Azure Information Protection için raporlama OrtaCentral reporting for Azure Information Protection

Uygulama hedefi: Azure Information ProtectionApplies to: Azure Information Protection

Not

Bu özellik şu anda Önizleme aşamasındadır ve değiştirilebilir olur.This feature is currently in preview and subject to change.

Azure Information Protection analytics, Azure Information Protection etiketleriniz benimsenmesini izlemenize yardımcı olması için merkezi raporlama kullanın.Use Azure Information Protection analytics for central reporting to help you track the adoption of your Azure Information Protection labels. Buna ek olarak:In addition:

  • İzleyici etiketlenmiş ve kuruluşunuzda belgeleri ve e-postaları korumalıMonitor labeled and protected documents and emails across your organization

  • Kuruluşunuz içinde hassas bilgiler içeren belgeleri belirlemenizeIdentify documents that contain sensitive information within your organization

  • İzleyici kullanıcı erişimini etiketli belgelere ve e-postaları ve belge sınıflandırma değişiklikleri izle.Monitor user access to labeled documents and emails, and track document classification changes.

  • Korumalı olmayan ve göre aşağıdaki öneriler, riski azaltın, kuruluşunuzun risk koyarak hassas bilgiler içeren belgeleri tanımlayın.Identify documents that contain sensitive information that might be putting your organization at risk if they are not protected, and mitigate your risk by following recommendations.

Azure Information Protection istemcilerinizi ve Azure Information Protection tarayıcılar, çalıştıran Windows bilgisayarlardan gelen verileri toplanır Microsoft Defender Gelişmiş tehdit Koruması (Microsoft Defender ATP), gelen ve giden birleşik etiketleme desteği istemciler.The data that you see is aggregated from your Azure Information Protection clients and Azure Information Protection scanners, from Windows computers running Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP), and from clients that support unified labeling.

Örneğin, aşağıdaki konulara bakın mümkün olacaktır:For example, you'll be able to see the following:

  • Gelen kullanım raporu, burada bir zaman dilimi seçebilirsiniz:From the Usage report, where you can select a time period:

    • Hangi etiketlere uygulanıyorWhich labels are being applied

    • Kaç tane belgeleri ve e-postaları etiketlenmişHow many documents and emails are being labeled

    • Korunan belgeleri ve e-postaları kaçHow many documents and emails are being protected

    • Kaç kullanıcı ve cihaz sayısını belgeleri ve e-postaları etiketlemeyiHow many users and how many devices are labeling documents and emails

    • Hangi uygulamaların etiketlemek için kullanılanWhich applications are being used for labeling

  • Gelen etkinlik günlüklerini, burada bir zaman dilimi seçebilirsiniz:From the Activity logs, where you can select a time period:

    • Belirli bir kullanıcı tarafından gerçekleştirilen eylemleri etiketlemeWhat labeling actions were performed by a specific user

    • Belirli bir CİHAZDAN gerçekleştirilen etiketleme eylemleriWhat labeling actions were performed from a specific device

    • Hangi kullanıcıların belirli bir etiketli belge eriştiğinizWhich users have accessed a specific labeled document

    • Etiketleme eylemleri için belirli dosya yolu gerçekleştirildiWhat labeling actions were performed for a specific file path

    • Etiketleme eylemleri belirli bir uygulama, bu tür dosya Gezgini ve sağ tıklatın veya Azureınformationprotection PowerShell modülü tarafından gerçekleştirildiWhat labeling actions were performed by a specific application, such File Explorer and right-click, or the AzureInformationProtection PowerShell module

    • Görüntülemek için bildirilen dosyalarda detaya gitme Etkinlik ayrıntıları ek bilgi içinDrill down into reported files to view Activity Details for additional information

  • Gelen veri bulma Rapor:From the Data discovery report:

    • Hangi dosyaların, taranan veri depolarınızı, Windows 10 bilgisayarlar ya da Azure Information Protection istemcisini çalıştıran bilgisayarlar olan veya birleşik etiketleme desteği olan istemcilerWhat files are on your scanned data repositories, Windows 10 computers, or computers running the Azure Information Protection client or clients that support unified labeling

    • Hangi dosyaların etiketlenmiş ve korumalı ve etiketleri tarafından dosyalarının konumuWhich files are labeled and protected, and the location of files by labels

    • Hangi dosyaların bu kategorilere göre dosyalarının konumunu finansal verileri ve kişisel bilgiler gibi bilinen kategorileri için hassas bilgileri içeriyorWhich files contain sensitive information for known categories, such as financial data and personal information, and the location of files by these categories

  • Gelen önerileri Rapor:From the Recommendations report:

    • Bir bilinen hassas bilgi türü içeren korumasız dosyaları belirleyin.Identify unprotected files that contain a known sensitive information type. Bir öneri veya etiketleme önerilen hemen otomatik olarak uygulamak için etiketleri biri için karşılık gelen koşul yapılandırmanıza olanak sağlar.A recommendation lets you immediately configure the corresponding condition for one of your labels to apply automatic or recommended labeling.

