Analytics e relatórios centrais para a Proteção da Informação do Azure (pré-visualização pública)

Aplica-se a: Proteção de Informação Azure

Relevante para: Cliente de rotulagem unificada da AIP e cliente clássico

Nota

Para proporcionar uma experiência unificada e simplificada ao cliente, o cliente clássico da Azure Information Protection e a Label Management no Portal Azure são depreciados a partir de 31 de março de 2021. Enquanto o cliente clássico continua a funcionar como configurado, não é fornecido mais suporte, e as versões de manutenção deixarão de ser lançadas para o cliente clássico.

Recomendamos que emigre para a rotulagem unificada e faça upgrade para o cliente de rotulagem unificado. Saiba mais no nosso recente blog de depreciação.

Este artigo descreve como usar a análise da Azure Information Protection (AIP) para reporte central, o que pode ajudá-lo a rastrear a adoção dos seus rótulos que classificam e protegem os dados da sua organização.

A análise AIP também lhe permite executar os seguintes passos:

  • Monitorize documentos e e-mails rotulados e protegidos em toda a sua organização

  • Identifique documentos que contenham informações sensíveis dentro da sua organização

  • Monitorize o acesso do utilizador a documentos e e-mails rotulados e rastreia as alterações na classificação dos documentos.

  • Identifique documentos que contenham informações sensíveis que possam estar a colocar a sua organização em risco se não estiverem protegidas e atenuar o seu risco seguindo recomendações.

  • Identifique quando os documentos protegidos são acedidos por utilizadores internos ou externos a partir de computadores Windows e se o acesso foi concedido ou negado.

Os dados que vê são agregados dos seus clientes e scanners Azure Information Protection, da Microsoft Cloud App Security e dos registos de utilização de proteção.

Azure Information Protection analytics for central reporting is currently in PREVIEW. Os Termos Complementares de Pré-visualização do Azure incluem termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não lançadas em disponibilidade geral.

Dados de reporte da AIP

Por exemplo, a análise da Azure Information Protection para reporte central apresenta os seguintes dados:

Relatório Dados da amostra mostrados
Relatório de utilização Selecione um período de tempo para mostrar qualquer um dos seguintes:

- Que rótulos estão a ser aplicados

- Quantos documentos e e-mails estão a ser rotulados

- Quantos documentos e e-mails estão a ser protegidos

- Quantos utilizadores e quantos dispositivos estão a rotular documentos e e-mails

- Quais aplicações estão a ser utilizadas para a rotulagem
Troncos de atividade Selecione um período de tempo para mostrar qualquer um dos seguintes:

- Quais os ficheiros previamente descobertos pelo scanner foram eliminados do repositório digitalizado

- Que ações de rotulagem foram realizadas por um utilizador específico

- Que ações de rotulagem foram realizadas a partir de um dispositivo específico

- Quais os utilizadores que acederam a um documento específico com rótulo

- Que ações de rotulagem foram realizadas para um caminho específico de arquivo

- Que ações de rotulagem foram realizadas por uma aplicação específica, como o File Explorer e o click direito, PowerShell, o scanner ou a Microsoft Cloud App Security

- Quais documentos protegidos foram acedidos com sucesso pelos utilizadores ou negados ao acesso aos utilizadores, mesmo que esses utilizadores não tenham o cliente Azure Information Protection instalado ou fora da sua organização

- Aprofundar os ficheiros reportados para ver detalhes da atividade para obter informações adicionais
Relatório de descoberta de dados - Que ficheiros estão nos seus repositórios de dados digitalizados, computadores Windows 10 ou computadores que executam os clientes Azure Information Protection

- Quais os ficheiros rotulados e protegidos, e a localização dos ficheiros por etiquetas

- Quais os ficheiros que contêm informações sensíveis para categorias conhecidas, tais como dados financeiros e informações pessoais, e a localização de ficheiros por estas categorias
Relatório de recomendações - Identificar ficheiros desprotegidos que contenham um tipo de informação sensível conhecido. Uma recomendação permite-lhe configurar imediatamente a condição correspondente para que uma das suas etiquetas aplique rotulagem automática ou recomendada.
Se seguir a recomendação
: Da próxima vez que os ficheiros forem abertos por um utilizador ou digitalizados pelo scanner de Proteção de Informação Azure, os ficheiros podem ser automaticamente classificados e protegidos.

- Quais os repositórios de dados que têm ficheiros com informações sensíveis identificadas, mas que não estão a ser analisados pela Proteção de Informação do Azure. Uma recomendação permite-lhe adicionar imediatamente a loja de dados identificada a um dos perfis do seu scanner.
Se seguir a recomendação: No próximo ciclo de scanner, os ficheiros podem ser automaticamente classificados e protegidos.

Os relatórios usam o Azure Monitor para armazenar os dados num espaço de trabalho log analytics que a sua organização possui. Se estiver familiarizado com o idioma de consulta, pode modificar as consultas e criar novos relatórios e painéis de power BI. Poderá encontrar o seguinte tutorial útil para entender o idioma de consulta: Começar com consultas de registo do Azure Monitor.

Para mais informações, leia as seguintes publicações de blog:

Informação recolhida e enviada para a Microsoft

Para gerar estes relatórios, os pontos finais enviam os seguintes tipos de informação para a Microsoft:

  • A ação do rótulo. Por exemplo, definir um rótulo, alterar uma etiqueta, adicionar ou remover proteção, etiquetas automáticas e recomendadas.

  • O nome da etiqueta antes e depois da ação da etiqueta.

  • A identificação do inquilino da sua organização.

  • O ID do utilizador (endereço de e-mail ou UPN).

  • O nome do dispositivo do utilizador.

  • O endereço IP do dispositivo do utilizador.

  • O nome do processo relevante, como perspetivas ou msip.app.

  • O nome da aplicação que realizou a rotulagem, como Outlook ou File Explorer

  • Para documentos: O caminho do ficheiro e o nome do ficheiro dos documentos que estão rotulados.

  • Para e-mails: O sujeito de e-mail e remetente de e-mail para e-mails que estão rotulados.

  • Os tipos de informação sensíveis(predefinidos e personalizados) que foram detetados em conteúdo.

  • A versão do cliente Azure Information Protection.

  • A versão do sistema operativo do cliente.

Estas informações são armazenadas num espaço de trabalho Azure Log Analytics que a sua organização possui e pode ser vista independentemente da Azure Information Protection pelos utilizadores que tenham direitos de acesso a este espaço de trabalho.

Para obter mais detalhes, consulte:

Impedir que os clientes da AIP enviem dados de auditoria

Cliente de rotulagem unificado

Para evitar que o cliente unificado de rotulagem da Azure Information Protection envie dados de auditoria, configufique uma definição avançada dapolítica de etiquetas .

Cliente clássico

Para evitar que o cliente clássico da Azure Information Protection envie estes dados, defina a definição de política de Enviar dados de auditoria para Azure Information Protection analytics para Off:

Requisito Instruções
Para configurar a maioria dos utilizadores para enviar dados, com um subconjunto de utilizadores que não podem enviar dados Defina Enviar dados de auditoria para Azure Information Protection analytics to Off numa política de âmbito para o subconjunto de utilizadores.

Esta configuração é típica para cenários de produção.
Para configurar apenas um subconjunto de utilizadores que enviam dados Defina Enviar dados de auditoria para a Azure Information Protection analytics to Off na política global, e On em uma política de âmbito para o subconjunto de utilizadores.

Esta configuração é típica para cenários de teste.

Correspondência de conteúdo para análise mais profunda

A Azure Information Protection permite-lhe recolher e armazenar os dados reais que são identificados como sendo um tipo de informação sensível (predefinido ou personalizado). Por exemplo, isto pode incluir números de cartões de crédito que são encontrados, bem como números de segurança social, números de passaportes e números de contas bancárias. As partidas de conteúdo são apresentadas quando seleciona uma entrada a partir de registos de atividades e vê os Detalhes da Atividade.

Por padrão, os clientes da Azure Information Protection não enviam correspondências de conteúdo. Para alterar este comportamento para que os conteúdos sejam enviados:

Cliente Instruções
Cliente de rotulagem unificado Configure uma definição avançada numa política de etiquetas.
Cliente clássico Selecione uma caixa de verificação como parte da configuração para análise de Proteção de Informação Azure. A caixa de verificação chama-se Ativar a análise mais profunda nos seus dados sensíveis.

Se pretender que a maioria dos utilizadores que utilizam este cliente enviem correspondências de conteúdo, mas um subconjunto de utilizadores não pode enviar correspondências de conteúdo, selecione a caixa de verificação e, em seguida, configufique uma definição avançada de clientes numa política de âmbito para o subconjunto de utilizadores.

Pré-requisitos

Para ver os relatórios de Proteção de Informação do Azure e criar os seus próprios, certifique-se de que os seguintes requisitos estão em vigor.

Requisito Detalhes
Uma subscrição do Azure A sua subscrição Azure deve incluir Log Analytics no mesmo inquilino que a Azure Information Protection.

Para mais informações, consulte a página de preços do Azure Monitor.

Se não tiver uma subscrição do Azure ou não utilizar atualmente o Azure Log Analytics, a página de preços inclui um link para um teste gratuito.
Conectividade da rede de URL de registo de auditoria A AIP deve poder aceder aos seguintes URLs a fim de suportar os registos de auditoria da AIP:
- https://*.events.data.microsoft.com
- https://*.aria.microsoft.com (Apenas dados de dispositivos Android)
Cliente do Azure Information Protection Para reportar do cliente.

Se ainda não tiver um cliente instalado, pode descarregar e instalar o cliente de rotulagem unificado do Microsoft Download Center.

Nota: Tanto o cliente de rotulagem unificado como o cliente clássico são suportados. Para implementar o cliente clássico da AIP, abra um bilhete de apoio para obter acesso ao download.
Scanner de Proteção de Informação Azure no local Para reportar a partir de lojas de dados no local.

Para obter mais informações, consulte implementar o scanner de Proteção de Informações Azure para classificar e proteger automaticamente ficheiros.
Segurança da Aplicação Microsoft Cloud (MCAS) Para reportar a partir de lojas de dados baseadas em nuvem.

Para mais informações, consulte a integração da Azure Information Protection na documentação do MCAS.

Permissões necessárias para análise de Proteção de Informação Azure

Específico para a análise da Azure Information Protection, depois de configurar o seu espaço de trabalho Azure Log Analytics, pode utilizar o papel de administrador AD do Azure AD do Security Reader como alternativa às outras funções AD Azure que suportam a gestão da Proteção de Informação Azure no portal Azure. Este papel adicional só é suportado se o seu inquilino não estiver na plataforma de rotulagem unificada.

Como a Azure Information Protection analytics utiliza o Azure Monitoring, o controlo de acesso baseado em funções (RBAC) para o Azure também controla o acesso ao seu espaço de trabalho. Por isso, precisa de um papel de Azure, bem como de um papel de administrador da AD Azure para gerir a análise da Azure Information Protection. Se você é novo em funções de Azure, você pode achar útil ler diferenças entre as funções de Azure RBAC e funções de administrador da AD Azure.

Para obter mais informações, consulte:

Funções de administrador azure exigidas

Deve ter uma das seguintes funções de administrador AD Azure para aceder ao painel de análise de proteção de informação Azure:

  • Para criar o seu espaço de trabalho Log Analytics ou para criar consultas personalizadas:

    • Administrador de Proteção de Informação da Azure
    • Administrador de segurança
    • Administrador de conformidade
    • Administrador de dados de conformidade
    • Administrador global
  • Após a criação do espaço de trabalho, pode utilizar as seguintes funções com menos permissões para visualizar os dados recolhidos:

    • Leitor de segurança
    • Leitor global

Funções necessárias do Azure Log Analytics

Você deve ter um dos seguintes papéis Azure Log Analytics ou funções padrão Azure para aceder ao seu espaço de trabalho Azure Log Analytics:

  • Para criar o espaço de trabalho ou para criar consultas personalizadas, uma das seguintes:

    • Contribuidor do Log Analytics
    • Contribuinte
    • Proprietário
  • Após a criação do espaço de trabalho, pode utilizar uma das seguintes funções com menos permissões para visualizar os dados recolhidos:

    • Leitor do Log Analytics
    • Leitor

Funções mínimas para ver os relatórios

Depois de configurar o seu espaço de trabalho para análises de proteção de informação Azure, as funções mínimas necessárias para visualizar os relatórios de análise da Proteção de Informação Azure são ambas as seguintes:

  • Papel de administrador da AD Azure: Leitor de segurança
  • Papel azul: Log Analytics Reader

No entanto, uma atribuição de papel típica para muitas organizações é o papel AD AZure do leitor de Segurança e o papel azul do Leitor.

Requisitos de armazenamento e retenção de dados

A quantidade de dados recolhidos e armazenados no seu espaço de trabalho de Proteção de Informação Azure variará significativamente para cada inquilino, dependendo de fatores como quantos clientes da Azure Information Protection e outros pontos finais suportados você tem, quer esteja a recolher dados de descoberta de ponto final, você implementou scanners, o número de documentos protegidos que são acedidos, e assim por diante.

No entanto, como ponto de partida, poderá encontrar as seguintes estimativas úteis:

  • Para os dados de auditoria gerados apenas pelos clientes da Azure Information Protection: 2 GB por 10.000 utilizadores ativos por mês.

  • Para os dados de auditoria gerados por clientes da Azure Information Protection e scanners: 20 GB por 10.000 utilizadores ativos por mês.

Se utilizar a rotulagem obrigatória ou configurar uma etiqueta padrão para a maioria dos utilizadores, é provável que as suas tarifas sejam significativamente mais elevadas.

O Azure Monitor Logs tem uma funcionalidade de utilização e custos estimados para o ajudar a estimar e rever a quantidade de dados armazenados, podendo também controlar o período de retenção de dados para o seu espaço de trabalho Log Analytics. Para obter mais informações, consulte Gerir a utilização e os custos com os Registos do Monitor Azure.

Configure um espaço de trabalho Log Analytics para os relatórios

  1. Se ainda não o fez, abra uma nova janela do navegador e inscreva-se no portal Azure com uma conta que tenha as permissões necessárias para análises de Proteção de Informação Azure. Em seguida, navegue para o painel de proteção de informação Azure.

    Por exemplo, na caixa de pesquisa de recursos, serviços e docs: Comece a digitar informações e selecione Azure Information Protection.

  2. Localize as opções do menu Manage e selecione Configure analytics (Preview).

  3. No painel de análise de registos de proteção de informação Azure, você vê uma lista de quaisquer espaços de trabalho log Analytics que são propriedade do seu inquilino. Faça um dos seguintes:

    • Para criar um novo espaço de trabalho Log Analytics: Selecione Criar um novo espaço de trabalho, e no painel de espaço de trabalho de analítica Log, forneça as informações solicitadas.

    • Para utilizar um espaço de trabalho log analytics existente: Selecione o espaço de trabalho da lista.

    Se precisar de ajuda para criar o espaço de trabalho Log Analytics, consulte Criar um espaço de trabalho Log Analytics no portal Azure.

  4. Cliente clássico da AIP apenas: Selecione a caixa de verificação Ative análises mais profundas nos seus dados sensíveis se pretender armazenar os dados reais que são identificados como sendo um tipo de informação sensível.

    Para obter mais informações sobre esta definição, consulte as partidas de Conteúdo para obter uma secção de análise mais profunda nesta página.

  5. Selecione OK.

Está pronto para ver os relatórios.

Ver os relatórios de análise da AIP

A partir do painel de proteção de informações Azure, localize as opções do menu dashboards e selecione uma das seguintes opções:

Relatório Descrição
Relatório de utilização (Pré-visualização) Utilize este relatório para ver como estão a ser utilizadas as suas etiquetas.
Registos de atividades (Pré-visualização) Utilize este relatório para ver as ações de rotulagem dos utilizadores e nos dispositivos e nos caminhos de arquivo. Além disso, para documentos protegidos, pode ver tentativas de acesso (bem sucedidas ou negadas) para utilizadores dentro e fora da sua organização, mesmo que não tenham o cliente Azure Information Protection instalado.

Este relatório tem uma opção Colunas que permite exibir mais informações de atividade do que o visor predefinido. Também pode ver mais detalhes sobre um ficheiro selecionando-o para exibir Detalhes da Atividade.
Descoberta de dados (Pré-visualização) Utilize este relatório para ver informações sobre ficheiros rotulados encontrados por scanners e pontos finais suportados.

Dica: A partir das informações recolhidas, poderá encontrar utilizadores que acedam a ficheiros que contenham informações sensíveis a partir do local que desconhecia ou que não estão atualmente a digitalizar:

- Se as localizações estiverem no local, considere adicionar as localizações como repositórios de dados adicionais para o scanner de Proteção de Informação Azure.
- Se as localizações estiverem na nuvem, considere usar o Microsoft Cloud App Security para geri-los.
Recomendações (Pré-visualização) Utilize este relatório para identificar ficheiros que tenham informações sensíveis e mitigar o seu risco seguindo as recomendações.

Quando seleciona um item, a opção de dados Ver apresenta as atividades de auditoria que desencadearam a recomendação.

Modifique os relatórios de análise da AIP e crie consultas personalizadas

Selecione o ícone de consulta no painel de instrumentos para abrir um painel de pesquisa de registo:

Log Analytics ícone para personalizar relatórios de Proteção de Informação Azure

Os dados registados para a Proteção de Informações do Azure estão armazenados no seguinte quadro: InformationProtectionLogs_CL

Quando criar as suas próprias consultas, use os nomes de esquemas amigáveis que foram implementados como funções InformationProtectionEvents. Estas funções são derivadas dos atributos que são suportados para consultas personalizadas (alguns atributos são apenas para uso interno) e os seus nomes não mudarão ao longo do tempo, mesmo que os atributos subjacentes mudem para melhorias e novas funcionalidades.

Referência amigável do esquema para funções de evento

Utilize a seguinte tabela para identificar o nome amigável das funções do evento que pode utilizar para consultas personalizadas com análises de Proteção de Informação Azure.

Nome da coluna Description
Time Tempo do evento: UTC em formato YYYY-MM-DDTHH:MM:SS
Utilizador Utilizador: Formato UPN ou DOMAIN\USER
ItemPath Percurso completo do item ou assunto de e-mail
NomeDoItem Nome do arquivo ou assunto de e-mail
Método Método atribuído à etiqueta: Manual, Automático, Recomendado, Predefinido ou Obrigatório
Atividade Atividade de auditoria: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection, NewCustomProtection, ou FileRemoved
ResultStatus Estado do resultado da ação:

Bem sucedido ou Falhado (reportado apenas pelo scanner AIP)
ErrorMessage_s Inclui detalhes da mensagem de erro se ResultadosStatus=Falhado. Reportado apenas pelo scanner AIP
Nome de etiqueta Nome do rótulo (não localizado)
LabelNameBe antes Nome do rótulo antes da alteração (não localizado)
ProteçãoType Tipo de proteção [JSON]
{ 
"Tipo": ["Modelo", "Costume", "DoNotForward"],
  "TemplateID": "GUID"
 }
Proteção Antes Tipo de proteção antes de alterar [JSON]
Nome da máquina FQDN quando disponível; caso contrário, nome hospedeiro
Plataforma Plataforma de dispositivos (Win, OSX, Android, iOS) 
ApplicationName Nome amigável da aplicação
AIPVersão Versão do cliente Azure Information Protection que realizou a ação de auditoria
TenantId ID de inquilino do Azure AD
AzureApplicationId ID de aplicação registada da Azure AD (GUID)
ProcessName Processo que acolhe MIP SDK
LabelId Etiqueta GUID ou nulo
Está Protegida Se protegido: Sim/Não
Protecionismo Titular da Gestão de Direitos em formato UPN
LabelIdBefore Etiqueta GUID ou nulo antes da mudança
InformationTypesAbove55 JSON conjunto de SensitiveInformation encontrado em dados com nível de confiança 55 ou superior
InformationTypesAbove65 JSON conjunto de SensitiveInformation encontrado em dados com nível de confiança 65 ou superior
InformationTypesAbove75 JSON conjunto de SensitiveInformation encontrado em dados com nível de confiança 75 ou superior
InformaçõesTypesAbove85 JSON conjunto de SensitiveInformation encontrado em dados com nível de confiança 85 ou superior
InformationTypesAbove95 JSON conjunto de SensitiveInformation encontrado em dados com nível de confiança 95 ou superior
Tipos de Informação Descobertos JSON conjunto de SensitiveInformation encontrados em dados e seus conteúdos combinados (se habilitados) onde uma matriz vazia significa que nenhum tipo de informação encontrada, e nulo significa que nenhuma informação disponível
Protegido Antes de Se o conteúdo foi protegido antes da mudança: Sim/Não
ProtecçãoOwnerBefore Titular da Gestão de Direitos antes da mudança
UtilizadorJustificação Justificação ao degradar ou remover o rótulo
LastModifiedBy Utilizador em formato UPN que modificou o ficheiro pela última vez. Disponível apenas para Office e SharePoint
Último Encontro de Última Forma UTC em formato YYYY-MM-DDTHH:MM:SS: Disponível apenas para Office e SharePoint

Exemplos que utilizam eventos de proteção de informação

Use os seguintes exemplos para ver como pode usar o esquema amigável para criar consultas personalizadas.

Exemplo 1: Devolver todos os utilizadores que enviaram dados de auditoria nos últimos 31 dias
InformationProtectionEvents 
| where Time > ago(31d) 
| distinct User 
Exemplo 2: Devolver o número de rótulos que foram desclassificados por dia nos últimos 31 dias
InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| summarize Label_Downgrades_per_Day = count(Activity) by bin(Time, 1d) 
 
Exemplo 3: Devolver o número de rótulos que foram desclassificados da Confidencial pelo utilizador, nos últimos 31 dias

InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| where LabelNameBefore contains "Confidential" and LabelName !contains "Confidential"  
| summarize Label_Downgrades_by_User = count(Activity) by User | sort by Label_Downgrades_by_User desc 

Neste exemplo, uma etiqueta desclassificada só é contada se o nome do rótulo antes da ação contiver o nome Confidencial e o nome do rótulo após a ação não conter o nome confidencial.

Passos seguintes

Depois de rever as informações nos relatórios, se estiver a utilizar o cliente Azure Information Protection, poderá decidir alterar a sua política de rotulagem.

  • Cliente de rotulagem unificado: Faça alterações à sua política de rotulagem no centro de conformidade Microsoft 365. Para mais informações, consulte a documentação da Microsoft 365.

  • Cliente clássico: Faça alterações à sua política no portal Azure. Para obter mais informações, consulte a política de Proteção de Informação Azure.

Os registos de auditoria AIP também são enviados para o Microsoft 365 Activity Explorer, onde podem ser apresentados com nomes diferentes. Para obter mais informações, consulte: