Relatório central da proteção de informações do AzureCentral reporting for Azure Information Protection

Aplica-se a: Proteção de informações do AzureApplies to: Azure Information Protection

Nota

Este recurso está atualmente em visualização e está sujeito a alterações.This feature is currently in preview and subject to change.

Use a análise da proteção de informações do Azure para relatórios centrais para ajudá-lo a acompanhar a adoção de seus rótulos que classificam e protegem os dados da sua organização.Use Azure Information Protection analytics for central reporting to help you track the adoption of your labels that classify and protect your organization's data. Além disso:In addition:

  • Monitorar os documentos e emails rotulados e protegidos em sua organizaçãoMonitor labeled and protected documents and emails across your organization

  • Identificar documentos que contêm informações confidenciais em sua organizaçãoIdentify documents that contain sensitive information within your organization

  • Monitore o acesso do usuário a documentos rotulados e emails e acompanhe as alterações de classificação do documento.Monitor user access to labeled documents and emails, and track document classification changes.

  • Identifique documentos que contenham informações confidenciais que possam estar colocando sua organização em risco se elas não estiverem protegidas e reduza seu risco seguindo as recomendações.Identify documents that contain sensitive information that might be putting your organization at risk if they are not protected, and mitigate your risk by following recommendations.

  • Identifique quando os documentos protegidos são acessados por usuários internos ou externos de computadores Windows e se o acesso foi concedido ou negado.Identify when protected documents are accessed by internal or external users from Windows computers, and whether access was granted or denied.

Os dados que você vê são agregados de seus clientes e scanners da proteção de informações do Azure, de clientes e serviços que dão suporte à rotulagem unificadae dos logs de uso da proteção.The data that you see is aggregated from your Azure Information Protection clients and scanners, from clients and services that support unified labeling, and from protection usage logs.

Nota

Atualmente, com exceção da versão de visualização do cliente de rotulamento unificado, a análise da proteção de informações do Azure não inclui tipos de informações personalizadas para clientes e serviços que dão suporte a rotulagem unificada.Currently, with the exception of the preview version of the unified labeling client, Azure Information Protection analytics doesn't include custom information types for clients and services that support unified labeling.

Por exemplo, você poderá ver o seguinte:For example, you'll be able to see the following:

  • No relatório de uso, onde você pode selecionar um período de tempo:From the Usage report, where you can select a time period:

    • Quais rótulos estão sendo aplicadosWhich labels are being applied

    • Quantos documentos e emails estão sendo rotuladosHow many documents and emails are being labeled

    • Quantos documentos e emails estão sendo protegidosHow many documents and emails are being protected

    • Quantos usuários e quantos dispositivos estão rotulando documentos e emailsHow many users and how many devices are labeling documents and emails

    • Quais aplicativos estão sendo usados para rotulagemWhich applications are being used for labeling

  • Nos logs de atividades, onde você pode selecionar um período de tempo:From the Activity logs, where you can select a time period:

    • Quais ações de rotulação foram executadas por um usuário específicoWhat labeling actions were performed by a specific user

    • Quais ações de rotulação foram executadas de um dispositivo específicoWhat labeling actions were performed from a specific device

    • Quais usuários acessaram um documento rotulado específicoWhich users have accessed a specific labeled document

    • Quais ações de rotulação foram executadas para um caminho de arquivo específicoWhat labeling actions were performed for a specific file path

    • Quais ações de rotulação foram executadas por um aplicativo específico, como o explorador de arquivos e clique com o botão direito do mouse, PowerShell, o scanner ou Microsoft Cloud App SecurityWhat labeling actions were performed by a specific application, such File Explorer and right-click, PowerShell, the scanner, or Microsoft Cloud App Security

    • Quais documentos protegidos foram acessados com êxito pelos usuários ou acesso negado aos usuários, mesmo que esses usuários não tenham o cliente de proteção de informações do Azure instalado ou estejam fora da sua organizaçãoWhich protected documents were accessed successfully by users or denied access to users, even if those users don't have the Azure Information Protection client installed or are outside your organization

    • Aprofunde-se em arquivos relatados para exibir detalhes da atividade para obter informações adicionaisDrill down into reported files to view Activity Details for additional information

  • No relatório de descoberta de dados :From the Data discovery report:

    • Quais arquivos estão em seus repositórios de dados digitalizados, computadores com Windows 10 ou computadores que executam o cliente de proteção de informações do Azure ou clientes que dão suporte a rotulagem unificadaWhat files are on your scanned data repositories, Windows 10 computers, or computers running the Azure Information Protection client or clients that support unified labeling

    • Quais arquivos são rotulados e protegidos e o local dos arquivos por rótulosWhich files are labeled and protected, and the location of files by labels

    • Quais arquivos contêm informações confidenciais para categorias conhecidas, como dados financeiros e informações pessoais, e o local dos arquivos por essas categoriasWhich files contain sensitive information for known categories, such as financial data and personal information, and the location of files by these categories

  • Do relatório de recomendações :From the Recommendations report:

    • Identificar arquivos desprotegidos que contêm um tipo de informações confidenciais conhecido.Identify unprotected files that contain a known sensitive information type. Uma recomendação permite configurar imediatamente a condição correspondente para um de seus rótulos a fim de aplicar rótulos automáticos ou recomendados.A recommendation lets you immediately configure the corresponding condition for one of your labels to apply automatic or recommended labeling.

      Se você seguir a recomendação: Na próxima vez em que os arquivos forem abertos por um usuário ou verificados pelo verificador da proteção de informações do Azure, os arquivos poderão ser automaticamente classificados e protegidos.If you follow the recommendation: The next time the files are opened by a user or scanned by the Azure Information Protection scanner, the files can be automatically classified and protected.

    • Quais repositórios de dados têm arquivos com informações confidenciais identificadas, mas que não estão sendo verificados pela proteção de informações do Azure.Which data repositories have files with identified sensitive information but are not being scanned by the Azure Information Protection. Uma recomendação permite que você adicione imediatamente o armazenamento de dados identificado a um dos perfis do seu scanner.A recommendation lets you immediately add the identified data store to one of your scanner's profiles.

      Se você seguir a recomendação: No próximo ciclo do scanner, os arquivos podem ser automaticamente classificados e protegidos.If you follow the recommendation: On the next scanner cycle, the files can be automatically classified and protected.

Os relatórios usam Azure monitor para armazenar os dados em um espaço de trabalho de log Analytics que sua organização possui.The reports use Azure Monitor to store the data in a Log Analytics workspace that your organization owns. Se você estiver familiarizado com a linguagem de consulta, poderá modificar as consultas e criar novos relatórios e Power BI Dashboards.If you're familiar with the query language, you can modify the queries, and create new reports and Power BI dashboards. Você pode achar o seguinte tutorial útil para entender a linguagem de consulta: Introdução às consultas de log de Azure monitor.You might find the following tutorial helpful to understand the query language: Get started with Azure Monitor log queries.

Para obter mais informações, leia as seguintes postagens no blog:For more information, read the following blog posts:

Informações coletadas e enviadas à MicrosoftInformation collected and sent to Microsoft

Para gerar esses relatórios, os pontos de extremidade enviam os seguintes tipos de informações para a Microsoft:To generate these reports, endpoints send the following types of information to Microsoft:

  • A ação de rótulo.The label action. Por exemplo, defina um rótulo, altere um rótulo, adicione ou remova proteção, rótulos automáticos e recomendados.For example, set a label, change a label, add or remove protection, automatic and recommended labels.

  • O nome do rótulo antes e depois da ação do rótulo.The label name before and after the label action.

  • A ID de locatário da sua organização.Your organization's tenant ID.

  • A ID de usuário (endereço de email ou UPN).The user ID (email address or UPN).

  • O nome do dispositivo do usuário.The name of the user's device.

  • Para documentos: O caminho do arquivo e o nome do arquivo de documentos rotulados.For documents: The file path and file name of documents that are labeled.

  • Para emails: O assunto do email e o remetente do email para emails rotulados.For emails: The email subject and email sender for emails that are labeled.

  • Os tipos de informações confidenciais predefinidos que foram detectados no conteúdo.The predefined sensitive information types that were detected in content.

    Se você estiver usando rótulos da proteção de informações do Azure com condições personalizadas, os nomes dos tipos de informações personalizados também serão enviados.If you are using Azure Information Protection labels with custom conditions, the names of your custom information types are also sent. Com exceção da versão de visualização do cliente de rotulamento unificado, os tipos de informações confidenciais personalizadas que você cria no seu centro de rótulos não são enviados.With the exception of the preview version of the unified labeling client, custom sensitive info types that you create in your labeling center are not sent.

  • A versão do cliente da proteção de informações do Azure.The Azure Information Protection client version.

  • A versão do sistema operacional do cliente.The client operating system version.

Essas informações são armazenadas em um espaço de trabalho Log Analytics do Azure que sua organização possui e pode ser exibida independentemente da proteção de informações do Azure por usuários que têm direitos de acesso a esse espaço de trabalho.This information is stored in an Azure Log Analytics workspace that your organization owns and can be viewed independently from Azure Information Protection by users who have access rights to this workspace. Para obter detalhes, consulte a seção permissões necessárias para a análise da proteção de informações do Azure .For details, see the Permissions required for Azure Information Protection analytics section. Para obter informações sobre como gerenciar o acesso ao seu espaço de trabalho, consulte a seção gerenciar o acesso ao log Analytics espaço de trabalho usando permissões do Azure na documentação do Azure.For information about managing access to your workspace, see the Manage access to Log Analytics Workspace using Azure permissions section from the Azure documentation.

Para impedir que os clientes da proteção de informações do Azure (clássico) enviem esses dados, defina a configuração de política de enviar dados de auditoria para a análise da proteção de informações do Azure como desativado:To prevent Azure Information Protection clients (classic) from sending this data, set the policy setting of Send audit data to Azure Information Protection analytics to Off:

  • Para a maioria dos usuários enviarem esses dados e um subconjunto de usuários não puder enviar dados de auditoria:For most users to send this data and a subset of users cannot send auditing data:

    • Defina enviar dados de auditoria para a análise da proteção de informações do Azure como desativado em uma política com escopo para o subconjunto de usuários.Set Send audit data to Azure Information Protection analytics to Off in a scoped policy for the subset of users. Essa configuração é típica para cenários de produção.This configuration is typical for production scenarios.
  • Somente para um subconjunto de usuários enviar dados de auditoria:For only a subset of users to send auditing data:

    • Defina enviar dados de auditoria para a análise da proteção de informações do Azure como desativado na política global e em uma política com escopo para o subconjunto de usuários.Set Send audit data to Azure Information Protection analytics to Off in the global policy, and On in a scoped policy for the subset of users. Essa configuração é típica para cenários de teste.This configuration is typical for testing scenarios.

Para impedir que clientes unificados da proteção de informações do Azure enviem esses dados, defina uma Configuração avançadade política de rótulo.To prevent Azure Information Protection unified clients from sending this data, configure a label policy advanced setting.

Correspondências de conteúdo para análise mais profundaContent matches for deeper analysis

O espaço de trabalho do Azure Log Analytics para a proteção de informações do Azure inclui uma caixa de seleção para coletar e armazenar os dados identificados como um tipo de informações confidenciais (condições predefinidas ou personalizadas).Your Azure Log Analytics workspace for Azure Information Protection includes a checkbox for also collecting and storing the data that's identified as being a sensitive information type (predefined or custom conditions). Por exemplo, isso pode incluir números de cartão de crédito que são encontrados, bem como números de seguro social, números de passaporte e números de conta bancária.For example, this can include credit card numbers that are found, as well as social security numbers, passport numbers, and bank account numbers. Se você não quiser enviar esses dados adicionais, não marque a caixa de seleção Habilitar análise mais profunda em seus dados confidenciais.If you do not want to send this additional data, do not select the checkbox Enable deeper analytics into your sensitive data. Se você quiser que a maioria dos usuários Envie esses dados adicionais e um subconjunto de usuários não possa enviá-lo, marque a caixa de seleção e, em seguida:If you want most users to send this additional data and a subset of users cannot send it, select the checkbox and then:

  • Para o cliente e o scanner clássicos: Defina uma configuração de cliente avançada em uma política com escopo para o subconjunto de usuários.For the classic client and scanner: Configure an advanced client setting in a scoped policy for the subset of users.

  • Para o cliente de rotulamento unificado: Defina uma Configuração avançada em uma política de rótulo para o subconjunto de usuários.For the unified labeling client: Configure an advanced setting in a label policy for the subset of users.

Depois de coletar as correspondências de conteúdo, elas são exibidas nos relatórios quando você faz uma busca detalhada nos arquivos dos logs de atividade para exibir os detalhes da atividade.After collecting the content matches, they are displayed in the reports when you drill down into files from the Activity logs, to display Activity Details. Essas informações também podem ser exibidas e recuperadas com consultas.This information can also be viewed and retrieved with queries.

Pré-requisitosPrerequisites

Para exibir os relatórios da proteção de informações do Azure e criar seus próprios, verifique se os requisitos a seguir estão em vigor.To view the Azure Information Protection reports and create your own, make sure that the following requirements are in place.

RequisitoRequirement Mais informaçõesMore information
Uma assinatura do Azure que inclui Log Analytics e isso é para o mesmo locatário da proteção de informações do AzureAn Azure subscription that includes Log Analytics and that is for the same tenant as Azure Information Protection Consulte a página de preços do Azure monitor .See the Azure Monitor pricing page.

Se você não tiver uma assinatura do Azure ou se não estiver usando o Azure Log Analytics, a página de preços incluirá um link para uma avaliação gratuita.If you don't have an Azure subscription or you don't currently use Azure Log Analytics, the pricing page includes a link for a free trial.
Clientes da proteção de informações do AzureAzure Information Protection clients O cliente de rotulagem unificada e o cliente clássico têm suporte.Both the unified labeling client and the classic client are supported.

Se você ainda não tiver um desses clientes, poderá baixá-los e instalá-los no centro de download da Microsoft.If you don't already have one of these clients, you can download and install them from the Microsoft Download Center.
Microsoft Cloud App SecurityMicrosoft Cloud App Security Para exibir informações de Microsoft Cloud App Security, configure a integração da proteção de informações do Azure.To display information from Microsoft Cloud App Security, configure Azure Information Protection integration.
Para o relatório de descoberta e risco :For the Discovery and risk report:

-Para exibir dados de armazenamentos de dados locais, você implantou pelo menos uma instância do verificador de proteção de informações do Azure- To display data from on-premises data stores, you have deployed at least one instance of the Azure Information Protection scanner

-Para exibir dados de computadores com Windows 10, eles devem ser uma compilação mínima de 1809, você está usando o Microsoft defender com proteção avançada contra ameaças (Microsoft defender ATP) e habilitou o recurso de integração da proteção de informações do Azure da Microsoft Central de segurança do defender- To display data from Windows 10 computers, they must be a minimum build of 1809, you are using Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP), and you have enabled the Azure Information Protection integration feature from Microsoft Defender Security Center
Para obter instruções de instalação para o verificador, consulte Implantando o verificador da proteção de informações do Azure para classificar e proteger arquivos automaticamente.For installation instructions for the scanner, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

Para obter informações sobre como configurar e usar o recurso de integração da proteção de informações do Azure da central de segurança do Microsoft defender, consulte visão geral da proteção de informações no Windows.For information about configuring and using the Azure Information Protection integration feature from Microsoft Defender Security Center, see Information protection in Windows overview.
Para o relatório de recomendações :For the Recommendations report:

-Para adicionar um novo repositório de dados do portal do Azure como uma ação recomendada, você deve estar usando uma versão do verificador da proteção de informações do Azure configurada no portal do Azure- To add a new data repository from the Azure portal as a recommended action, you must be using a version of the Azure Information Protection scanner that is configured in the Azure portal
Para implantar o verificador, consulte Implantando o verificador da proteção de informações do Azure para classificar e proteger arquivos automaticamente.To deploy the scanner, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

Permissões necessárias para a análise da proteção de informações do AzurePermissions required for Azure Information Protection analytics

Específico da análise da proteção de informações do Azure, depois de configurar seu espaço de trabalho do Log Analytics do Azure, você pode usar a função de administrador do Azure AD do leitor de segurança como uma alternativa para as outras funções do Azure AD que dão suporte ao gerenciamento de informações do Azure Proteção no portal do Azure.Specific to Azure Information Protection analytics, after you have configured your Azure Log Analytics workspace, you can use the Azure AD administrator role of Security Reader as an alternative to the other Azure AD roles that support managing Azure Information Protection in the Azure portal.

Como esse recurso usa o monitoramento do Azure, o RBAC (controle de acesso baseado em função) para Azure também controla o acesso ao seu espaço de trabalho.Because this feature uses Azure Monitoring, role-based access control (RBAC) for Azure also controls access to your workspace. Portanto, você precisa de uma função do Azure, bem como de uma função de administrador do Azure AD para gerenciar a análise da proteção de informações do Azure.You therefore need an Azure role as well as an Azure AD administrator role to manage Azure Information Protection analytics. Se você não estiver familiarizado com as funções do Azure, talvez seja útil ler as diferenças entre as funções do Azure RBAC e de administrador do Azure ad.If you're new to Azure roles, you might find it useful to read Differences between Azure RBAC roles and Azure AD administrator roles.

Detalhes:Details:

  1. Uma das seguintes funções de administrador do Azure ad para acessar a folha de análise da proteção de informações do Azure:One of the following Azure AD administrator roles to access the Azure Information Protection analytics blade:

    • Para criar seu espaço de trabalho Log Analytics ou criar consultas personalizadas:To create your Log Analytics workspace or to create custom queries:

      • Administrador da proteção de informações do AzureAzure Information Protection administrator
      • Administrador de segurançaSecurity administrator
      • Administrador de conformidadeCompliance administrator
      • Administrador de dados de conformidadeCompliance data administrator
      • Administrador globalGlobal administrator
    • Depois que o espaço de trabalho tiver sido criado, você poderá usar a função a seguir com menos permissões para exibir os dados coletados:After the workspace has been created, you can then use the following role with fewer permissions to view the data collected:

      • Leitor de segurançaSecurity reader

    Nota

    Você não poderá usar a função de administrador da proteção de informações do Azure se seu locatário estiver na plataforma de rotulamento unificada.You cannot use the Azure Information Protection administrator role if your tenant is on the unified labeling platform.

  2. Além disso, você precisa de uma das seguintes funções do azure log Analytics ou funções padrão do Azure para acessar seu espaço de trabalho do Azure log Analytics:In addition, you need one of the following Azure Log Analytics roles or standard Azure roles to access your Azure Log Analytics workspace:

    • Para criar o espaço de trabalho ou para criar consultas personalizadas, um dos seguintes:To create the workspace or to create custom queries, one of the following:

      • Colaborador de Log AnalyticsLog Analytics Contributor
      • SimplificaContributor
      • ProprietárioOwner
    • Depois que o espaço de trabalho tiver sido criado, você poderá usar uma das seguintes funções com menos permissões para exibir os dados coletados:After the workspace has been created, you can then use one of the following roles with fewer permissions to view the data collected:

      • Leitor de Log AnalyticsLog Analytics Reader
      • LeitoraReader

Funções mínimas para exibir os relatóriosMinimum roles to view the reports

Depois de configurar seu espaço de trabalho para a análise da proteção de informações do Azure, as funções mínimas necessárias para exibir os relatórios de análise da proteção de informações do Azure são as seguintes:After you have configured your workspace for Azure Information Protection analytics, the minimum roles needed to view the Azure Information Protection analytics reports are both of the following:

  • Função de administrador do Azure AD: Leitor de segurançaAzure AD administrator role: Security reader
  • Função do Azure: Leitor de Log AnalyticsAzure role: Log Analytics Reader

No entanto, uma atribuição de função típica para muitas organizações é a função do Azure AD do leitor de segurança e a função de leitordo Azure.However, a typical role assignment for many organizations is the Azure AD role of Security reader and the Azure role of Reader.

Requisitos de armazenamento e retenção de dadosStorage requirements and data retention

A quantidade de dados coletados e armazenados no espaço de trabalho da proteção de informações do Azure varia significativamente para cada locatário, dependendo de fatores como quantos clientes da proteção de informações do Azure e outros pontos de extremidade com suporte você tem, independentemente de estar coletando dados de descoberta de ponto de extremidade, você implantou scanners, o número de documentos protegidos que são acessados e assim por diante.The amount of data collected and stored in your Azure Information Protection workspace will vary significantly for each tenant, depending on factors such as how many Azure Information Protection clients and other supported endpoints you have, whether you're collecting endpoint discovery data, you've deployed scanners, the number of protected documents that are accessed, and so on.

No entanto, como ponto de partida, você pode encontrar as seguintes estimativas úteis:However, as a starting point, you might find the following estimates useful:

  • Para dados de auditoria gerados somente por clientes da proteção de informações do Azure: 2 GB por 10.000 usuários ativos por mês.For audit data generated by Azure Information Protection clients only: 2 GB per 10,000 active users per month.

  • Para dados de auditoria gerados pelos clientes, scanners e Microsoft defender ATP da proteção de informações do Azure: 20 GB por 10.000 usuários ativos por mês.For audit data generated by Azure Information Protection clients, scanners, and Microsoft Defender ATP: 20 GB per 10,000 active users per month.

Se você usar rotulagem obrigatória ou tiver configurado um rótulo padrão para a maioria dos usuários, suas taxas provavelmente serão significativamente mais altas.If you use mandatory labeling or you've configured a default label for most users, your rates are likely to be significantly higher.

Os logs de Azure Monitor têm um recurso de uso e custos estimados para ajudá-lo a estimar e examinar a quantidade de dados armazenados e também pode controlar o período de retenção de dados para seu espaço de trabalho log Analytics.Azure Monitor Logs has a Usage and estimated costs feature to help you estimate and review the amount of data stored, and you can also control the data retention period for your Log Analytics workspace. Para obter mais informações, consulte gerenciar o uso e os custos com logs de Azure monitor.For more information, see Manage usage and costs with Azure Monitor Logs.

Configurar um espaço de trabalho Log Analytics para os relatóriosConfigure a Log Analytics workspace for the reports

  1. Se você ainda não tiver feito isso, abra uma nova janela do navegador e entre no portal do Azure com uma conta que tenha as permissões necessárias para a análise da proteção de informações do Azure.If you haven't already done so, open a new browser window and sign in to the Azure portal with an account that has the permissions required for Azure Information Protection analytics. Em seguida, navegue para o painel Azure Information Protection.Then navigate to the Azure Information Protection blade.

    Por exemplo, no menu Hub, clique em todos os serviços e comece a digitar informações na caixa de filtro.For example, on the hub menu, click All services and start typing Information in the Filter box. Selecione Azure Information Protection.Select Azure Information Protection.

  2. Localize as opções de menu gerenciar e selecione Configurar análise (versão prévia) .Locate the Manage menu options, and select Configure analytics (Preview).

  3. Na folha do log Analytics da proteção de informações do Azure , você vê uma lista de quaisquer log Analytics espaços de trabalho que pertencem ao seu locatário.On the Azure Information Protection log analytics blade, you see a list of any Log Analytics workspaces that are owned by your tenant. Efetue uma das seguintes ações:Do one of the following:

    • Para criar um novo espaço de trabalho Log Analytics: Selecione criar novo espaço de trabalhoe, na folha espaço de trabalho do log Analytics , forneça as informações solicitadas.To create a new Log Analytics workspace: Select Create new workspace, and on the Log analytics workspace blade, supply the requested information.

    • Para usar um espaço de trabalho de Log Analytics existente: Selecione o espaço de trabalho na lista.To use an existing Log Analytics workspace: Select the workspace from the list.

Se precisar de ajuda para criar o espaço de trabalho Log Analytics, confira criar um espaço de trabalho log Analytics no portal do Azure.If you need help with creating the Log Analytics workspace, see Create a Log Analytics workspace in the Azure portal.

Quando o espaço de trabalho estiver configurado, faça o seguinte se você publicar rótulos de sensibilidade em um dos seguintes centros de gerenciamento: Office 365 Centro de Conformidade e Segurança, Microsoft 365 central de segurança Microsoft 365 centro de conformidade:When the workspace is configured, do the following if you publish sensitivity labels in one of the following management centers: Office 365 Security & Compliance Center, Microsoft 365 security center, Microsoft 365 compliance center:

  • Na portal do Azure vá para > proteção de informações do Azure gerenciar > rotulagem unificadae selecione publicar.In the Azure portal go to Azure Information Protection > Manage > Unified labeling, and select Publish.

    Selecione esta opção de publicação sempre que você fizer uma alteração de rótulo (criar, modificar, excluir) no seu centro de rótulos.Select this Publish option every time you make a labeling change (create, modify, delete) in your labeling center.

Agora você está pronto para exibir os relatórios.You're now ready to view the reports.

Como exibir os relatóriosHow to view the reports

Na folha proteção de informações do Azure, localize as opções de menu painéis e selecione uma das seguintes opções:From the Azure Information Protection blade, locate the Dashboards menu options, and select one of the following options:

  • Relatório de uso (visualização) : Use este relatório para ver como os rótulos estão sendo usados.Usage report (Preview): Use this report to see how your labels are being used.

  • Logs de atividade (versão prévia) : Use esse relatório para ver as ações de rotulamento de usuários e em dispositivos e caminhos de arquivo.Activity logs (Preview): Use this report to see labeling actions from users, and on devices and file paths. Além disso, para documentos protegidos, você pode ver tentativas de acesso (bem-sucedidas ou negadas) para usuários dentro e fora da sua organização, mesmo que eles não tenham o cliente de proteção de informações do Azure instaladoIn addition, for protected documents, you can see access attempts (successful or denied) for users both inside and outside your organization, even if they don't have the Azure Information Protection client installed

    Este relatório tem uma opção de colunas que permite exibir mais informações de atividade do que a exibição padrão.This report has a Columns option that lets you display more activity information than the default display. Você também pode ver mais detalhes sobre um arquivo, selecionando-o para exibir detalhes da atividade.You can also see more details about a file by selecting it to display Activity Details.

  • Descoberta de dados (versão prévia) : Use este relatório para ver informações sobre arquivos rotulados encontrados por scanners e pontos de extremidade com suporte.Data discovery (Preview): Use this report to see information about labeled files found by scanners and supported endpoints.

    Dicas Das informações coletadas, você pode encontrar os usuários que estão acessando os arquivos que contêm informações confidenciais do local que você não sabia ou que não estão verificando no momento:Tip: From the information collected, you might find users accessing files that contain sensitive information from location that you didn't know about or aren't currently scanning:

    • Se os locais estiverem no local, considere adicionar os locais como repositórios de dados adicionais para o verificador da proteção de informações do Azure.If the locations are on-premises, consider adding the locations as additional data repositories for the Azure Information Protection scanner.
    • Se os locais estiverem na nuvem, considere o uso de Microsoft Cloud App Security para gerenciá-los.If the locations are in the cloud, consider using Microsoft Cloud App Security to manage them.
  • Recomendações (versão prévia) : Use esse relatório para identificar os arquivos que têm informações confidenciais e reduzir seus riscos seguindo as recomendações.Recommendations (Preview): Use this report to identify files that have sensitive information and mitigate your risk by following the recommendations.

    Quando você seleciona um item, a opção exibir dados exibe as atividades de auditoria que acionaram a recomendação.When you select an item, the View data option displays the audit activities that triggered the recommendation.

Como modificar os relatórios e criar consultas personalizadasHow to modify the reports and create custom queries

Selecione o ícone de consulta no painel para abrir uma folha de pesquisa de logs :Select the query icon in the dashboard to open a Log Search blade:

Ícone de Log Analytics para personalizar relatórios da proteção de informações do Azure

Os dados registrados para a proteção de informações do Azure são armazenados na tabela a seguir: InformationProtectionLogs_CLThe logged data for Azure Information Protection is stored in the following table: InformationProtectionLogs_CL

Ao criar suas próprias consultas, use os nomes de esquema amigáveis que foram implementados como funções InformationProtectionEvents .When you create your own queries, use the friendly schema names that have been implemented as InformationProtectionEvents functions. Essas funções são derivadas dos atributos que têm suporte para consultas personalizadas (alguns atributos são apenas para uso interno) e seus nomes não serão alterados ao longo do tempo, mesmo se os atributos subjacentes forem alterados para aprimoramentos e novas funcionalidades.These functions are derived from the attributes that are supported for custom queries (some attributes are for internal use only) and their names will not change over time, even if the underlying attributes change for improvements and new functionality.

Referência de esquema amigável para funções de eventoFriendly schema reference for event functions

Use a tabela a seguir para identificar o nome amigável das funções de evento que você pode usar para consultas personalizadas com a análise da proteção de informações do Azure.Use the following table to identify the friendly name of event functions that you can use for custom queries with Azure Information Protection analytics.

Nome da colunaColumn name DescriçãoDescription
AcessoAccess Um documento protegido foi aberto com êxito, identificado pelo nome do arquivo, se for rastreado, ou ID se não for rastreado.A protected document was successfully opened, identified by file name if it is tracked, or ID if not tracked.
AccessDeniedAccessDenied Um documento protegido teve o acesso negado, identificado pelo nome do arquivo se ele for acompanhado, ou ID, se não for rastreado.A protected document was denied access, identified by file name if it is tracked, or ID if not tracked.
TimeTime Hora do evento: UTC no formato AAAA-MM-DDTHH: MM: SSEvent time: UTC in format YYYY-MM-DDTHH:MM:SS
UtilizadorUser Utilizador: Formatar UPN ou domínio \ usuárioUser: Format UPN or DOMAIN\USER
ItemPathItemPath Caminho completo do item ou assunto do emailFull item path or email subject
ItemNameItemName Nome do arquivo ou assunto do emailFile name or email subject
MétodoMethod Método atribuído pelo rótulo: Manual, automático, recomendado, padrão ou obrigatórioLabel assigned method: Manual, Automatic, Recommended, Default, or Mandatory
AtividadeActivity Atividade de auditoria: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection ou NewCustomProtectionAudit activity: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection, or NewCustomProtection
LabelNameLabelName Nome do rótulo (não localizado)Label name (not localized)
LabelNameBeforeLabelNameBefore Nome do rótulo antes da alteração (não localizado)Label name before change (not localized)
ProtectionTypeProtectionType Tipo de proteção [JSON]Protection type [JSON]
{{
"Type": ["Template", "Custom", "DoNotForward"],"Type": ["Template", "Custom", "DoNotForward"],
"TemplateID": VOLUME"TemplateID": "GUID"
}}
ProtectionBeforeProtectionBefore Tipo de proteção antes da alteração [JSON]Protection type before change [JSON]
InformationTypesMatchesInformationTypesMatches Matriz JSON de SensitiveInformation encontrada nos dados em que uma matriz vazia significa que nenhum tipo de informação foi encontrado e NULL significa que não há informações disponíveisJSON array of SensitiveInformation found in data where an empty array means no information types found, and null means no information available
MachineNameMachineName FQDN quando disponível; caso contrário, nome do hostFQDN when available; otherwise host name
DeviceRiskDeviceRisk Pontuação de risco do dispositivo do WDATP quando disponívelDevice risk score from WDATP when available
PlataformaPlatform Plataforma de dispositivo (Win, OSX, Android, iOS)Device platform (Win, OSX, Android, iOS)
ApplicationNameApplicationName Nome amigável do aplicativoApplication friendly name
AIPVersionAIPVersion Versão do cliente de proteção de informações do Azure que realizou a ação de auditoriaVersion of the Azure Information Protection client that performed the audit action
TenantIdTenantId ID de inquilino do Azure ADAzure AD tenant ID
AzureApplicationIdAzureApplicationId ID do aplicativo (GUID) registrado do Azure ADAzure AD registered application ID (GUID)
ProcessNameProcessName Processo que hospeda o SDK MIPProcess that hosts MIP SDK
Identificação do rótuloLabelId GUID de rótulo ou nuloLabel GUID or null
IsProtectedIsProtected Se protegido: Sim/nãoWhether protected: Yes/No
ProtectionOwnerProtectionOwner Rights Management proprietário no formato UPNRights Management owner in UPN format
LabelIdBeforeLabelIdBefore Rótulo GUID ou nulo antes da alteraçãoLabel GUID or null before change
InformationTypesAbove55InformationTypesAbove55 Matriz JSON de SensitiveInformation encontrada nos dados com nível de confiança 55 ou superiorJSON array of SensitiveInformation found in data with confidence level 55 or above
InformationTypesAbove65InformationTypesAbove65 Matriz JSON de SensitiveInformation encontrada nos dados com nível de confiança 65 ou superiorJSON array of SensitiveInformation found in data with confidence level 65 or above
InformationTypesAbove75InformationTypesAbove75 Matriz JSON de SensitiveInformation encontrada nos dados com nível de confiança 75 ou superiorJSON array of SensitiveInformation found in data with confidence level 75 or above
InformationTypesAbove85InformationTypesAbove85 Matriz JSON de SensitiveInformation encontrada nos dados com nível de confiança 85 ou superiorJSON array of SensitiveInformation found in data with confidence level 85 or above
InformationTypesAbove95InformationTypesAbove95 Matriz JSON de SensitiveInformation encontrada nos dados com nível de confiança 95 ou superiorJSON array of SensitiveInformation found in data with confidence level 95 or above
DiscoveredInformationTypesDiscoveredInformationTypes Matriz JSON de SensitiveInformation encontrada nos dados e seu conteúdo correspondente (se habilitado) em que uma matriz vazia significa que nenhum tipo de informação foi encontrado e NULL significa nenhuma informação disponívelJSON array of SensitiveInformation found in data and their matched content (if enabled) where an empty array means no information types found, and null means no information available
ProtectedBeforeProtectedBefore Se o conteúdo foi protegido antes da alteração: Sim/nãoWhether the content was protected before change: Yes/No
ProtectionOwnerBeforeProtectionOwnerBefore Rights Management proprietário antes da alteraçãoRights Management owner before change
UserJustificationUserJustification Justificativa ao fazer downgrade ou remover o rótuloJustification when downgrading or removing label
LastModifiedByLastModifiedBy Usuário no formato UPN que modificou o arquivo pela última vez.User in UPN format who last modified the file. Disponível somente para o Office e o SharePoint OnlineAvailable for Office and SharePoint Online only
LastModifiedDateLastModifiedDate UTC no formato AAAA-MM-DDTHH: MM: SS: Disponível somente para o Office & SharePoint OnlineUTC in format YYYY-MM-DDTHH:MM:SS: Available for Office & SharePoint Online only

Exemplos usando InformationProtectionEventsExamples using InformationProtectionEvents

Use os exemplos a seguir para ver como você pode usar o esquema amigável para criar consultas personalizadas.Use the following examples to see how you might use the friendly schema to create custom queries.

Exemplo 1: Retornar todos os usuários que enviaram dados de auditoria nos últimos 31 diasExample 1: Return all users who sent audit data in the last 31 days
InformationProtectionEvents 
| where Time > ago(31d) 
| distinct User 
Exemplo 2: Retornar o número de rótulos que foram desatualizados por dia nos últimos 31 diasExample 2: Return the number of labels that were downgraded per day in the last 31 days
InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| summarize Label_Downgrades_per_Day = count(Activity) by bin(Time, 1d) 
 
Exemplo 3: Retornar o número de rótulos que foram rebaixados de confidencial pelo usuário, nos últimos 31 diasExample 3: Return the number of labels that were downgraded from Confidential by user, in the last 31 days

InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| where LabelNameBefore contains "Confidential" and LabelName !contains "Confidential"  
| summarize Label_Downgrades_by_User = count(Activity) by User | sort by Label_Downgrades_by_User desc 

Neste exemplo, um rótulo de downgrade é contado somente se o nome do rótulo antes da ação contiver o nome confidencial e o nome do rótulo depois que a ação não contiver o nome confidencial.In this example, a downgraded label is counted only if the label name before the action contained the name Confidential and the label name after the action didn't contain the name of Confidential.

Passos SeguintesNext steps

Depois de examinar as informações nos relatórios, se você estiver usando o cliente de proteção de informações do Azure, poderá decidir fazer alterações na política da proteção de informações do Azure.After reviewing the information in the reports, if you are using the Azure Information Protection client, you might decide to make changes to your Azure Information Protection policy. Para obter instruções, consulte Configurando a política de proteção de informações do Azure.For instructions, see Configuring the Azure Information Protection policy.

Se você tiver uma assinatura Microsoft 365, também poderá exibir o uso do rótulo no centro de conformidade Microsoft 365 e na central de segurança do Microsoft 365.If you have a Microsoft 365 subscription, you can also view label usage in the Microsoft 365 compliance center and Microsoft 365 security center. Para obter mais informações, consulte Exibir o uso de rótulo com a análise de rótulo.For more information, see View label usage with label analytics.