Come raccogliere i registri eventi di controllo di Windows Information Protection (WIP)

Si applica a:

  • Windows 10 versione 1607 o successiva
  • Windows 10 Mobile versione 1607 e successive

Windows Information Protection (WIP) crea eventi di controllo nelle situazioni seguenti:

  • Se un dipendente cambia le proprietà del File per un file da Lavoro a Personale.

  • Se i dati sono contrassegnati come Lavoro ma sono condivisi in un'app personale o in una pagina Web. Ad esempio, tramite il copia e incolla, il trascinamento della selezione, la condivisione di un contatto, il caricamento di una pagina Web personale o se l'utente concede a un'app personale l'accesso temporaneo a un file di lavoro.

  • Se un'app ha eventi di controllo personalizzato.

Raccogliere i registri di controllo di Windows Information Protection (WIP) utilizzando il provider di servizi di configurazione di Reporting (CSP)

Raccogliere i log di controllo Windows Information Protection (WIP) dai dispositivi dei dipendenti seguendo le indicazioni fornite dalla documentazione Provider di servizi di configurazione di Reporting (CSP). Questo argomento offre informazioni sugli eventi di controllo effettivi.

Nota

L'elemento Dati nella risposta include i registri di controllo richiesti in un formato con codifica XML.

Attributi ed elemento utente

Questa tabella include tutti gli attributi disponibili per l'elemento Utente.

Attributo Tipo di valore Descrizione
UserID String L'ID di sicurezza (SID) dell'utente corrispondente a questo report di controllo.
EnterpriseID String L'ID azienda corrispondente a questo report di controllo.

Attributi ed elemento registro

Questa tabella include tutti gli attributi/elementi disponibili per l'elemento Registro. La risposta può contenere zero (0) o più elementi di Registro.

Attributo/elemento Tipo di valore Descrizione
ProviderType String Questo è sempre EDPAudit.
LogType String Include:
  • DataCopied. I dati di lavoro sono copiati o condivisi in una posizione personale.
  • ProtectionRemoved. La protezione WIP viene rimossa da un file definito dal lavoro.
  • ApplicationGenerated. Un log di controllo personalizzato fornito da un'app.
TimeStamp Int Usa la struttura FILETIME per indicare l'ora in cui si è verificato l'evento.
Criterio String Come i dati di lavoro sono stati condivisi nella posizione personale:
  • CopyPaste. I dati di lavoro sono stati incollati in una posizione personale o app.
  • ProtectionRemoved. I dati di lavoro sono stati modificati per non essere protetti.
  • DragDrop. I dati di lavoro sono stati inseriti in una posizione personale o app.
  • Condividere. I dati di lavoro sono stati condivisi con una posizione personale o app.
  • NULL. Altri modi per rendere i dati di lavoro personali oltre alle opzioni elencate in precedenza. Ad esempio, quando viene aperto un file di lavoro utilizzando un'applicazione personale (detto anche accesso temporaneo).
Giustificazione String Non implementata. Questa sarà sempre NULL o vuota.

Nota
Riservato a uso futuro per raccogliere la giustificazione dell'utente per la modifica da Lavoro a Personale.
Oggetto String Una descrizione dei dati di lavoro condivisi. Ad esempio, se un dipendente apre un file di lavoro utilizzando un'app personale, questo è il percorso del file.
DataInfo String Tutte le altre info su come è cambiato il file di lavoro:
  • Percorso del file. Se un dipendente carica un file di lavoro su un sito Web personale con Microsoft Edge o Internet Explorer, il percorso del file viene incluso qui.
  • Tipi di dati degli appunti. Se un dipendente incolla i dati di lavoro in un'app personale, l'elenco dei tipi di dati degli appunti fornito dall'app di lavoro è incluso qui. Per altre info, consulta la sezione Esempi di questo argomento.
Operazione Int Fornisce informazioni su cosa è successo quando i dati di lavoro sono stati condivisi come personali, tra cui:
  • 1. Decrittografare il file.
  • 2. Copiare nella posizione.
  • 3. Inviare al destinatario.
  • 4. Altro.
FilePath String Il percorso del file specificato nell'evento di controllo. Ad esempio, il percorso di un file che è stato decrittografato dal dipendente o caricato in un sito Web personale.
SourceApplicationName String L'app di origine o il sito Web. Per l'app di origine, questa è l'identità di AppLocker. Per il sito Web di origine, questo è il nome host.
SourceName String Una stringa fornita dall'app che sta registrando l'evento. Il suo obiettivo è descrivere l'origine dei dati di lavoro.
DestinationEnterpriseID String Il valore dell'ID aziendale per l'app o il sito Web in cui il dipendente condivide i dati.

