Сбор журналов событий аудита Windows Information Protection (WIP)

Область применения:

  • Windows10, версия 1607 и более поздние версии
  • Windows10 Mobile, версия 1607 и более поздние версии

Windows Information Protection (WIP) создает события аудита в следующих случаях:

  • Когда сотрудник изменяет значение параметра "Владение файлом" с Рабочий на Личный.

  • Когда данные отмечаются как Рабочие, но передаются в личное приложение или на личную веб-страницу (например, путем копирования и вставки, перетаскивания, предоставления общего доступа к контакту, размещения на личной веб-странице, или если пользователь предоставляет личному приложению временный доступ к рабочему файлу).

  • Когда приложение имеет пользовательские события аудита.

Сбор журналов аудита WIP с помощью поставщика службы конфигурации отчетов (CSP)

Вы можете собирать журналы аудита WIP с устройств сотрудников, следуя указаниям, предоставленным в документации к поставщику служб конфигурации отчетов (CSP). Этот раздел содержит сведения о фактических событиях аудита.

Примечание

Элемент Данные в ответе содержит запрошенные журналы аудита в формате XML.

Элемент "Пользователь" и его атрибуты

В данной таблице содержатся все доступные атрибуты для элемента Пользователь.

Атрибут Тип значения Описание
UserID String Идентификатор безопасности (SID) пользователя, соответствующий данному отчету об аудите.
EnterpriseID String Идентификатор предприятия, соответствующий данному отчету об аудите.

Элемент "Журнал" и его атрибуты

В данной таблице содержатся все доступные атрибуты/элементы для элемента Журнал. Ответ может содержать ноль (0) или несколько элементов Журнал.

Атрибут/элемент Тип значения Описание
ProviderType String Всегда EDPAudit.
LogType String Включает:
  • DataCopied. Рабочие данные были скопированы или переданы в личное расположение.
  • ProtectionRemoved. Защита WIP удалена из файла, определенного как рабочий.
  • ApplicationGenerated. Настраиваемый журнал аудита, предоставленный приложением.
TimeStamp Целое число Использует структуру FILETIME для обозначения времени события.
Политика String Способ передачи рабочих данных в личное расположение:
  • CopyPaste. Рабочие данные были вставлены в личное расположение или приложение.
  • ProtectionRemoved. Статус рабочих данных был изменен на незащищенный.
  • DragDrop. Рабочие данные были переданы в личное расположение или приложение путем перетаскивания.
  • Share. Личному расположению или приложению был предоставлен доступ к рабочим данным.
  • NULL. Любой другой способ, с помощью которого рабочие данные могли стать личными (например, при открытии рабочего файла в личном приложении (что также известно как временный доступ)).
Обоснование String Не реализовано. Это значение всегда будет пустым или NULL.

Примечание
Сохраните для будущего использования при сборе пользовательских обоснований изменения статуса файлов с Рабочий на Личный.
Объект String Описание рабочих данных, к которым был осуществлен личный доступ. Например, если сотрудник открывает рабочий файл с помощью личного приложения, здесь будет указан путь к файлу.
DataInfo String Любая дополнительная информация о том, каким образом был изменен рабочий файл:
  • Путь к файлу. Если сотрудник разместил рабочий файл на личном веб-сайте с помощью Microsoft Edge или Internet Explorer, здесь будет указан путь к файлу.
  • Типы данных буфера обмена. Если сотрудник вставил рабочие данные в личное приложение, здесь будет приведен список типов данных буфера обмена, предоставленных рабочем приложением. Дополнительные сведения см. в разделе Примеры данной статьи.
Действие Целое число Предоставляет информацию о том, что произошло в тот момент, когда рабочие данные были переданы в личное расположение, включая:
  • 1. Расшифрование файла.
  • 2. Копирование в расположение.
  • 3. Отправка получателю.
  • 4. Другое.
FilePath String Путь к файлу, указанному в событии аудита (например, расположение файла, расшифрованного сотрудником или размещенного на личном веб-сайте).
SourceApplicationName String Исходное приложение или веб-сайт. Для исходного приложения это удостоверение AppLocker. Для исходного веб-сайта это имя узла.
SourceName Строка Строка, предоставленная приложением, которое зарегистрировало событие. Она предназначена для описания источника рабочих данных.
DestinationEnterpriseID String Значение корпоративного идентификатора приложения или веб-сайта, куда сотрудник передал данные.

NULL, Личный или пустое значение означают, что корпоративный идентификатор отсутствует, поспольку данные были переданы в личное расположение. Поскольку в настоящее время мы не поддерживаем множественную регистрацию, всегда будет отображаться одно из этих значений.
DestinationApplicationName String Целевое приложение или веб-сайт. Для целевого приложения это удостоверение AppLocker. Для целевого веб-сайта это имя узла.
DestinationName String Строка, предоставленная приложением, которое зарегистрировало событие. Она предназначена для описания назначения передачи рабочих данных.
Приложение Строка Удостоверение AppLocker приложения, в котором произошло событие аудита.

Примеры

Вот несколько примеров ответов от поставщика службы конфигурации отчетов.

Статус владения файлом изменен с рабочего на личный

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
      <Policy>Protection removed</Policy>
      <Justification>NULL</Justification>
      <FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Рабочий файл отправлен на личную веб-страницу в Edge

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>NULL</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Рабочие данные были вставлены на личную веб-страницу

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Рабочий файл открыт с помощью личного приложения

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
      <Policy>NULL</Policy>
      <Justification></Justification>
      <Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
      <Action>1</Action>
      <SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
      <DestinationEnterpriseID>Personal</DestinationEnterpriseID>
      <DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
      <Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Рабочие данные были вставлены в личное приложение

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName></DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Сбор журналов аудита WIP с помощью службы пересылки событий Windows (только на компьютерах с Windows, подключенных к домену)

Для сбора и объединения событий аудита WIP можно использовать службу пересылки событий Windows. Просматривать события аудита можно в средстве просмотра событий.

Примечание

В Windows 10 Mobile вместо этого необходимо использовать процесс отчетов CSP.

Для просмотра событий WIP в средстве просмотра событий

  1. Откройте окно просмотра событий.

  2. В дереве консоли в подменю Журналы приложений и служб\Microsoft\Windows щелкните EDP-Audit-Regular и EDP-Audit-TCB.

Сбор журналов аудита НЗП с помощью монитора Azure

Вы можете собирать журналы аудита с помощью монитора Azure. Просмотр источников данных журнала событий Windows на мониторе Azure.

Просмотр событий НЗП на мониторе Azure

  1. Использование существующей или создание новой рабочей области для анализа журналов.

  2. В окне " > Расширенные параметры службы аналитики журналов" выберите " данные". В журналах событий Windows добавьте журналы для получения:

    Microsoft-Windows-EDP-Application-Learning/Admin
    Microsoft-Windows-EDP-Audit-TCB/Admin
    

    Примечание

    Если вы используете журналы событий Windows, имена журналов событий можно найти в разделе Свойства события в папке "события" (приложение и службы Логс\микрософт\виндовс, выберите EDP-Audit-Regular и EDP-Audit-TCB).

  3. Скачайте Microsoft Monitoring Agent.

  4. Чтобы получить MSI для установки Intune в соответствии с инструкциями в статье для монитора Azure, распакуйте: Ммасетуп-. exe/c/t: Установите Microsoft Monitoring Agent на устройства НЗП с помощью идентификатора рабочей области и первичного ключа. Дополнительные сведения об идентификаторах рабочей области и первичном ключе можно найти в > расширенном параметре" Анализ журналов".

  5. Чтобы развернуть MSI с помощью Intune, в параметрах установки добавьте:/q/norestart НОАПМ = 1 ADD_OPINSIGHTS_WORKSPACE = 1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE = 0 OPINSIGHTS_WORKSPACE_ID =<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY =<WORKSPACE_KEY> Акцептендусерлиценсеагримент = 1

Примечание

Замените <WORKSPACE_ID> & <WORKSPACE_KEY>, полученные на шаге 5. В параметрах установки не замещайте <WORKSPACE_ID> & <WORKSPACE_KEY> в кавычки ("" или "").

  1. После развертывания агента данные будут получены примерно в течение 10 минут.

  2. Чтобы выполнить поиск журналов, перейдите > в журнал рабочей области для анализа журналови введите событие в поиск.

Пример.

Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"

Дополнительные ресурсы