Аналитика и Центральная отчетность для Azure Information Protection (общедоступная Предварительная версия)

Область применения: Azure Information Protection

К чему относится: клиент унифицированных меток и классический клиент AIP

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения см. в недавней записи блога о прекращении использования.

В этой статье описывается, как использовать аналитику Azure Information Protection (АДМИНИСТРАТИВная запись) для централизованного создания отчетов, которая поможет вам в курсе внедрения меток, которые классифицируют и защищают данные Организации.

Аналитика "точка подключения" также позволяет выполнять следующие действия:

  • отслеживать помеченные и защищенные документы и сообщения электронной почты в организации;

  • обнаруживать документы с конфиденциальными сведениями в организации;

  • отслеживать доступ пользователей к помеченным документам и сообщениям электронной почты, а также любые изменения в их классификации.

  • Выявляйте документы с конфиденциальными сведениями, отсутствие защиты которых создает риск для вашей организации, и устраняйте этот риск, следуя рекомендациям.

  • Выясните, когда доступ к защищенным документам осуществляется внутренними или внешними пользователями с компьютеров Windows, а также предоставлены или запрещены права доступа.

Данные, которые вы видите, вычисляются из Azure Information Protection клиентов и сканеров, от Microsoft Cloud App Security и журналов использования защиты.

Аналитика Azure Information Protection для центра отчетов в настоящее время доступна в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Данные отчетов АДМИНИСТРАТИВной установки

Например, в Azure Information Protection Analytics для центра отчетов отображаются следующие данные:

Report Показаны демонстрационные данные
Отчет об использовании Выберите период времени для отображения следующих данных:

— Какие метки применяются

— Число меток документов и сообщений электронной почты

— Сколько документов и сообщений электронной почты защищаются

— Сколько пользователей и как много устройств помечают документы и сообщения электронной почты;

— Какие приложения используются для добавления меток
Журналы действий Выберите период времени для отображения следующих данных:

— Какие файлы, ранее обнаруженные средством проверки, были удалены из отсканированного репозитория.

— Какие действия с метками выполнялись конкретным пользователем.

— Какие действия с метками выполнялись с определенного устройства;

— Какие пользователи обращаются к определенному документу с метками

— Какие действия с метками выполнялись для определенного пути к файлу;

— Какие действия с метками выполнялись конкретным приложением, например проводник, щелчок правой кнопкой мыши, PowerShell, сканер или Microsoft Cloud App Security

— Какие защищенные документы были успешно доступны пользователям или запрещен доступ к пользователям, даже если у них нет установленного клиента Azure Information Protection или они находятся за пределами Организации

— Детализируйте отчеты о файлах, чтобы просмотреть сведения о действиях для получения дополнительных сведений.
Отчет об обнаружении данных — Какие файлы находятся в репозиториях сканированных данных, на компьютерах с Windows 10 или на компьютерах, на которых работают клиенты Azure Information Protection

— Какие файлы помечены как подписанные и защищенные, а также расположение файлов по меткам.

— Какие файлы содержат конфиденциальные сведения об известных категориях, например финансовые данные и персональные данные, и расположение файлов по этим категориям.
Отчет о рекомендациях — Выявление незащищенных файлов, содержащих известный тип конфиденциальной информации. Рекомендация позволит вам сразу же настроить соответствующее условие для применения метки автоматически или в соответствии с рекомендацией.
Если следовать рекомендациям
: при следующем открытии файлов пользователем или при сканировании с помощью сканера Azure Information Protection, файлы могут быть автоматически классифицированы и защищены.

— Какие репозитории данных содержат файлы с указанными конфиденциальными сведениями, но не проверяются Azure Information Protection. Рекомендация позволяет вам сразу же добавить хранилище обнаруженных данных в один из профилей средства проверки.
При соблюдении рекомендаций: на следующем цикле проверки файлы можно автоматически классифицировать и защитить.

Данные отчетов в рабочей области Log Analytics, которая принадлежит вашей организации, сохраняются с помощью Azure Monitor. Если вы знакомы с языком запросов, можно изменять запросы, создавать отчеты и панели мониторинга Power BI. Ниже приведено руководство, в котором можно найти сведения о языке запросов: Начало работы с Azure Monitor запросами журналов.

Дополнительные сведения см. в следующих записях блога:

Сведения, которые собираются и отправляются в корпорацию Майкрософт

Для создания этих отчетов конечные точки отправляют в корпорацию Майкрософт следующие типы данных:

  • Действие с меткой. Например, установка метки, изменение метки, добавление или удаление защиты, автоматические и рекомендуемые метки.

  • Имя метки до и после действия метки.

  • Идентификатор клиента организации.

  • Идентификатор пользователя (адрес электронной почты или имя участника-пользователя).

  • Имя пользовательского устройства.

  • IP-адрес устройства пользователя.

  • Соответствующее имя процесса, например Outlook или msip.app.

  • Имя приложения, выполнившего метки, например Outlook или проводник

  • Для документов: путь к файлу и имя файла, содержащего документ с меткой.

  • Для электронной почты: тема и отправитель электронной почты для сообщений электронной почты с метками.

  • Типы конфиденциальной информации (предварительно заданные и настраиваемые), которые обнаружены в содержимом.

  • Версия клиента Azure Information Protection.

  • Версия операционной системы клиента.

Эти сведения хранятся в вашей рабочей области Azure Log Analytics, которая принадлежит вашей организации, и могут просматриваться независимо от разрешений Azure Information Protection пользователями, у которых есть права доступа к этой рабочей области.

Дополнительные сведения см. в статье

Запретить клиентам АДМИНИСТРАТИВной установки отправлять данные аудита

Клиент унифицированных меток

Чтобы Azure Information Protection унифицированный клиент меток не отправлял данные аудита, настройте дополнительный параметрполитики меток.

Классический Клиент

Чтобы позволить Azure Information Protection классическому клиенту отправлять эти данные, установите параметр политики отправлять данные аудита Azure Information Protection Analytics в значение Off:

Требование Instructions
Настройка большинства пользователей для отправки данных с подмножеством пользователей, которые не могут отправить данные Задайте для параметра отправить данные аудита Azure Information Protection аналитику значение Off в политике с заданной областью для подмножества пользователей.

Эта конфигурация является типичной для рабочих сценариев.
Настройка только подмножества пользователей, отправляющих данные Задайте для параметра отправить данные аудита Azure Information Protection аналитику значение Off в глобальной политике и в политике с заданной областью для подмножества пользователей.

Эта конфигурация является типичной для сценариев тестирования.

Совпадения содержимого для более глубокого анализа

Azure Information Protection позволяет сохранять и хранить фактические данные, которые определены как тип конфиденциальной информации (предопределенный или настраиваемый). Например, это могут быть обнаруженные номера кредитных карт, номера социального страхования, номера паспортов или номера банковских счетов. Совпадения содержимого отображаются при выборе записи в журналах действий и просмотре сведений о действиях.

По умолчанию Azure Information Protection клиенты не отправляют совпадения содержимого. Чтобы изменить это поведение, чтобы отправляются совпадения содержимого, выполните следующие действия.

Клиент Instructions
Клиент унифицированных меток Настройте Дополнительные параметры в политике меток.
Классический Клиент Установите флажок в составе конфигурации для Azure Information Protection Analytics. Этот флажок имеет имя включить более глубокую аналитику в конфиденциальных данных.

Если требуется, чтобы большинство пользователей, которые используют этот клиент для отправки совпадений содержимого, но подмножество пользователей не могли отправить содержимое, установите флажок, а затем настройте Расширенный параметр клиента в политике с заданной областью для подмножества пользователей.

Предварительные условия

Перед просмотром отчетов Azure Information Protection и созданием собственных убедитесь, что соблюдаются следующие требования.

Требование Сведения
Подписка Azure Подписка Azure должна включать Log Analytics в том же клиенте, что и Azure Information Protection.

Дополнительные сведения см. на странице цен на Azure Monitor .

Если у вас нет подписки Azure или вы в настоящее время не используете Azure Log Analytics, на странице цен есть ссылка для получения бесплатной пробной версии.
Подключение к сети по URL-адресу ведения журнала аудита Служба AIP должна иметь доступ к следующим URL-адресам для поддержки журналов аудита AIP:
- https://*.events.data.microsoft.com
- https://*.aria.microsoft.com (Только данные устройства Android)
Клиент Azure Information Protection Для создания отчетов от клиента.

Если у вас еще нет установленного клиента, можно скачать и установить унифицированный клиент меток из центра загрузки Майкрософт.

Примечание. поддерживаются унифицированный клиент меток и классический клиент. Чтобы развернуть классический клиент AIP, отправьте запрос в службу поддержки на получение доступа для загрузки.
Azure Information Protection локального сканера Для создания отчетов из локальных хранилищ данных.

Дополнительные сведения см. в разделе Развертывание сканера Azure Information Protection для автоматической классификации и защиты файлов.
Microsoft Cloud App Security (MCAS) Для создания отчетов из облачных хранилищ данных.

Дополнительные сведения см. в разделе интеграция Azure Information Protection в документации по МКАС.

Разрешения, обязательные для аналитики Azure Information Protection

После настройки рабочей области Log Analytics аналитика Azure Information Protection позволяет использовать роль администратора Azure AD "Читатель сведений о безопасности" как альтернативу другим ролям Azure AD, которые поддерживают управление Azure Information Protection на портале Azure. Эта дополнительная роль поддерживается только в том случае, если ваш клиент не находится на единой платформе меток.

Поскольку Azure Information Protection Analytics использует Azure Monitoring, управление доступом на основе ролей (RBAC) для Azure также управляет доступом к рабочей области. Поэтому вам необходима роль Azure, а также роль администратора Azure AD, чтобы управлять аналитикой Azure Information Protection. Если вы не знакомы с ролями Azure, прочтите о различиях между ролями Azure RBAC и ролями администратора Azure AD.

Дополнительные сведения можно найти в разделе

Необходимые роли администратора Azure AD

Для доступа к панели Azure Information Protection Analytics необходимо иметь одну из следующих ролей администратора Azure AD :

  • Чтобы создать рабочую область Log Analytics или выполнять пользовательские запросы:

    • Администратор Azure Information Protection
    • администратор безопасности;
    • администратор соответствия требованиям;
    • администратор соответствия данных требованиям;
    • Глобальный администратор
  • После создания рабочей области можно использовать следующие роли с меньшим количеством разрешений для просмотра собираемых данных:

    • Читатель безопасности
    • Глобальный читатель

Требуемые роли Log Analytics Azure

Для доступа к рабочей области Log Analytics Azure необходимо иметь одну из следующих ролей log Analytics Azure или стандартных ролей Azure :

  • Чтобы создать рабочую область или выполнять пользовательские запросы, требуется одна из следующих ролей:

    • Участник Log Analytics
    • Участник
    • Владелец
  • После создания рабочей области можно просмотреть собираемые данные, воспользовавшись одной из следующих ролей с меньшими разрешениями:

    • Читатель Log Analytics
    • Читатель

Роли, необходимые для просмотра отчетов

После настройки рабочей области для аналитики Azure Information Protection вам понадобятся как минимум такие роли для просмотра отчетов аналитики Azure Information Protection:

  • Роль администратора Azure AD: читатель безопасности
  • Роль Azure: модуль чтения log Analytics

Во многих организациях принято назначать роль читателя сведений о безопасности в качестве роли Azure AD и роль читателя в качестве роли Azure.

Требования к хранилищу и хранению данных

Объем данных, которые собираются и хранятся в рабочей области Azure Information Protection, может значительно отличаться для различных арендаторов в зависимости от таких факторов, как количество существующих клиентов Azure Information Protection и других поддерживаемых конечных точек, сбор данных об обнаружении конечных точек, развертывание сканеров, число защищенных документов, к которым осуществляется доступ, и т. д.

Однако в качестве отправной точки могут оказаться полезными следующие оценки:

  • Для данных аудита, созданных только клиентами Azure Information Protection: 2 ГБ на 10 000 активных пользователей в месяц.

  • Для данных аудита, создаваемых клиентами Azure Information Protection, и сканеров: 20 ГБ на 10 000 активных пользователей в месяц.

Если вы используете обязательные метки или настроили метку по умолчанию для большинства пользователей, ваши ставки, скорее всего, будут значительно выше.

В журналах Azure Monitor есть функция использования и оценки затрат , позволяющая оценить и оценить объем хранимых данных, а также определить срок хранения данных для рабочей области log Analytics. Дополнительные сведения см. в статье Управление использованием и затратами с помощью журналов Azure Monitor.

Настройка рабочей области Log Analytics для отчетов

  1. Если вы еще этого не сделали, откройте новое окно браузера и войдите на портал Azure с учетной записью, которой назначены разрешения для выполнения аналитики Azure Information Protection. Затем перейдите в область Azure Information Protection.

    Например, в поле поиска ресурсов, служб и документов введите Information и в результатах выберите Azure Information Protection.

  2. Выберите пункты меню Управление и Настройка аналитики (Предварительная версия).

  3. На панели Azure Information Protection log Analytics отображается список всех рабочих областей log Analytics, принадлежащих вашему клиенту. Выполните одно из следующих действий.

    • Чтобы создать новую рабочую область log Analytics, выберите создать рабочую область, а затем в области Рабочая область log Analytics укажите требуемые сведения.

    • Чтобы использовать существующую рабочую область log Analytics, выберите рабочую область из списка.

    Дополнительные сведения см. в статье Создание рабочей области Log Analytics на портале Azure.

  4. Только классический клиент: установите флажок включить более глубокую аналитику в конфиденциальные данные , если вы хотите сохранить фактические данные, которые определены как тип конфиденциальной информации.

    Дополнительные сведения об этом параметре см. в разделе содержимое соответствует более глубокому анализу на этой странице.

  5. Щелкните ОК.

Теперь все готово для просмотра отчетов.

Просмотр отчетов службы "АДМИНИСТРАТИВная аналитика"

В области Azure Information Protection перейдите к пункту меню панели мониторинга и выберите один из следующих параметров.

Report Описание
Отчет об использовании (Предварительная версия) используйте этот отчет, чтобы увидеть, как используются метки.
Журналы действий (Предварительная версия) используйте этот отчет для просмотра действий с метками, связанных с конкретными пользователями, устройствами и путями к файлам. Кроме того, для защищенных документов можно видеть попытки доступа (успешные или запрещенные) для пользователей как внутри организации, так и за ее пределами, даже если на них не установлен клиент Azure Information Protection.

Этот отчет содержит параметр Столбцы, который позволяет просмотреть больше сведений, чем отображается по умолчанию. Также можно просмотреть дополнительные сведения о файле, выбрав его и отобразив Сведения о действии.
Обнаружение данных (Предварительная версия) в этом отчете содержатся сведения о помеченных файлах, обнаруженных средствами проверки или поддерживаемыми конечными точками.

Совет. из собираемых данных можно обнаружить, что пользователи получают доступ к файлам, содержащим конфиденциальную информацию из расположения, которое неизвестно или не сканируется в настоящее время:

— Если расположения находятся в локальной среде, рассмотрите возможность добавления расположений в качестве дополнительных репозиториев данных для сканера Azure Information Protection.
— Если расположения находятся в облаке, рассмотрите возможность использования Microsoft Cloud App Security для управления ими.
Рекомендации (Предварительная версия) этот отчет позволяет вам обнаружить файлы с конфиденциальными сведениями и выполнить рекомендации для устранения рисков.

При выборе элемента функция Просмотр данных отображает действия аудита, которые активировали рекомендацию.

Изменение отчетов в службе "АДМИНИСТРАТИВная аналитика" и создание настраиваемых запросов

Щелкните значок запроса на панели мониторинга, чтобы открыть панель поиска по журналам :

Значок Log Analytics для настройки отчетов Azure Information Protection

Записанные данные Azure Information Protection хранятся в следующей таблице: InformationProtectionLogs_CL.

При создании собственных запросов, используйте понятные имена для схем, реализованных в качестве функций InformationProtectionEvents. Эти функции являются производными от атрибутов, которые поддерживаются для пользовательских запросов (некоторые атрибуты предназначены только для внутреннего использования) и их имена со временем не изменятся, даже если произойдет изменение их базовых атрибутов в целях оптимизации и добавления новых возможностей.

Справочник по именам схем для функций событий

Используйте следующую таблицу для определения понятных имен функций событий, которые можно указать в пользовательском запросе с помощью аналитики Azure Information Protection.

Имя столбца Описание
Time Время события: UTC в формате гггг-мм-DDTHH: мм: СС
Пользователь Пользователь: формат UPN или домен \ пользователь
ItemPath Полный путь к элементу или тема сообщения электронной почты
Название товара Имя файла или тема сообщения электронной почты
Метод Назначенный метод Label: ручной, автоматический, рекомендуемый, по умолчанию или обязательный.
Действие Активность аудита: Довнграделабел, Упграделабел, Ремовелабел, Невлабел, обнаружение, доступ, Ремовекустомпротектион, Чанжекустомпротектион, NewCustomProtection или FileRemoved
ResultStatus Состояние результата действия:

Успешно или неудачно (сообщается только сканеру АДМИНИСТРАТИВной установки)
ErrorMessage_s Включает сведения о сообщении об ошибке, если Ресултстатус = Failed. Сообщается только сканером АДМИНИСТРАТИВной установки
лабелнаме Имя метки (не локализовано)
лабелнамебефоре Имя метки перед изменением (не локализовано)
ProtectionType Тип защиты [JSON]
{ 
Type: [Template, Custom, DoNotForward],
  "TemplateID": "GUID"
 }
протектионбефоре Тип защиты перед изменением [JSON]
MachineName Полное доменное имя, если доступно; в противном случае имя узла
Платформа Платформа устройства (Win, OSX, Android, iOS) 
ApplicationName Понятное имя приложения
аипверсион Версия клиента Azure Information Protection, выполнившего действие аудита
TenantId Идентификатор клиента Azure AD
азуреаппликатионид ИДЕНТИФИКАТОР зарегистрированного приложения Azure AD (GUID)
ProcessName Процесс, в котором размещается пакет SDK для MIP
лабелид GUID метки или значение null
Защита Защищено ли: да/нет
протектионовнер Владелец Rights Management в формате имени участника-пользователя
лабелидбефоре Метка GUID или значение null перед изменением
InformationTypesAbove55 Массив JSON сенситивеинформатион найден в данных с уровнем достоверности 55 или выше
InformationTypesAbove65 Массив JSON сенситивеинформатион найден в данных с уровнем достоверности 65 или выше
InformationTypesAbove75 Массив JSON сенситивеинформатион найден в данных с уровнем достоверности 75 или выше
InformationTypesAbove85 Массив JSON сенситивеинформатион найден в данных с уровнем достоверности 85 или выше
InformationTypesAbove95 Массив JSON сенситивеинформатион найден в данных с уровнем достоверности 95 или выше
дисковерединформатионтипес Массив JSON сенситивеинформатион , найденный в данных, и соответствующее содержимое (если включено), где пустой массив означает, что типы сведений не найдены, а значение NULL означает, что информация недоступна.
протектедбефоре Было ли содержимое защищено перед изменением: да/нет
протектионовнербефоре Владелец Rights Management перед изменением
усержустификатион Обоснование при понижении или удалении Метки
LastModifiedBy Пользователь в формате имени участника-пользователя, который последним изменил файл. Доступно только для Office и SharePoint
LastModifiedDate Формат UTC в формате гггг-мм-DDTHH: MM: SS: доступен только для Office и SharePoint

Примеры использования InformationProtectionEvents

В следующих примерах показано, как можно использовать понятную схему для создания пользовательских запросов.

Пример 1. возврат всех пользователей, которые отправили данные аудита за последние 31 день
InformationProtectionEvents 
| where Time > ago(31d) 
| distinct User 
Пример 2. Возврат количества меток, которые были повышены в день за последние 31 день
InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| summarize Label_Downgrades_per_Day = count(Activity) by bin(Time, 1d) 
 
Пример 3. Возврат количества меток, которые были понижены с уровня "конфиденциальные" на "пользователь" за последние 31 день

InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| where LabelNameBefore contains "Confidential" and LabelName !contains "Confidential"  
| summarize Label_Downgrades_by_User = count(Activity) by User | sort by Label_Downgrades_by_User desc 

В этом примере подсчитываются только те метки, имя которых до изменения содержало слово Confidential (Конфиденциальный), а после — нет.

Дальнейшие шаги

После просмотра сведений в отчетах, если вы используете Azure Information Protection клиент, вы можете внести изменения в политику меток.

Журналы аудита "точка установки" также отправляются в обозреватель действий Microsoft 365, где они могут отображаться с разными именами. Дополнительные сведения можно найти в разделе