      Önerisini izlerseniz: Bir kullanıcı tarafından açıldığında ya da Azure Information Protection, taranan dosyaları açtığında dosyaları otomatik olarak sınıflandırılan korumalı ve.If you follow the recommendation: The next time the files are opened by a user or scanned by the Azure Information Protection scanner, the files can be automatically classified and protected.

    • Hangi veri depolarına tanımlanan hassas bilgi içeren dosyalarınız, ancak Azure Information Protection tarafından taranıyor değil.Which data repositories have files with identified sensitive information but are not being scanned by the Azure Information Protection. Bir öneri hemen tanımlanan veri deposu, tarayıcınızın profillerinden birini eklemenizi sağlar.A recommendation lets you immediately add the identified data store to one of your scanner's profiles.

      Önerisini izlerseniz: Sonraki tarayıcı döngüsünde dosyaları otomatik olarak sınıflandırılan korumalı ve.If you follow the recommendation: On the next scanner cycle, the files can be automatically classified and protected.

Raporları Azure İzleyici kuruluşunuza ait bir Log Analytics çalışma alanında verileri depolamak için.The reports use Azure Monitor to store the data in a Log Analytics workspace that your organization owns. Sorgu dili ile ilgili bilgi sahibi değilseniz sorguları değiştirebilir ve yeni raporları ve Power BI panolarınızı oluşturun.If you're familiar with the query language, you can modify the queries, and create new reports and Power BI dashboards. Aşağıdaki öğreticiye, sorgu dili anlamak yararlı bulabilirsiniz: Azure İzleyici günlük sorguları kullanmaya başlama.You might find the following tutorial helpful to understand the query language: Get started with Azure Monitor log queries.

Daha fazla bilgi için aşağıdaki blog gönderileri okuyun:For more information, read the following blog posts:

Toplanan ve Microsoft'a gönderilen bilgilerInformation collected and sent to Microsoft

Bu raporlar üretmek için uç noktaları aşağıdaki türde bilgileri Microsoft'a gönderin:To generate these reports, endpoints send the following types of information to Microsoft:

  • Etiket eylemi.The label action. Örneğin, bir etiketi ayarlamak, bir etiketi değiştirme, ekleme veya koruma, otomatik ve önerilen etiketler kaldırın.For example, set a label, change a label, add or remove protection, automatic and recommended labels.

  • Etiket adı etiketi eylem öncesi ve sonrası.The label name before and after the label action.

  • Kuruluşunuzun Kiracı kimliğiYour organization's tenant ID.

  • Kullanıcı Kimliği (e-posta adresi veya UPN).The user ID (email address or UPN).

  • Kullanıcının cihaz adını.The name of the user's device.

  • Belgeler için: Dosya yolu ve dosya adı etiketlenmiş belgeleri.For documents: The file path and file name of documents that are labeled.

  • E-postalar için: Etiketlenmiş bir e-postalar için e-posta gönderen ve e-posta konusu.For emails: The email subject and email sender for emails that are labeled.

  • Hassas bilgi türleri (önceden tanımlanmış ve özel) içeriği algılandı.The sensitive information types (predefined and custom) that were detected in content.

  • Azure Information Protection istemci sürümü.The Azure Information Protection client version.

  • İstemci işletim sistemi sürümü.The client operating system version.

Bu bilgiler, kuruluşunuzun sahip olduğu ve bu çalışma alanına erişim haklarına sahip kullanıcılar Azure Information Protection'ın bağımsız olarak görüntülenebilir bir Azure Log Analytics çalışma alanında depolanır.This information is stored in an Azure Log Analytics workspace that your organization owns and can be viewed independently from Azure Information Protection by users who have access rights to this workspace. Ayrıntılar için bkz Azure Information Protection analytics için gereken izinler bölümü.For details, see the Permissions required for Azure Information Protection analytics section. Çalışma alanınıza erişimi yönetme hakkında daha fazla bilgi için bkz: Azure izinlerini kullanarak Log Analytics'e erişimi yönetme Azure belgeleri bölümünden.For information about managing access to your workspace, see the Manage access to Log Analytics Workspace using Azure permissions section from the Azure documentation.

İstemcileri Azure Information Protection, bu veri göndermesini önleyecek şekilde ayarlanmış ilke ayarı , gönderme denetim verilerini Azure Information Protection için günlük analizi için Kapalı:To prevent Azure Information Protection clients from sending this data, set the policy setting of Send audit data to Azure Information Protection log analytics to Off:

  • Veri ve kullanıcı alt kümesine göndermek çoğu kullanıcı için gönderilemiyor verileri denetleme:For most users to send this data and a subset of users cannot send auditing data:

    • Ayarlama gönderme denetim verilerini Azure Information Protection için günlük analizi için kapalı kullanıcıların bir alt kümesi için kapsamı belirlenmiş bir ilke.Set Send audit data to Azure Information Protection log analytics to Off in a scoped policy for the subset of users. Bu üretim senaryoları için tipik bir yapılandırmadır.This configuration is typical for production scenarios.
  • Yalnızca bir alt kümesini göndermek için kullanıcılar için verileri denetleme:For only a subset of users to send auditing data:

    • Ayarlama gönderme denetim verilerini Azure Information Protection için günlük analizi için kapalı genel ilkede ve üzerinde kullanıcıların bir alt kümesi için kapsamı belirlenmiş bir ilke.Set Send audit data to Azure Information Protection log analytics to Off in the global policy, and On in a scoped policy for the subset of users. Bu test senaryoları için tipik bir yapılandırmadır.This configuration is typical for testing scenarios.

Daha ayrıntılı analiz için içerik eşleşmeleriContent matches for deeper analysis

Azure Information Protection için Azure Log Analytics çalışma alanınızı de toplama ve hassas bilgi türleri veya özel koşullarınızı tarafından tanımlanan verileri depolamak için bir onay kutusu içerir.Your Azure Log Analytics workspace for Azure Information Protection includes a checkbox for also collecting and storing the data that's identified by the sensitive information types or your custom conditions. Örneğin, bu, sosyal güvenlik numaraları, pasaport numaraları ve banka hesabı numarası yanı sıra bulunan kredi kartı numaraları dahil edebilirsiniz.For example, this can include credit card numbers that are found, as well as social security numbers, passport numbers, and bank account numbers. Bu ek verileri göndermek istemiyorsanız bu onay kutusunu seçmeyin.If you do not want to send this additional data, do not select this checkbox. Çoğu kullanıcı bu ek veri göndermek istiyorsanız ve bir kullanıcı alt gönderemezsiniz onay kutusunu seçip yapılandırabileceğiniz bir Gelişmiş istemci ayarı kullanıcıların bir alt kümesi için kapsamı belirlenmiş bir ilke.If you want most users to send this additional data and a subset of users cannot send it, select the checkbox and configure an advanced client setting in a scoped policy for the subset of users.

İçerik toplama eşleşen sonra dosyaları görüntülemek için etkinlik günlüklerini incelemek, raporlarda görüntülendikleri Etkinlik ayrıntıları.After collecting the content matches, they are displayed in the reports when you drill down into files from the Activity logs, to display Activity Details. Bu bilgileri de görüntülenebilir ve sorgularla alınır.This information can also be viewed and retrieved with queries.

ÖnkoşullarPrerequisites

Azure Information Protection raporları görüntülemek ve kendi oluşturmak için aşağıdaki gereksinimlerin karşılandığından emin olun.To view the Azure Information Protection reports and create your own, make sure that the following requirements are in place.

GereksinimRequirement Daha fazla bilgiMore information
Log Analytics içeren ve aynı Kiracı olarak Azure Information Protection için bir Azure aboneliğiAn Azure subscription that includes Log Analytics and that is for the same tenant as Azure Information Protection Bkz: Azure İzleyici fiyatlandırma sayfası.See the Azure Monitor pricing page.

Bir Azure aboneliğiniz yoksa veya şu anda Azure Log Analytics kullanmayın, fiyatlandırma sayfasına ücretsiz deneme için bir bağlantı içerir.If you don't have an Azure subscription or you don't currently use Azure Log Analytics, the pricing page includes a link for a free trial.
Azure Information Protection istemcisi veya Azure Information Protection birleşik etiketleme istemcisiThe Azure Information Protection client or the Azure Information Protection unified labeling client Bu istemcilerden birini zaten yoksa, indirebilir ve bunları yüklemek Microsoft Download Center.If you don't already have one of these clients, you can download and install them from the Microsoft Download Center.

Destekleyen en son sürüme sahip olduğunuzdan emin olun tüm özellikleri Azure Information Protection analiz için.Make sure you have the latest version to support all the features for Azure Information Protection analytics.
İçin bulma ve risk Rapor:For the Discovery and risk report:

-Şirket içi veri depolarından verileri görüntülemek için Azure Information Protection ilkesini en az bir örneği dağıttıysanız- To display data from on-premises data stores, you have deployed at least one instance of the Azure Information Protection scanner

-Windows 10 bilgisayarların verilerini görüntüleme için 1809, en az bir yapı olmalıdır, Microsoft Defender Gelişmiş tehdit Koruması (Microsoft Defender ATP) kullanıyorsanız ve Microsoft Azure Information Protection tümleştirme özelliği etkin Defender Güvenlik Merkezi- To display data from Windows 10 computers, they must be a minimum build of 1809, you are using Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP), and you have enabled the Azure Information Protection integration feature from Microsoft Defender Security Center
Tarayıcı için yükleme yönergeleri için bkz. otomatik olarak sınıflandırmak ve dosyaları korumak için Azure Information Protection ilkesini dağıtma.For installation instructions for the scanner, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

Yapılandırma ve Azure Information Protection tümleştirme özelliği Microsoft Defender Security Center kullanma hakkında daha fazla bilgi için bkz: Information protection Windows genel bakış.For information about configuring and using the Azure Information Protection integration feature from Microsoft Defender Security Center, see Information protection in Windows overview.
İçin önerileri Rapor:For the Recommendations report:

-Yeni veri deposu Azure portalından bir önerilen eylem olarak eklemek için Azure Information Protection ilkesini en son genel kullanılabilirlik sürümü kullanıyor- To add a new data repository from the Azure portal as a recommended action, you must be using the latest general availability version of the Azure Information Protection scanner
Tarayıcı dağıtmak için bkz. otomatik olarak sınıflandırmak ve dosyaları korumak için Azure Information Protection ilkesini dağıtma.To deploy the scanner, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

Azure Information Protection analytics için gereken izinlerPermissions required for Azure Information Protection analytics

Belirli Azure Information Protection analizi, Azure Log Analytics çalışma alanınızı yapılandırdıktan sonra Azure AD yöneticisi rolü güvenlik okuyucusu Azure bilgilerini yönetme destekleyen bir Azure AD rolleri alternatif olarak kullanabilirsiniz Azure portalında koruma.Specific to Azure Information Protection analytics, after you have configured your Azure Log Analytics workspace, you can use the Azure AD administrator role of Security Reader as an alternative to the other Azure AD roles that support managing Azure Information Protection in the Azure portal.

Bu özellik Azure izleme, rol tabanlı erişim denetimi (RBAC) için Azure kullandığından ayrıca çalışma alanınıza erişimi denetler.Because this feature uses Azure Monitoring, role-based access control (RBAC) for Azure also controls access to your workspace. Bu nedenle Azure Information Protection analytics yönetmek için Azure AD Yönetici rolüne yanı sıra bir Azure rol gerekir.You therefore need an Azure role as well as an Azure AD administrator role to manage Azure Information Protection analytics. Azure rollerine yeniyseniz, okumak yararlı Azure RBAC rolleri ve Azure AD yönetici rolleri arasındaki farkları.If you're new to Azure roles, you might find it useful to read Differences between Azure RBAC roles and Azure AD administrator roles.

Ayrıntılar:Details:

  1. Aşağıdakilerden birini Azure AD yönetici rollerini Azure Information Protection analytics dikey pencereye erişmek için:One of the following Azure AD administrator roles to access the Azure Information Protection analytics blade:

    • Log Analytics çalışma alanınızı oluşturmak veya özel sorgular oluşturmak için:To create your Log Analytics workspace or to create custom queries:

      • Azure Information Protection YöneticisiAzure Information Protection administrator
      • Güvenlik YöneticisiSecurity administrator
      • Uyumluluk YöneticisiCompliance administrator
      • Uyumluluk veri YöneticisiCompliance data administrator
      • Genel yöneticiGlobal administrator
    • Çalışma alanı oluşturulduktan sonra ardından aşağıdaki rol daha az izne sahip toplanan verileri görüntülemek için kullanabilirsiniz:After the workspace has been created, you can then use the following role with fewer permissions to view the data collected:

      • Güvenlik okuyucusuSecurity reader

    Not

    Kiracınız için etiketleme birleşik mağazaya geçirildiyse, Azure Information Protection Yönetici rolü kullanamazsınız.If your tenant has been migrated to the unified labeling store, you cannot use the Azure Information Protection administrator role. Daha fazla bilgiMore information

  2. Ayrıca, aşağıdakilerden birini gerekir Azure Log Analytics rolleri veya standart Azure rolleri , Azure Log Analytics çalışma alanına erişmek için:In addition, you need one of the following Azure Log Analytics roles or standard Azure roles to access your Azure Log Analytics workspace:

    • Çalışma alanı oluşturun veya özel sorgular, aşağıdakilerden birini oluşturmaktır:To create the workspace or to create custom queries, one of the following:

      • Log Analytics katkıda bulunanLog Analytics Contributor
      • Katkıda bulunanContributor
      • SahibiOwner
    • Çalışma alanı oluşturulduktan sonra ardından aşağıdaki rollerden biri daha az izne sahip toplanan verileri görüntülemek için kullanabilirsiniz:After the workspace has been created, you can then use one of the following roles with fewer permissions to view the data collected:

      • Log Analytics okuyucusuLog Analytics Reader
      • OkuyucuReader

Raporları görüntülemek için en düşük rolleriMinimum roles to view the reports

Çalışma alanınız için Azure Information Protection analytics yapılandırdıktan sonra Azure Information Protection analytics raporları görüntülemek için gerekli en düşük rolü şunların ikisini de şunlardır:After you have configured your workspace for Azure Information Protection analytics, the minimum roles needed to view the Azure Information Protection analytics reports are both of the following:

  • Azure AD Yönetici rolü: Güvenlik okuyucusuAzure AD administrator role: Security reader
  • Azure rol: Log Analytics okuyucusuAzure role: Log Analytics Reader

Ancak, çoğu kuruluş için tipik rol ataması Azure AD rolü olan güvenlik okuyucusu ve Azure rolü okuyucu.However, a typical role assignment for many organizations is the Azure AD role of Security reader and the Azure role of Reader.

Bir en düşük istemci sürümü gerektiren özellikleriFeatures that require a minimum version of the client

Sürüm geçmişi bilgilerini kullanabileceğiniz Azure Information Protection birleşik etiketleme istemci ve Azure Information Protection istemcisini onaylamak için olup olmadığını istemci sürümünüz Tüm merkezi raporlama özelliklerini destekler.You can use the version history information for the Azure Information Protection unified labeling client and the Azure Information Protection client to confirm whether your version of the client supports all the central reporting features. İstemciler için en düşük sürüm:The minimum versions for the clients:

Etiketleme istemci Azure Information Protection birleşik için:For the Azure Information Protection unified labeling client:

  • Denetim ve uç nokta bulma desteği: Version 2.0.778.0Support for auditing and endpoint discovery: Version 2.0.778.0

Azure Information Protection istemcisi için:For the Azure Information Protection client:

  • Denetim için destek: Sürüm 1.41.51.0Support for auditing: Version 1.41.51.0
  • Uç nokta bulma desteği: Sürüm 1.48.204.0Support for endpoint discovery: Version 1.48.204.0

Depolama gereksinimleri ve veri saklamaStorage requirements and data retention

Azure Information Protection çalışma alanınızda depolanmış ve toplanan veri miktarı her Kiracı için önemli ölçüde farklılık gösterir, işiniz olup olmadığını nasıl gibi faktörlere bağlı olarak birden çok Azure Information Protection istemci ve diğer desteklenen uç noktalar, sahip olduğunuz uç nokta bulma verilerini toplayan, tarayıcılar dağıttınız ve benzeri.The amount of data collected and stored in your Azure Information Protection workspace will vary significantly for each tenant, depending on factors such as how many Azure Information Protection clients and other supported endpoints you have, whether you're collecting endpoint discovery data, you've deployed scanners, and so on.

Ancak, bir başlangıç noktası olarak, aşağıdaki tahminler yararlı olabilir:However, as a starting point, you might find the following estimates useful:

  • Azure Information Protection istemciler tarafından oluşturulan denetim verileri için: 2 GB başına aylık 10.000 etkin kullanıcılar.For audit data generated by Azure Information Protection clients only: 2 GB per 10,000 active users per month.

  • Azure Information Protection istemcileri, tarayıcılar ve Defender ATP'yi Microsoft tarafından oluşturulan denetim verileri için: 20 GB / ay başına 10.000 etkin kullanıcılar.For audit data generated by Azure Information Protection clients, scanners, and Microsoft Defender ATP: 20 GB per 10,000 active users per month.

Etiketleme zorunlu kullanın veya genel ilkede varsayılan etiket yapılandırdınız, büyük olasılıkla önemli ölçüde daha yüksek bir fiyatlandırılır.If you use mandatory labeling or you've configured a default label in the Global policy, your rates are likely to be significantly higher.

Azure İzleyici günlüklerine sahip bir kullanım ve Tahmini maliyetler tahmin etmek ve depolanan veri miktarı gözden geçirmenize yardımcı olması için özellik ve Log Analytics çalışma alanınız için veri saklama süresi de denetleyebilirsiniz.Azure Monitor Logs has a Usage and estimated costs feature to help you estimate and review the amount of data stored, and you can also control the data retention period for your Log Analytics workspace. Daha fazla bilgi için kullanım ve Azure İzleyici günlüklerine ile maliyetleri yönetme.For more information, see Manage usage and costs with Azure Monitor Logs.

Raporlar için bir Log Analytics çalışma alanını yapılandırmaConfigure a Log Analytics workspace for the reports

  1. Zaten yapmadıysanız, yeni bir tarayıcı penceresi açın ve Azure portalında oturum açın olan bir hesapla Azure Information Protection analytics için gereken izinler.If you haven't already done so, open a new browser window and sign in to the Azure portal with an account that has the permissions required for Azure Information Protection analytics. Sonra, Azure Information Protection dikey penceresine gidin.Then navigate to the Azure Information Protection blade.

    Örneğin, hub menüsünde tüm hizmetleri ve yazmaya başlayın bilgi filtre kutusuna.For example, on the hub menu, click All services and start typing Information in the Filter box. Azure Information Protection’ı seçin.Select Azure Information Protection.

  2. Bulun Yönet seçin ve menü seçenekleri analizi (Önizleme) yapılandırma.Locate the Manage menu options, and select Configure analytics (Preview).

  3. Üzerinde Azure Information Protection log analytics dikey penceresinde, Kiracı tarafından sahip olunan Log Analytics çalışma alanlarının bir listesini görürsünüz.On the Azure Information Protection log analytics blade, you see a list of any Log Analytics workspaces that are owned by your tenant. Aşağıdakilerden birini yapın:Do one of the following:

    • Yeni bir Log Analytics çalışma alanı oluşturmak için: Seçin yeni çalışma alanı oluşturmave Log analytics çalışma alanı dikey penceresinde istenen bilgileri sağlayın.To create a new Log Analytics workspace: Select Create new workspace, and on the Log analytics workspace blade, supply the requested information.

    • Mevcut bir Log Analytics çalışma alanını kullanmak için: Çalışma alanı listeden seçin.To use an existing Log Analytics workspace: Select the workspace from the list.

Log Analytics çalışma alanı oluşturma konusunda yardıma ihtiyacınız varsa bkz Azure portalında Log Analytics çalışma alanı oluşturma.If you need help with creating the Log Analytics workspace, see Create a Log Analytics workspace in the Azure portal.

Çalışma alanı yapılandırıldığında, raporları görüntülemek hazırsınız.When the workspace is configured, you're ready to view the reports.

Not

Şu anda bir bilinen sorun görüntüleme verisi yok ilk kez raporlarda.There is currently a known problem displaying data for the first time in the reports. Bu, genel ilkede bir durumla karşılaştığınızda ayarlamak ilke ayarı , gönderme denetim verilerini Azure Information Protection için günlük analizi için kapalı ve ilkeyi kaydedin.If this happens to you, in the global policy, set the policy setting of Send audit data to Azure Information Protection log analytics to Off and save the policy. Ardından aynı değiştirin üzerinde ve ilkeyi kaydedin.Then change the same setting to On and save the policy. İstemciniz sonra değişiklik indirilen, Log Analytics çalışma alanınızda görünür olmasını denetim olayları için 30 dakikaya kadar sürebilir.After clients have downloaded the change, it can take up to 30 minutes for their audit events to be visible in your Log Analytics workspace.

Raporları görüntülemeHow to view the reports

Azure Information Protection dikey penceresinden bulun panolar menü seçenekleri ve aşağıdaki seçeneklerden birini belirleyin:From the Azure Information Protection blade, locate the Dashboards menu options, and select one of the following options:

  • Kullanım Raporu (Önizleme) : Etiketlerinizi nasıl kullanıldığını görmek için bu raporu kullanın.Usage report (Preview): Use this report to see how your labels are being used.

  • Etkinlik günlüklerini (Önizleme) : Kullanıcılar ve cihazlar üzerinde eylem etiketleme görmek ve dosya yolları için bu raporu kullanın.Activity logs (Preview): Use this report to see labeling actions from users, and on devices and file paths.

    Bu raporun bir sütunları görüntüleme varsayılan görüntüyü daha fazla etkinlik bilgi sağlayan seçeneği.This report has a Columns option that lets you display more activity information than the default display. Görüntülenecek seçerek bir dosya hakkında daha fazla ayrıntı görebilirsiniz Etkinlik ayrıntıları.You can also see more details about a file by selecting it to display Activity Details.

  • Veri bulma (Önizleme) : Tarayıcılar tarafından bulunan ve desteklenen uç noktalar olarak etiketlenmiş dosyalar hakkında bilgi için bu raporu kullanın.Data discovery (Preview): Use this report to see information about labeled files found by scanners and supported endpoints.

    Yapılandırabileceğiniz bir Gelişmiş istemci ayarı hassas bilgiler içeren rapor dosyaları için Azure Information Protection istemcisi.You can configure an advanced client setting for the Azure Information Protection client to report files that contain sensitive information.

    İpucu: Toplanan bilgiler, bilmediği veya tarama olmayan bir konumdan hassas bilgiler içeren dosyaları erişen kullanıcılar bulabilirsiniz:Tip: From the information collected, you might find users accessing files that contain sensitive information from location that you didn't know about or aren't currently scanning:

    • Şirket içi konumlar arasında konumları, Azure Information Protection tarayıcısı için ek veri depoları olarak eklemeyi düşünün.If the locations are on-premises, consider adding the locations as additional data repositories for the Azure Information Protection scanner.
    • Bulutta konumlarının, bunları yönetmek için Microsoft Cloud App Security kullanmayı düşünün.If the locations are in the cloud, consider using Microsoft Cloud App Security to manage them.
  • Öneriler (Önizleme) : Hassas bilgilere sahip ve önerilerine uyularak riskini azaltmak dosyaları belirlemek için bu raporu kullanın.Recommendations (Preview): Use this report to identify files that have sensitive information and mitigate your risk by following the recommendations.

    Bir öğe seçtiğinizde verileri görüntüleme seçeneği öneri tetiklenen denetim etkinliklerine görüntüler.When you select an item, the View data option displays the audit activities that triggered the recommendation.

Raporları değiştirmek ve özel sorgular oluşturmaHow to modify the reports and create custom queries

Açmak istediğiniz panoyu sorgu simgesini bir günlük araması dikey penceresinde:Select the query icon in the dashboard to open a Log Search blade:

Azure Information Protection raporları özelleştirmek için log Analytics simgesi

Azure Information Protection için günlüğe kaydedilen veriler aşağıdaki tabloda saklanır: InformationProtectionLogs_CLThe logged data for Azure Information Protection is stored in the following table: InformationProtectionLogs_CL

Kendi sorgularınızı oluşturmak olarak uygulanan kolay şema adları kullanarak InformationProtectionEvents işlevleri.When you create your own queries, use the friendly schema names that have been implemented as InformationProtectionEvents functions. Bu işlevler (bazı öznitelikleri yalnızca dahili kullanım içindir) özel sorgular için desteklenen öznitelikleri türetilmiştir ve geliştirmeleri ve yeni işlevler için değiştirseniz bile temel alınan öznitelik adlarını zaman içinde değiştirmez.These functions are derived from the attributes that are supported for custom queries (some attributes are for internal use only) and their names will not change over time, even if the underlying attributes change for improvements and new functionality.

Olay işlevleri için kolay bir şema başvurusuFriendly schema reference for event functions

Azure Information Protection analizlerle özel sorgular için kullanabileceğiniz olay işlevleri kolay adını tanımlamak için aşağıdaki tabloyu kullanın.Use the following table to identify the friendly name of event functions that you can use for custom queries with Azure Information Protection analytics.

Sütun adıColumn name AçıklamaDescription
TimeTime Olay saati: UTC biçiminde YYYY-MM-ddTHHEvent time: UTC in format YYYY-MM-DDTHH:MM:SS
KullanıcıUser Kullanıcı: UPN veya etki alanı\kullanıcı biçiminiUser: Format UPN or DOMAIN\USER
Öğe yoluItemPath Tam öğe yolu veya e-posta konusuFull item path or email subject
ItemNameItemName Dosya adı veya e-posta konusuFile name or email subject
YöntemMethod Etiket: atanan yöntemi El ile otomatik, önerilen, varsayılan veya zorunluLabel assigned method: Manual, Automatic, Recommended, Default, or Mandatory
EtkinlikActivity Denetim etkinliği: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, keşfetme, Access, RemoveCustomProtection, ChangeCustomProtection veya NewCustomProtectionAudit activity: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection, or NewCustomProtection
LabelNameLabelName Etiket adı (yerelleştirilmemiş)Label name (not localized)
LabelNameBeforeLabelNameBefore Etiket adı değişikliği (yerelleştirilmemiş)Label name before change (not localized)
Koruma türündeProtectionType Koruma türü [JSON]Protection type [JSON]
{{
"Type": ["Şablon", "Özel", "DoNotForward"]"Type": ["Template", "Custom", "DoNotForward"],
"Templateıd": "GUID""TemplateID": "GUID"
}}
ProtectionBeforeProtectionBefore Koruma türü değişikliği [JSON]Protection type before change [JSON]
InformationTypesMatchesInformationTypesMatches JSON dizisi SensitiveInformation bilgi yok burada boş bir dizi anlamına gelir hiçbir bilgi türleri bulunan ve null anlamına gelir. verileri bulunamadıJSON array of SensitiveInformation found in data where an empty array means no information types found, and null means no information available
MachineNameMachineName Kullanılabilir olduğunda FQDN; Aksi halde konak adıFQDN when available; otherwise host name
DeviceRiskDeviceRisk Kullanılabilir olduğunda WDATP gelen cihaz risk puanıDevice risk score from WDATP when available
PlatformPlatform Cihaz Platformu (Win, OSX, Android, iOS)Device platform (Win, OSX, Android, iOS)
ApplicationNameApplicationName Uygulama kolay adıApplication friendly name
AIPVersionAIPVersion Denetim eylemi gerçekleştiren Azure Information Protection istemcisinin sürümüVersion of the Azure Information Protection client that performed the audit action
TenantIdTenantId Azure AD kiracı kimliğiAzure AD tenant ID
AzureApplicationIdAzureApplicationId Azure AD kayıtlı uygulama Kimliğini (GUID)Azure AD registered application ID (GUID)
ProcessNameProcessName MIP SDK'yı barındıran işlemProcess that hosts MIP SDK
LabelIdLabelId GUID etiket veya nullLabel GUID or null
IsProtectedIsProtected Korumalı olmadığını: Evet/HayırWhether protected: Yes/No
ProtectionOwnerProtectionOwner UPN biçiminde Rights Management sahibiRights Management owner in UPN format
LabelIdBeforeLabelIdBefore Değişiklikten önce null veya GUID etiketLabel GUID or null before change
InformationTypesAbove55InformationTypesAbove55 JSON dizisi SensitiveInformation güvenilirlik düzeyi 55 veya üzeri veri bulunamadıJSON array of SensitiveInformation found in data with confidence level 55 or above
InformationTypesAbove65InformationTypesAbove65 JSON dizisi SensitiveInformation güvenilirlik düzeyi 65 veya yukarıda bulunanJSON array of SensitiveInformation found in data with confidence level 65 or above
InformationTypesAbove75InformationTypesAbove75 JSON dizisi SensitiveInformation güvenilirlik düzeyi 75 veya yukarıda bulunanJSON array of SensitiveInformation found in data with confidence level 75 or above
InformationTypesAbove85InformationTypesAbove85 JSON dizisi SensitiveInformation güvenilirlik düzeyi 85 veya yukarıda bulunanJSON array of SensitiveInformation found in data with confidence level 85 or above
InformationTypesAbove95InformationTypesAbove95 JSON dizisi SensitiveInformation 95 güven düzeyi veya üzerindeki veri bulunamadıJSON array of SensitiveInformation found in data with confidence level 95 or above
DiscoveredInformationTypesDiscoveredInformationTypes JSON dizisi SensitiveInformation veri ve eşleşen içeriklerinin (etkinse) bulunan, boş bir dizi hiçbir bilgi türü bulundu ve null olduğu anlamına gelir, bilgi yok anlamına gelirJSON array of SensitiveInformation found in data and their matched content (if enabled) where an empty array means no information types found, and null means no information available
ProtectedBeforeProtectedBefore Olup içeriğin değişiklik öncesi korunan: Evet/HayırWhether the content was protected before change: Yes/No
ProtectionOwnerBeforeProtectionOwnerBefore Rights Management sahibi değişikliğiRights Management owner before change
UserJustificationUserJustification Eski sürüme düşürme veya etiket kaldırırken gerekçeJustification when downgrading or removing label
LastModifiedByLastModifiedBy UPN biçiminde dosyanın son değiştiren kullanıcı.User in UPN format who last modified the file. Office ve SharePoint Online için kullanılabilir yalnızcaAvailable for Office and SharePoint Online only
LastModifiedDateLastModifiedDate UTC biçiminde YYYY-MM-ddTHH: Office ve SharePoint Online için kullanılabilir yalnızcaUTC in format YYYY-MM-DDTHH:MM:SS: Available for Office & SharePoint Online only

InformationProtectionEvents kullanımı örnekleriExamples using InformationProtectionEvents

Özel sorgular oluşturmak için kolay şemanın nasıl kullanabileceğinize görmek için aşağıdaki örnekleri kullanın.Use the following examples to see how you might use the friendly schema to create custom queries.

Örnek 1: Son 31 gün içinde denetim verilerinin gönderilen tüm kullanıcıları döndürürExample 1: Return all users who sent audit data in the last 31 days
InformationProtectionEvents 
| where Time > ago(31d) 
| distinct User 
Örnek 2: Son 31 gündeki günlük indirgenen etiketleri sayısını döndürürExample 2: Return the number of labels that were downgraded per day in the last 31 days
InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| summarize Label_Downgrades_per_Day = count(Activity) by bin(Time, 1d) 
 
Örnek 3: Son 31 gün içinde kullanıcı tarafından özel'den indirgenen etiket sayısını döndürürExample 3: Return the number of labels that were downgraded from Confidential by user, in the last 31 days

InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| where LabelNameBefore contains "Confidential" and LabelName !contains "Confidential"  
| summarize Label_Downgrades_by_User = count(Activity) by User | sort by Label_Downgrades_by_User desc 

Etiket adı eyleminden önce adı içeriyorsa, bu örnekte, indirgenmiş bir etiket sayılır gizli ve Eylem adına sahip değilse sonra etiket adını gizli.In this example, a downgraded label is counted only if the label name before the action contained the name Confidential and the label name after the action didn't contain the name of Confidential.

Sonraki adımlarNext steps

Raporlardaki bilgileri gözden geçirdikten sonra Azure Information Protection istemcisi kullanıyorsanız, Azure Information Protection ilkenizi değişiklikler yapmak isteyebilirsiniz.After reviewing the information in the reports, if you are using the Azure Information Protection client, you might decide to make changes to your Azure Information Protection policy. Yönergeler için Azure Information Protection ilkesini yapılandırma.For instructions, see Configuring the Azure Information Protection policy.

Microsoft 365 aboneliğiniz varsa Microsoft 365 Uyumluluk Merkezi ve Microsoft 365 Güvenlik Merkezi ayrıca etiket kullanım görüntüleyebilirsiniz.If you have a Microsoft 365 subscription, you can also view label usage in the Microsoft 365 compliance center and Microsoft 365 security center. Daha fazla bilgi için etiket analizlerle etiketi görüntülemek.For more information, see View label usage with label analytics.