Azure Information Protection için analiz ve merkezi raporlama (Genel Önizleme)

Uygulama hedefi: Azure Information Protection

İlgili: AIP birleştirilmiş etiketleme istemcisi ve klasik istemci

Not

Birleşik ve kolaylaştırılmış bir müşteri deneyimi sağlamak için Azure portalındaki Azure Information Protection Klasik istemci ve etiket yönetimi 31 Mart 2021 itibarıyla kullanım dışıdır . Klasik istemci yapılandırıldığı şekilde çalışmaya devam ederken, başka bir destek sağlanmaz ve artık klasik istemci için bakım sürümleri yayınlanmayacaktır.

Birleşik etiketlemeye geçiş yapmanızı ve Birleşik etiketleme istemcisineyükseltmenizi öneririz. Son kullanımdan kaldırma blogumuzhakkında daha fazla bilgi edinin.

Bu makalede, merkezi raporlama için Azure Information Protection (AıP) analizinin nasıl kullanılacağı açıklanır. Bu, kuruluşunuzun verilerini sınıflandırmak ve korumak için etiketlerinizin benimsenmesini izlemenize yardımcı olabilir.

AıP Analizi Ayrıca aşağıdaki adımları gerçekleştirmenize olanak tanır:

  • Kuruluşunuzda etiketlenmiş ve korumalı belge ve e-postaları izleyin

  • Kuruluşunuz içinde hassas bilgiler içeren belgeleri tanımla

  • Etiketli belge ve e-postalara Kullanıcı erişimini izleyin ve belge sınıflandırması değişikliklerini izleyin.

  • Kuruluşunuz korunduklarında riske sokabilecek gizli bilgiler içeren belgeleri belirler ve öneriler uygulayarak riskinizi azaltabilirsiniz.

  • Korumalı belgelere Windows bilgisayarlardan iç veya dış kullanıcılar tarafından erişildiğini ve erişimin verilip verilmediğini veya reddedildiğini belirler.

Gördüğünüz veriler, Microsoft Cloud App Security ve koruma kullanım günlüklerindenAzure Information Protection istemcilerinizden ve tarayıcılardan toplanır.

Merkezi raporlama için Azure Information Protection Analizi Şu anda ÖNIZLEME aşamasındadır. Azure önizleme ek koşulları , Beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek yasal koşulları içerir.

AıP raporlama verileri

Örneğin, merkezi raporlama için Azure Information Protection Analytics aşağıdaki verileri görüntüler:

Rapor Gösterilen örnek veriler
Kullanım raporu Aşağıdakilerden herhangi birini göstermek için bir zaman aralığı seçin:

-Hangi Etiketler uygulanıyor

-Kaç tane belge ve e-posta etiketlendi

-Kaç tane belge ve e-posta korunduğu

-Belge ve e-postaları etiketleyen Kullanıcı sayısı ve cihaz sayısı

-Etiketleme için kullanılan uygulamalar
Etkinlik günlükleri Aşağıdakilerden herhangi birini göstermek için bir zaman aralığı seçin:

-Tarayıcı tarafından daha önce bulunan dosyalar taranmış depodan silindi

-Belirli bir kullanıcı tarafından hangi etiketleme eylemlerinin gerçekleştirildiği

-Belirli bir cihazdan etiketlendirme eylemleri gerçekleştirildi

-Belirli bir etiketli belgeye erişen kullanıcılar

-Belirli bir dosya yolu için hangi etiketleme eylemlerinin gerçekleştirildiği

-Belirli bir uygulama tarafından hangi dosya Gezgini ve sağ tıklama, PowerShell, tarayıcı veya Microsoft Cloud App Security etiketleme eylemleri gerçekleştirildi

-Kullanıcılar Azure Information Protection istemcisinin yüklü olmadığı veya kuruluşunuz dışından olsalar bile, kullanıcılara erişim izni verilmeyen veya kullanıcılara erişimi reddeden korunan belgelere başarıyla erişildi

-Daha fazla bilgi için etkinlik ayrıntılarını görüntülemek üzere bildirilen dosyalara detaya gitme
Veri bulma raporu -Taranan veri depolarınızda, Windows 10 bilgisayarlarınızda veya Azure Information Protection istemcileri çalıştıran bilgisayarlarda bulunan dosyalar

-Hangi dosyalar etiketlendi ve korunuyor ve dosyaların etiketlere göre konumu

-Bu dosyalar, finansal veriler ve kişisel bilgiler gibi bilinen kategorilerin gizli bilgilerini ve dosyaların bu kategorilere göre konumunu içerir
Öneriler raporu -Bilinen hassas bilgi türü içeren korumasız dosyaları belirler. Bir öneri otomatik veya önerilen etiketleme uygulamak için etiketlerinizde birine karşılık gelen koşulu hemen yapılandırmanızı sağlar.
Öneriyi izlerseniz
: dosyaların bir sonraki açılışında veya Azure Information Protection tarayıcısı tarafından tarandığında, dosyalar otomatik olarak sınıflandırılabilir ve korunabilir.

-Veri depolarında, tanımlı gizli bilgiler içeren ancak Azure Information Protection tarafından taranmayan dosyalar bulunur. Bir öneri, tanımlanan veri deposunu tarayıcınızın profillerinin birine hemen eklemenizi sağlar.
Öneriyi izlerseniz: bir sonraki tarayıcı döngüsünün içinde dosyalar otomatik olarak sınıflandırılabilir ve korunabilir.

Raporlar, verileri kuruluşunuzun sahip olduğu bir Log Analytics çalışma alanında depolamak için Azure izleyici 'yi kullanır. Sorgu diline alışkın değilseniz, sorguları değiştirebilir ve yeni raporlar ve Power BI panolar oluşturabilirsiniz. Sorgu dilini anlamak için aşağıdaki öğreticiyi bulabilirsiniz: Azure izleyici günlük sorgularını kullanmaya başlayın.

Daha fazla bilgi için aşağıdaki blog gönderilerini okuyun:

Toplanan ve Microsoft 'a gönderilen bilgiler

Bu raporları oluşturmak için, uç noktalar Microsoft 'a aşağıdaki bilgi türlerini gönderir:

  • Etiket eylemi. Örneğin, bir etiket ayarlayın, bir etiketi değiştirin, koruma, otomatik ve önerilen Etiketler ekleyin veya kaldırın.

  • Etiket eyleminden önce ve sonra etiket adı.

  • Kuruluşunuzun kiracı KIMLIĞI.

  • Kullanıcı KIMLIĞI (e-posta adresi veya UPN).

  • Kullanıcının cihazının adı.

  • Kullanıcının cihazının IP adresi.

  • Outlook veya msip.app gibi ilgili işlem adı.

  • Outlook veya Dosya Gezgini gibi etiketlemeyi gerçekleştiren uygulamanın adı

  • Belgeler için: etiketli belgelerin dosya yolu ve dosya adı.

  • E-postalar için: etiketli e-posta konusu ve e-posta göndericisi.

  • İçerikte algılanan hassas bilgi türleri (önceden tanımlanmış ve özel).

  • Azure Information Protection istemci sürümü.

  • İstemci işletim sistemi sürümü.

Bu bilgiler, kuruluşunuzun sahip olduğu bir Azure Log Analytics çalışma alanında saklanır ve bu çalışma alanına erişim haklarına sahip kullanıcılar tarafından Azure Information Protection bağımsız olarak görüntülenebilir.

Daha ayrıntılı bilgi için bkz.

AıP istemcilerinin denetim verileri göndermesini engelle

Birleşik etiketleme istemcisi

Azure Information Protection Birleşik etiketleme istemcisinin denetim verileri göndermesini engellemek için, bir etiket ilkesi Gelişmiş ayarınıyapılandırın.

Klasik istemci

Azure Information Protection klasik istemcinin bu verileri göndermesini engellemek için denetim verilerini Azure Information Protection analizlere gönder ilke ayarını kapalı olarak ayarlayın:

Gereksinim Yönergeler
Çoğu kullanıcının veri gönderemediği kullanıcıların bir alt kümesiyle veri göndermesini yapılandırmak için Kullanıcı alt kümesi için kapsamlı bir ilkede Azure Information Protection Analytics 'e denetim verileri gönder ' i ayarlayın.

Bu yapılandırma, üretim senaryoları için tipik bir yapılandırmadır.
Yalnızca veri gönderen kullanıcıların bir alt kümesini yapılandırmak için Denetim verilerini genel ilkede Azure Information Protection Analytics 'e gönder ' i ve kullanıcıların alt kümesi için kapsamlı bir ilkede Açık olarak ayarlayın .

Bu yapılandırma, test senaryoları için tipik bir yapılandırmadır.

Daha derin analize yönelik içerik eşleşmeleri

Azure Information Protection, hassas bilgi türü (önceden tanımlanmış veya özel) olarak tanımlanan gerçek verileri toplayıp depolamanıza olanak tanır. Örneğin, bu, bulunan kredi kartı numaralarını, sosyal güvenlik numaralarını, Passport numaralarını ve banka hesabı numaralarını içerebilir. Etkinlik günlüklerinden bir girişi seçtiğinizde içerik eşleşmeleri görüntülenir ve etkinlik ayrıntılarını görüntüleyebilirsiniz.

Varsayılan olarak, Azure Information Protection istemcileri İçerik eşleşmeleri göndermez. Bu davranışı, içerik eşleşmeleri gönderilmek üzere değiştirmek için:

İstemci Yönergeler
Birleşik etiketleme istemcisi Etiket ilkesinde Gelişmiş bir ayar yapılandırın.
Klasik istemci Azure Information Protection Analytics yapılandırmasının parçası olarak bir onay kutusu seçin. Onay kutusunun adı, hassas verilerinize daha derin analizler sağlar.

Bu istemciyi kullanan kullanıcıların çoğunun içerik eşleşmesi göndermesini, ancak kullanıcıların bir alt kümesini İçerik eşleşmeleri gönderememek istiyorsanız, onay kutusunu seçin ve ardından kullanıcıların alt kümesi için kapsamlı bir ilkede Gelişmiş istemci ayarını yapılandırın.

Önkoşullar

Raporlarınızı Azure Information Protection ve kendi raporlarınızı oluşturmak için aşağıdaki gereksinimlerin karşıda olduğundan emin olun.

Gereksinim Ayrıntılar
Bir Azure aboneliği Azure aboneliğiniz, Log Analytics'i diğer kiracıyla aynı Azure Information Protection.

Daha fazla bilgi için Azure İzleyici sayfasına bakın.

Azure aboneliğiniz yoksa veya şu anda Azure Log Analytics'i kullanmadısanız, fiyatlandırma sayfasında ücretsiz deneme için bir bağlantı yer alır.
Denetim günlüğü URL'si ağ bağlantısı AIP denetim günlüklerini desteklemek için AIP'nin aşağıdaki URL'lere erişmesi gerekir:
- https://*.events.data.microsoft.com
- https://*.aria.microsoft.com (Yalnızca Android cihaz verileri)
Azure Information Protection istemcisi İstemciden raporlama için.

Henüz yüklü bir istemciniz yoksa, Birleşik etiketleme istemcisini Microsoft İndirme Merkezi'nden indirip yükleyebilirsiniz.

Not: Hem birleşik etiketleme istemcisi hem de klasik istemci de de desteklene. AIP klasik istemcisini dağıtmak için, indirme erişimi almak için bir destek bileti açın.
Azure Information Protection şirket içi tarayıcı Şirket içi veri depolarından raporlama için.

Daha fazla bilgi için bkz. Dosyaları otomatik Azure Information Protection ve korumak için sanal ağ tarayıcısını dağıtma.
Microsoft Cloud App Security (MCAS) Bulut tabanlı veri depolarından raporlama için.

Daha fazla bilgi için MCAS Azure Information Protection tümleştirmesi hakkında bilgi için bkz.

Azure Information Protection analizi için gereken izinler

Azure Information Protection analizine özgü olarak, Azure Log Analytics çalışma alanınızı yapılandırdıktan sonra Güvenlik Okuyucusu'nın Azure AD yönetici rolünü, Azure Information Protection'yi yönetmeyi destekleyen diğer Azure AD rollerine alternatif olarak Azure portal. Bu ek rol yalnızca kiracınız birleşik etiketleme platformunda değilse de desteklemektedir.

Bu Azure Information Protection Azure İzleme kullandığı için, Azure için rol tabanlı erişim denetimi (RBAC) çalışma alanınıza erişimi de kontrol eder. Bu nedenle, bir Azure rolünün yanı sıra bulut analizini yönetmek için bir Azure AD Azure Information Protection gerekir. Azure rollerini yeni kullandıysanız, Azure RBAC rolleri ile Azure AD yönetici rolleri arasındaki farklar makalelerini okumanız yararlı olabilir.

Daha fazla bilgi için bkz.

Gerekli Azure AD yönetici rolleri

Bulut analizi bölmesine erişmek için aşağıdaki Azure AD yönetici rollerinden Azure Information Protection gerekir:

  • Log Analytics çalışma alanınızı oluşturmak veya özel sorgular oluşturmak için:

    • Azure Information Protection yöneticisi
    • Güvenlik yöneticisi
    • Uyumluluk yöneticisi
    • Uyumluluk verileri yöneticisi
    • Genel yönetici
  • Çalışma alanı oluşturulduktan sonra, toplanan verileri görüntülemek için aşağıdaki rolleri daha az izinle kullanabilirsiniz:

    • Güvenlik okuyucusu
    • Genel okuyucu

Gerekli Azure Log Analytics rolleri

Azure Log Analytics çalışma alanınıza erişmek için aşağıdaki Azure Log Analytics rollerinden veya standart Azure rollerinden biri gerekir:

  • Çalışma alanını oluşturmak veya özel sorgular oluşturmak için, aşağıdakilerden biri:

    • Log Analytics Katkıda Bulunan
    • Katkıda Bulunan
    • Sahibi
  • Çalışma alanı oluşturulduktan sonra, toplanan verileri görüntülemek için aşağıdaki rollerden birini daha az izinle kullanabilirsiniz:

    • Log Analytics Okuyucusu
    • Okuyucu

Raporları görüntülemek için en düşük roller

Çalışma alanınızı Azure Information Protection analiz için yapılandırdıktan sonra, Azure Information Protection analiz raporlarını görüntülemek için gereken en düşük rollerin ikisi de aşağıda ve ardından yer alır:

  • Azure AD yönetici rolü: Güvenlik okuyucusu
  • Azure rolü: Log Analytics Okuyucusu

Ancak, birçok kuruluş için tipik bir rol ataması, Güvenlik okuyucusu Azure rolü ve Okuyucu azure rolüdür.

Depolama gereksinimleri ve veri saklama

Azure Information Protection çalışma alanınıza toplanan ve depolanan veri miktarı, kaç tane Azure Information Protection istemciniz ve diğer desteklenen uç noktanız olduğu, uç nokta bulma verilerini toplarken, tarayıcıları dağıttınız, erişilen korumalı belgelerin sayısı gibi faktörlere bağlı olarak her kiracı için önemli ölçüde farklılık gösterir.

Ancak başlangıç noktası olarak aşağıdaki tahminleri yararlı bulabilirsiniz:

  • Yalnızca Azure Information Protection tarafından oluşturulan denetim verileri için: ayda 10.000 etkin kullanıcı başına 2 GB.

  • İstemciler ve tarayıcılar tarafından Azure Information Protection denetim verileri için: ayda 10.000 etkin kullanıcı başına 20 GB.

Zorunlu etiketleme kullanıyorsanız veya çoğu kullanıcı için varsayılan bir etiket yapılandırdıysanız, fiyatlarınız büyük olasılıkla önemli ölçüde daha yüksek olacaktır.

Azure İzleyici günlüklerinde depolanan veri miktarını tahmin etmeye ve gözden geçirmenize yardımcı olan kullanım ve tahmini maliyetler özelliği vardır. Ayrıca Log Analytics çalışma alanınız için veri saklama süresi de kontrol altına alırsınız. Daha fazla bilgi için bkz. Azure İzleyici Logs ile kullanımı ve maliyetleri yönetme.

Raporlar için Log Analytics çalışma alanını yapılandırma

  1. Henüz bunu yapmadıysanız, yeni bir tarayıcı penceresi açın ve Azure portal analiz için gereken izinlere sahip bir hesap ile Azure Information Protection açın. Ardından Azure Information Protection gidin.

    Örneğin, kaynaklar, hizmetler ve belgeler için arama kutusuna Bilgi yazmaya başlayın ve Azure Information Protection.

  2. Yönet menü seçeneklerini bulun ve Analizi yapılandır (Önizleme) seçeneğini belirleyin.

  3. Log Analytics Azure Information Protection bölmesinde, kiracınıza ait tüm Log Analytics çalışma alanlarının listesini görebilirsiniz. Aşağıdakilerden birini yapın:

    • Yeni bir Log Analytics çalışma alanı oluşturmak için: Yeni çalışma alanı oluştur'a tıklayın ve Log Analytics çalışma alanı bölmesinde istenen bilgileri ekleyin.

    • Var olan bir Log Analytics çalışma alanını kullanmak için: Listeden çalışma alanını seçin.

    Log Analytics çalışma alanını oluştururken yardıma ihtiyacınız varsa bkz. Log Analytics çalışma alanı oluşturma Azure portal.

  4. Yalnızca AIP klasik istemcisi: Hassas bilgi türü olarak tanımlanan gerçek verileri depolamak için Hassas verilerinizde daha derin analizi etkinleştir onay kutusunu işaretleyin.

    Bu ayar hakkında daha fazla bilgi için bu sayfanın daha derin analiz için içerik eşleşmeleri bölümüne bakın.

  5. Tamam’ı seçin.

Artık raporları görüntülemeye hazır oluruz.

AIP analiz raporlarını görüntüleme

Azure Information Protection bölmesinde Panolar menü seçeneklerini bulun ve aşağıdaki seçeneklerden birini belirleyin:

Rapor Açıklama
Kullanım raporu (Önizleme) Etiketlerinizin nasıl kullanıldıklarını görmek için bu raporu kullanın.
Etkinlik günlükleri (Önizleme) Kullanıcılardan ve cihazlardan ve dosya yollarından etiketleme eylemlerini görmek için bu raporu kullanın. Buna ek olarak, korumalı belgeler için, kuruluş içindeki ve dışındaki kullanıcılar için erişim denemelerini (başarılı veya reddedildi) görebilir, hatta Azure Information Protection yükleyebilirsiniz.

Bu raporda, varsayılan görüntülemeden daha fazla etkinlik bilgisi görüntülemenizi sağlayan sütunlar seçeneği vardır. Etkinlik Ayrıntılarını görüntülemek için dosyayı seçerek dosya hakkında daha fazla ayrıntı da görüntüebilirsiniz.
Veri bulma (Önizleme) Tarayıcılar ve desteklenen uç noktalar tarafından bulunan etiketli dosyalar hakkında bilgi görmek için bu raporu kullanın.

İpucu: Toplanan bilgilerden, hakkında bilgi olmadığınız veya şu anda taramada olmadığınız konumdan hassas bilgiler içeren dosyalara erişen kullanıcılar bulabilirsiniz:

- Konumlar şirket içinde yer alıyorsa, konumları veri tarayıcısı için ek veri depoları olarak Azure Information Protection göz önünde bulundurabilirsiniz.
- Konumlar bulutta ise, bunları yönetmek için Microsoft Cloud App Security kullanmayı göz önünde bulundurabilirsiniz.
Öneriler (Önizleme) Bu raporu kullanarak hassas bilgilere sahip dosyaları tanımlayabilir ve önerileri takip edebilir ve riski azaltabilirsiniz.

Bir öğeyi seçerek Verileri görüntüle seçeneği öneriyi tetikleyen denetim etkinliklerini görüntüler.

AIP analiz raporlarını değiştirme ve özel sorgular oluşturma

Panoda sorgu simgesini seçerek bir Günlük Araması bölmesi açın:

Raporları özelleştirmek için Log Analytics Azure Information Protection

Azure Information Protection için günlüğe kaydedilen veriler aşağıdaki tabloda depolanır: InformationProtectionLogs_CL

Kendi sorgularınızı oluşturmada InformationProtectionEvents işlevleri olarak uygulanan kolay şema adlarını kullanın. Bu işlevler, özel sorgular için desteklenen özniteliklerden türetilen (bazı öznitelikler yalnızca iç kullanım için) ve geliştirmeler ve yeni işlevler için temel alınan öznitelikler değişse bile adları zaman içinde değişmez.

Olay işlevleri için kolay şema başvurusu

Olay analizi ile özel sorgular için kullanabileceğiniz olay işlevlerinin kolay adını belirlemek için Azure Information Protection kullanın.

Sütun adı Description
Saat Olay saati: YYYY-MM-DDTHH:MM:SS biçiminde UTC
Kullanıcı Kullanıcı: UPN'i veya DOMAIN\USER'i biçimlendir
ıtempath Tam öğe yolu veya e-posta konusu
ItemName Dosya adı veya e-posta konusu
Yöntem Etiket tarafından atanan yöntem: El ile, Otomatik, Önerilen, Varsayılan veya Zorunlu
Etkinlik Denetim etkinliği: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection, NewCustomProtection veya FileRemoved
ResultStatus Eylemin sonuç durumu:

Başarılı veya Başarısız (yalnızca AIP tarayıcısı tarafından raporlandı)
ErrorMessage_s ResultStatus=Failed ise Hata iletisi ayrıntılarını içerir. Yalnızca AIP tarayıcısı tarafından raporlandı
LabelName Etiket adı (yerelleştirilmiş değil)
LabelNameBefore Değiştirmeden önce etiket adı (yerelleştirilmiş değil)
ProtectionType Koruma türü [JSON]
{ 
"Type": ["Template", "Custom", "DoNotForward"],
  "TemplateID": "GUID"
 }
ProtectionBefore Değişiklikten önce koruma türü [JSON]
Machinename FQDN kullanılabilir olduğunda; aksi takdirde ana bilgisayar adı
Platform Cihaz platformu (Win, OSX, Android, iOS) 
ApplicationName Uygulama kolay adı
AIPVersion Denetim eylem Azure Information Protection istemcinin sürümü
TenantId Azure AD kiracı kimliği
AzureApplicationId Azure AD kayıtlı uygulama kimliği (GUID)
ProcessName MIP SDK'sı barındıran işlem
LabelId Etiket GUID'si veya null
IsProtected Korumalı olup olmadığı: Evet/Hayır
ProtectionOwner Rights Management UPN biçiminde sahip
LabelIdBefore Değiştirmeden önce ETIKET GUID'si veya null
InformationTypesAbove55 Güven düzeyi 55 veya üzeri olan verilerde SensitiveInformation JSON dizisi bulundu
InformationTypesAbove65 JSON dizisi SensitiveInformation, 65 veya daha yüksek güven düzeyine sahip verilerde bulundu
InformationTypesAbove75 JSON dizisi SensitiveInformation, 75 veya daha yüksek güven düzeyine sahip verilerde bulundu
InformationTypesAbove85 JSON dizisi SensitiveInformation, 85 veya daha yüksek güven düzeyine sahip verilerde bulundu
InformationTypesAbove95 JSON dizisi SensitiveInformation, 95 veya daha yüksek güven düzeyine sahip verilerde bulundu
DiscoveredInformationTypes Verilerde bulunan SensitiveInformation JSON dizisi ve boş bir dizinin bilgi türü bulunamadı anlamına geldiğini, null ise kullanılabilir bilgi olmadığını gösterirken eşlemiş içeriklerinde (etkinleştirilirse) bulunur
ProtectedBefore İçeriğin değişiklik öncesinde korumalı olup olmadığı: Evet/Hayır
ProtectionOwnerBefore Rights Management önce sahip
UserJustification Etiketi eski sürüme düşürme veya kaldırma gerekçesi
LastModifiedBy Dosyayı en son değiştiren UPN biçimindeki kullanıcı. Yalnızca Office ve SharePoint için kullanılabilir
LastModifiedDate UTC biçiminde YYYY-MM-DDTHH:MM:SS: Yalnızca Office ve SharePoint için kullanılabilir

InformationProtectionEvents kullanan örnekler

Özel sorgular oluşturmak için kolay şemayı nasıl kullanabileceğinizi görmek için aşağıdaki örnekleri kullanın.

Örnek 1: Son 31 gün içinde denetim verileri gönderen tüm kullanıcıları iade
InformationProtectionEvents 
| where Time > ago(31d) 
| distinct User 
Örnek 2: Son 31 gün içinde günlük olarak eski sürüme düşürülen etiket sayısını iade edin
InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| summarize Label_Downgrades_per_Day = count(Activity) by bin(Time, 1d) 
 
Örnek 3: Son 31 gün içinde Kullanıcı tarafından Gizli'den düşürülen etiket sayısını iade edin

InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| where LabelNameBefore contains "Confidential" and LabelName !contains "Confidential"  
| summarize Label_Downgrades_by_User = count(Activity) by User | sort by Label_Downgrades_by_User desc 

Bu örnekte, yalnızca eylemden önceki etiket adı Gizli adını ve eylemden sonra gelen etiket adının Gizli adını içermesi gerekir.

Sonraki adımlar

Raporlarda bilgileri gözden geçirdikten sonra, Azure Information Protection istemcisini kullanıyorsanız etiketleme ilkenize değişiklik yapmaya karar veebilirsiniz.

  • Birleşik etiketleme istemcisi: İlkeler içinde etiketleme ilkenize Microsoft 365 uyumluluk merkezi. Daha fazla bilgi için, Microsoft 365 bakın.

  • Klasik istemci: İlkeniz üzerinde değişiklik Azure portal. Daha fazla bilgi için bkz. Azure Information Protection yapılandırma.

AIP denetim günlükleri, farklı adlarla Microsoft 365 Etkinlik Gezgini'ne de gönderilir. Daha fazla bilgi için bkz.