NULL, Personale o vuoto significa che non esiste alcun ID aziendale perché i dati di lavoro sono stati condivisi in una posizione personale. Poiché attualmente non supportiamo più registrazioni, verrà sempre visualizzato uno di questi valori.
DestinationApplicationName String L'app di destinazione o il sito Web. Per l'app di destinazione, questa è l'identità di AppLocker. Per il sito Web di destinazione, questo è il nome host.
DestinationName String Una stringa fornita dall'app che sta registrando l'evento. Il suo obiettivo è descrivere la destinazione dei dati di lavoro.
Applicazione String L'identità AppLocker per l'app in cui si è verificato l'evento di controllo.

Esempi

Ecco alcuni esempi di risposte dal CSP Reporting.

La proprietà del file in un file viene modificata da lavoro a personale

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
      <Policy>Protection removed</Policy>
      <Justification>NULL</Justification>
      <FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Un file di lavoro viene caricato su una pagina Web personale in Edge

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>NULL</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

I dati di lavoro vengono incollati in una pagina Web personale

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Un file di lavoro viene aperto con un'applicazione personale

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
      <Policy>NULL</Policy>
      <Justification></Justification>
      <Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
      <Action>1</Action>
      <SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
      <DestinationEnterpriseID>Personal</DestinationEnterpriseID>
      <DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
      <Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

I dati di lavoro vengono incollati in una applicazione personale

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName></DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Raccogliere i registri di controllo di Windows Information Protection (WIP) con Windows Event Forwarding (solo per i dispositivi desktop aggiunti al dominio di Windows)

Utilizzare Windows Event Forwarding per raccogliere e aggregare gli eventi di controllo di Windows Information Protection (WIP). È possibile visualizzare gli eventi di controllo nel Visualizzatore eventi.

Visualizzare gli eventi WIP nel Visualizzatore eventi

  1. Apri il Visualizzatore eventi.

  2. Nell'albero della console in Registri applicazioni e servizi\Microsoft\Windows, fai clic su EDP-Controllo-Regolare, quindi su EDP-Controllo-TCB.

Raccogliere i log di controllo di WiP con Azure Monitor

È possibile raccogliere i log di controllo usando Azure Monitor. Vedere Windows origini dati del registro eventi in Azure Monitor.

Per visualizzare gli eventi wip in Azure Monitor

  1. Usa un'area di lavoro esistente o crea una nuova area di lavoro di Log Analytics.

  2. In Log AnalyticsAdvanced > Impostazioniselezionare Data. In Windows eventi aggiungere i registri da ricevere:

    Microsoft-Windows-EDP-Application-Learning/Admin
    Microsoft-Windows-EDP-Audit-TCB/Admin
    

    Nota

    Se si utilizzano i registri eventi di Windows, i nomi dei registri eventi sono disponibili in Proprietà dell'evento nella cartella Eventi (Registri applicazioni e servizi\Microsoft\Windows, fare clic su EDP-Audit-Regular e EDP-Audit-TCB).

  3. Scaricare Microsoft Monitoring Agent.

  4. Per ottenere l'installazione di MSI per Intune, come indicato nell'articolo Azure Monitor, estrarre: MMASetup-.exe /c /t:

    Installa Microsoft Monitoring Agent nei dispositivi WIP usando l'ID area di lavoro e la chiave primaria. Per ulteriori informazioni su ID area di lavoro e chiave primaria, vedere Log Analytics > Advanced Impostazioni.

  5. Per distribuire MSI tramite Intune, nei parametri di installazione aggiungere: /q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1

    Nota

    Sostituire <WORKSPACE_ID> & <WORKSPACE_KEY> ricevuto dal passaggio 5. Nei parametri di installazione, non inserire <WORKSPACE_ID> & <WORKSPACE_KEY> tra virgolette ("" o "").

  6. Dopo la distribuzione dell'agente, i dati verranno ricevuti entro circa 10 minuti.

  7. Per cercare i log, andare a Log Analytics workspace > Logse digitare Event in search.

    Esempio

    Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"
    

Risorse aggiuntive