Azure Information Protection에 대 한 분석 및 중앙 보고 (공개 미리 보기)Analytics and central reporting for Azure Information Protection (public preview)

적용 대상:* Azure Information Protection**Applies to: Azure Information Protection*

*관련: AIP 통합 레이블 지정 클라이언트 및 클래식 클라이언트**Relevant for: AIP unified labeling client and classic client*

참고

통합되고 간소화된 고객 경험을 제공하기 위해 Azure Portal의 Azure Information Protection 클래식 클라이언트레이블 관리2021년 3월 31일 부터 지원되지 않을 예정입니다.To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. 클래식 클라이언트는 계속해서 기존에 구성된 대로 작동하지만 추가 지원은 제공되지 않으며, 클래식 클라이언트에는 유지 관리 버전이 더 이상 릴리스되지 않습니다.While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

통합 레이블 지정으로 마이그레이션하고 통합 레이블 지정 클라이언트로 업그레이드하는 것이 권장됩니다.We recommend that you migrate to unified labeling and upgrade to the unified labeling client. 최근 사용 중단 알림 블로그에서 자세한 내용을 알아보세요.Learn more in our recent deprecation blog.

이 문서에서는 조직의 데이터를 분류 하 고 보호 하는 레이블 도입을 추적 하는 데 도움이 되는 중앙 보고에 대해 AIP (Azure Information Protection) 분석을 사용 하는 방법을 설명 합니다.This article describes how to use Azure Information Protection (AIP) analytics for central reporting, which can help you track the adoption of your labels that classify and protect your organization's data.

AIP 분석을 사용 하면 다음 단계를 수행할 수도 있습니다.AIP analytics also enable you to do perform the following steps:

  • 조직에서 레이블이 지정되고 보호된 문서 및 메일 모니터링Monitor labeled and protected documents and emails across your organization

  • 조직 내에서 중요한 정보를 포함하는 문서 식별Identify documents that contain sensitive information within your organization

  • 레이블 지정 문서 및 메일에 대한 사용자 액세스를 모니터링하고 문서 분류 변경 내용을 추적합니다.Monitor user access to labeled documents and emails, and track document classification changes.

  • 보호되지 않을 경우 조직이 위험에 처할 수 있는 중요한 정보가 포함된 문서를 식별하고 다음 권장 사항을 통해 위험을 완화하세요.Identify documents that contain sensitive information that might be putting your organization at risk if they are not protected, and mitigate your risk by following recommendations.

  • Windows 컴퓨터의 내부 또는 외부 사용자가 보호 된 문서에 액세스 하는 경우와 액세스가 부여 되거나 거부 되었는지 여부를 확인 합니다.Identify when protected documents are accessed by internal or external users from Windows computers, and whether access was granted or denied.

표시 되는 데이터는 Azure Information Protection 클라이언트와 스캐너, Microsoft Cloud App Security 및 보호 사용 현황 로그에서 집계 됩니다.The data that you see is aggregated from your Azure Information Protection clients and scanners, from Microsoft Cloud App Security, and from protection usage logs.

중앙 reporting에 대 한 Azure Information Protection 분석은 현재 미리 보기로 제공 됩니다.Azure Information Protection analytics for central reporting is currently in PREVIEW. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

AIP 보고 데이터AIP reporting data

예를 들어 중앙 보고에 대 한 Azure Information Protection 분석은 다음 데이터를 표시 합니다.For example, the Azure Information Protection analytics for central reporting displays the following data:

보고서Report 표시 되는 샘플 데이터Sample data shown
사용 보고서Usage report 기간을 선택 하 여 다음을 표시 합니다.Select a time period to show any of the following:

-적용 되는 레이블- Which labels are being applied

-레이블이 지정 되는 문서 및 전자 메일 수- How many documents and emails are being labeled

-보호 되는 문서 및 전자 메일 수- How many documents and emails are being protected

-문서 및 전자 메일에 레이블을 지정 하는 사용자 수 및 장치 수- How many users and how many devices are labeling documents and emails

-레이블 지정에 사용 되는 응용 프로그램- Which applications are being used for labeling
활동 로그Activity logs 기간을 선택 하 여 다음을 표시 합니다.Select a time period to show any of the following:

-스캐너에서 이전에 검색 한 파일이 검색 된 리포지토리에서 삭제 됨- Which files previously discovered by scanner were deleted from the scanned repository

-특정 사용자가 수행한 레이블 지정 작업- What labeling actions were performed by a specific user

-특정 장치에서 수행 된 레이블 지정 작업- What labeling actions were performed from a specific device

-레이블이 지정 된 특정 문서에 액세스 한 사용자- Which users have accessed a specific labeled document

-특정 파일 경로에 대해 수행 된 레이블 지정 작업- What labeling actions were performed for a specific file path

-파일 탐색기 및 마우스 오른쪽 단추 클릭, PowerShell, 스캐너, Microsoft Cloud App Security 등 특정 응용 프로그램에서 수행 된 레이블 지정 작업- What labeling actions were performed by a specific application, such File Explorer and right-click, PowerShell, the scanner, or Microsoft Cloud App Security

-사용자가 Azure Information Protection 클라이언트를 설치 하지 않았거나 조직 외부에 있는 경우에도 사용자가 액세스를 거부 하거나 사용자에 대 한 액세스를 거부 한 보호 된 문서- Which protected documents were accessed successfully by users or denied access to users, even if those users don't have the Azure Information Protection client installed or are outside your organization

-보고 된 파일로 드릴 다운 하 여 추가 정보에 대 한 작업 세부 정보를 확인 합니다.- Drill down into reported files to view Activity Details for additional information
데이터 검색 보고서Data discovery report -검색 된 데이터 리포지토리, Windows 10 컴퓨터 또는 Azure Information Protection 클라이언트를 실행 하는 컴퓨터에 있는 파일- What files are on your scanned data repositories, Windows 10 computers, or computers running the Azure Information Protection clients

-레이블이 지정 되 고 보호 되는 파일 및 레이블 별 파일의 위치- Which files are labeled and protected, and the location of files by labels

-알려진 범주에 대 한 중요 한 정보를 포함 하는 파일 (예: 재무 데이터 및 개인 정보) 및 이러한 범주별 파일의 위치- Which files contain sensitive information for known categories, such as financial data and personal information, and the location of files by these categories
권장 사항 보고서Recommendations report -알려진 중요 한 정보 유형을 포함 하는 보호 되지 않는 파일을 식별 합니다.- Identify unprotected files that contain a known sensitive information type. 권장 사항을 통해 레이블 중 하나에 해당하는 조건을 즉시 구성하여 자동 또는 권장 레이블을 적용할 수 있습니다.A recommendation lets you immediately configure the corresponding condition for one of your labels to apply automatic or recommended labeling.
권장 사항을 따르는 경우
: 다음에 사용자가 파일을 열거나 Azure Information Protection 스캐너에서 검색할 때 파일을 자동으로 분류 하 고 보호할 수 있습니다.

If you follow the recommendation
: The next time the files are opened by a user or scanned by the Azure Information Protection scanner, the files can be automatically classified and protected.


-식별 된 중요 한 정보가 있는 파일을 포함 하지만 Azure Information Protection에 의해 검색 되지 않는 데이터 저장소입니다.- Which data repositories have files with identified sensitive information but are not being scanned by the Azure Information Protection. 권장 사항을 통해 식별된 데이터 저장소를 스캐너의 프로필 중 하나에 즉시 추가할 수 있습니다.A recommendation lets you immediately add the identified data store to one of your scanner's profiles.
권장 사항을 따르는 경우 다음 스캐너 주기에서 파일을 자동으로 분류 하 고 보호할 수 있습니다.If you follow the recommendation: On the next scanner cycle, the files can be automatically classified and protected.

보고서는 Azure Monitor를 사용하여 조직이 소유하는 Log Analytics 작업 영역에 데이터를 저장합니다.The reports use Azure Monitor to store the data in a Log Analytics workspace that your organization owns. 쿼리 언어에 익숙한 경우 해당 쿼리를 수정할 수 있으며 새 보고서와 Power BI 대시보드를 만들 수 있습니다.If you're familiar with the query language, you can modify the queries, and create new reports and Power BI dashboards. 쿼리 언어를 이해 하는 데 도움이 되는 다음 자습서를 찾을 수 있습니다. Azure Monitor 로그 쿼리 시작You might find the following tutorial helpful to understand the query language: Get started with Azure Monitor log queries.

자세한 내용은 다음 블로그 게시물For more information, read the following blog posts:

수집되어 Microsoft로 전송된 정보Information collected and sent to Microsoft

이 보고서를 생성하기 위해 엔드포인트는 다음 유형의 정보를 Microsoft로 보냅니다.To generate these reports, endpoints send the following types of information to Microsoft:

  • 레이블 작업.The label action. 예를 들어 레이블을 설정하거나, 레이블을 변경하거나, 보호, 자동 및 권장 레이블을 추가 또는 제거합니다.For example, set a label, change a label, add or remove protection, automatic and recommended labels.

  • 레이블 작업 앞뒤의 레이블 이름입니다.The label name before and after the label action.

  • 조직의 테넌트 IDYour organization's tenant ID.

  • 사용자 ID(메일 주소 또는 UPN)The user ID (email address or UPN).

  • 사용자 디바이스의 이름입니다.The name of the user's device.

  • 사용자 장치의 IP 주소입니다.The IP address of the user's device.

  • Outlook 또는 msip.app 와 같은 관련 프로세스 이름입니다.The relevant process name, such as outlook or msip.app.

  • Outlook 또는 파일 탐색기 와 같이 레이블을 수행한 응용 프로그램의 이름입니다.The name of the application that performed the labeling, such as Outlook or File Explorer

  • 문서의 경우: 레이블이 지정된 문서의 파일 경로 및 파일 이름입니다.For documents: The file path and file name of documents that are labeled.

  • 전자 메일의 경우: 레이블이 지정 된 전자 메일의 전자 메일 제목 및 전자 메일 보낸 사람입니다.For emails: The email subject and email sender for emails that are labeled.

  • 콘텐츠에서 발견된 중요한 정보 유형(사전 정의 및 사용자 지정)입니다.The sensitive information types (predefined and custom) that were detected in content.

  • Azure Information Protection 클라이언트의 버전The Azure Information Protection client version.

  • 클라이언트 운영 체제 버전The client operating system version.

이 정보는 조직이 소유하는 Azure Log Analytics 작업 영역에 저장되며 이 작업 영역에 액세스할 수 있는 사용자가 Azure Information Protection과 별도로 볼 수 있습니다.This information is stored in an Azure Log Analytics workspace that your organization owns and can be viewed independently from Azure Information Protection by users who have access rights to this workspace.

자세한 내용은 다음을 참조하세요.For more details, see:

AIP 클라이언트에서 감사 데이터를 보내지 않도록 방지Prevent the AIP clients from sending auditing data

통합 레이블 지정 클라이언트Unified labeling client

Azure Information Protection 통합 레이블 지정 클라이언트에서 감사 데이터를 보내지 않도록 하려면 레이블 정책 고급 설정을 구성 합니다.To prevent the Azure Information Protection unified labeling client from sending auditing data, configure a label policy advanced setting.

클래식 클라이언트Classic client

Azure Information Protection 클래식 클라이언트가이 데이터를 보내지 않도록 하려면 감사 데이터를 Azure Information Protection 분석으로 보내기정책 설정을 Off 로 설정 합니다.To prevent the Azure Information Protection classic client from sending this data, set the policy setting of Send audit data to Azure Information Protection analytics to Off:

요구 사항Requirement InstructionsInstructions
데이터를 보내도록 대부분의 사용자를 구성 하려면 데이터를 보낼 수 없는 사용자의 하위 집합을 사용 합니다.To configure most users to send data, with a subset of users who cannot send data 사용자 하위 집합에 대 한 범위 지정 정책에서 감사 데이터를 Azure Information Protection 분석으로 전송Off 로 설정 합니다.Set Send audit data to Azure Information Protection analytics to Off in a scoped policy for the subset of users.

이 구성은 프로덕션 시나리오에서 일반적입니다.This configuration is typical for production scenarios.
데이터를 보내는 사용자의 하위 집합만 구성 하려면To configure only a subset of users who send data 전역 정책 및 사용자 하위 집합에 대 한 범위 지정 정책에서 감사 데이터를 Azure Information Protection 분석으로 전송Off 로 설정 합니다.Set Send audit data to Azure Information Protection analytics to Off in the global policy, and On in a scoped policy for the subset of users.

이 구성은 테스트 시나리오에서 일반적입니다.This configuration is typical for testing scenarios.

심층 분석을 위한 콘텐츠 일치Content matches for deeper analysis

Azure Information Protection를 사용 하 여 중요 한 정보 유형 (미리 정의 됨 또는 사용자 지정)으로 식별 되는 실제 데이터를 수집 하 고 저장할 수 있습니다.Azure Information Protection lets you collect and store the actual data that's identified as being a sensitive information type (predefined or custom). 예를 들어, 검색된 신용 카드 번호는 물론 사회 보장 번호, 여권 번호 및 은행 계좌 번호가 여기에 포함될 수 있습니다.For example, this can include credit card numbers that are found, as well as social security numbers, passport numbers, and bank account numbers. 활동 로그 에서 항목을 선택 하면 일치 하는 콘텐츠를 표시 하 고 활동 세부 정보 를 볼 수 있습니다.The content matches are displayed when you select an entry from Activity logs, and view the Activity Details.

기본적으로 Azure Information Protection 클라이언트는 콘텐츠 일치 항목을 보내지 않습니다.By default, Azure Information Protection clients don't send content matches. 콘텐츠 일치를 전송 하도록이 동작을 변경 하려면 다음을 수행 합니다.To change this behavior so that content matches are sent:

클라이언트Client InstructionsInstructions
통합 레이블 지정 클라이언트Unified labeling client 레이블 정책에서 고급 설정을 구성 합니다.Configure an advanced setting in a label policy.
클래식 클라이언트Classic client Azure Information Protection 분석에 대 한 구성 의 일부로 확인란을 선택 합니다.Select a checkbox as part of the configuration for Azure Information Protection analytics. 이 확인란의 이름은 중요 한 데이터에 더 깊은 분석을 사용 하도록 설정 됩니다.The checkbox is named Enable deeper analytics into your sensitive data.

이 클라이언트를 사용 하는 대부분의 사용자가 콘텐츠 일치를 전송 하기 위해 사용자의 하위 집합에서 콘텐츠 일치 항목을 보낼 수 없는 경우 확인란을 선택한 다음 사용자 하위 집합에 대 한 범위 지정 정책에서 고급 클라이언트 설정을 구성 합니다.If you want most users who are using this client to send content matches but a subset of users cannot send content matches, select the checkbox and then configure an advanced client setting in a scoped policy for the subset of users.

전제 조건Prerequisites

Azure Information Protection 보고서를 보고 직접 만들려면 다음 요구 사항이 충족되어야 합니다.To view the Azure Information Protection reports and create your own, make sure that the following requirements are in place.

요구 사항Requirement 세부 정보Details
Azure 구독An Azure subscription Azure 구독은 Azure Information Protection와 동일한 테 넌 트에 Log Analytics를 포함 해야 합니다.Your Azure subscription must include Log Analytics on the same tenant as Azure Information Protection.

자세한 내용은 Azure Monitor 가격 책정 페이지를 참조 하세요.For more information, see the Azure Monitor pricing page.

Azure 구독이 없거나 현재, Azure Log Analytics를 사용하지 않는 경우 가격 책정 페이지에 평가판에 대한 링크를 포함됩니다.If you don't have an Azure subscription or you don't currently use Azure Log Analytics, the pricing page includes a link for a free trial.
감사 로깅 URL 네트워크 연결Audit logging URL network connectivity AIP는 AIP 감사 로그를 지원하기 위해 다음 URL에 액세스할 수 있어야 합니다.AIP must be able to access the following URLs in order to support AIP audit logs:
- https://*.events.data.microsoft.com
- https://*.aria.microsoft.com (Android 장치 데이터만 해당)- https://*.aria.microsoft.com (Android device data only)
Azure Information Protection 클라이언트Azure Information Protection client 클라이언트에서 보고 합니다.For reporting from the client.

클라이언트를 아직 설치 하지 않은 경우 Microsoft 다운로드 센터에서 통합 레이블 지정 클라이언트를 다운로드 하 여 설치할 수 있습니다.If you don't already have a client installed, you can download and install the unified labeling client from the Microsoft Download Center.

참고: 통합 레이블 지정 클라이언트와 클래식 클라이언트가 모두 지원 됩니다.Note: Both the unified labeling client and the classic client are supported. AIP 클래식 클라이언트를 배포하려면 지원 티켓을 열어 다운로드 액세스 권한을 얻어야 합니다.To deploy the AIP classic client, open a support ticket to get download access.
Azure Information Protection 온-프레미스 스캐너Azure Information Protection on-premises scanner 온-프레미스 데이터 저장소에서 보고 합니다.For reporting from on-premises data stores.

자세한 내용은 파일을 자동으로 분류 하 고 보호 하는 Azure Information Protection 스캐너 배포를 참조 하세요.For more information, see Deploying the Azure Information Protection scanner to automatically classify and protect files.
MCAS(Microsoft Cloud App Security)Microsoft Cloud App Security (MCAS) 클라우드 기반 데이터 저장소에서 보고 합니다.For reporting from cloud-based data stores.

자세한 내용은 MCAS 설명서의 Azure Information Protection 통합 을 참조 하세요.For more information, see Azure Information Protection integration in the MCAS documentation.

Azure Information Protection 분석에 필요한 사용 권한Permissions required for Azure Information Protection analytics

Azure Information Protection 분석의 경우에만, Azure Log Analytics 작업 영역을 구성한 후에 Azure Portal에서 Azure Information Protection 관리를 지원하는 다른 Azure AD 역할을 대신하여 보안 읽기 권한자의 Azure AD 관리자 역할을 사용할 수 있습니다.Specific to Azure Information Protection analytics, after you have configured your Azure Log Analytics workspace, you can use the Azure AD administrator role of Security Reader as an alternative to the other Azure AD roles that support managing Azure Information Protection in the Azure portal. 이 추가 역할은 테 넌 트가 통합 레이블 플랫폼에 있지 않은 경우에만 지원 됩니다.This additional role is supported only if your tenant isn't on the unified labeling platform.

Azure Information Protection 분석에서는 Azure 모니터링을 사용 하기 때문에 Azure 용 RBAC (역할 기반 액세스 제어)도 작업 영역에 대 한 액세스를 제어 합니다.Because Azure Information Protection analytics uses Azure Monitoring, role-based access control (RBAC) for Azure also controls access to your workspace. 따라서 Azure Information Protection 분석을 관리하려면 Azure 역할과 Azure AD 관리자 역할이 모두 필요합니다.You therefore need an Azure role as well as an Azure AD administrator role to manage Azure Information Protection analytics. Azure 역할을 처음 사용하는 경우 Azure RBAC 역할 및 Azure AD 관리자 역할 간의 차이점을 읽으면 도움이 될 수 있습니다.If you're new to Azure roles, you might find it useful to read Differences between Azure RBAC roles and Azure AD administrator roles.

자세한 내용은 다음을 참조하세요.For more information, see:

필수 Azure AD 관리자 역할Required Azure AD administrator roles

Azure Information Protection 분석 창에 액세스 하려면 다음 AZURE AD 관리자 역할 중 하나가 있어야 합니다.You must have one of the following Azure AD administrator roles to access the Azure Information Protection analytics pane:

  • Log Analytics 작업 영역을 만들거나 사용자 지정 쿼리를 만들려면,To create your Log Analytics workspace or to create custom queries:

    • Azure Information Protection 관리자Azure Information Protection administrator
    • 보안 관리자Security administrator
    • 규정 준수 관리자Compliance administrator
    • 규정 준수 데이터 관리자Compliance data administrator
    • 전역 관리자Global administrator
  • 작업 영역을 만든 후에는 사용 권한이 적고 다음 역할을 사용 하 여 수집 된 데이터를 볼 수 있습니다.After the workspace has been created, you can then use the following roles with fewer permissions to view the data collected:

    • 보안 읽기 권한자Security reader
    • 전역 판독기Global reader

필요한 Azure Log Analytics 역할Required Azure Log Analytics roles

Azure Log Analytics 작업 영역에 액세스 하려면 다음 azure Log Analytics 역할 또는 표준 azure 역할 중 하나가 있어야 합니다.You must have one of the following Azure Log Analytics roles or standard Azure roles to access your Azure Log Analytics workspace:

  • 작업 영역을 만들거나 사용자 지정 쿼리를 만들려면 다음 중 하나를 수행하세요.To create the workspace or to create custom queries, one of the following:

    • Log Analytics 기여자Log Analytics Contributor
    • 기여자Contributor
    • 소유자Owner
  • 작업 영역이 만들어지면 권한이 거의 없는 다음 역할 중 하나를 사용하여 수집된 데이터를 볼 수 있습니다.After the workspace has been created, you can then use one of the following roles with fewer permissions to view the data collected:

    • Log Analytics 독자Log Analytics Reader
    • 판독기Reader

보고서를 보기 위한 최소 역할Minimum roles to view the reports

Azure Information Protection 분석의 작업 영역을 구성한 후에 Azure Information Protection 분석 보고서를 보려면 필요한 최소 역할은 다음 두 가지입니다.After you have configured your workspace for Azure Information Protection analytics, the minimum roles needed to view the Azure Information Protection analytics reports are both of the following:

  • Azure AD 관리자 역할: 보안 읽기 권한자Azure AD administrator role: Security reader
  • Azure 역할: Log Analytics 판독기Azure role: Log Analytics Reader

그러나 많은 조직의 일반적인 역할 할당은 보안 읽기 권한자 라는 Azure AD 역할과 읽기 권한자 라는 Azure 역할입니다.However, a typical role assignment for many organizations is the Azure AD role of Security reader and the Azure role of Reader.

저장소 요구 사항 및 데이터 보존Storage requirements and data retention

Azure Information Protection 작업 영역에 수집 및 저장되는 데이터의 양은 가지고 있는 Azure Information Protection 클라이언트와 기타 지원되는 엔드포인트의 수 및 엔드포인트 검색 데이터를 수집하는지와 스캐너를 배포했는지의 여부 그리고 액세스한 보호된 문서의 수 등의 요소에 따라 테넌트별로 상당한 차이가 있습니다.The amount of data collected and stored in your Azure Information Protection workspace will vary significantly for each tenant, depending on factors such as how many Azure Information Protection clients and other supported endpoints you have, whether you're collecting endpoint discovery data, you've deployed scanners, the number of protected documents that are accessed, and so on.

그러나 시작 지점으로 다음과 같은 예상 값이 유용할 수 있습니다.However, as a starting point, you might find the following estimates useful:

  • Azure Information Protection 클라이언트만 생성 한 감사 데이터의 경우: 매월 1만 명의 활성 사용자 당 2gb입니다.For audit data generated by Azure Information Protection clients only: 2 GB per 10,000 active users per month.

  • Azure Information Protection 클라이언트 및 스캐너에 의해 생성 된 감사 데이터의 경우 매월 1만 명의 활성 사용자 당 20gb입니다.For audit data generated by Azure Information Protection clients, and scanners: 20 GB per 10,000 active users per month.

필수 레이블 지정을 사용 하거나 대부분의 사용자에 대 한 기본 레이블을 구성한 경우 속도가 훨씬 더 높을 수 있습니다.If you use mandatory labeling or you've configured a default label for most users, your rates are likely to be significantly higher.

Azure Monitor 로그는 저장 되는 데이터의 양을 예측 하 고 검토 하는 데 도움이 되는 사용량 및 예상 비용 기능을 포함 하며, Log Analytics 작업 영역에 대 한 데이터 보존 기간을 제어할 수도 있습니다.Azure Monitor Logs has a Usage and estimated costs feature to help you estimate and review the amount of data stored, and you can also control the data retention period for your Log Analytics workspace. 자세한 내용은 Azure Monitor 로그를 사용 하 여 사용량 및 비용 관리를 참조 하세요.For more information, see Manage usage and costs with Azure Monitor Logs.

보고서의 Log Analytics 작업 영역 구성Configure a Log Analytics workspace for the reports

  1. 이미 완료하지 않은 경우 새 브라우저 창을 열고 Azure Information Protection 분석 권한이 있는 계정을 사용하여 Azure Portal에 로그인합니다.If you haven't already done so, open a new browser window and sign in to the Azure portal with an account that has the permissions required for Azure Information Protection analytics. 그런 다음, Azure Information Protection 창으로 이동합니다.Then navigate to the Azure Information Protection pane.

    예를 들어 리소스, 서비스 및 문서에 대한 검색 상자에서 다음을 수행합니다. 정보 를 입력하고 Azure Information Protection 을 선택합니다.For example, in the search box for resources, services, and docs: Start typing Information and select Azure Information Protection.

  2. 관리 메뉴 옵션을 찾고 분석 구성 (미리 보기) 을 선택 합니다.Locate the Manage menu options, and select Configure analytics (Preview).

  3. Azure Information Protection log analytics 창에는 테 넌 트가 소유 하 고 있는 모든 Log Analytics 작업 영역 목록이 표시 됩니다.On the Azure Information Protection log analytics pane, you see a list of any Log Analytics workspaces that are owned by your tenant. 다음 작업 중 하나를 수행합니다.Do one of the following:

    • 새 Log Analytics 작업 영역을 만들려면 새 작업 영역 만들기 를 선택 하 고 Log Analytics 작업 영역 창에서 요청 된 정보를 제공 합니다.To create a new Log Analytics workspace: Select Create new workspace, and on the Log analytics workspace pane, supply the requested information.

    • 기존 Log Analytics 작업 영역을 사용 하려면 목록에서 작업 영역을 선택 합니다.To use an existing Log Analytics workspace: Select the workspace from the list.

    Log Analytics 작업 영역을 만드는 데 도움이 필요한 경우 Azure Portal에서 Log Analytics 작업 영역 만들기를 참조하세요.If you need help with creating the Log Analytics workspace, see Create a Log Analytics workspace in the Azure portal.

  4. Aip 클래식 클라이언트만 해당: 중요 한 정보 형식으로 식별 되는 실제 데이터를 저장 하려는 경우 중요 한 데이터에 더 깊은 분석 사용 확인란을 선택 합니다.AIP classic client only: Select the checkbox Enable deeper analytics into your sensitive data if you want to store the actual data that's identified as being a sensitive information type.

    이 설정에 대 한 자세한 내용은이 페이지의 심층 분석을 위한 콘텐츠 일치 섹션을 참조 하십시오.For more information about this setting, see the Content matches for deeper analysis section on this page.

  5. 확인 을 선택합니다.Select OK.

이제 보고서를 볼 준비가 되었습니다.You're now ready to view the reports.

AIP 분석 보고서 보기View the AIP analytics reports

Azure Information Protection 창에서 대시보드 메뉴 옵션을 찾은 후 다음 옵션 중 하나를 선택 합니다.From the Azure Information Protection pane, locate the Dashboards menu options, and select one of the following options:

보고서Report 설명Description
사용 보고서 (미리 보기)Usage report (Preview) 레이블이 사용되는 방식을 확인하려면 이 보고서를 사용합니다.Use this report to see how your labels are being used.
활동 로그 (미리 보기)Activity logs (Preview) 사용자, 디바이스 및 파일 경로에서 수행된 레이블 지정 작업을 확인하려면 이 보고서를 사용합니다.Use this report to see labeling actions from users, and on devices and file paths. 또한 보호 된 문서의 경우 조직 내부 및 외부의 사용자에 대 한 액세스 시도 (성공 또는 거부 됨)를 볼 수 있습니다 .이는 Azure Information Protection 클라이언트가 설치 되지 않은 경우에도 마찬가지입니다.In addition, for protected documents, you can see access attempts (successful or denied) for users both inside and outside your organization, even if they don't have the Azure Information Protection client installed.

이 보고서에는 기본 표시 보다 많은 작업 정보를 표시할 수 있는 옵션이 있습니다.This report has a Columns option that lets you display more activity information than the default display. 파일을 선택하여 작업 세부 정보 를 표시하면 해당 파일의 추가적인 세부 정보를 볼 수도 있습니다.You can also see more details about a file by selecting it to display Activity Details.
데이터 검색 (미리 보기)Data discovery (Preview) 이 보고서를 사용하여 스캐너로 찾은 레이블 지정 파일 및 지원되는 엔드포인트 관련 정보를 봅니다.Use this report to see information about labeled files found by scanners and supported endpoints.

: 수집 된 정보에서 알 수 없거나 현재 검색 하지 않는 위치에서 중요 한 정보가 포함 된 파일에 액세스 하는 사용자를 찾을 수 있습니다.Tip: From the information collected, you might find users accessing files that contain sensitive information from location that you didn't know about or aren't currently scanning:

-온-프레미스 위치에 있는 경우 Azure Information Protection 스캐너에 대 한 추가 데이터 리포지토리로 위치를 추가 하는 것이 좋습니다.- If the locations are on-premises, consider adding the locations as additional data repositories for the Azure Information Protection scanner.
-위치가 클라우드에 있는 경우 Microsoft Cloud App Security를 사용 하 여 관리 하는 것이 좋습니다.- If the locations are in the cloud, consider using Microsoft Cloud App Security to manage them.
권장 사항 (미리 보기)Recommendations (Preview) 이 보고서를 사용하여 중요한 정보가 있는 파일을 식별하고 권장 사항을 준수하여 위험을 완화하세요.Use this report to identify files that have sensitive information and mitigate your risk by following the recommendations.

항목을 선택하면 데이터 보기 옵션이 권장 사항을 트리거한 감사 활동을 표시합니다.When you select an item, the View data option displays the audit activities that triggered the recommendation.

AIP 분석 보고서를 수정 하 고 사용자 지정 쿼리를 만듭니다.Modify the AIP analytics reports and create custom queries

대시보드에서 쿼리 아이콘을 선택 하 여 로그 검색 창을 엽니다.Select the query icon in the dashboard to open a Log Search pane:

Azure Information Protection 보고서를 사용자 지정하기 위한 Log Analytics 아이콘

Azure Information Protection에 대한 기록된 데이터는 다음 테이블에 저장됩니다. InformationProtectionLogs_CLThe logged data for Azure Information Protection is stored in the following table: InformationProtectionLogs_CL

고유한 쿼리를 만들 경우 InformationProtectionEvents 함수로 구현된 친숙한 스키마 이름을 사용합니다.When you create your own queries, use the friendly schema names that have been implemented as InformationProtectionEvents functions. 이 함수는 사용자 지정 쿼리에 대해 지원되는 특성에서 파생되고(일부 특성은 내부 전용임), 향상된 기능과 새로운 기능을 위해 기본 특성이 변경되더라도 해당 이름은 시간이 지나면서 변경되지 않습니다.These functions are derived from the attributes that are supported for custom queries (some attributes are for internal use only) and their names will not change over time, even if the underlying attributes change for improvements and new functionality.

이벤트 함수의 친숙한 스키마 참조Friendly schema reference for event functions

다음 표를 사용하여 Azure Information Protection 분석과 함께 사용자 지정 쿼리에 사용할 수 있는 이벤트 함수의 친숙한 이름을 식별합니다.Use the following table to identify the friendly name of event functions that you can use for custom queries with Azure Information Protection analytics.

열 이름Column name 설명Description
TimeTime 이벤트 시간: UTC 형식의 UTC (YYYY-MM-DDTHH: MM: SS)Event time: UTC in format YYYY-MM-DDTHH:MM:SS
사용자User 사용자: 형식 UPN 또는 도메인 \ 사용자User: Format UPN or DOMAIN\USER
ItemPathItemPath 전체 항목 경로 또는 전자 메일 제목Full item path or email subject
ItemNameItemName 파일 이름 또는 전자 메일 제목File name or email subject
방법Method 레이블 할당 방법: 수동, 자동, 권장, 기본값 또는 필수Label assigned method: Manual, Automatic, Recommended, Default, or Mandatory
활동Activity 감사 활동: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection, NewCustomProtection 또는 FileRemovedAudit activity: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection, NewCustomProtection, or FileRemoved
ResultStatusResultStatus 작업의 결과 상태:Result status of the action:

성공 또는 실패 (AIP 스캐너 에서만 보고 됨)Succeeded or Failed (reported by AIP scanner only)
ErrorMessage_sErrorMessage_s ResultStatus = Failed 인 경우 오류 메시지 세부 정보를 포함 합니다.Includes Error message details if ResultStatus=Failed. AIP 스캐너 에서만 보고 됨Reported by AIP scanner only
LabelNameLabelName 레이블 이름 (지역화 되지 않음)Label name (not localized)
LabelNameBeforeLabelNameBefore 변경 전 레이블 이름 (지역화 되지 않음)Label name before change (not localized)
ProtectionTypeProtectionType 보호 유형 [JSON]Protection type [JSON]
{{
"Type": ["Template", "Custom", "DoNotForward"],"Type": ["Template", "Custom", "DoNotForward"],
"TemplateID": "GUID""TemplateID": "GUID"
}}
ProtectionBeforeProtectionBefore 변경 전 보호 유형 [JSON]Protection type before change [JSON]
MachineNameMachineName 사용 가능한 경우 FQDN 그렇지 않으면 호스트 이름FQDN when available; otherwise host name
플랫폼Platform 장치 플랫폼 (Win, OSX, Android, iOS)Device platform (Win, OSX, Android, iOS)
ApplicationNameApplicationName 응용 프로그램 이름Application friendly name
AIPVersionAIPVersion 감사 동작을 수행한 Azure Information Protection 클라이언트의 버전Version of the Azure Information Protection client that performed the audit action
TenantIdTenantId Azure AD 테넌트 IDAzure AD tenant ID
AzureApplicationIdAzureApplicationId Azure AD 등록 된 응용 프로그램 ID (GUID)Azure AD registered application ID (GUID)
ProcessNameProcessName 밉 SDK를 호스트 하는 프로세스Process that hosts MIP SDK
LabelIdLabelId 레이블 GUID 또는 nullLabel GUID or null
IsProtectedIsProtected 보호 여부: 예/아니요Whether protected: Yes/No
ProtectionOwnerProtectionOwner UPN 형식의 Rights Management 소유자Rights Management owner in UPN format
LabelIdBeforeLabelIdBefore 변경 전 레이블 GUID 또는 nullLabel GUID or null before change
InformationTypesAbove55InformationTypesAbove55 신뢰도 수준이 55 이상인 데이터에서 찾은 SensitiveInformation 의 JSON 배열JSON array of SensitiveInformation found in data with confidence level 55 or above
InformationTypesAbove65InformationTypesAbove65 신뢰도 수준이 65 이상인 데이터에서 찾은 SensitiveInformation 의 JSON 배열JSON array of SensitiveInformation found in data with confidence level 65 or above
InformationTypesAbove75InformationTypesAbove75 신뢰도 수준이 75 이상인 데이터에서 찾은 SensitiveInformation 의 JSON 배열JSON array of SensitiveInformation found in data with confidence level 75 or above
InformationTypesAbove85InformationTypesAbove85 신뢰도 수준이 85 이상인 데이터에서 찾은 SensitiveInformation 의 JSON 배열JSON array of SensitiveInformation found in data with confidence level 85 or above
InformationTypesAbove95InformationTypesAbove95 신뢰도 수준이 95 이상인 데이터에서 찾은 SensitiveInformation 의 JSON 배열JSON array of SensitiveInformation found in data with confidence level 95 or above
DiscoveredInformationTypesDiscoveredInformationTypes 데이터 및 일치 하는 내용 (사용 되는 경우)에 있는 SensitiveInformation 의 JSON 배열입니다. 빈 배열은 정보 유형을 찾을 수 없음을 의미 하 고 null은 사용할 수 있는 정보가 없음을 의미 합니다.JSON array of SensitiveInformation found in data and their matched content (if enabled) where an empty array means no information types found, and null means no information available
ProtectedBeforeProtectedBefore 변경 전 콘텐츠 보호 여부: 예/아니요Whether the content was protected before change: Yes/No
ProtectionOwnerBeforeProtectionOwnerBefore 변경 전 소유자 Rights ManagementRights Management owner before change
UserJustificationUserJustification 레이블 다운 그레이드 또는 제거 시 맞춤Justification when downgrading or removing label
LastModifiedByLastModifiedBy 파일을 마지막으로 수정한 UPN 형식의 사용자입니다.User in UPN format who last modified the file. Office 및 SharePoint 에서만 사용할 수 있습니다.Available for Office and SharePoint only
LastModifiedDateLastModifiedDate Yyyy-mm-dd 형식의 UTC (YYYY-MM-YYYY-MM-DDTHH: MM: SS: Office 및 SharePoint 에서만 사용 가능)UTC in format YYYY-MM-DDTHH:MM:SS: Available for Office and SharePoint only

InformationProtectionEvents 사용 예제Examples using InformationProtectionEvents

다음 예제에서 친숙한 스키마를 사용하여 사용자 지정 쿼리를 만드는 방법을 알아봅니다.Use the following examples to see how you might use the friendly schema to create custom queries.

예제 1: 지난 31 일 동안 감사 데이터를 보낸 모든 사용자 반환Example 1: Return all users who sent audit data in the last 31 days
InformationProtectionEvents 
| where Time > ago(31d) 
| distinct User 
예 2: 지난 31 일 동안 매일 다운 그레이드 된 레이블 수 반환Example 2: Return the number of labels that were downgraded per day in the last 31 days
InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| summarize Label_Downgrades_per_Day = count(Activity) by bin(Time, 1d) 
 
예제 3: 지난 31 일 동안 사용자가 비밀으로 다운 그레이드 한 레이블 수 반환Example 3: Return the number of labels that were downgraded from Confidential by user, in the last 31 days

InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| where LabelNameBefore contains "Confidential" and LabelName !contains "Confidential"  
| summarize Label_Downgrades_by_User = count(Activity) by User | sort by Label_Downgrades_by_User desc 

이 예제에서는 작업 전 레이블 이름에 기밀 이름이 포함되고 작업 후 레이블 이름에 기밀 이름이 포함되지 않는 경우에만 다운그레이드된 레이블을 계산합니다.In this example, a downgraded label is counted only if the label name before the action contained the name Confidential and the label name after the action didn't contain the name of Confidential.

다음 단계Next steps

보고서의 정보를 검토 한 후 Azure Information Protection 클라이언트를 사용 하는 경우 레이블 지정 정책을 변경할 수 있습니다.After reviewing the information in the reports, if you are using the Azure Information Protection client, you might decide to make changes to your labeling policy.

AIP 감사 로그는 다른 이름으로 표시 될 수 있는 Microsoft 365 활동 탐색기에도 전송 됩니다.AIP audit logs are also sent to the Microsoft 365 Activity Explorer, where they may be displayed with different names. 자세한 내용은 다음을 참조하세요.For more information, see: