Como coletar logs de eventos de auditoria de Proteção de Informações do Windows (WIP)

Aplica-se a:

• Windows 10, versão 1607 e posterior

Proteção de Informações do Windows (WIP) cria eventos de auditoria nas seguintes situações:

• Se um funcionário alterar a propriedade de arquivo de um arquivo de Trabalho para Pessoal.

• Se os dados estiverem marcados como Trabalho, mas compartilhados para um aplicativo pessoal ou página da Web. Por exemplo, por meio da cópia e colagem, arrastar e soltar, compartilhar um contato, carregar para uma página da Web pessoal ou se o usuário oferecer um aplicativo pessoal com acesso temporário a um arquivo de trabalho.

• Se um aplicativo tem eventos de auditoria personalizada.

Coletar registros de auditoria do WIP usando o provedor de serviços de configuração (CSP) de relatórios

Colete os logs de auditoria wip dos dispositivos do seu funcionário seguindo as diretrizes fornecidas pela documentação do CSP (provedor de serviço de configuração de relatórios ). Este tópico fornece informações sobre os eventos de auditoria real.

Observação

O elemento Dados na resposta inclui os logs de auditoria solicitados em um formato XML codificado.

Atributos e elemento de usuário

Esta tabela inclui todos os atributos disponíveis para o elemento Usuário.

Atributo	Tipo de valor	Descrição
UserID	Sequência	O identificador de segurança (SID) do usuário correspondente a este relatório de auditoria.
EnterpriseID	Sequência	A identificação da empresa correspondente a este relatório de auditoria.

Atributos e elemento de log

Esta tabela inclui todos os atributos/elementos disponíveis para o elemento Log. A resposta pode conter zero (0) ou mais elementos de Log.

Atributo/Elemento	Tipo de valor	Descrição
ProviderType	Sequência	Isso é sempre EDPAudit.
LogType	Sequência	Inclui: DataCopied. Dados de trabalho são copiados ou compartilhados para um local pessoal. ProtectionRemoved. O Windows Proteção de Informações é removido de um arquivo definido pelo trabalho. ApplicationGenerated. Um log de auditoria personalizado fornecido por um aplicativo.
TimeStamp	Int	Usa a estrutura FILETIME para representar o momento em que o evento ocorreu.
Política	Sequência	Como os dados de trabalho foram compartilhados no local pessoal: CopyPaste. Dados de trabalho foram colados em um local pessoal ou de aplicativo. ProtectionRemoved. Dados de trabalho foram alterados para serem protegidos. DragDrop. Dados de trabalho foram arrastados em um local pessoal ou de aplicativo. Compartilhar. Dados de trabalho foram compartilhados com um local pessoal ou de aplicativo. NULL. Qualquer outra maneira que os dados poderiam se tornar pessoais além das opções acima. Por exemplo, quando um arquivo de trabalho é aberto usando um aplicativo pessoal (também conhecido como: acesso temporário).
Justificação	Sequência	Não foi implementado. Isso sempre será nulo ou em branco. Observação Reservado para uso futuro para coletar a justificativa de usuário para mudar de Trabalho para Pessoal.
Objeto	Sequência	Uma descrição dos dados de trabalho compartilhadas. Por exemplo, se um funcionário abrir um arquivo de trabalho usando um aplicativo pessoal, isso seria o caminho do arquivo.
DataInfo	Sequência	Informações adicionais sobre como o arquivo de trabalho foi alterado: Um caminho de arquivo. Se um funcionário carrega um arquivo de trabalho para um site pessoal usando o Microsoft Edge ou o Internet Explorer, o caminho do arquivo está incluído aqui. Tipos de dados da área de transferência. Se um funcionário cola os dados de trabalho em um aplicativo pessoal, a lista de tipos de dados da área de transferência fornecidos pelo aplicativo de trabalho estão incluídos aqui. Para obter mais informações, consulte a seção Exemplos deste tópico.
Ação	Int	Fornece informações sobre o que aconteceu quando os dados de trabalho foram compartilhados para pessoal, incluindo: 1. Descriptografar arquivo. 2. Copiar para localização. 3. Enviar para o destinatário. 4. Outro.
FilePath	Sequência	O caminho de arquivo para o arquivo especificado no evento de auditoria. Por exemplo, o local de um arquivo que foi descriptografado por um funcionário ou carregado em um site pessoal.
SourceApplicationName	Sequência	O aplicativo de origem ou site. Para o aplicativo de origem, esta é a identidade do AppLocker. Para o site de origem, este é o nome do host.
SourceName	Sequência	Uma cadeia de caracteres fornecida pelo aplicativo que está registrando o evento. A intenção é descrever a origem dos dados de trabalho.
DestinationEnterpriseID	Sequência	O valor de ID do enterprise para o aplicativo ou site em que o funcionário está compartilhando os dados. NULL, Pessoal ou em branco significa que não há nenhuma ID corporativa porque os dados de trabalho foram compartilhados em um local pessoal. Como atualmente não oferecemos suporte a vários registros, você sempre verá um desses valores.
DestinationApplicationName	Sequência	O aplicativo de destino ou site. Para o aplicativo de destino, esta é a identidade do AppLocker. Para o site de destino, este é o nome do host.
DestinationName	Sequência	Uma cadeia de caracteres fornecida pelo aplicativo que está registrando o evento. A intenção é descrever o destino dos dados de trabalho.
Aplicativo	Sequência	A identidade do AppLocker para o aplicativo onde ocorreu o evento de auditoria.

Exemplos

Aqui estão alguns exemplos de respostas do CSP do relatório.

Propriedade de arquivo em um arquivo é alterada de trabalho para pessoal

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
      <Policy>Protection removed</Policy>
      <Justification>NULL</Justification>
      <FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Um arquivo de trabalho é carregado para uma página da Web pessoal no Edge

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>NULL</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Dados de trabalho são colados em uma página da Web pessoal

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Um arquivo de trabalho é aberto com um aplicativo pessoal

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
      <Policy>NULL</Policy>
      <Justification></Justification>
      <Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
      <Action>1</Action>
      <SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
      <DestinationEnterpriseID>Personal</DestinationEnterpriseID>
      <DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
      <Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Dados de trabalho são colados em uma página do aplicativo

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName></DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Coletar registros de auditoria do WIP usando o encaminhamento de eventos do Windows (Windows da área de trabalho ingressado no domínio somente para dispositivos)

Use o Encaminhamento de Eventos do Windows para coletar e agregar seus eventos de auditoria do Windows Proteção de Informações. Você pode exibir os eventos de auditoria no Visualizador de eventos.

Para exibir eventos WIP no Visualizador de eventos.

1. Abra o Visualizador de Eventos.

2. Na árvore do console em Logs de aplicativos e serviços\Microsoft\Windows, clique em EDP de auditoria Regular e EDP de auditoria TCB.

Coletar logs de auditoria wip usando o Azure Monitor

Você pode coletar logs de auditoria usando o Azure Monitor. Consulte Fontes de dados de log de eventos do Windows no Azure Monitor.

Para exibir os eventos wip no Azure Monitor

1. Use um workspace existente ou crie um novo workspace do Log Analytics.

2. Em Configurações Avançadas do Log Analytics>, selecione Dados. Em Logs de Eventos do Windows, adicione logs para receber:

   Microsoft-Windows-EDP-Application-Learning/Admin
   Microsoft-Windows-EDP-Audit-TCB/Admin
   

   Observação

   Se usar logs de eventos do Windows, os nomes de log de eventos poderão ser encontrados em Propriedades do evento na pasta Eventos (Logs de Aplicativos e Serviços\Microsoft\Windows, clique em EDP-Audit-Regular e EDP-Audit-TCB).

3. Baixe o Microsoft Monitoring Agent.

4. Para obter o MSI para Intune instalação, conforme indicado no artigo do Azure Monitor, extraia:MMASetup-.exe /c /t:

   Instale o Microsoft Monitoring Agent em dispositivos WIP usando a ID do Workspace e a chave primária. Mais informações sobre a ID do Workspace e a chave primária podem ser encontradas emConfigurações Avançadasdo Log Analytics>.

5. Para implantar o MSI por meio de Intune, nos parâmetros de instalação, adicione:/q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1

   Observação

   Substitua <WORKSPACE_ID> & <WORKSPACE_KEY> recebida da etapa 5. Em parâmetros de instalação, não coloque <WORKSPACE_ID> & <WORKSPACE_KEY> entre aspas ("" ou '').

6. Depois que o agente for implantado, os dados serão recebidos em aproximadamente 10 minutos.

7. Para pesquisar logs, acesse Logs do workspace> do LogAnalytics e digite Evento na pesquisa.

   Exemplo

   Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"
   

Recursos adicionais

• Como implantar o aplicativo por meio de Intune
• Como criar o workspace do Log
• Como usar agentes de monitoramento da Microsoft para Windows