Registrazione e analisi dell'utilizzo della protezione da Azure Information Protection
Nota
Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?
Il componente aggiuntivo Azure Information Protection viene ritirato e sostituito con le etichette integrate nelle app e nei servizi di Microsoft 365. Altre informazioni sullo stato di supporto di altri componenti di Azure Information Protection.
Il client Microsoft Purview Information Protection (senza il componente aggiuntivo) è disponibile a livello generale.
Usare queste informazioni per capire come si può usare la registrazione dell'utilizzo per il servizio di protezione (Azure Rights Management) da Azure Information Protection. Questo servizio di protezione garantisce la protezione dati per i documenti e i messaggi di posta elettronica dell'organizzazione e può registrare qualsiasi richiesta. Queste richieste includono quando gli utenti proteggono documenti e messaggi di posta elettronica e utilizzano anche questo contenuto, le azioni eseguite dagli amministratori per questo servizio e le azioni eseguite dagli operatori Microsoft per supportare la distribuzione di Azure Information Protection.
È quindi possibile usare questi log di utilizzo della protezione per supportare gli scenari aziendali seguenti:
Analizzare i dati analitici aziendali
I log generati dal servizio di protezione possono essere importati in un repository di propria scelta (ad esempio un database, un sistema OLAP (Online Analytical Processing) o un sistema map-reduce, per analizzare le informazioni e produrre report. Ad esempio, è possibile identificare chi accede ai dati protetti. È possibile determinare quali dati protetti accedono agli utenti e da quali dispositivi e da dove. È possibile scoprire se gli utenti possono leggere correttamente il contenuto protetto. È anche possibile identificare le persone che hanno letto un documento importante protetto.
Monitorare l'abuso
La registrazione delle informazioni sull'uso della protezione è disponibile quasi in tempo reale, in modo da poter monitorare continuamente l'uso del servizio di protezione dell'azienda. Il 99,9% dei log è disponibile entro 15 minuti da un'azione avviata al servizio.
Ad esempio, potrebbe essere necessario ricevere un avviso se si verifica un aumento improvviso di persone che leggono dati protetti al di fuori dell'orario lavorativo standard, che potrebbero indicare che un utente malintenzionato sta raccogliendo informazioni da vendere ai concorrenti. In alternativa, se lo stesso utente accede apparentemente ai dati da due indirizzi IP diversi entro un breve intervallo di tempo, che potrebbe indicare che un account utente è stato compromesso.
Eseguire l'analisi forense
Se si dispone di una perdita di informazioni, è probabile che venga chiesto chi ha recentemente eseguito l'accesso a documenti specifici e quali informazioni hanno eseguito l'accesso di recente a una persona sospetta. È possibile rispondere a questi tipi di domande quando si usa questa registrazione perché gli utenti che usano contenuto protetto devono sempre ottenere una licenza di Rights Management per aprire documenti e immagini protetti da Azure Information Protection, anche se questi file vengono spostati tramite posta elettronica o copiati in unità USB o in altri dispositivi di archiviazione. Ciò significa che è possibile usare questi log come fonte definitiva di informazioni per l'analisi forense quando si proteggono i dati usando Azure Information Protection.
Oltre a questa registrazione dell'utilizzo, sono disponibili anche le opzioni di registrazione seguenti:
Opzione di registrazione | Descrizione |
---|---|
Amministrazione log | Registra le attività amministrative per il servizio protezione. Ad esempio, se il servizio viene disattivato, quando la funzionalità utente con privilegi avanzati è abilitata e quando gli utenti sono delegate autorizzazioni di amministratore al servizio. Per altre informazioni, vedere il cmdlet di PowerShell Get-AipService Amministrazione Log. |
Rilevamento dei documenti | Consente agli utenti di tenere traccia e revocare i documenti rilevati con il client Azure Information Protection. Gli amministratori globali possono anche tenere traccia di questi documenti per conto degli utenti. Per altre informazioni, vedere Configurazione e uso del rilevamento dei documenti per Azure Information Protection. |
Registri eventi client | Attività di utilizzo per il client Azure Information Protection, registrate nel registro eventi locale applicazioni e servizi Windows, Azure Information Protection. Per altre informazioni, vedere Registrazione dell'utilizzo per il client Azure Information Protection. |
File di log del client | Risoluzione dei problemi relativi ai log per il client Azure Information Protection, disponibile in %localappdata%\Microsoft\MSIP. Questi file sono progettati per supporto tecnico Microsoft. |
Inoltre, le informazioni dei log di utilizzo del client Azure Information Protection e dello scanner di Azure Information Protection vengono raccolte e aggregate per creare report nella portale di Azure. Per altre informazioni, vedere Creazione di report per Azure Information Protection.
