Come raccogliere i registri eventi di controllo di Windows Information Protection (WIP)
Si applica a:
- Windows 10 versione 1607 o successiva
Windows Information Protection (WIP) crea eventi di controllo nelle situazioni seguenti:
Se un dipendente cambia le proprietà del File per un file da Lavoro a Personale.
Se i dati sono contrassegnati come Lavoro ma sono condivisi in un'app personale o in una pagina Web. Ad esempio, tramite il copia e incolla, il trascinamento della selezione, la condivisione di un contatto, il caricamento di una pagina Web personale o se l'utente concede a un'app personale l'accesso temporaneo a un file di lavoro.
Se un'app ha eventi di controllo personalizzato.
Raccogliere i registri di controllo di Windows Information Protection (WIP) utilizzando il provider di servizi di configurazione di Reporting (CSP)
Raccogliere i log di controllo WIP dai dispositivi dei dipendenti seguendo le indicazioni fornite dalla documentazione del provider di servizi di configurazione per la creazione di report (CSP). Questo argomento offre informazioni sugli eventi di controllo effettivi.
Nota
L'elemento Dati nella risposta include i registri di controllo richiesti in un formato con codifica XML.
Attributi ed elemento utente
Questa tabella include tutti gli attributi disponibili per l'elemento Utente.
Attributo | Tipo di valore | Descrizione |
---|---|---|
UserID | String | L'ID di sicurezza (SID) dell'utente corrispondente a questo report di controllo. |
EnterpriseID | String | L'ID azienda corrispondente a questo report di controllo. |
Attributi ed elemento registro
Questa tabella include tutti gli attributi/elementi disponibili per l'elemento Registro. La risposta può contenere zero (0) o più elementi di Registro.
Attributo/elemento | Tipo di valore | Descrizione |
---|---|---|
ProviderType | String | Questo è sempre EDPAudit. |
LogType | String | Include:
|
TimeStamp | Int | Usa la struttura FILETIME per indicare l'ora in cui si è verificato l'evento. |
Criterio | String | Come i dati di lavoro sono stati condivisi nella posizione personale:
|
Giustificazione | String | Non implementata. Questa sarà sempre NULL o vuota. Nota Riservato a uso futuro per raccogliere la giustificazione dell'utente per la modifica da Lavoro a Personale. |
Oggetto | String | Una descrizione dei dati di lavoro condivisi. Ad esempio, se un dipendente apre un file di lavoro utilizzando un'app personale, questo è il percorso del file. |
DataInfo | String | Tutte le altre info su come è cambiato il file di lavoro:
|
Operazione | Int | Fornisce informazioni su cosa è successo quando i dati di lavoro sono stati condivisi come personali, tra cui:
|
FilePath | String | Il percorso del file specificato nell'evento di controllo. Ad esempio, il percorso di un file decrittografato da un dipendente o caricato in un sito Web personale. |
SourceApplicationName | String | L'app di origine o il sito Web. Per l'app di origine, questa è l'identità di AppLocker. Per il sito Web di origine, questo è il nome host. |
SourceName | String | Stringa fornita dall'app che registra l'evento. Ha lo scopo di descrivere l'origine dei dati di lavoro. |
DestinationEnterpriseID | String | Il valore dell'ID aziendale per l'app o il sito Web in cui il dipendente condivide i dati. NULL, Personale o vuoto significa che non è presente alcun ID aziendale perché i dati di lavoro sono stati condivisi in una posizione personale. Poiché attualmente non sono supportate più registrazioni, verrà sempre visualizzato uno di questi valori. |
DestinationApplicationName | String | L'app di destinazione o il sito Web. Per l'app di destinazione, questa è l'identità di AppLocker. Per il sito Web di destinazione, questo è il nome host. |
DestinationName | String | Stringa fornita dall'app che registra l'evento. Ha lo scopo di descrivere la destinazione dei dati di lavoro. |
Applicazione | String | L'identità AppLocker per l'app in cui si è verificato l'evento di controllo. |
Esempi
Ecco alcuni esempi di risposte dal CSP Reporting.
La proprietà del file in un file viene modificata da lavoro a personale
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
<Policy>Protection removed</Policy>
<Justification>NULL</Justification>
<FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Un file di lavoro viene caricato su una pagina Web personale in Edge
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>NULL</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
<DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
I dati di lavoro vengono incollati in una pagina Web personale
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Un file di lavoro viene aperto con un'applicazione personale
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
<Policy>NULL</Policy>
<Justification></Justification>
<Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
<Action>1</Action>
<SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
<DestinationEnterpriseID>Personal</DestinationEnterpriseID>
<DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
<Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
I dati di lavoro vengono incollati in una applicazione personale
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName></DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Raccogliere i registri di controllo di Windows Information Protection (WIP) con Windows Event Forwarding (solo per i dispositivi desktop aggiunti al dominio di Windows)
Usa Inoltro eventi di Windows per raccogliere e aggregare gli eventi di controllo di Windows Information Protection. È possibile visualizzare gli eventi di controllo nel Visualizzatore eventi.
Visualizzare gli eventi WIP nel Visualizzatore eventi
Apri il Visualizzatore eventi.
Nell'albero della console in Registri applicazioni e servizi\Microsoft\Windows, fai clic su EDP-Controllo-Regolare, quindi su EDP-Controllo-TCB.
Raccogliere i log di controllo wip con Monitoraggio di Azure
È possibile raccogliere i log di controllo usando Monitoraggio di Azure. Vedere Origini dati del log eventi di Windows in Monitoraggio di Azure.
Per visualizzare gli eventi wip in Monitoraggio di Azure
Usare un'area di lavoro esistente o crearne una nuova.
InImpostazioni avanzatedi Log Analytics> selezionare Dati. Nei log eventi di Windows aggiungere i log per ricevere:
Microsoft-Windows-EDP-Application-Learning/Admin Microsoft-Windows-EDP-Audit-TCB/Admin
Nota
Se si usano i log eventi di Windows, i nomi dei log eventi sono disponibili in Proprietà dell'evento nella cartella Eventi (Log applicazioni e servizi\Microsoft\Windows, fare clic su EDP-Audit-Regular ed EDP-Audit-TCB).
Scaricare Microsoft Monitoring Agent.
Per ottenere l'identità del servizio gestito per l'installazione di Intune come indicato nell'articolo Monitoraggio di Azure, estrarre:
MMASetup-.exe /c /t:
Installare Microsoft Monitoring Agent nei dispositivi WIP usando l'ID area di lavoro e la chiave primaria. Altre informazioni sull'ID area di lavoro e sulla chiave primaria sono disponibili inImpostazioni avanzatedi Log Analytics>.
Per distribuire l'identità del servizio gestito tramite Intune, nei parametri di installazione aggiungere:
/q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1
Nota
Sostituire <WORKSPACE_ID> & <WORKSPACE_KEY> ricevuto dal passaggio 5. Nei parametri di installazione non inserire <WORKSPACE_ID> & <WORKSPACE_KEY> tra virgolette ("" o "").
Dopo la distribuzione dell'agente, i dati verranno ricevuti entro circa 10 minuti.
Per cercare i log, passare ailogdell'area di lavoro> Log Analytics e digitare Evento nella ricerca.
Esempio
Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"
Risorse aggiuntive
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per