Come raccogliere i registri eventi di controllo di Windows Information Protection (WIP)

Si applica a:

• Windows 10 versione 1607 o successiva

Windows Information Protection (WIP) crea eventi di controllo nelle situazioni seguenti:

• Se un dipendente cambia le proprietà del File per un file da Lavoro a Personale.

• Se i dati sono contrassegnati come Lavoro ma sono condivisi in un'app personale o in una pagina Web. Ad esempio, tramite il copia e incolla, il trascinamento della selezione, la condivisione di un contatto, il caricamento di una pagina Web personale o se l'utente concede a un'app personale l'accesso temporaneo a un file di lavoro.

• Se un'app ha eventi di controllo personalizzato.

Raccogliere i registri di controllo di Windows Information Protection (WIP) utilizzando il provider di servizi di configurazione di Reporting (CSP)

Raccogliere i log di controllo WIP dai dispositivi dei dipendenti seguendo le indicazioni fornite dalla documentazione del provider di servizi di configurazione per la creazione di report (CSP). Questo argomento offre informazioni sugli eventi di controllo effettivi.

Nota

L'elemento Dati nella risposta include i registri di controllo richiesti in un formato con codifica XML.

Attributi ed elemento utente

Questa tabella include tutti gli attributi disponibili per l'elemento Utente.

Attributo	Tipo di valore	Descrizione
UserID	String	L'ID di sicurezza (SID) dell'utente corrispondente a questo report di controllo.
EnterpriseID	String	L'ID azienda corrispondente a questo report di controllo.

Attributi ed elemento registro

Questa tabella include tutti gli attributi/elementi disponibili per l'elemento Registro. La risposta può contenere zero (0) o più elementi di Registro.

Attributo/elemento	Tipo di valore	Descrizione
ProviderType	String	Questo è sempre EDPAudit.
LogType	String	Include: DataCopied. I dati di lavoro sono copiati o condivisi in una posizione personale. ProtectionRemoved. Windows Information Protection viene rimosso da un file definito dal lavoro. ApplicationGenerated. Un log di controllo personalizzato fornito da un'app.
TimeStamp	Int	Usa la struttura FILETIME per indicare l'ora in cui si è verificato l'evento.
Criterio	String	Come i dati di lavoro sono stati condivisi nella posizione personale: CopyPaste. I dati di lavoro sono stati incollati in una posizione personale o app. ProtectionRemoved. I dati di lavoro sono stati modificati per non essere protetti. DragDrop. I dati di lavoro sono stati inseriti in una posizione personale o app. Condividere. I dati di lavoro sono stati condivisi con una posizione personale o app. NULL. Altri modi per rendere i dati di lavoro personali oltre alle opzioni elencate in precedenza. Ad esempio, quando viene aperto un file di lavoro utilizzando un'applicazione personale (detto anche accesso temporaneo).
Giustificazione	String	Non implementata. Questa sarà sempre NULL o vuota. Nota Riservato a uso futuro per raccogliere la giustificazione dell'utente per la modifica da Lavoro a Personale.
Oggetto	String	Una descrizione dei dati di lavoro condivisi. Ad esempio, se un dipendente apre un file di lavoro utilizzando un'app personale, questo è il percorso del file.
DataInfo	String	Tutte le altre info su come è cambiato il file di lavoro: Percorso del file. Se un dipendente carica un file di lavoro su un sito Web personale con Microsoft Edge o Internet Explorer, il percorso del file viene incluso qui. Tipi di dati degli appunti. Se un dipendente incolla i dati di lavoro in un'app personale, l'elenco dei tipi di dati degli appunti fornito dall'app di lavoro è incluso qui. Per altre info, consulta la sezione Esempi di questo argomento.
Operazione	Int	Fornisce informazioni su cosa è successo quando i dati di lavoro sono stati condivisi come personali, tra cui: 1. Decrittografare il file. 2. Copiare nella posizione. 3. Inviare al destinatario. 4. Altro.
FilePath	String	Il percorso del file specificato nell'evento di controllo. Ad esempio, il percorso di un file decrittografato da un dipendente o caricato in un sito Web personale.
SourceApplicationName	String	L'app di origine o il sito Web. Per l'app di origine, questa è l'identità di AppLocker. Per il sito Web di origine, questo è il nome host.
SourceName	String	Stringa fornita dall'app che registra l'evento. Ha lo scopo di descrivere l'origine dei dati di lavoro.
DestinationEnterpriseID	String	Il valore dell'ID aziendale per l'app o il sito Web in cui il dipendente condivide i dati. NULL, Personale o vuoto significa che non è presente alcun ID aziendale perché i dati di lavoro sono stati condivisi in una posizione personale. Poiché attualmente non sono supportate più registrazioni, verrà sempre visualizzato uno di questi valori.
DestinationApplicationName	String	L'app di destinazione o il sito Web. Per l'app di destinazione, questa è l'identità di AppLocker. Per il sito Web di destinazione, questo è il nome host.
DestinationName	String	Stringa fornita dall'app che registra l'evento. Ha lo scopo di descrivere la destinazione dei dati di lavoro.
Applicazione	String	L'identità AppLocker per l'app in cui si è verificato l'evento di controllo.

Esempi

Ecco alcuni esempi di risposte dal CSP Reporting.

La proprietà del file in un file viene modificata da lavoro a personale

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
      <Policy>Protection removed</Policy>
      <Justification>NULL</Justification>
      <FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Un file di lavoro viene caricato su una pagina Web personale in Edge

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>NULL</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

I dati di lavoro vengono incollati in una pagina Web personale

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Un file di lavoro viene aperto con un'applicazione personale

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
      <Policy>NULL</Policy>
      <Justification></Justification>
      <Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
      <Action>1</Action>
      <SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
      <DestinationEnterpriseID>Personal</DestinationEnterpriseID>
      <DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
      <Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

I dati di lavoro vengono incollati in una applicazione personale

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName></DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Raccogliere i registri di controllo di Windows Information Protection (WIP) con Windows Event Forwarding (solo per i dispositivi desktop aggiunti al dominio di Windows)

Usa Inoltro eventi di Windows per raccogliere e aggregare gli eventi di controllo di Windows Information Protection. È possibile visualizzare gli eventi di controllo nel Visualizzatore eventi.

Visualizzare gli eventi WIP nel Visualizzatore eventi

1. Apri il Visualizzatore eventi.

2. Nell'albero della console in Registri applicazioni e servizi\Microsoft\Windows, fai clic su EDP-Controllo-Regolare, quindi su EDP-Controllo-TCB.

Raccogliere i log di controllo wip con Monitoraggio di Azure

È possibile raccogliere i log di controllo usando Monitoraggio di Azure. Vedere Origini dati del log eventi di Windows in Monitoraggio di Azure.

Per visualizzare gli eventi wip in Monitoraggio di Azure

1. Usare un'area di lavoro esistente o crearne una nuova.

2. InImpostazioni avanzatedi Log Analytics> selezionare Dati. Nei log eventi di Windows aggiungere i log per ricevere:

   Microsoft-Windows-EDP-Application-Learning/Admin
   Microsoft-Windows-EDP-Audit-TCB/Admin
   

   Nota

   Se si usano i log eventi di Windows, i nomi dei log eventi sono disponibili in Proprietà dell'evento nella cartella Eventi (Log applicazioni e servizi\Microsoft\Windows, fare clic su EDP-Audit-Regular ed EDP-Audit-TCB).

3. Scaricare Microsoft Monitoring Agent.

4. Per ottenere l'identità del servizio gestito per l'installazione di Intune come indicato nell'articolo Monitoraggio di Azure, estrarre:MMASetup-.exe /c /t:

   Installare Microsoft Monitoring Agent nei dispositivi WIP usando l'ID area di lavoro e la chiave primaria. Altre informazioni sull'ID area di lavoro e sulla chiave primaria sono disponibili inImpostazioni avanzatedi Log Analytics>.

5. Per distribuire l'identità del servizio gestito tramite Intune, nei parametri di installazione aggiungere:/q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1

   Nota

   Sostituire <WORKSPACE_ID> & <WORKSPACE_KEY> ricevuto dal passaggio 5. Nei parametri di installazione non inserire <WORKSPACE_ID> & <WORKSPACE_KEY> tra virgolette ("" o "").

6. Dopo la distribuzione dell'agente, i dati verranno ricevuti entro circa 10 minuti.

7. Per cercare i log, passare ailogdell'area di lavoro> Log Analytics e digitare Evento nella ricerca.

   Esempio

   Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"
   

Risorse aggiuntive

• Come distribuire l'app tramite Intune
• Come creare l'area di lavoro Log
• Come usare Microsoft Monitoring Agents per Windows