Windows 情報保護 (WIP) の監査イベント ログを収集する方法
適用対象:
- Windows 10 バージョン 1607 以降
Windows 情報保護 (WIP) では、次のような状況で監査イベントが作成されます。
従業員がファイルの所有権を "仕事" から "個人" に変更した場合。
"仕事" としてマークされているデータが、個人用のアプリまたは Web ページに共有された場合。 たとえば、コピーと貼り付け、ドラッグ アンド ドロップ、連絡先の共有、個人用 Web ページへのアップロードや、ユーザーが個人用アプリに仕事用ファイルへの一時的なアクセスを付与した場合が当てはまります。
アプリでカスタム監査イベントが生成された場合。
Reporting 構成サービス プロバイダー (CSP) を使って WIP 監査ログを収集する
レポート構成サービス プロバイダー (CSP) ドキュメントで提供されるガイダンスに従って、従業員のデバイスから WIP 監査ログを収集します。 このトピックでは、実際の監査イベントについて説明します。
注
応答の Data 要素には、要求された監査ログが XML でエンコードされた形式で含まれています。
User 要素と属性
User 要素で使用できるすべての属性を次の表に示します。
属性 | 値の種類 | 説明 |
---|---|---|
UserID | 文字列 | この監査レポートに対応するユーザーのセキュリティ識別子 (SID)。 |
EnterpriseID | 文字列 | この監査レポートに対応するエンタープライズ ID。 |
Log 要素と属性
Log 要素で使用できるすべての属性と要素を次の表に示します。 応答には、ゼロ (0) 個以上の Log 要素が含まれる可能性があります。
属性/要素 | 値の種類 | 説明 |
---|---|---|
ProviderType | 文字列 | これは常に EDPAudit になります。 |
LogType | 文字列 | 次の値が含まれます。
|
TimeStamp | 整数 | イベントの発生時刻を FILETIME 構造体 を使って表します。 |
Policy | 文字列 | 仕事用データがどのように個人用の場所に共有されたかを示します。
|
Justification | 文字列 | 実装されていません。 常に空または NULL になります。 注 将来、"仕事" から "個人" への変更に関するユーザー側の理由を収集するために予約されています。 |
Object | 文字列 | 共有された仕事用データの説明。 たとえば、従業員が個人用アプリを使って仕事用ファイルを開いた場合、この値はファイル パスになります。 |
DataInfo | 文字列 | 仕事用ファイルの変更方法に関する追加情報を含みます。
|
Action | 整数 | 仕事用データが個人用に共有されたときに実行された操作を示します。次の値が含まれます。
|
FilePath | 文字列 | 監査イベントに指定されたファイルのファイル パス。 たとえば、従業員によって暗号化解除されたファイルの場所や、個人用 Web サイトにアップロードされたファイルの場所などです。 |
SourceApplicationName | 文字列 | ソースのアプリまたは Web サイト。 ソース アプリの場合、この値は AppLocker ID です。 ソース Web サイトの場合、この値はホスト名です。 |
SourceName | String | イベントをログに記録するアプリによって提供される文字列。 これは、作業データのソースを記述することを目的としています。 |
DestinationEnterpriseID | 文字列 | 従業員がデータを共有した先のアプリまたは Web サイトのエンタープライズ ID の値。 NULL、 個人用、または 空白 は、作業データが個人の場所と共有されていたため、エンタープライズ ID がないことを意味します。 現在、複数の登録はサポートされていないため、これらの値のいずれかが常に表示されます。 |
DestinationApplicationName | 文字列 | 宛先のアプリまたは Web サイト。 宛先アプリの場合、この値は AppLocker ID です。 宛先 Web サイトの場合、この値はホスト名です。 |
DestinationName | String | イベントをログに記録するアプリによって提供される文字列。 これは、作業データの宛先を記述することを目的としています。 |
アプリケーション | 文字列 | 監査イベントが発生したアプリの AppLocker ID。 |
例
ここでは、Reporting CSP からの応答の例をいくつか示します。
ファイルの所有権が仕事から個人に変更された場合
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
<Policy>Protection removed</Policy>
<Justification>NULL</Justification>
<FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Edge で仕事用ファイルが個人用 Web ページにアップロードされた場合
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>NULL</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
<DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
仕事用データが個人用 Web ページに貼り付けられた場合
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
仕事用ファイルが個人用アプリケーションで開かれた場合
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
<Policy>NULL</Policy>
<Justification></Justification>
<Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
<Action>1</Action>
<SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
<DestinationEnterpriseID>Personal</DestinationEnterpriseID>
<DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
<Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
仕事用データが個人用アプリケーションに貼り付けられた場合
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName></DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
Windows イベント転送を使って WIP 監査ログを収集する (ドメインに参加している Windows デスクトップ デバイスのみ)
Windows イベント転送を使用して、Windows Information Protection監査イベントを収集して集計します。 監査イベントはイベント ビューアーで表示できます。
イベント ビューアーで WIP イベントを表示するには
イベント ビューアーを開きます。
コンソール ツリーで、アプリケーションとサービス ログ\Microsoft\Windows を展開し、[EDP-Audit-Regular] と [EDP-Audit-TCB] をクリックします。
Azure Monitor を使用して WIP 監査ログを収集する
Azure Monitor を使用して監査ログを収集できます。 Azure Monitor の Windows イベント ログ データ ソースに関するページを参照してください。
Azure Monitor で WIP イベントを表示するには
既存のものを使用するか、新しい Log Analytics ワークスペースを作成します。
[Log Analytics>の詳細設定] で、[データ] を選択します。 Windows イベント ログで、受信するログを追加します。
Microsoft-Windows-EDP-Application-Learning/Admin Microsoft-Windows-EDP-Audit-TCB/Admin
注
Windows イベント ログを使用している場合、イベント ログ名は[イベント] フォルダーの [イベントのプロパティ] にあります ([アプリケーションとサービス ログ]\[Microsoft\Windows]、[EDP-Audit-Regular]、[EDP-Audit-TCB] の順にクリックします)。
Microsoft Monitoring Agent をダウンロードします。
Azure Monitor の記事に記載されているIntuneインストール用の MSI を取得するには、次のように抽出します。
MMASetup-.exe /c /t:
ワークスペース ID と主キーを使用して、Microsoft Monitoring Agent を WIP デバイスにインストールします。 ワークスペース ID と主キーの詳細については、「Log Analytics> の詳細設定」を参照してください。
Intune経由で MSI をデプロイするには、インストール パラメーターに次を追加します。
/q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1
注
手順 5 から>受け取った & <WORKSPACE_KEY WORKSPACE_ID>置き換えます<。 インストール パラメーターでは、WORKSPACE_ID &> WORKSPACE_KEY<>を引用符 ("" または '') で配置<しないでください。
エージェントがデプロイされると、約 10 分以内にデータが受信されます。
ログを検索するには、Log Analytics ワークスペース>の[ログ] に移動し、「検索でイベント」と入力します。
例
Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"
その他のリソース
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示