Usare le sezioni seguenti per altre informazioni sulla registrazione dell'utilizzo per il servizio di protezione.
Come abilitare la registrazione per l'utilizzo della protezione
La registrazione dell'utilizzo della protezione è abilitata per impostazione predefinita per tutti i clienti.
Non sono previsti costi aggiuntivi per l'archiviazione dei log o per la funzionalità di registrazione.
Come accedere e usare i log di utilizzo della protezione
Azure Information Protection scrive i log come una serie di BLOB in un account di archiviazione di Azure creato automaticamente per il tenant. Ogni BLOB contiene uno o più record di log, in formato di log esteso W3C. I nomi dei BLOB sono numeri, nell'ordine in cui sono stati creati. La sezione How to interpret your Azure Rights Management usage logs (Come interpretare i log di utilizzo di Azure Rights Management) più avanti in questo documento contiene altre informazioni sul contenuto del log e sulla relativa creazione.
La visualizzazione dei log nell'account di archiviazione può richiedere alcuni minuti dopo un'azione di protezione. La maggior parte dei log viene visualizzata entro 15 minuti. I log di utilizzo sono disponibili solo quando il nome del campo "date" contiene un valore di una data precedente (in ora UTC). I log di utilizzo dalla data corrente non sono disponibili. È consigliabile scaricare i log nell'archiviazione locale, ad esempio una cartella locale, un database o un repository map-reduce.
Per scaricare i log di utilizzo, si userà il modulo PowerShell AIPService per Azure Information Protection. Per istruzioni di installazione, vedere Installazione del modulo PowerShell AIPService.
Per scaricare i log di utilizzo tramite PowerShell
Avviare Windows PowerShell con l'opzione Esegui come amministratore e usare il cmdlet Connessione-AipService per connettersi ad Azure Information Protection:
Connect-AipService
Eseguire il comando seguente per scaricare i log per una data specifica:
Get-AipServiceUserLog -Path <location> -fordate <date>
Ad esempio, dopo aver creato una cartella denominata Logs nell'unità E:
Per scaricare i log per una data specifica ,ad esempio 2/1/2016, eseguire il comando seguente:
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016
Per scaricare i log per un intervallo di date (ad esempio dal 2/1/2016 al 2/14/2016), eseguire il comando seguente:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016
Quando si specifica solo il giorno, come negli esempi, si presuppone che l'ora sia 00:00:00 nell'ora locale e quindi convertita in utc. Quando si specifica un'ora con i parametri -fromdate o -todate (ad esempio, -fordate "2/1/2016 15:00:00"), tale data e ora viene convertita in formato UTC. Il comando Get-AipServiceUserLog ottiene quindi i log per il periodo di tempo UTC.
Non è possibile specificare meno di un giorno intero da scaricare.
Per impostazione predefinita, questo cmdlet usa tre thread per scaricare i log. Se si dispone di una larghezza di banda di rete sufficiente e si vuole ridurre il tempo necessario per scaricare i log, usare il parametro -NumberOfThreads, che supporta un valore compreso tra 1 e 32. Ad esempio, se si esegue il comando seguente, il cmdlet genera 10 thread per scaricare i log: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10
Suggerimento
È possibile aggregare tutti i file di log scaricati in un formato CSV usando Il parser log di Microsoft, uno strumento per la conversione tra diversi formati di log noti. È anche possibile usare questo strumento per convertire i dati in formato SYSLOG o importarli in un database. Dopo aver installato lo strumento, eseguire LogParser.exe /?
per informazioni e informazioni per usare questo strumento.
Ad esempio, è possibile eseguire il comando seguente per importare tutte le informazioni in un formato di file .log: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
Come interpretare i log di utilizzo
Usare le informazioni seguenti per interpretare i log di utilizzo della protezione.
Sequenza di log
Azure Information Protection scrive i log come una serie di BLOB.
Ogni voce nel log ha un timestamp UTC. Poiché il servizio di protezione viene eseguito su più server in più data center, a volte i log potrebbero sembrare fuori sequenza, anche quando vengono ordinati in base al timestamp. Tuttavia, la differenza è piccola e in genere entro un minuto. Nella maggior parte dei casi, questo non è un problema che potrebbe essere un problema per l'analisi dei log.
Formato BLOB
Ogni BLOB è in formato di log esteso W3C. Inizia con le due righe seguenti:
#Software: RMS
#Version: 1.1
La prima riga identifica che si tratta di log di protezione da Azure Information Protection. La seconda riga identifica che il resto del BLOB segue la specifica della versione 1.1. È consigliabile che tutte le applicazioni che analizzano questi log verifichino queste due righe prima di continuare a analizzare il resto del BLOB.
La terza riga enumera un elenco di nomi di campo separati da schede:
#Fields: date time row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-ip admin-action acting-as-user
Ognuna delle righe successive è un record di log. I valori dei campi sono nello stesso ordine della riga precedente e sono separati da schede. Utilizzare la tabella seguente per interpretare i campi.
Nome del campo | Tipo di dati W3C | Descrizione | Valore di esempio |
---|---|---|---|
date | Data | Data UTC in cui è stata servita la richiesta. L'origine è l'orologio locale sul server che ha servito la richiesta. |
2013-06-25 |
time | Time | Ora UTC in formato 24 ore in cui è stata servita la richiesta. L'origine è l'orologio locale sul server che ha servito la richiesta. |
21:59:28 |
row-id | Testo | GUID univoco per questo record di log. Se un valore non è presente, usare il valore correlation-id per identificare la voce. Questo valore è utile quando si aggregano i log o si copiano i log in un altro formato. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
tipo richiesta | Nome | Nome dell'API RMS richiesta. | AcquireLicense |
user-id | String | Utente che ha effettuato la richiesta. Il valore è racchiuso tra virgolette singole. Le chiamate da una chiave del tenant gestita dall'utente (BYOK) hanno il valore ", che si applica anche quando i tipi di richiesta sono anonimi. |
'joe@contoso.com' |
result | String | 'Success' se la richiesta è stata servita correttamente. Tipo di errore tra virgolette singole se la richiesta non è riuscita. |
'Operazione riuscita' |
correlation-id | Testo | GUID comune tra il log del client RMS e il log del server per una determinata richiesta. Questo valore può essere utile per risolvere i problemi del client. |
cab52088-8925-4371-be34-4b71a3112356 |
content-id | Testo | GUID, racchiuso tra parentesi graffe che identificano il contenuto protetto,ad esempio un documento. Questo campo ha un valore solo se request-type è AcquireLicense ed è vuoto per tutti gli altri tipi di richiesta. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
owner-email | String | Indirizzo di posta elettronica del proprietario del documento. Questo campo è vuoto se il tipo di richiesta è RevokeAccess. |
alice@contoso.com |
Autorità di certificazione | String | Indirizzo di posta elettronica dell'emittente del documento. Questo campo è vuoto se il tipo di richiesta è RevokeAccess. |
alice@contoso.com (o) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
template-id | String | ID del modello usato per proteggere il documento. Questo campo è vuoto se il tipo di richiesta è RevokeAccess. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
nome file | String | Nome file di un documento protetto rilevato usando il client Azure Information Protection per Windows. Attualmente, alcuni file (ad esempio i documenti di Office) vengono visualizzati come GUID anziché come nome file effettivo. Questo campo è vuoto se il tipo di richiesta è RevokeAccess. |
TopSecretDocument.docx |
data di pubblicazione | Data | Data di protezione del documento. Questo campo è vuoto se il tipo di richiesta è RevokeAccess. |
2015-10-15T21:37:00 |
c-info | String | Informazioni sulla piattaforma client che effettua la richiesta. La stringa specifica varia a seconda dell'applicazione, ad esempio il sistema operativo o il browser. |
'MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64' |
c-ip | Address | Indirizzo IP del client che effettua la richiesta. | 64.51.202.144 |
admin-action | Bool | Indica se un amministratore ha eseguito l'accesso al sito di rilevamento dei documenti in modalità Amministrazione istrator. | Vero |
agendo come utente | String | Indirizzo di posta elettronica dell'utente per il quale un amministratore accede al sito di rilevamento dei documenti. | 'joe@contoso.com' |
Eccezioni per il campo user-id
Anche se il campo user-id indica in genere l'utente che ha effettuato la richiesta, esistono due eccezioni in cui il valore non viene mappato a un utente reale:
Valore 'microsoftrmsonline@<YourTenantID.rms>.<region.aadrm.com>'.
Indica un servizio di Office 365, ad esempio Exchange Online o Microsoft SharePoint, che effettua la richiesta. Nella stringa YourTenantID> è il GUID per il tenant e< l'area> geografica è l'area in cui è registrato il tenant.< Ad esempio, na rappresenta America del Nord, eu rappresenta l'Europa e ap rappresenta l'Asia.
Se si usa il connettore RMS.
Le richieste da questo connettore vengono registrate con il nome dell'entità servizio di Aadrm_S-1-7-0, che viene generato automaticamente quando si installa il connettore RMS.
Tipi di richiesta tipici
Esistono molti tipi di richiesta per il servizio di protezione, ma la tabella seguente identifica alcuni dei tipi di richiesta più usati in genere.
Tipo di richiesta | Descrizione |
---|---|
AcquireLicense | Un client da un computer basato su Windows richiede una licenza per il contenuto protetto. |
AcquirePreLicense | Un client, per conto dell'utente, richiede una licenza per il contenuto protetto. |
AcquireTemplates | È stata effettuata una chiamata per acquisire i modelli in base agli ID modello |
AcquireTemplateInformation | È stata effettuata una chiamata per ottenere gli ID del modello dal servizio. |
AddTemplate | Viene eseguita una chiamata dal portale di Azure per aggiungere un modello. |
AllDocsCsv | Viene effettuata una chiamata dal sito di rilevamento dei documenti per scaricare il file CSV dalla pagina Tutti i documenti . |
BECreateEndUserLicenseV1 | Viene effettuata una chiamata da un dispositivo mobile per creare una licenza per l'utente finale. |
BEGetAllTemplatesV1 | Viene effettuata una chiamata da un dispositivo mobile (back-end) per ottenere tutti i modelli. |
Certify | Il client certifica l'utente per l'utilizzo e la creazione di contenuto protetto. |
FECreateEndUserLicenseV1 | Analogamente alla richiesta AcquireLicense, ma dai dispositivi mobili. |
FECreatePublishingLicenseV1 | Uguale a Certify e GetClientLicensorCert combinati, dai client per dispositivi mobili. |
FEGetAllTemplates | Viene effettuata una chiamata da un dispositivo mobile (front-end) per ottenere i modelli. |
FindServiceLocationsForUser | Viene eseguita una chiamata per eseguire una query per gli URL, che viene usato per chiamare Certify o AcquireLicense. |
GetClientLicensorCert | Il client richiede un certificato di pubblicazione (che verrà usato successivamente per proteggere il contenuto) da un computer basato su Windows. |
GetConfiguration | Viene chiamato un cmdlet di Azure PowerShell per ottenere la configurazione del tenant di Azure RMS. |
Ottenere Connessione orAuthorizations | Viene effettuata una chiamata dai connettori RMS per ottenere la configurazione dal cloud. |
GetRecipients | Viene effettuata una chiamata dal sito di rilevamento dei documenti per passare alla visualizzazione elenco per un singolo documento. |
GetTenantFunctionalState | Il portale di Azure verifica se il servizio di protezione (Azure Rights Management) è attivato. |
KeyVaultDecryptRequest | Il client sta tentando di decrittografare il contenuto protetto da RMS. Applicabile solo per una chiave del tenant gestita dal cliente (BYOK) in Azure Key Vault. |
KeyVaultGetKeyInfoRequest | Viene effettuata una chiamata per verificare che la chiave specificata da usare in Azure Key Vault per la chiave del tenant di Azure Information Protection sia accessibile e non già usata. |
KeyVaultSignDigest | Viene eseguita una chiamata quando viene usata una chiave gestita dal cliente (BYOK) in Azure Key Vault a scopo di firma. Questa operazione viene chiamata in genere una sola volta per AcquireLicence (o FECreateEndUserLicenseV1), Certify e GetClientLicensorCert (o FECreatePublishingLicenseV1). |
Servizio di gestione delle chiavi PDecrypt | Il client sta tentando di decrittografare il contenuto protetto da RMS. Applicabile solo per una chiave del tenant gestita dal cliente legacy (BYOK). |
Servizio di gestione delle chiavi PSignDigest | Viene eseguita una chiamata quando viene usata una chiave gestita dal cliente legacy (BYOK) a scopo di firma. Questa operazione viene chiamata in genere una sola volta per AcquireLicence (o FECreateEndUserLicenseV1), Certify e GetClientLicensorCert (o FECreatePublishingLicenseV1). |
ServerCertify | Viene eseguita una chiamata da un client abilitato per RMS (ad esempio SharePoint) per certificare il server. |
SetUsageLogFeatureState | Viene effettuata una chiamata per abilitare la registrazione dell'utilizzo. |
SetUsageLog Archiviazione Account | Viene effettuata una chiamata per specificare il percorso dei log del servizio Azure Rights Management. |
UpdateTemplate | Viene effettuata una chiamata dal portale di Azure per aggiornare un modello esistente. |
Log di utilizzo della protezione e log di controllo unificato di Microsoft 365
Gli eventi di accesso ai file e negati non includono attualmente il nome file e non sono accessibili nel log di controllo unificato di Microsoft 365. Questi eventi verranno migliorati per essere utili e aggiunti dal Servizio Rights Management in un secondo momento.
Informazioni di riferimento su PowerShell
L'unico cmdlet di PowerShell necessario per accedere alla registrazione dell'utilizzo della protezione è Get-AipServiceUserLog.
Per altre informazioni sull'uso di PowerShell per Azure Information Protection, vedere Amministrazione istering protection da Azure Information Protection tramite PowerShell.