Azure Information Protection için merkezi raporlamaCentral reporting for Azure Information Protection

Uygulama hedefi: Azure Information ProtectionApplies to: Azure Information Protection

Not

Bu özellik şu anda önizleme aşamasındadır ve değiştirilebilir.This feature is currently in preview and subject to change.

Kuruluşunuzun verilerini sınıflandırıp koruyan etiketlerinizin benimsenmesini izlemenize yardımcı olması için merkezi raporlama için Azure Information Protection Analytics kullanın.Use Azure Information Protection analytics for central reporting to help you track the adoption of your labels that classify and protect your organization's data. Buna ek olarak:In addition:

  • Kuruluşunuzda etiketlenmiş ve korumalı belge ve e-postaları izleyinMonitor labeled and protected documents and emails across your organization

  • Kuruluşunuz içinde hassas bilgiler içeren belgeleri tanımlaIdentify documents that contain sensitive information within your organization

  • Etiketli belge ve e-postalara Kullanıcı erişimini izleyin ve belge sınıflandırması değişikliklerini izleyin.Monitor user access to labeled documents and emails, and track document classification changes.

  • Kuruluşunuz korunduklarında riske sokabilecek gizli bilgiler içeren belgeleri belirler ve öneriler uygulayarak riskinizi azaltabilirsiniz.Identify documents that contain sensitive information that might be putting your organization at risk if they are not protected, and mitigate your risk by following recommendations.

  • Korumalı belgelere iç veya dış kullanıcılar tarafından erişildiğini ve erişimin verilip verilmediğini veya reddedildiğini belirler.Identify when protected documents are accessed by internal or external users, and whether access was granted or denied.

Gördüğünüz veriler, Azure Information Protection istemcilerinizden ve tarayıcılardan, Birleşik etiketlemeyi destekleyen istemcilerden ve hizmetlerdenve koruma kullanım günlüklerindentoplanır.The data that you see is aggregated from your Azure Information Protection clients and scanners, from clients and services that support unified labeling, and from protection usage logs.

Örneğin, aşağıdakileri görebileceksiniz:For example, you'll be able to see the following:

  • Kullanım raporundanbir zaman aralığı seçebilirsiniz:From the Usage report, where you can select a time period:

    • Hangi Etiketler uygulanıyorWhich labels are being applied

    • Kaç tane belge ve e-posta etiketlendiHow many documents and emails are being labeled

    • Kaç tane belge ve e-posta korunduğuHow many documents and emails are being protected

    • Belge ve e-postaları etiketleyen Kullanıcı sayısı ve cihaz sayısıHow many users and how many devices are labeling documents and emails

    • Etiketleme için kullanılan uygulamalarWhich applications are being used for labeling

  • Etkinlik günlüklerindenbir zaman aralığı seçebilirsiniz:From the Activity logs, where you can select a time period:

    • Belirli bir kullanıcı tarafından hangi etiketleme eylemlerinin gerçekleştirildiğiWhat labeling actions were performed by a specific user

    • Belirli bir cihazdan hangi etiketleme eylemlerinin gerçekleştirildiğiWhat labeling actions were performed from a specific device

    • Belirli bir etiketli belgeye erişen kullanıcılarWhich users have accessed a specific labeled document

    • Belirli bir dosya yolu için uygulanan etiketleme eylemleriWhat labeling actions were performed for a specific file path

    • Belirli bir uygulama tarafından yapılan, dosya Gezgini ve sağ tıklama, PowerShell, tarayıcı veya Microsoft Cloud App Security etiketleme eylemleriWhat labeling actions were performed by a specific application, such File Explorer and right-click, PowerShell, the scanner, or Microsoft Cloud App Security

    • Kullanıcılar Azure Information Protection istemcisinin yüklü olmadığı veya kuruluşunuzun dışından olsalar bile, kullanıcıların hangi korumalı belgelere başarıyla erişildiği veya kullanıcılara erişimi reddedildiğiWhich protected documents were accessed successfully by users or denied access to users, even if those users don't have the Azure Information Protection client installed or are outside your organization

    • Daha fazla bilgi için etkinlik ayrıntılarını görüntülemek üzere raporlanan dosyaların ayrıntılarına gitmeDrill down into reported files to view Activity Details for additional information

  • Veri bulma raporundan:From the Data discovery report:

    • Taranmış veri depolarınızda, Windows 10 bilgisayarlarınızda veya Azure Information Protection istemci ya da Birleşik etiketlemeyi destekleyen istemcileri çalıştıran bilgisayarlarda bulunan dosyalarWhat files are on your scanned data repositories, Windows 10 computers, or computers running the Azure Information Protection client or clients that support unified labeling

    • Hangi dosyalar etiketlendiği ve korunuyor ve dosyaların etiketlere göre konumuWhich files are labeled and protected, and the location of files by labels

    • Hangi dosyalar finansal veriler ve kişisel bilgiler gibi bilinen kategorilerin gizli bilgilerini ve dosyaların bu kategorilere göre konumunu içerirWhich files contain sensitive information for known categories, such as financial data and personal information, and the location of files by these categories

  • Öneriler raporundan:From the Recommendations report:

    • Bilinen hassas bilgi türü içeren korumasız dosyaları belirler.Identify unprotected files that contain a known sensitive information type. Bir öneri otomatik veya önerilen etiketleme uygulamak için etiketlerinizde birine karşılık gelen koşulu hemen yapılandırmanızı sağlar.A recommendation lets you immediately configure the corresponding condition for one of your labels to apply automatic or recommended labeling.

      Öneriyi izlerseniz: Dosyalar bir kullanıcı tarafından bir sonraki açılışında veya Azure Information Protection tarayıcısı tarafından tarandığında, dosyalar otomatik olarak sınıflandırılabilir ve korunabilir.If you follow the recommendation: The next time the files are opened by a user or scanned by the Azure Information Protection scanner, the files can be automatically classified and protected.

    • Hangi veri depolarında, hassas bilgiler tanımlanmış ancak Azure Information Protection tarafından taranmayan dosyalar bulunur.Which data repositories have files with identified sensitive information but are not being scanned by the Azure Information Protection. Bir öneri, tanımlanan veri deposunu tarayıcınızın profillerinin birine hemen eklemenizi sağlar.A recommendation lets you immediately add the identified data store to one of your scanner's profiles.

      Öneriyi izlerseniz: Sonraki tarayıcı çevriminde, dosyalar otomatik olarak sınıflandırılabilir ve korunabilir.If you follow the recommendation: On the next scanner cycle, the files can be automatically classified and protected.

Raporlar, verileri kuruluşunuzun sahip olduğu bir Log Analytics çalışma alanında depolamak için Azure izleyici 'yi kullanır.The reports use Azure Monitor to store the data in a Log Analytics workspace that your organization owns. Sorgu diline alışkın değilseniz, sorguları değiştirebilir ve yeni raporlar ve Power BI panolar oluşturabilirsiniz.If you're familiar with the query language, you can modify the queries, and create new reports and Power BI dashboards. Sorgu dilini anlamak için aşağıdaki öğreticiyi bulabilirsiniz: Azure izleyici günlük sorgularını kullanmayabaşlayın.You might find the following tutorial helpful to understand the query language: Get started with Azure Monitor log queries.

Daha fazla bilgi için aşağıdaki blog gönderilerini okuyun:For more information, read the following blog posts:

Toplanan ve Microsoft 'a gönderilen bilgilerInformation collected and sent to Microsoft

Bu raporları oluşturmak için, uç noktalar Microsoft 'a aşağıdaki bilgi türlerini gönderir:To generate these reports, endpoints send the following types of information to Microsoft:

  • Etiket eylemi.The label action. Örneğin, bir etiket ayarlayın, bir etiketi değiştirin, koruma, otomatik ve önerilen Etiketler ekleyin veya kaldırın.For example, set a label, change a label, add or remove protection, automatic and recommended labels.

  • Etiket eyleminden önce ve sonra etiket adı.The label name before and after the label action.

  • Kuruluşunuzun kiracı KIMLIĞI.Your organization's tenant ID.

  • Kullanıcı KIMLIĞI (e-posta adresi veya UPN).The user ID (email address or UPN).

  • Kullanıcının cihazının adı.The name of the user's device.

  • Belgeler için: Etiketli belgelerin dosya yolu ve dosya adı.For documents: The file path and file name of documents that are labeled.

  • E-postalar için: Etiketli e-postalar için e-posta konusu ve e-posta gönderici.For emails: The email subject and email sender for emails that are labeled.

  • İçerikte algılanan hassas bilgi türleri (önceden tanımlanmış ve özel).The sensitive information types (predefined and custom) that were detected in content.

  • Azure Information Protection istemci sürümü.The Azure Information Protection client version.

  • İstemci işletim sistemi sürümü.The client operating system version.

Bu bilgiler, kuruluşunuzun sahip olduğu bir Azure Log Analytics çalışma alanında saklanır ve bu çalışma alanına erişim haklarına sahip kullanıcılar tarafından Azure Information Protection bağımsız olarak görüntülenebilir.This information is stored in an Azure Log Analytics workspace that your organization owns and can be viewed independently from Azure Information Protection by users who have access rights to this workspace. Ayrıntılar için Azure Information Protection Analytics için gereken izinler bölümüne bakın.For details, see the Permissions required for Azure Information Protection analytics section. Çalışma alanınıza erişimi yönetme hakkında daha fazla bilgi için Azure belgelerindeki Azure izinleri aracılığıyla Log Analytics için erişimi yönetme bölümüne bakın.For information about managing access to your workspace, see the Manage access to Log Analytics Workspace using Azure permissions section from the Azure documentation.

Azure Information Protection istemcilerinin (klasik) bu verileri göndermesini engellemek için denetim verisi gönder ilke ayarını Azure Information Protection Log Analytics ' e ayarlayın: To prevent Azure Information Protection clients (classic) from sending this data, set the policy setting of Send audit data to Azure Information Protection log analytics to Off:

  • Çoğu kullanıcının bu verileri gönderebilmesi ve kullanıcıların bir alt kümesi denetim verisi gönderemezler:For most users to send this data and a subset of users cannot send auditing data:

    • Kullanıcı alt kümesi için kapsamlı bir ilkede Azure Information Protection Log Analytics 'e denetim verileri gönder ' i kapalı olarak ayarlayın.Set Send audit data to Azure Information Protection log analytics to Off in a scoped policy for the subset of users. Bu yapılandırma, üretim senaryoları için tipik bir yapılandırmadır.This configuration is typical for production scenarios.
  • Yalnızca bir kullanıcı alt kümesinin denetim verilerini gönderebilmesi için:For only a subset of users to send auditing data:

    • Denetim verilerini genel ilkede Azure Information Protection Log Analytics 'e ve Kullanıcı alt kümesi Için kapsamlı bir ilkede Açık olarak ayarlayın.Set Send audit data to Azure Information Protection log analytics to Off in the global policy, and On in a scoped policy for the subset of users. Bu yapılandırma, test senaryoları için tipik bir yapılandırmadır.This configuration is typical for testing scenarios.

Azure Information Protection Birleşik istemcilerin bu verileri göndermesini engellemek için, bir etiket ilkesi Gelişmiş ayarınıyapılandırın.To prevent Azure Information Protection unified clients from sending this data, configure a label policy advanced setting.

Daha derin analize yönelik içerik eşleşmeleriContent matches for deeper analysis

Azure Information Protection için Azure Log Analytics çalışma alanınız, hassas bilgi türü (önceden tanımlanmış veya özel koşullar) olarak tanımlanan verilerin toplanması ve depolanması için bir onay kutusu içerir.Your Azure Log Analytics workspace for Azure Information Protection includes a checkbox for also collecting and storing the data that's identified as being a sensitive information type (predefined or custom conditions). Örneğin, bu, bulunan kredi kartı numaralarını, sosyal güvenlik numaralarını, Passport numaralarını ve banka hesabı numaralarını içerebilir.For example, this can include credit card numbers that are found, as well as social security numbers, passport numbers, and bank account numbers. Bu ek verileri göndermek istemiyorsanız, hassas verilerinize daha derin çözümlemeler sağlayanonay kutusunu seçmeyin.If you do not want to send this additional data, do not select the checkbox Enable deeper analytics into your sensitive data. Çoğu kullanıcının bu ek verileri göndermesini ve kullanıcıların bir alt kümesini gönderemediği durumlarda, onay kutusunu seçin ve ardından:If you want most users to send this additional data and a subset of users cannot send it, select the checkbox and then:

  • Klasik istemci ve tarayıcı için: Kullanıcıların alt kümesi için kapsamlı bir ilkede Gelişmiş istemci ayarı yapılandırın.For the classic client and scanner: Configure an advanced client setting in a scoped policy for the subset of users.

  • Birleşik etiketleme istemcisi için: Kullanıcı alt kümesi için etiket ilkesinde Gelişmiş bir ayar yapılandırın.For the unified labeling client: Configure an advanced setting in a label policy for the subset of users.

İçerik eşleşmeleri toplandıktan sonra, etkinlik günlüklerini göstermek için etkinlik günlüklerinden dosyalarda ayrıntıya inirken raporlarda görüntülenir.After collecting the content matches, they are displayed in the reports when you drill down into files from the Activity logs, to display Activity Details. Bu bilgiler aynı zamanda sorgularla birlikte görüntülenebilir ve alınabilir.This information can also be viewed and retrieved with queries.

ÖnkoşullarPrerequisites

Azure Information Protection raporlarını görüntülemek ve kendinizinkini oluşturmak için aşağıdaki gereksinimlerin yerinde olduğundan emin olun.To view the Azure Information Protection reports and create your own, make sure that the following requirements are in place.

GereksinimRequirement Daha fazla bilgiMore information
Log Analytics içeren ve Azure Information Protection ile aynı kiracı için olan bir Azure aboneliğiAn Azure subscription that includes Log Analytics and that is for the same tenant as Azure Information Protection Bkz. Azure Monitor fiyatlandırma sayfası.See the Azure Monitor pricing page.

Azure aboneliğiniz yoksa veya şu anda Azure Log Analytics kullanmıyorsanız, fiyatlandırma sayfası ücretsiz deneme için bir bağlantı içerir.If you don't have an Azure subscription or you don't currently use Azure Log Analytics, the pricing page includes a link for a free trial.
Azure Information Protection istemcileriAzure Information Protection clients Birleşik etiketleme istemcisi ve klasik istemci desteklenir.Both the unified labeling client and the classic client are supported.

Bu istemcilerden birine sahip değilseniz, Microsoft Indirme merkezi' nden indirip yükleyebilirsiniz.If you don't already have one of these clients, you can download and install them from the Microsoft Download Center.
Microsoft Cloud App SecurityMicrosoft Cloud App Security Microsoft Cloud App Security bilgileri göstermek için Azure Information Protection tümleştirmesiniyapılandırın.To display information from Microsoft Cloud App Security, configure Azure Information Protection integration.
Bulma ve risk raporu için:For the Discovery and risk report:

-Şirket içi veri depolarından verileri göstermek için Azure Information Protection tarayıcısının en az bir örneğini dağıttıysanız- To display data from on-premises data stores, you have deployed at least one instance of the Azure Information Protection scanner

-Windows 10 bilgisayarlarından verileri göstermek için, en az 1809 derlemesi olmalıdır, Microsoft Defender Gelişmiş tehdit koruması 'nı (Microsoft Defender ATP) kullanıyor ve Microsoft 'tan Azure Information Protection tümleştirme özelliğini etkinleştirdiniz Defender Güvenlik Merkezi- To display data from Windows 10 computers, they must be a minimum build of 1809, you are using Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP), and you have enabled the Azure Information Protection integration feature from Microsoft Defender Security Center
Tarayıcıya yönelik yükleme yönergeleri için, dosyaları otomatik olarak sınıflandırmak ve korumak üzere Azure Information Protection tarayıcısını dağıtmabölümüne bakın.For installation instructions for the scanner, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

Microsoft Defender Güvenlik Merkezi ' nden Azure Information Protection tümleştirme özelliğini yapılandırma ve kullanma hakkında bilgi için bkz. Windows 'Ta bilgi koruması genel bakış.For information about configuring and using the Azure Information Protection integration feature from Microsoft Defender Security Center, see Information protection in Windows overview.
Öneriler raporu için:For the Recommendations report:

-Azure portal önerilen bir eylem olarak yeni bir veri deposu eklemek için, Azure portal yapılandırılan Azure Information Protection tarayıcısının bir sürümünü kullanıyor olmanız gerekir.- To add a new data repository from the Azure portal as a recommended action, you must be using a version of the Azure Information Protection scanner that is configured in the Azure portal
Tarayıcıyı dağıtmak için, dosyaları otomatik olarak sınıflandırmak ve korumak üzere Azure Information Protection tarayıcısını dağıtmabölümüne bakın.To deploy the scanner, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

Azure Information Protection Analytics için gereken izinlerPermissions required for Azure Information Protection analytics

Azure Information Protection Analytics 'e özgü olan Azure Log Analytics çalışma alanınızı yapılandırdıktan sonra, Azure bilgilerini yönetmeyi destekleyen diğer Azure AD rollerine alternatif olarak güvenlik okuyucusu 'nun Azure AD yöneticisi rolünü kullanabilirsiniz. Azure portal koruma.Specific to Azure Information Protection analytics, after you have configured your Azure Log Analytics workspace, you can use the Azure AD administrator role of Security Reader as an alternative to the other Azure AD roles that support managing Azure Information Protection in the Azure portal.

Bu özellik Azure Izleme kullandığından, Azure için rol tabanlı erişim denetimi (RBAC), çalışma alanınıza erişimi de denetler.Because this feature uses Azure Monitoring, role-based access control (RBAC) for Azure also controls access to your workspace. Bu nedenle, Azure Information Protection analizlerini yönetmek için bir Azure rolünün yanı sıra bir Azure AD yönetici rolü de gereklidir.You therefore need an Azure role as well as an Azure AD administrator role to manage Azure Information Protection analytics. Azure rollerine yeni başladıysanız Azure RBAC rolleri ve Azure AD yönetici rolleri arasındaki farklarıokumayı yararlı bulabilirsiniz.If you're new to Azure roles, you might find it useful to read Differences between Azure RBAC roles and Azure AD administrator roles.

Ayrıntılar:Details:

  1. Azure Information Protection Analytics dikey penceresine erişmek için aşağıdaki Azure AD yönetici rollerinden biri:One of the following Azure AD administrator roles to access the Azure Information Protection analytics blade:

    • Log Analytics çalışma alanınızı oluşturmak veya özel sorgular oluşturmak için:To create your Log Analytics workspace or to create custom queries:

      • Azure Information Protection YöneticisiAzure Information Protection administrator
      • Güvenlik YöneticisiSecurity administrator
      • Uyumluluk YöneticisiCompliance administrator
      • Uyumluluk verileri YöneticisiCompliance data administrator
      • Genel yöneticiGlobal administrator
    • Çalışma alanı oluşturulduktan sonra, toplanan verileri görüntülemek için aşağıdaki rolü daha az izinlerle kullanabilirsiniz:After the workspace has been created, you can then use the following role with fewer permissions to view the data collected:

      • Güvenlik okuyucusuSecurity reader

    Not

    Kiracınız Birleşik etiketleme deposuna geçirildiyse, Azure Information Protection yönetici rolünü kullanamazsınız.If your tenant has been migrated to the unified labeling store, you cannot use the Azure Information Protection administrator role. Daha fazla bilgiMore information

  2. Ayrıca, Azure Log Analytics çalışma alanınıza erişmek için aşağıdaki azure Log Analytics rollerinin veya standart Azure rollerinin birine ihtiyacınız vardır:In addition, you need one of the following Azure Log Analytics roles or standard Azure roles to access your Azure Log Analytics workspace:

    • Çalışma alanını oluşturmak veya özel sorgular oluşturmak için aşağıdakilerden birini yapın:To create the workspace or to create custom queries, one of the following:

      • Katkıda bulunan Log AnalyticsLog Analytics Contributor
      • McýContributor
      • İndeOwner
    • Çalışma alanı oluşturulduktan sonra, toplanan verileri görüntülemek için daha az izne sahip aşağıdaki rollerden birini kullanabilirsiniz:After the workspace has been created, you can then use one of the following roles with fewer permissions to view the data collected:

      • Log Analytics okuyucuLog Analytics Reader
      • OkuyucuReader

Raporları görüntülemek için minimum rollerMinimum roles to view the reports

Çalışma alanınızı Azure Information Protection Analytics için yapılandırdıktan sonra, Azure Information Protection Analytics raporlarını görüntülemek için gereken en düşük roller şunlardır:After you have configured your workspace for Azure Information Protection analytics, the minimum roles needed to view the Azure Information Protection analytics reports are both of the following:

  • Azure AD yönetici rolü: Güvenlik okuyucusuAzure AD administrator role: Security reader
  • Azure rolü: Log Analytics okuyucuAzure role: Log Analytics Reader

Ancak, birçok kuruluş için tipik bir rol ataması, güvenlik okuyucusunun Azure AD rolünde ve okuyucununAzure rolünde bulunur.However, a typical role assignment for many organizations is the Azure AD role of Security reader and the Azure role of Reader.

Depolama gereksinimleri ve veri saklamaStorage requirements and data retention

Azure Information Protection çalışma alanınızda toplanan ve depolanan veri miktarı, kaç Azure Information Protection istemci ve desteklenen diğer bitiş noktaları gibi etkenlere bağlı olarak her kiracı için önemli ölçüde farklılık gösterir, ancak uç nokta bulma verilerini toplama, tarayıcıları dağıttık, erişilen korumalı belge sayısı, vb.The amount of data collected and stored in your Azure Information Protection workspace will vary significantly for each tenant, depending on factors such as how many Azure Information Protection clients and other supported endpoints you have, whether you're collecting endpoint discovery data, you've deployed scanners, the number of protected documents that are accessed, and so on.

Ancak, başlangıç noktası olarak aşağıdaki tahminleri yararlı bulabilirsiniz:However, as a starting point, you might find the following estimates useful:

  • Yalnızca Azure Information Protection istemcileri tarafından oluşturulan denetim verileri için: ayda her 10.000 etkin kullanıcı için 2 GB.For audit data generated by Azure Information Protection clients only: 2 GB per 10,000 active users per month.

  • Azure Information Protection istemcileri, tarayıcıları ve Microsoft Defender ATP tarafından oluşturulan denetim verileri için: ayda 10.000 etkin kullanıcı başına 20 GB.For audit data generated by Azure Information Protection clients, scanners, and Microsoft Defender ATP: 20 GB per 10,000 active users per month.

Zorunlu etiketleme kullanırsanız veya çoğu kullanıcı için varsayılan bir etiket yapılandırdıysanız, ücretlerinizin önemli ölçüde daha yüksek olması olasıdır.If you use mandatory labeling or you've configured a default label for most users, your rates are likely to be significantly higher.

Azure Izleyici günlükleri, depolanan veri miktarını tahmin etmenize ve gözden geçirmenize yardımcı olacak kullanım ve tahmini maliyetler özelliğine sahiptir ve ayrıca Log Analytics çalışma alanınızın veri saklama süresini de denetleyebilirsiniz.Azure Monitor Logs has a Usage and estimated costs feature to help you estimate and review the amount of data stored, and you can also control the data retention period for your Log Analytics workspace. Daha fazla bilgi için bkz. Azure Izleyici günlükleriyle kullanımı ve maliyetleri yönetme.For more information, see Manage usage and costs with Azure Monitor Logs.

Raporlar için Log Analytics çalışma alanı yapılandırmaConfigure a Log Analytics workspace for the reports

  1. Daha önce yapmadıysanız, yeni bir tarayıcı penceresi açın ve Azure portal Azure Information Protection Analytics için gerekli izinleresahip bir hesapla oturum açın .If you haven't already done so, open a new browser window and sign in to the Azure portal with an account that has the permissions required for Azure Information Protection analytics. Sonra, Azure Information Protection dikey penceresine gidin.Then navigate to the Azure Information Protection blade.

    Örneğin, hub menüsünde tüm hizmetler ' e tıklayın ve filtre kutusuna bilgi yazmaya başlayın.For example, on the hub menu, click All services and start typing Information in the Filter box. Azure Information Protection’ı seçin.Select Azure Information Protection.

  2. Yönet menü seçeneklerini bulun ve Analizi Yapılandır (Önizleme) öğesini seçin.Locate the Manage menu options, and select Configure analytics (Preview).

  3. Azure Information Protection Log Analytics dikey penceresinde, kiracınıza ait olan herhangi bir Log Analytics çalışma alanının listesini görürsünüz.On the Azure Information Protection log analytics blade, you see a list of any Log Analytics workspaces that are owned by your tenant. Aşağıdakilerden birini yapın:Do one of the following:

    • Yeni bir Log Analytics çalışma alanı oluşturmak için: Yeni çalışma alanı oluştur' u seçin ve Log Analytics çalışma alanı dikey penceresinde istenen bilgileri sağlayın.To create a new Log Analytics workspace: Select Create new workspace, and on the Log analytics workspace blade, supply the requested information.

    • Mevcut bir Log Analytics çalışma alanını kullanmak için: Listeden çalışma alanını seçin.To use an existing Log Analytics workspace: Select the workspace from the list.

Log Analytics çalışma alanı oluşturmak için yardıma ihtiyacınız varsa, bkz. Azure portal Log Analytics çalışma alanı oluşturma.If you need help with creating the Log Analytics workspace, see Create a Log Analytics workspace in the Azure portal.

Çalışma alanı yapılandırıldığında, raporları görüntülemeye hazırsınız demektir.When the workspace is configured, you're ready to view the reports.

Raporları görüntülemeHow to view the reports

Azure Information Protection dikey penceresinde panolar menü seçeneklerini bulun ve aşağıdaki seçeneklerden birini belirleyin:From the Azure Information Protection blade, locate the Dashboards menu options, and select one of the following options:

  • Kullanım raporu (Önizleme) : Etiketlerinizin nasıl kullanıldığını görmek için bu raporu kullanın.Usage report (Preview): Use this report to see how your labels are being used.

  • Etkinlik günlükleri (Önizleme) : Kullanıcılardan ve cihazlarda ve dosya yollarında etiketleme eylemlerini görmek için bu raporu kullanın.Activity logs (Preview): Use this report to see labeling actions from users, and on devices and file paths. Ayrıca, korunan belgeler için, Azure Information Protection istemcisi yüklü olmasa bile, kuruluşunuzun içindeki ve dışındaki kullanıcılar için erişim girişimlerini (başarılı veya reddedilmiş) görebilirsinizIn addition, for protected documents, you can see access attempts (successful or denied) for users both inside and outside your organization, even if they don't have the Azure Information Protection client installed

    Bu raporda, varsayılan görüntülemeden daha fazla etkinlik bilgisi görüntülemenize olanak tanıyan bir sütunlar seçeneği vardır.This report has a Columns option that lets you display more activity information than the default display. Ayrıca etkinlik ayrıntılarınıgörüntülemek için dosyayı seçerek bir dosya hakkında daha fazla ayrıntı görebilirsiniz.You can also see more details about a file by selecting it to display Activity Details.

  • Veri bulma (Önizleme) : Tarayıcılar ve desteklenen uç noktalar tarafından bulunan etiketlenmiş dosyalar hakkındaki bilgileri görmek için bu raporu kullanın.Data discovery (Preview): Use this report to see information about labeled files found by scanners and supported endpoints.

    İpucuyla Toplanan bilgilerden, hakkında bilgi sahibi olmadığınız veya şu anda taramadığınız konumdan hassas bilgiler içeren dosyalara erişen kullanıcılar bulabilirsiniz:Tip: From the information collected, you might find users accessing files that contain sensitive information from location that you didn't know about or aren't currently scanning:

    • Konumlar şirket içinde ise, konumları Azure Information Protection tarayıcı için ek veri depoları olarak eklemeyi göz önünde bulundurun.If the locations are on-premises, consider adding the locations as additional data repositories for the Azure Information Protection scanner.
    • Konumlar bulutta ise, bunları yönetmek için Microsoft Cloud App Security kullanmayı düşünün.If the locations are in the cloud, consider using Microsoft Cloud App Security to manage them.
  • Öneriler (Önizleme) : Hassas bilgiler içeren dosyaları tanımlamak ve önerileri izleyerek riskinizi azaltmak için bu raporu kullanın.Recommendations (Preview): Use this report to identify files that have sensitive information and mitigate your risk by following the recommendations.

    Bir öğe seçtiğinizde, verileri görüntüle seçeneği, öneriyi tetikleyen denetim etkinliklerini görüntüler.When you select an item, the View data option displays the audit activities that triggered the recommendation.

Raporları değiştirme ve özel sorgular oluşturmaHow to modify the reports and create custom queries

Panoda sorgu simgesini seçerek günlük araması dikey penceresini açın:Select the query icon in the dashboard to open a Log Search blade:

Azure Information Protection raporlarını özelleştirmek için Log Analytics simgesi

Azure Information Protection için günlüğe kaydedilen veriler aşağıdaki tabloda depolanır: InformationProtectionLogs_CLThe logged data for Azure Information Protection is stored in the following table: InformationProtectionLogs_CL

Kendi sorgularınızı oluştururken, ınformationprotectionevents işlevleri olarak uygulanan kolay şema adlarını kullanın.When you create your own queries, use the friendly schema names that have been implemented as InformationProtectionEvents functions. Bu işlevler, özel sorgular için desteklenen özniteliklerden türetilir (bazı öznitelikler yalnızca iç kullanım içindir) ve temel alınan öznitelikler geliştirmeler ve yeni işlevler için değişse bile, adları zamanla değişmez.These functions are derived from the attributes that are supported for custom queries (some attributes are for internal use only) and their names will not change over time, even if the underlying attributes change for improvements and new functionality.

Olay işlevleri için kolay şema başvurusuFriendly schema reference for event functions

Azure Information Protection Analytics ile özel sorgular için kullanabileceğiniz olay işlevlerinin kolay adını belirlemek için aşağıdaki tabloyu kullanın.Use the following table to identify the friendly name of event functions that you can use for custom queries with Azure Information Protection analytics.

Sütun adıColumn name AçıklamaDescription
AccessAccess Korumalı bir belge başarıyla açıldı, dosya adı izleniyorsa tanımlanır veya izlenmediyse KIMLIK belirtilir.A protected document was successfully opened, identified by file name if it is tracked, or ID if not tracked.
AccessreddedildiAccessDenied Korumalı bir belgenin erişimi reddedildi, dosya adı izleniyorsa veya izlenmediyse KIMLIK tarafından tanımlanır.A protected document was denied access, identified by file name if it is tracked, or ID if not tracked.
TimeTime Olay saati: Biçim YYYY-MM-DDTHH: MM: SSEvent time: UTC in format YYYY-MM-DDTHH:MM:SS
KullanıcıUser Kullanıcı: UPN veya etkialanı \ Kullanıcı BiçimlendirUser: Format UPN or DOMAIN\USER
ÖğedirItemPath Tam öğe yolu veya e-posta konusuFull item path or email subject
ItemNameItemName Dosya adı veya e-posta konusuFile name or email subject
YöntemMethod Etiket atanmış yöntemi: El ile, otomatik, önerilen, varsayılan veya zorunluLabel assigned method: Manual, Automatic, Recommended, Default, or Mandatory
EtkinlikActivity Denetim etkinliği: Eski sürümü kaldırma, UpgradeLabel, RemoveLabel, NewLabel, keşfet, Access, Removeccustomprotection, Changeccustomprotection veya NewCustomProtectionAudit activity: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection, or NewCustomProtection
LabelNameLabelName Etiket adı (yerelleştirilmemiş)Label name (not localized)
LabelNameBeforeLabelNameBefore Değişiklikten önce etiket adı (yerelleştirilmemiş)Label name before change (not localized)
Koruma türünde olmalıdırProtectionType Koruma türü [JSON]Protection type [JSON]
{{
"Tür": ["şablon", "özel", "DoNotForward"],"Type": ["Template", "Custom", "DoNotForward"],
"TemplateId": 'INI"TemplateID": "GUID"
}}
ProtectionBeforeProtectionBefore Değişiklikten önceki koruma türü [JSON]Protection type before change [JSON]
InformationtypeseşleşiyorInformationTypesMatches Boş bir dizinin hiçbir bilgi türü bulunamadığında ve null hiçbir bilgi yok anlamına gelen verilerde bulunan SENSITIVEINFORMATION JSON dizisiJSON array of SensitiveInformation found in data where an empty array means no information types found, and null means no information available
AdýMachineName Kullanılabilir olduğunda FQDN; Aksi halde ana bilgisayar adıFQDN when available; otherwise host name
DeviceRiskDeviceRisk Kullanılabilir olduğunda WDADTP 'den cihaz risk puanıDevice risk score from WDATP when available
PlatformPlatform Cihaz platformu (Win, OSX, Android, iOS)Device platform (Win, OSX, Android, iOS)
ApplicationNameApplicationName Uygulama kolay adıApplication friendly name
AIPVersionAIPVersion Denetim eylemini gerçekleştiren Azure Information Protection istemcisinin sürümüVersion of the Azure Information Protection client that performed the audit action
TenantIdTenantId Azure AD kiracı kimliğiAzure AD tenant ID
AzureApplicationIdAzureApplicationId Azure AD kayıtlı uygulama KIMLIĞI (GUID)Azure AD registered application ID (GUID)
ProcessNameProcessName MıP SDK 'Yı barındıran işlemProcess that hosts MIP SDK
LabelIdLabelId Etiket GUID veya nullLabel GUID or null
IprotectedIsProtected Korumalı olup olmadığı: Evet/HayırWhether protected: Yes/No
ProtectionOwnerProtectionOwner UPN biçiminde Rights Management sahibiRights Management owner in UPN format
LabelıdbeforeLabelIdBefore Değişiklik öncesinde GUID veya null etiketiLabel GUID or null before change
InformationTypesAbove55InformationTypesAbove55 Güvenilirlik düzeyi 55 veya üzeri olan verilerde bulunan SENSITIVEINFORMATION JSON dizisiJSON array of SensitiveInformation found in data with confidence level 55 or above
InformationTypesAbove65InformationTypesAbove65 Güvenilirlik düzeyi 65 veya üzeri olan verilerde bulunan SENSITIVEINFORMATION JSON dizisiJSON array of SensitiveInformation found in data with confidence level 65 or above
InformationTypesAbove75InformationTypesAbove75 Güvenilirlik düzeyi 75 veya üzeri olan verilerde bulunan SENSITIVEINFORMATION JSON dizisiJSON array of SensitiveInformation found in data with confidence level 75 or above
InformationTypesAbove85InformationTypesAbove85 Güvenilirlik düzeyi 85 veya üzeri olan verilerde bulunan SENSITIVEINFORMATION JSON dizisiJSON array of SensitiveInformation found in data with confidence level 85 or above
InformationTypesAbove95InformationTypesAbove95 Güvenilirlik düzeyi 95 veya üzeri olan verilerde bulunan SENSITIVEINFORMATION JSON dizisiJSON array of SensitiveInformation found in data with confidence level 95 or above
DiscoveredInformationTypesDiscoveredInformationTypes Veride ve eşleşen içeriklerinde bulunan SENSITIVEINFORMATION JSON dizisi (etkinse), boş bir dizi hiçbir bilgi türü bulunamadı ve null hiçbir bilgi yok anlamına gelirJSON array of SensitiveInformation found in data and their matched content (if enabled) where an empty array means no information types found, and null means no information available
ProtectedBeforeProtectedBefore Değişiklik yapılmadan önce içeriğin korunup korunmayacağı: Evet/HayırWhether the content was protected before change: Yes/No
ProtectionOwnerBeforeProtectionOwnerBefore Değişiklik öncesinde Rights Management sahibiRights Management owner before change
Kullanıcı doğrulamasıUserJustification Etiket düşürüyor veya kaldırılırken gerekçeJustification when downgrading or removing label
LastModifiedByLastModifiedBy Dosyayı en son değiştiren UPN biçimindeki Kullanıcı.User in UPN format who last modified the file. Yalnızca Office ve SharePoint Online için kullanılabilirAvailable for Office and SharePoint Online only
LastModifiedDateLastModifiedDate Biçim YYYY-MM-DDTHH: MM: SS: Yalnızca Office & SharePoint Online için kullanılabilirUTC in format YYYY-MM-DDTHH:MM:SS: Available for Office & SharePoint Online only

Informationprotectionevents kullanan örneklerExamples using InformationProtectionEvents

Özel sorgular oluşturmak için kolay şemayı nasıl kullanabileceğinizi görmek için aşağıdaki örnekleri kullanın.Use the following examples to see how you might use the friendly schema to create custom queries.

Örnek 1: Son 31 gün içinde denetim verileri gönderen tüm kullanıcıları döndürürExample 1: Return all users who sent audit data in the last 31 days
InformationProtectionEvents 
| where Time > ago(31d) 
| distinct User 
Örnek 2: Son 31 gün içinde günde düşürülemez etiket sayısını döndürExample 2: Return the number of labels that were downgraded per day in the last 31 days
InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| summarize Label_Downgrades_per_Day = count(Activity) by bin(Time, 1d) 
 
Örnek 3: Son 31 gün içinde kullanıcıya göre gizli olmayan etiketlerin sayısını döndürünExample 3: Return the number of labels that were downgraded from Confidential by user, in the last 31 days

InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| where LabelNameBefore contains "Confidential" and LabelName !contains "Confidential"  
| summarize Label_Downgrades_by_User = count(Activity) by User | sort by Label_Downgrades_by_User desc 

Bu örnekte, bir indirgenme etiketi, yalnızca bir eylemden önce gelen etiket adı, eylem gizliadı içermiyorsa , etiket adı ise sayılır.In this example, a downgraded label is counted only if the label name before the action contained the name Confidential and the label name after the action didn't contain the name of Confidential.

Sonraki adımlarNext steps

Raporlardaki bilgileri inceledikten sonra, Azure Information Protection istemcisini kullanıyorsanız Azure Information Protection ilkenizde değişiklik yapmaya karar verebilirsiniz.After reviewing the information in the reports, if you are using the Azure Information Protection client, you might decide to make changes to your Azure Information Protection policy. Yönergeler için Azure Information Protection Ilkesini yapılandırmakonusuna bakın.For instructions, see Configuring the Azure Information Protection policy.

Microsoft 365 aboneliğiniz varsa, etiket kullanımını Microsoft 365 Uyumluluk Merkezi 'nde ve Güvenlik Merkezi Microsoft 365 de görüntüleyebilirsiniz.If you have a Microsoft 365 subscription, you can also view label usage in the Microsoft 365 compliance center and Microsoft 365 security center. Daha fazla bilgi için bkz. etiket analizi ile etiket kullanımını görüntüleme.For more information, see View label usage with label analytics.