULL, Personnel ou vide signifie qu’il n’y a pas d’ID d’entreprise, car les données professionnelles ont été partagées vers un emplacement personnel. Étant donné que nous ne prenons pas en charge plusieurs inscriptions, vous verrez toujours l’une de ces valeurs. |
DestinationApplicationName | Chaîne | Application ou site web de destination. Pour l’application de destination, il s’agit de l’identité d’AppLocker. Pour le site web de destination, il s’agit du nom d’hôte. |
DestinationName | Chaîne | Chaîne fournie par l’application qui journaliser l’événement. Il est destiné à décrire la destination des données de travail. |
Application | Chaîne | Identité d’AppLocker pour l’application où l’événement d’audit s’est produit. |
Exemples
Voici quelques exemples de réponses provenant du fournisseur CSP Reporting.
La propriété du fichier passe de Professionnelle à Personnelle
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
<Policy>Protection removed</Policy>
<Justification>NULL</Justification>
<FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Un fichier de travail est téléchargé vers une page web personnelle dans Edge
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>NULL</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
<DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Les données de travail sont collées dans une page web personnelle
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Un fichier de travail est ouvert avec une application personnelle
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
<Policy>NULL</Policy>
<Justification></Justification>
<Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
<Action>1</Action>
<SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
<DestinationEnterpriseID>Personal</DestinationEnterpriseID>
<DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
<Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Les données de travail sont collées dans une application personnelle
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName></DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Collecter les journaux d’audit WIP à l’aide de Windows Event Forwarding (pour les appareils joints à un domaine de bureau Windows uniquement)
Utilisez le transfert d’événements Windows pour collecter et agréger vos événements d’audit windows Information Protection. Vous pouvez afficher vos événements d’audit dans l’Observateur d’événements.
Pour afficher les événements WIP dans l’Observateur d’événements
Ouvrez l’observateur d’événements.
Dans l’arborescence de la console sous Application and Services Logs\Microsoft\Windows, cliquez sur EDP-Audit-Regular et EDP-Audit-TCB.
Collecter les journaux d’audit WIP à l’aide d’Azure Monitor
Vous pouvez collecter des journaux d’audit à l’aide d’Azure Monitor. Consultez Sources de données du journal des événements Windows dans Azure Monitor.
Pour afficher les événements WIP dans Azure Monitor
Utilisez un espace de travail Log Analytics existant ou créez-en un.
DansParamètres avancéslog Analytics>, sélectionnez Données. Dans les journaux des événements Windows, ajoutez les journaux pour recevoir :
Microsoft-Windows-EDP-Application-Learning/Admin Microsoft-Windows-EDP-Audit-TCB/Admin
Remarque
Si vous utilisez les journaux d’événements Windows, les noms des journaux des événements se trouvent sous Propriétés de l’événement dans le dossier Événements (Journaux des applications et des services\Microsoft\Windows, cliquez sur EDP-Audit-Regular et EDP-Audit-TCB).
Téléchargez Microsoft Monitoring Agent.
Pour obtenir msi pour Intune installation comme indiqué dans l’article Azure Monitor, extrayez :
MMASetup-.exe /c /t:
Installez Microsoft Monitoring Agent sur les appareils WIP à l’aide de l’ID d’espace de travail et de la clé primaire. Pour plus d’informations sur l’ID d’espace de travail et la clé primaire, consultezParamètres avancéslog Analytics>.
Pour déployer MSI via Intune, dans paramètres d’installation, ajoutez :
/q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1
Remarque
Remplacez <WORKSPACE_ID> & <WORKSPACE_KEY> reçues à l’étape 5. Dans les paramètres d’installation, ne placez <pas WORKSPACE_ID> & <WORKSPACE_KEY> entre guillemets (« » ou « »).
Une fois l’agent déployé, les données sont reçues dans un délai d’environ 10 minutes.
Pour rechercher des journaux, accédez àJournaux de l’espace de travail> Log Analytics, puis tapez Événement dans la recherche.
Exemple
Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"
Ressources supplémentaires
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour