WIP(Windows Information Protection) 감사 이벤트 로그를 수집하는 방법

적용 대상:

• Windows 10 버전 1607 이상

WIP(Windows Information Protection)는 다음과 같은 경우에 감사 이벤트를 만듭니다.

• 직원이 파일의 파일 소유권을 회사에서 개인으로 변경한 경우.

• 데이터가 회사로 표시되지만 개인 앱 또는 웹 페이지와 공유되는 경우. 예를 들어 복사하여 붙여넣기, 끌어서 놓기, 연락처 공유, 개인 웹 페이지에 업로드 또는 사용자가 회사 파일에 대한 임시 액세스 권한을 개인 앱에 부여하는 경우를 예로 들 수 있습니다.

• 앱에 사용자 지정 감사 이벤트가 있는 경우.

보고 CSP(구성 서비스 공급자)를 사용하여 WIP 감사 로그 수집

Reporting configuration service provider(CSP)(보고 CSP(구성 서비스 공급자)) 설명서에 제공된 지침에 따라 직원의 장치에서 WIP 감사 로그를 수집합니다. 이 항목에서는 실제 감사 이벤트에 대한 정보를 제공합니다.

참고

응답의 Data 요소에는 요청된 감사 로그가 XML 인코딩 형식으로 포함되어 있습니다.

User 요소 및 특성

이 표에는 User 요소에 사용할 수 있는 모든 특성이 포함되어 있습니다.

특성	값 유형	설명
UserID	문자열	이 감사 보고서에 해당하는 사용자의 SID(보안 식별자)입니다.
EnterpriseID	문자열	이 감사 보고서에 해당하는 엔터프라이즈 ID입니다.

Log 요소 및 특성

이 표에는 Log 요소에 사용할 수 있는 모든 특성/요소가 포함되어 있습니다. 응답에 Log 요소가 영(0) 개 이상 포함될 수 있습니다.

특성/요소	값 유형	설명
ProviderType	문자열	항상 EDPAudit입니다.
LogType	문자열	다음을 포함합니다. DataCopied. 회사 데이터가 개인 위치로 복사 또는 공유됩니다. ProtectionRemoved. Windows Information Protection 작업 정의 파일에서 제거됩니다. ApplicationGenerated. 앱에서 제공한 사용자 지정 감사 로그입니다.
TimeStamp	정수	FILETIME 구조를 사용하여 이벤트가 발생한 시간을 나타냅니다.
Policy	문자열	회사 데이터가 개인 위치와 공유된 방식: CopyPaste. 회사 데이터를 개인 위치 또는 앱에 붙여 넣었습니다. ProtectionRemoved. 회사 데이터가 비보호로 변경되었습니다. DragDrop. 회사 데이터를 개인 위치 또는 앱에 놓았습니다. Share. 회사 데이터가 개인 위치 또는 앱과 공유되었습니다. NULL. 위의 옵션 외에 회사 데이터를 개인용으로 만들 수 있는 다른 방법입니다. 개인 응용 프로그램을 사용하여 회사 파일을 여는 경우(임시 액세스라고도 함)를 예로 들 수 있습니다.
Justification	문자열	구현되지 않았습니다. 항상 비어 있거나 NULL입니다. 참고 나중에 회사에서 개인으로 변경한 것에 대한 사용자 근거를 수집하기 위해 예약됩니다.
Object	문자열	공유 회사 데이터에 대한 설명입니다. 예를 들어 직원이 개인 앱을 사용하여 회사 파일을 열면 이것이 파일 경로가 됩니다.
DataInfo	문자열	회사 파일이 어떻게 변경되었는지에 대한 추가 정보: 파일 경로입니다. 직원이 Microsoft Edge 또는 Internet Explorer를 사용하여 개인 웹 사이트에 회사 파일을 업로드하는 경우 경로가 여기에 포함됩니다. 클립보드 데이터 형식입니다. 직원이 회사 데이터를 개인 앱에 붙여 넣으면 회사 앱에서 제공한 클립보드 데이터 유형 목록이 여기에 포함됩니다. 자세한 내용은 이 항목의 예 섹션을 참조하세요.
Action	정수	다음을 포함하여 회사 데이터를 개인과 공유했을 때 발생한 일에 대한 정보를 제공합니다. 1. 파일 해독. 2. 위치로 복사. 3. 받는 사람에게 전송. 4. 기타.
FilePath	문자열	감사 이벤트에 지정된 파일의 파일 경로입니다. 예를 들어 직원이 해독한 또는 개인 웹 사이트에 업로드한 파일의 위치입니다.
SourceApplicationName	문자열	원본 앱 또는 웹 사이트입니다. 원본 앱인 경우 AppLocker ID입니다. 원본 웹 사이트인 경우 호스트 이름입니다.
SourceName	문자열	이벤트를 기록하는 앱에서 제공한 문자열입니다. 회사 데이터의 원본을 설명하는 것이 목적입니다.
DestinationEnterpriseID	문자열	직원이 데이터를 공유하는 앱 또는 웹 사이트에 대한 엔터프라이즈 ID 값입니다. NULL, 개인 또는 비어 있음은 회사 데이터가 개인 위치와 공유되었기 때문에 엔터프라이즈 ID가 없다는 의미입니다. 현재는 여러 등록이 지원되지 않기 때문에 항상 이러한 값 중 하나만 볼 수 있습니다.
DestinationApplicationName	문자열	대상 앱 또는 웹 사이트입니다. 대상 앱인 경우 AppLocker ID입니다. 대상 웹 사이트인 경우 호스트 이름입니다.
DestinationName	문자열	이벤트를 기록하는 앱에서 제공한 문자열입니다. 회사 데이터의 대상을 설명하는 것이 목적입니다.
Application	문자열	감사 이벤트가 발생한 앱에 대한 AppLocker ID입니다.

예

다음은 보고 CSP의 응답에 대한 몇 가지 예입니다.

파일의 파일 소유권을 회사에서 개인으로 변경

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
      <Policy>Protection removed</Policy>
      <Justification>NULL</Justification>
      <FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

회사 파일을 Edge의 개인 웹 페이지에 업로드

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>NULL</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

회사 데이터를 개인 웹 페이지에 붙여 넣기

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

회사 파일을 개인 응용 프로그램으로 열기

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
      <Policy>NULL</Policy>
      <Justification></Justification>
      <Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
      <Action>1</Action>
      <SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
      <DestinationEnterpriseID>Personal</DestinationEnterpriseID>
      <DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
      <Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

회사 데이터를 개인 응용 프로그램에 붙여 넣기

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName></DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Windows 이벤트 전달을 사용하여 WIP 감사 로그 수집(도메인 가입된 Windows 데스크톱 장치만 해당)

Windows 이벤트 전달을 사용하여 Windows Information Protection 감사 이벤트를 수집하고 집계합니다. 이벤트 뷰어에서 감사 이벤트를 볼 수 있습니다.

이벤트 뷰어에서 WIP 이벤트를 보려면

1. 이벤트 뷰어를 엽니다.

2. 응용 프로그램 및 서비스 로그\Microsoft\Windows 아래의 콘솔 트리에서 EDP-Audit-Regular 및 EDP-Audit-TCB를 클릭합니다.

Azure Monitor를 사용하여 WIP 감사 로그 수집

Azure Monitor를 사용하여 감사 로그를 수집할 수 있습니다. Azure Monitor에서 Windows 이벤트 로그 데이터 원본을 참조하세요.

Azure Monitor에서 WIP 이벤트를 보려면

1. 기존 작업 영역을 사용하거나 새 Log Analytics 작업 영역을 만듭니다.

2. Log Analytics > 고급 설정에서 데이터를 선택합니다. Windows 이벤트 로그에서 받을 로그를 추가합니다.

   Microsoft-Windows-EDP-Application-Learning/Admin
   Microsoft-Windows-EDP-Audit-TCB/Admin
   

   참고

   Windows 이벤트 로그를 사용하는 경우 이벤트 폴더의 이벤트 속성에서 이벤트 로그 이름을 찾을 수 있습니다(Application and Services Logs\Microsoft\Windows, EDP-Audit-Regular 및 EDP-Audit-TCB 클릭).

3. Microsoft Monitoring Agent를 다운로드합니다.

4. Azure Monitor 문서에 설명된 대로 Intune 설치에 대한 MSI를 얻으려면 다음을 추출합니다. MMASetup-.exe /c /t:

   작업 영역 ID 및 기본 키를 사용하여 WIP 디바이스에 Microsoft Monitoring Agent를 설치합니다. 작업 영역 ID 및 기본 키에 대한 자세한 내용은 Log Analytics > 고급 설정에서 찾을 수 있습니다.

5. Intune 통해 MSI를 배포하려면 설치 매개 변수에 다음을 추가합니다. /q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1

   참고

   5단계에서 받은 <WORKSPACE_ID> & <WORKSPACE_KEY> 대체합니다. 설치 매개 변수에서 따옴표("" 또는 '')에 <WORKSPACE_ID> & <WORKSPACE_KEY> 배치하지 마세요.

6. 에이전트가 배포된 후 약 10분 이내에 데이터가 수신됩니다.

7. 로그를 검색하려면 Log Analytics 작업 영역 > 로그로 이동하고 검색에 이벤트를 입력합니다.

   예제

   Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"
   

추가 리소스

• Intune 통해 앱을 배포하는 방법
• 로그 작업 영역을 만드는 방법
• Windows용 Microsoft Monitoring Agents를 사용하는 방법