Analys och central rapportering för Azure Information Protection (offentlig förhandsversion)
Gäller för:Azure Information Protection
Relevant för:AIP unified labeling client and classic client
Obs!
För att ge en enhetlig och smidig kundupplevelse är den klassiska Azure Information Protection-klienten och Etiketthantering i Azure-portalen inaktuella sedan den 31 mars 2021. Inget ytterligare stöd tillhandahålls för den klassiska klienten och underhållsversioner kommer inte längre att släppas.
Den klassiska klienten upphör officiellt och slutar fungera den 31 mars 2022.
Alla aktuella kunder med Azure Information Protection för klassiska klient måste migrera till Microsoft Information Protection unified labeling-plattformen och uppgradera till den enhetliga etikettklienten. Läs mer i vår migreringsblogg.
I den här artikeln beskrivs hur du använder Azure Information Protection-analyser (AIP) för central rapportering, vilket kan hjälpa dig att spåra införandet av etiketter som klassificerar och skyddar organisationens data.
Med AIP-analys kan du även utföra följande steg:
Övervaka etiketterade och skyddade dokument och e-postmeddelanden i organisationen
Identifiera dokument som innehåller känslig information inom organisationen
Övervaka användaråtkomst till etiketterade dokument och e-postmeddelanden och spåra ändringar av dokumentklassificering.
Identifiera dokument som innehåller känslig information som kan riskera organisationen om de inte är skyddade, och minska risken genom att följa rekommendationer.
Identifiera när skyddade dokument används av interna eller externa användare från Windows och om åtkomst har beviljats eller nekats.
Data som visas aggregeras från dina Azure Information Protection-klienter och skannrar, från Microsoft Defender för molnappar och från användningsloggar för skydd.
Azure Information Protection-analyser för central rapportering finns för närvarande i FÖRHANDSVERSIONen. Tilläggsvillkor för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är beta, förhandsversion eller på annat sätt ännu inte har släppts till allmän tillgänglighet.
AIP-rapporteringsdata
Till exempel visar Azure Information Protection-analyser för central rapportering följande data:
| Rapport | Exempeldata visas |
|---|---|
| Användningsrapport | Välj en tidsperiod om du vill visa något av följande: - Vilka etiketter som används - Hur många dokument och e-postmeddelanden märks - Hur många dokument och e-postmeddelanden skyddas - Hur många användare och hur många enheter som etiketterar dokument och e-postmeddelanden - Vilka program som används för etiketter |
| Aktivitetsloggar | Välj en tidsperiod om du vill visa något av följande: - Vilka filer som tidigare identifierats av skanner har tagits bort från den skannade lagringsplatsen - Vilka etiketter åtgärder utfördes av en viss användare - Vilka etiketter åtgärder utfördes från en viss enhet - Vilka användare som har åtkomst till ett visst etiketterat dokument - Vilka etikettåtgärder som har utförts för en viss filsökväg – Vilka etikettåtgärder som har utförts av ett visst program, t.ex. Utforskaren och högerklickar, PowerShell, skannern eller Microsoft Defender för molnappar – Vilka skyddade dokument som användare har åtkomst till eller nekad åtkomst till användare, även om de användarna inte har Azure Information Protection-klienten installerad eller finns utanför organisationen - Granska nedåt i rapporterade filer för att visa aktivitetsinformation för ytterligare information |
| Dataidentifieringsrapport | Vilka filer finns på lagringsplatsen för skannade data, Windows 10 eller datorer med Azure Information Protection-klienterna - Vilka filer som är etiketterade och skyddade, och platsen för filer med hjälp av etiketter - Vilka filer som innehåller känslig information för kända kategorier, t.ex. ekonomiska och personliga uppgifter, och platsen för filer efter dessa kategorier |
| Rekommendationer rapport | – Identifiera oskyddade filer som innehåller en känd typ av känslig information. Med en rekommendation kan du direkt konfigurera motsvarande villkor för en av dina etiketter så att automatisk eller rekommenderad etikett används. Om du följer rekommendationen: Nästa gång filerna öppnas av en användare eller genomsöks med Azure Information Protection-skannern kan filerna klassificeras och skyddas automatiskt. – Vilka datalagringsplatsen har filer med identifierad känslig information men genomsöks inte av Azure Information Protection. Med en rekommendation kan du omedelbart lägga till den identifierade datakällan i en av skannerns profiler. Om du följer rekommendationen: Vid nästa skannerscykel kan filerna automatiskt klassificeras och skyddas. |
I rapporterna används Azure Monitor för att lagra data i en arbetsyta för logganalys som företaget äger. Om du är bekant med frågespråket kan du ändra frågorna och skapa nya rapporter och använda Power BI instrumentpaneler. Följande självstudiekurs kan vara användbar för att förstå frågespråket: Komma igång med Azure Monitor-loggfrågor.
Det kan ta upp till 24 timmar innan AIP-granskningsloggar visas på arbetsytan Logganalys.
Mer information finns i Dataidentifiering, rapportering och analys för alla dina data med Microsoft Information Protection.
Information som samlas in och skickas till logganalys
När dessa rapporter skapas skickar slutpunkter följande typer av information till kundens logganalys:
Åtgärden Etikett. Du kan till exempel ange en etikett, ändra en etikett, lägga till eller ta bort skydd, automatiska och rekommenderade etiketter.
Etikettnamnet före och efter etikettåtgärden.
Din organisations klientorganisations-ID.
Användar-ID (e-postadress eller UPN).
Namnet på användarens enhet.
IP-adressen för användarens enhet.
Relevant processnamn, till exempel outlook eller msip.app.
Namnet på programmet som utförde etiketterna, till exempel Outlook eller Utforskaren
För dokument: Sökvägen till filen och filnamnet för dokument som har etiketter.
För e-postmeddelanden: E-postmeddelandets ämne och e-postavsändare för e-postmeddelanden som har etiketter.
De typer av känslig information(fördefinierad och anpassad) som identifierades i innehållet.
Azure Information Protection-klientversionen.
Klientens operativsystemsversion.
Den här informationen lagras i en arbetsyta i Azure Log Analytics som din organisation äger och kan visas oberoende av Azure Information Protection av användare som har åtkomstbehörighet till den här arbetsytan.
Mer information finns i:
- Behörigheter som krävs för Azure Information Protection-analyser
- Hantera åtkomst till arbetsytan logganalys med hjälp av Azure-behörigheter
- Granskningsloggreferens för Azure Information Protection
Förhindra AIP-klienterna från att skicka granskningsdata
Unified labeling client
Om du vill förhindra att Azure Information Protection-klienten för enhetliga etiketter skickar granskningsdata konfigurerar du en avancerad inställning för en etikettprincip.
Klassisk klient
Om du vill förhindra att Azure Information Protection klassiska klienten skickar dessa data ställer du in principinställningen för Skicka granskningsdata till Azure Information Protection-analys påAv:
| Krav | Instruktioner |
|---|---|
| Konfigurera de flesta användare för att skicka data med en delmängd användare som inte kan skicka data | Ställ in Skicka granskningsdata till Azure Information Protection-analyserpå Av i en begränsad princip för undergruppen av användare. Den här konfigurationen är vanlig för produktionsscenarier. |
| Så här konfigurerar du endast en delmängd av användarna som skickar data | Ställ in Skicka granskningsdata till Azure Information Protection-analyser på Av i den globala principen och På i en begränsad princip för undergruppen av användare. Den här konfigurationen är vanlig för att testa scenarier. |
Innehållsmatchning för djupare analyser
Med Azure Information Protection kan du samla in och lagra de faktiska data som identifieras som en typ av känslig information (fördefinierad eller anpassad). Det kan till exempel vara kreditkortsnummer som hittas, personnummer, passnummer och bankkontonummer. Innehållsmatcherna visas när du väljer en post från Aktivitetsloggaroch visar aktivitetsinformation.
Som standard skickar inte Azure Information Protection-klienter innehållsmatchning. Så här ändrar du beteendet så att innehållsmatchning skickas:
| Klient | Instruktioner |
|---|---|
| Unified labeling client | Konfigurera en avancerad inställning i en etikettprincip. |
| Klassisk klient | Markera en kryssruta som en del av konfigurationen för Azure Information Protection-analyser. Kryssrutan heter Aktivera djupare analyser av känsliga data. Om du vill att de flesta användare som använder den här klienten ska skicka innehållsmatchning men en delmängd av användarna inte kan skicka innehållsmatchning, markerar du kryssrutan och konfigurerar sedan en avancerad klientinställning i en begränsad princip för undergruppen av användare. |
Krav
Om du vill visa Azure Information Protection-rapporterna och skapa egna ser du till att följande krav finns.
| Krav | Information |
|---|---|
| En Azure-prenumeration | Din Azure-prenumeration måste innehålla logganalys på samma klientorganisation som Azure Information Protection. Mer information finns på sidan för Azure Monitor-priser. Om du inte har en Azure-prenumeration eller om du inte använder Azure Log Analytics inkluderar prissidan en länk för en kostnadsfri utvärderingsversion. |
| Anslutning av granskningsloggning för URL-nätverksanslutning | AIP måste kunna komma åt följande URL:er för att kunna stödja AIP-granskningsloggar: - https://*.events.data.microsoft.com - https://*.aria.microsoft.com (Endast Data på Android-enheter) |
| Azure Information Protection-klient | För rapportering från klienten. Om du inte redan har en klient installerad kan du hämta och installera den enhetliga etikettklienten från Microsoft Download Center. Obs!Både den enhetliga etikettklienten och den klassiska klienten stöds. Om du vill distribuera den klassiska AIP-klienten öppnar du ett supportbegäran för att få nedladdningsåtkomst. |
| Lokal Azure Information Protection-skanner | För rapportering från lokala datakällor. Mer information finns i Distribuera Azure Information Protection-skannern för att automatiskt klassificera och skydda filer. |
| Microsoft Defender för molnappar | För rapportering från molnbaserade datakällor. Mer information finns i Azure Information Protection-integrering i MCAS-dokumentationen. |
Behörigheter som krävs för Azure Information Protection-analyser
Specifik för Azure Information Protection-analys: När du har konfigurerat arbetsytan Azure Log Analytics kan du använda Azure AD-administratörsrollen säkerhetsläsare som ett alternativ till de andra Azure AD-roller som har stöd för hantering av Azure Information Protection i Azure-portalen. Den här ytterligare rollen stöds bara om klientorganisationen inte finns på den enhetliga plattformen för etiketter.
Eftersom Azure Information Protection-analyser använder Azure Monitoring styr rollbaserad åtkomstkontroll (RBAC) för Azure även åtkomsten till din arbetsyta. Du behöver därför en Azure-roll och en Azure AD-administratörsroll för att hantera Azure Information Protection-analyser. Om du är nybörjare i Azure-roller kan det vara bra att läsa skillnader mellan Azure RBAC-roller och Azure AD-administratörsroller.
Mer information finns i:
- Azure AD-administratörsroller som krävs
- Azure-logganalysroller som krävs
- Minsta möjliga roller för att visa rapporterna
Azure AD-administratörsroller som krävs
Du måste ha någon av följande Azure AD-administratörsroller för att få åtkomst till Azure Information Protection-analysfönstret:
Så här skapar du din arbetsyta för logganalys eller skapar anpassade frågor:
- Azure Information Protection-administratör
- Säkerhetsadministratör
- Efterlevnadsadministratör
- Efterlevnadsdataadministratör
- Global administratör
När arbetsytan har skapats kan du sedan använda följande roller med färre behörigheter för att visa data som samlas in:
- Säkerhetsläsare
- Global läsare
Azure-logganalysroller som krävs
Du måste ha någon av följande Azure Log Analytics-roller ellerAzure-standardroller för åtkomst till din Azure Log Analytics-arbetsyta:
Om du vill skapa en arbetsyta eller skapa anpassade frågor gör du något av följande:
- Log Analytics-deltagare
- Deltagare
- Ägare
När arbetsytan har skapats kan du sedan använda någon av följande roller med färre behörigheter för att visa data som samlas in:
- Logganalysläsare
- Läsare
Minsta möjliga roller för att visa rapporterna
När du har konfigurerat arbetsytan för Azure Information Protection-analyser är de minsta rollerna som behövs för att visa Azure Information Protection-analysrapporterna båda följande:
- Azure AD-administratörsroll: Säkerhetsläsare
- Azure-roll: Logganalysläsare
En vanlig rolltilldelning för många organisationer är dock Azure AD-rollen för Säkerhetsläsare och Azure-rollen för Reader.
Storage och datalagring
Mängden data som samlas in och lagras på arbetsytan för Azure Information Protection kommer att variera avsevärt för varje klientorganisation, beroende på faktorer som hur många Azure Information Protection-klienter och andra slutpunkter som stöds, om du samlar in slutpunktsidentifieringsdata, har distribuerat skannrar, antalet skyddade dokument som är tillgängliga och så vidare.
Som en utgångspunkt kan du dock ha användning av följande uppskattningar:
För granskningsdata som genereras av Azure Information Protection-klienter: 2 GB per 10 000 aktiva användare per månad.
För granskningsdata som genereras av Azure Information Protection-klienter och skannrar: 20 GB per 10 000 aktiva användare per månad.
Om du använder obligatoriska etiketter eller om du har konfigurerat en standardetikett för de flesta användare är frekvensen antagligen betydligt högre.
Azure Monitor-loggar har en funktion för användning och beräknade kostnader som hjälper dig att beräkna och granska mängden data som lagras, och du kan också styra lagringstiden för din arbetsyta för logganalys. Mer information finns i Hantera användning och kostnader med Azure Monitor-loggar.
Konfigurera en arbetsyta för logganalys för rapporterna
Om du inte redan har gjort det öppnar du ett nytt webbläsarfönster och loggar in på Azure-portalen med ett konto som har de behörigheter som krävs för Azure Information Protection-analyser. Gå sedan till fönstret Azure Information Protection.
I sökrutan för resurser, tjänster och dokument kan du till exempel: Börja skriva information och välj Azure Information Protection.
Leta reda på Hantera menyalternativ och välj Konfigurera analys (förhandsversion).
I fönstret Azure Information Protection-logganalys visas en lista över alla arbetsytor med logganalys som ägs av din klientorganisation. Gör något av följande:
Om du vill skapa en ny arbetsytaför logganalys: Välj Skapa ny arbetsyta och ange önskad information i fönstret Logganalysarbetsyta.
Så här använder du en befintlig arbetsytaför logganalys: Välj arbetsytan i listan.
Om du behöver hjälp med att skapa arbetsytan Logganalys kan du gå till Skapa en arbetsyta för logganalys i Azure-portalen.
Endast klassisk AIP-klient: Markera kryssrutan Aktivera djupare analyser i känsliga data om du vill lagra faktiska data som identifieras som känsliga datatyper.
Mer information om den här inställningen finns i avsnittet Innehållsmatchning för djupare analyser på den här sidan.
Välj OK.
Du är nu redo att visa rapporterna.
Visa AIP-analysrapporterna
I fönstret Azure Information Protection letar du reda på menyalternativen för Instrumentpaneler och väljer något av följande alternativ:
| Rapport | Beskrivning |
|---|---|
| Användningsrapport (förhandsversion) | Använd den här rapporten för att se hur etiketterna används. |
| Aktivitetsloggar (förhandsversion) | Använd den här rapporten för att se etikettåtgärder från användare och på enheter och filsökvägar. För skyddade dokument kan du dessutom se åtkomstförsök (lyckade eller nekade) för användare både inom och utanför organisationen, även om de inte har Azure Information Protection-klienten installerad. Den här rapporten har ett alternativ för kolumner som gör att du kan visa mer aktivitetsinformation än standardvisningen. Du kan också se mer information om en fil genom att välja den för att visa Aktivitetsinformation. |
| Dataidentifiering (förhandsversion) | Använd den här rapporten för att se information om etiketterade filer som hittas av skannrar och slutpunkter som stöds. Tips:Från den information som samlas in kan du hitta användare som använder filer som innehåller känslig information från en plats som du inte känner till eller som du för närvarande inte skannar: – Om platserna finns lokalt kan du lägga till platserna som ytterligare datalagringsplatser för Azure Information Protection-skannern. – Om platserna finns i molnet kan du använda Microsoft Defender för molnappar för att hantera dem. |
| Rekommendationer (förhandsversion) | Använd den här rapporten för att identifiera filer som innehåller känslig information och minska risken genom att följa rekommendationerna. När du väljer ett objekt visar alternativet Visa data granskningsaktiviteter som utlöste rekommendationen. |
Ändra AIP-analysrapporterna och skapa anpassade frågor
Välj frågeikonen på instrumentpanelen för att öppna fönstret Loggsökning:
De loggade data för Azure Information Protection lagras i följande tabell: InformationProtectionLogs_CL
När du skapar egna frågor bör du använda de användarvänliga schemanamnen som har implementerats som funktioner i InformationProtectionEvents. De här funktionerna härleds från attribut som stöds för anpassade frågor (vissa attribut används endast internt) och deras namn ändras inte med tiden, även om de underliggande attributen ändras för förbättringar och nya funktioner.
Användarvänlig schemareferens för händelsefunktioner
Använd följande tabell för att identifiera ett mer användarvänligt namn på händelsefunktioner som du kan använda för anpassade frågor med Azure Information Protection-analys.
| Kolumnnamn | Beskrivning |
|---|---|
| Tid | Händelsetid: UTC i format YYYY-MM-DDTHH:MM:SS |
| Användare | Användare: Formatera UPN eller DOMÄN\ANVÄNDARE |
| ItemPath | Fullständig sökväg eller ämne för e-post |
| ItemName | Filnamn eller ämne för e-post |
| Metod | Tilldelad etikett: Manuell, Automatisk, Rekommenderad, Standard eller Obligatorisk |
| Aktivitet | Granskningsaktivitet: Nedgraderingsetikett, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection, NewCustomProtection eller FileRemoved |
| ResultStatus | Resultatstatus för åtgärden: Lyckades eller misslyckades (endast rapporterats av AIP-skanner) |
| ErrorMessage_s | Innehåller information om felmeddelandet om ResultStatus=Failed. Endast rapporterats med AIP-skanner |
| LabelName | Etikettnamn (ej lokaliserat) |
| LabelNameBefore | Etikettnamn före ändring (ej lokaliserat) |
| ProtectionType | Skyddstyp [JSON] { "Typ": ["Mall", "Anpassad", "DoNotForward"], "TemplateID": "GUID" } |
| ProtectionBefore | Skyddstyp före ändring [JSON] |
| Maskinnamn | FQDN när det är tillgängligt. annars värdnamn |
| Plattform | Enhetsplattform (Win, OSX, Android, iOS) |
| ApplicationName | Programvänligt namn |
| AIPVersion | Version av Azure Information Protection-klienten som utförde granskningsåtgärden |
| TenantId | Azure AD-klientorganisations-ID |
| AzureApplicationId | Azure AD-registrerat program-ID (GUID) |
| ProcessName | Process som är värd för MIP SDK |
| LabelId | Etikett-GUID eller null |
| IsProtected | Om skyddat: Ja/Nej |
| ProtectionOwner | Rights Management-ägare i UPN-format |
| LabelIdBefore | Etikett-GUID eller null före ändring |
| InformationTypesAbove55 | JSON-matris med känslig information som finns i data med konfidensnivå 55 eller högre |
| InformationTypesAbove65 | JSON-matris med känslig information som finns i data med konfidensnivå 65 eller högre |
| InformationTypesAbove75 | JSON-matris med känslig information som finns i data med konfidensnivå 75 eller högre |
| InformationTypesAbove85 | JSON-matris med känslig information som finns i data med konfidensnivå 85 eller högre |
| InformationTypesAbove95 | JSON-matris med känslig information som finns i data med konfidensnivå 95 eller högre |
| DiscoveredInformationTypes | JSON-matris med känslig information som finns i data och deras matchande innehåll (om aktiverat) där en tom matris inte innebär att det finns några informationstyper och null innebär att ingen information finns tillgänglig |
| ProtectedBefore | Om innehållet var skyddat före ändringen: Ja/Nej |
| ProtectionOwnerBefore | Rättighetshanteringsägare före ändring |
| UserJustification | Justering vid nedgradering eller borttagning av etikett |
| LastModifiedBy | Användare i UPN-format som senast ändrade filen. Endast Office och SharePoint tillgängliga |
| LastModifiedDate | UTC i formatet YYYY-MM-DDTHH:MM:SS: Endast Office SharePoint |
Exempel med InformationProtectionEvents
Använd följande exempel för att se hur du kan använda det användarvänliga schemat för att skapa anpassade frågor.
Exempel 1: Returnera alla användare som skickat granskningsdata de senaste 31 dagarna
InformationProtectionEvents
| where Time > ago(31d)
| distinct User
Exempel 2: Returnera antalet etiketter som var nedgraderade per dag under de senaste 31 dagarna
InformationProtectionEvents
| where Time > ago(31d)
| where Activity == "DowngradeLabel"
| summarize Label_Downgrades_per_Day = count(Activity) by bin(Time, 1d)
Exempel 3: Returnera antalet etiketter som nedgraderats från Konfidentiellt av användare under de senaste 31 dagarna
InformationProtectionEvents
| where Time > ago(31d)
| where Activity == "DowngradeLabel"
| where LabelNameBefore contains "Confidential" and LabelName !contains "Confidential"
| summarize Label_Downgrades_by_User = count(Activity) by User | sort by Label_Downgrades_by_User desc
I det här exemplet räknas en nedgraderad etikett endast om etikettnamnet före åtgärden innehåller namnet Konfidentiellt och etikettnamnet efter att åtgärden inte innehåller namnet Konfidentiellt.
Nästa steg
Om du använder Azure Information Protection-klienten efter att ha granskat informationen i rapporterna kan du bestämma dig för att göra ändringar i märkningsprincipen.
Unified labeling client: Make changes to your labeling policy in the Microsoft 365 Efterlevnadscenter. Mer information finns i Microsoft 365 dokumentation.
Klassisk klient:Gör ändringar i principen i Azure-portalen. Mer information finns i Konfigurera Azure Information Protection-principen.
AIP-granskningsloggar skickas också Microsoft 365 Aktivitetsutforskaren, där de kan visas med olika namn. Mer information finns i:
- Komma igång med aktivitetsutforskaren
- Aktivitetsreferens med etiketter,inklusive mappning mellan namn som visas i AIP-aktivitetsloggarna och namn som visas i Aktivitetsutforskaren