Registrar em log e analisar o uso de proteção da Proteção de Informações do Azure

Observação

Está procurando pela Proteção de Informações do Microsoft Purview, conhecida anteriormente como MIP (Proteção de Informações da Microsoft)?

O suplemento Proteção de Informações do Azure é desativado e substituído por rótulos internos aos seus aplicativos e serviços do Microsoft 365. Saiba mais sobre o status de suporte de outros componentes da Proteção de Informações do Azure.

O cliente Microsoft Purview Information Protection (sem o suplemento) está disponível para o público em geral.

Use essas informações para entender melhor como você pode usar o registro em log do uso do serviço de proteção (Rights Management do Azure) da Proteção de Informações do Azure. Esse serviço fornece a proteção de dados para os documentos e emails da sua organização e pode registrar em log todas as solicitações nesse sentido. Essas solicitações incluem quando os usuários protegem documentos e emails, quando consomem esse conteúdo, ações executadas pelos administradores desse serviço e ações executadas pelos operadores da Microsoft para dar suporte à implantação da Proteção de Informações do Azure.

Em seguida, você pode usar esses logs de uso de proteção para oferecer suporte aos seguintes cenários de negócios:

  • Analisar para obter insights de negócios

    Os logs gerados pelo serviço de proteção podem ser importados para um repositório de sua escolha (como um banco de dados, um sistema OLAP [processamento analítico online] ou um sistema de redução de mapas) para analisar as informações e produzir relatórios. Por exemplo, é possível identificar quem está acessando os dados protegidos. Você pode determinar quais dados protegidos as pessoas estão acessando, de quais dispositivos e de onde. Você pode descobrir se as pessoas podem ler conteúdo protegido com êxito. Você também pode identificar quais pessoas leram um documento importante protegido.

  • Monitorar abusos

    As informações de log sobre o uso de proteção estão disponíveis quase em tempo real, para que você possa monitorar continuamente o uso do serviço de proteção pela empresa. 99,9% dos logs estão disponíveis dentro de 15 minutos após uma ação iniciada para o serviço.

    Por exemplo, você pode querer receber um alerta se houver um aumento repentino de pessoas lendo dados protegidos fora do horário de trabalho padrão, o que pode indicar que um usuário mal-intencionado está coletando informações para vender aos concorrentes. Ou, se o mesmo usuário aparentemente acessar dados de dois endereços IP diferentes em um curto espaço de tempo, o que pode indicar que uma conta de usuário foi comprometida.

  • Realizar análise forense

    Se houver um vazamento de informações, é provável que perguntem a você quem acessou documentos específicos recentemente e quais informações uma pessoa suspeita acessou recentemente. Você pode responder a esses tipos de perguntas ao usar esse log, pois as pessoas que usam conteúdo protegido sempre devem obter uma licença do Rights Management para abrir documentos e imagens protegidos pela Proteção de Informações do Azure, mesmo que esses arquivos sejam migrados por email ou copiados para unidades USB ou outros dispositivos de armazenamento. Isso significa que você pode usar esses logs como uma fonte definitiva de informações para análise forense ao proteger seus dados usando a Proteção de Informações do Azure.

Além desse log de uso, você também tem as seguintes opções de log:

Opção de Log Descrição
Log do administrador Registra em log as tarefas administrativas para o serviço de proteção. Por exemplo, se o serviço for desativado, quando o recurso de superusuário for habilitado e quando os usuários tiverem permissões de administrador delegadas ao serviço.

Para obter mais informações, confira o cmdlet do PowerShell, Get-AipServiceAdminLog.
Rastreamento de documentos Permite que os usuários acompanhem e revoguem seus documentos rastreados com o cliente da Proteção de Informações do Azure. Os administradores globais também podem rastrear esses documentos em nome dos usuários.

Para obter mais informações, confira Configurar e usar o rastreamento de documentos para a Proteção de Informações do Azure.
Logs de eventos do cliente Atividade de uso para o cliente da Proteção de Informações do Azure, registradas no log de eventos local de serviços e aplicativos do Windows, Proteção de Informações do Azure.

Para obter mais informações, confira Registro em log de uso do cliente da Proteção de Informações do Azure.
Arquivos de log do cliente Logs de solução de problemas para o cliente da Proteção de Informações do Azure, localizado em %localappdata%\Microsoft\MSIP.

Esses arquivos são projetados para o suporte da Microsoft.

Além disso, as informações dos logs de uso do cliente da Proteção de Informações do Azure e do scanner da Proteção de Informações do Azure são coletadas e agregadas para criar relatórios no portal do Azure. Para obter mais informações, confira Relatórios para a Proteção de Informações do Azure.

Use as seções a seguir para obter mais informações sobre o log de uso do serviço de proteção.

Como habilitar o log para uso de proteção

O log para uso de proteção é habilitado por padrão para todos os clientes.

Não há custo extra para o armazenamento de log ou para a funcionalidade do recurso de log.

Como acessar e usar os logs de uso de proteção

A Proteção de Informações do Azure grava logs como uma série de blobs em uma conta de armazenamento do Azure que ela cria automaticamente para o locatário. Cada blob contém um ou mais registros de log, no formato de log estendido W3C. Os nomes de blob são números, na ordem em que foram criados. A seção Como interpretar os logs de uso do Azure Rights Management posteriormente neste documento contém mais informações sobre o conteúdo do log e sua criação.

Pode demorar um pouco para que os logs apareçam na sua conta de armazenamento após uma ação de proteção. A maioria dos logs aparece dentro de 15 minutos. Os logs de uso só estão disponíveis quando o nome do campo "date" contém um valor de uma data anterior (no fuso horário UTC). Os logs de uso da data atual não estão disponíveis. Recomendamos que você faça download dos logs para o armazenamento local, como uma pasta local, um banco de dados ou um repositório de redução de mapas.

Para fazer download dos logs de uso, você usará o módulo AIPService do PowerShell para a Proteção de Informações do Azure. Para obter instruções de instalação, veja Instalar o módulo AIPService do PowerShell.

Como fazer download dos logs de uso usando o PowerShell

  1. Inicie o Windows PowerShell com a opção Executar como administrador e use o cmdlet Connect-AipService para se conectar à Proteção de Informações do Azure:

    Connect-AipService
    
  2. Execute o seguinte comando para fazer download dos logs de uma data específica:

    Get-AipServiceUserLog -Path <location> -fordate <date>
    

    Por exemplo, depois de criar na unidade E: uma pasta chamada Logs:

    • Para fazer download dos logs de uma data específica (como 01/02/2016), execute o seguinte comando: Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016

    • Para fazer download dos logs de um intervalo de datas (como de 01/02/2016 a 14/02/2016), execute o seguinte comando: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016

Quando você especifica apenas o dia, como nos exemplos, a hora é assumida como 00:00:00 em seu fuso horário local e, em seguida, convertida para UTC. Quando você especifica uma hora com seus parâmetros -fromdate ou -todate (por exemplo, -fordate "2/1/2016 15:00:00"), essa data e hora são convertidas em UTC. O comando Get-AipServiceUserLog, em seguida, obtém os logs para esse período de tempo UTC.

Não é possível especificar menos de um dia inteiro para download.

Por padrão, esse cmdlet usa três threads para fazer download dos logs. Se você tiver largura de banda de rede suficiente e quiser diminuir o tempo necessário para fazer download dos logs, use o parâmetro -NumberOfThreads, que oferece suporte a um valor de 1 a 32. Por exemplo, se você executar o seguinte comando, o cmdlet gerará dez threads para baixar os logs: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10

Dica

É possível agregar todos os arquivos de log baixados em um formato CSV usando o Log Parser da Microsoft, que é uma ferramenta para converter entre vários formatos de log conhecidos. É possível também usar essa ferramenta para converter dados para o formato SYSLOG ou importá-los para um banco de dados. Depois de instalar a ferramenta, execute LogParser.exe /? para obter ajuda e informações sobre como usar essa ferramenta.

Por exemplo, você pode executar o seguinte comando para importar todas as informações para um formato de arquivo .log: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"

Como interpretar os logs de uso

Use as informações a seguir para ajudar na interpretação dos logs de uso de proteção.

A sequência de log

A Proteção de Informações do Azure grava os logs como uma série de blobs.

Cada entrada no log tem um carimbo de data/hora UTC. Como o serviço de proteção é executado em vários servidores em vários data centers, às vezes os logs podem parecer estar fora de sequência, mesmo quando são classificados pelo carimbo de data/hora. No entanto, a diferença é pequena e geralmente não passa de um minuto. Na maioria dos casos, isso não é um problema para a análise de log.

O formato blob

Cada blob está no formato de log estendido do W3C. Ele começa com as duas linhas a seguir:

#Software: RMS

#Version: 1.1

A primeira linha identifica que esses são logs de proteção da Proteção de Informações do Azure. A segunda linha identifica que o restante do blob segue a especificação da versão 1.1. Recomendamos que todos os aplicativos que analisam esses logs verifiquem essas duas linhas antes de continuar a analisar o restante do blob.

A terceira linha enumera uma lista de nomes de campo separados por guias:

#Fields: date time row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user

Cada uma das linhas subsequentes é um registro de log. Os valores dos campos estão na mesma ordem da linha anterior e são separados por guias. Use a seguinte tabela para interpretar os campos:

Nome do campo Tipo de dados do W3C Descrição Valor de exemplo
date Data Data UTC em que a solicitação foi atendida.

A origem é o relógio local no servidor que atendeu a solicitação.
2013-06-25
time Hora Fuso horário UTC no formato de 24 horas quando a solicitação foi atendida.

A origem é o relógio local no servidor que atendeu a solicitação.
21:59:28
row-id Texto GUID exclusivo para esse registro de log. Se um valor não estiver presente, use o valor correlation-id para identificar a entrada.

Esse valor é útil quando logs são agregados ou copiados em outro formato.
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63
request-type Nome Nome da API do RMS solicitada. AcquireLicense
id de usuário String O usuário que fez a solicitação.

O valor é colocado entre aspas simples. As chamadas de uma chave de locatário gerenciada por você (BYOK) têm um valor de ", que também se aplica quando os tipos de solicitação são anônimos.
'joe@contoso.com'
result String 'Sucess' se a solicitação foi atendida com sucesso.

O tipo de erro entre aspas simples se a solicitação falhar.
'Success'
correlation-id Texto GUID que é comum entre o log do cliente RMS e o log do servidor para uma determinada solicitação.

Esse valor pode ser útil para ajudar a solucionar problemas do cliente.
cab52088-8925-4371-be34-4b71a3112356
content-id Texto GUID, entre chaves, que identifica o conteúdo protegido (por exemplo, um documento).

Esse campo terá um valor somente se o tipo de solicitação for AcquireLicense e estiver em branco para todos os outros tipos de solicitação.
{bb4af47b-cfed-4719-831d-71b98191a4f2}
owner-email String Endereço de email do proprietário do documento.

Esse campo ficará em branco se o tipo de solicitação for RevokeAccess.
alice@contoso.com
issuer String Endereço de e-mail do emissor do documento.

Esse campo ficará em branco se o tipo de solicitação for RevokeAccess.
alice@contoso.com (ou) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com'
template-id String ID do modelo usado para proteger o documento.

Esse campo ficará em branco se o tipo de solicitação for RevokeAccess.
{6d9371a6-4e2d-4e97-9a38-202233fed26e}
file-name String Nome de arquivo de um documento protegido que é rastreado usando o cliente da Proteção de Informações do Azure para Windows.

Atualmente, alguns arquivos (como documentos do Office) são exibidos como GUIDs em vez do nome de arquivo real.

Esse campo ficará em branco se o tipo de solicitação for RevokeAccess.
TopSecretDocument.docx
date-published Data Data em que o documento foi protegido.

Esse campo ficará em branco se o tipo de solicitação for RevokeAccess.
2015-10-15T21:37:00
c-info String Informações sobre a plataforma do cliente que está fazendo a solicitação.

A sequência específica varia, dependendo do aplicativo (por exemplo, o sistema operacional ou o navegador).
'MSIPC;version=1.0.623.47;AppName=WINWORD.EXE;AppVersion=15.0.4753.1000;AppArch=x86;OSName=Windows;OSVersion=6.1.7601;OSArch=amd64'
c-ip Address Endereço IP do cliente que faz a solicitação. 64.51.202.144
admin-action Bool Se um administrador acessou o site de rastreamento de documentos no modo Administrador. Verdadeiro
acting-as-user String O endereço de email do usuário para o qual um administrador está acessando o site de rastreamento de documentos. 'joe@contoso.com'

Exceções para o campo user-id

Embora o campo user-id geralmente indique o usuário que fez a solicitação, há duas exceções em que o valor não é mapeado para um usuário real:

  • O valor 'microsoftrmsonline@<YourTenantID>.rms.<region>.aadrm.com'.

    Isso indica que um serviço do Office 365, como o Exchange Online ou o Microsoft SharePoint, está fazendo a solicitação. Na sequência, <YourTenantID> é o GUID do locatário e <region> é a região onde o locatário está registrado. Por exemplo, na representa a América do Norte, eu representa a Europa e ap representa a Ásia.

  • Se você estiver usando o conector RMS.

    As solicitações desse conector são registradas em log com o nome da entidade de serviço Aadrm_S-1-7-0, que é gerado automaticamente ao instalar o conector RMS.

Tipos de solicitação típicos

Há muitos tipos de solicitação para o serviço de proteção, mas a tabela a seguir identifica alguns dos tipos de solicitação mais usados.

Tipo de solicitação Descrição
AcquireLicense Um cliente de um computador baseado no Windows está solicitando uma licença para conteúdo protegido.
AcquirePreLicense Um cliente, em nome do usuário, está solicitando uma licença para conteúdo protegido.
AcquireTemplates Uma chamada foi feita para adquirir modelos com base em IDs de modelo
AcquireTemplateInformation Uma chamada foi feita para obter as IDs do modelo do serviço.
AddTemplate Uma chamada é feita a partir do portal do Azure para adicionar um modelo.
AllDocsCsv Uma chamada é feita a partir do site de rastreamento de documentos para fazer download do arquivo CSV da página Todos os Documentos.
BECreateEndUserLicenseV1 Uma chamada é feita a partir de um dispositivo móvel para criar uma licença de usuário final.
BEGetAllTemplatesV1 Uma chamada é feita a partir de um dispositivo móvel (back-end) para obter todos os modelos.
Certify O cliente está certificando o usuário para o consumo e a criação de conteúdo protegido.
FECreateEndUserLicenseV1 Semelhante à solicitação AcquireLicense, mas a partir de dispositivos móveis.
FECreatePublishingLicenseV1 O mesmo que Certify e GetClientLicensorCert combinados, a partir de clientes móveis.
FEGetAllTemplates Uma chamada é feita a partir de um dispositivo móvel (front-end) para obter os modelos.
FindServiceLocationsForUser Uma chamada é feita para consultar URLs, que são usadas para chamar Certify ou AcquireLicense.
GetClientLicensorCert O cliente está solicitando um certificado de publicação (que é usado posteriormente para proteger o conteúdo) de um computador baseado no Windows.
GetConfiguration Um cmdlet do Azure PowerShell é chamado para obter a configuração do locatário do Azure RMS.
GetConnectorAuthorizations Uma chamada é feita a partir dos conectores RMS para obter sua configuração da nuvem.
GetRecipients Uma chamada é feita a partir do site de rastreamento de documentos para navegar até o modo de exibição de lista de um único documento.
GetTenantFunctionalState O portal do Azure está verificando se o serviço de proteção (Azure Rights Management) está ativado.
KeyVaultDecryptRequest O cliente está tentando descriptografar o conteúdo protegido por RMS. Aplicável apenas para uma chave de locatário gerenciada pelo cliente (BYOK) no Azure Key Vault.
KeyVaultGetKeyInfoRequest Uma chamada é feita para verificar se a chave especificada para ser usada no Azure Key Vault para a chave de locatário da Proteção de Informações do Azure está acessível e ainda não foi usada.
KeyVaultSignDigest Uma chamada é feita quando uma chave gerenciada pelo cliente (BYOK) no Azure Key Vault é usada para fins de registro. Isso é chamado normalmente uma vez por AcquireLicence (ou FECreateEndUserLicenseV1), Certify e GetClientLicensorCert (ou FECreatePublishingLicenseV1).
KMSPDecrypt O cliente está tentando descriptografar o conteúdo protegido por RMS. Aplicável apenas para uma chave de locatário gerenciada pelo cliente (BYOK) herdada.
KMSPSignDigest Uma chamada é feita quando uma chave gerenciada pelo cliente (BYOK) herdada é usada para fins de registro. Isso é chamado normalmente uma vez por AcquireLicence (ou FECreateEndUserLicenseV1), Certify e GetClientLicensorCert (ou FECreatePublishingLicenseV1).
ServerCertify Uma chamada é feita a partir de um cliente habilitado para RMS (como o SharePoint) para certificar o servidor.
SetUsageLogFeatureState Uma chamada é feita para habilitar o log de uso.
SetUsageLogStorageAccount Uma chamada é feita para especificar a localização dos logs do serviço Azure Rights Management.
UpdateTemplate Uma chamada é feita a partir do portal do Azure para atualizar um modelo existente.

Logs de uso de proteção e log de auditoria unificado do Microsoft 365

Acesso a arquivos e eventos negados atualmente não incluem um nome de arquivo e não estão acessíveis no log de auditoria unificado do Microsoft 365. Esses eventos serão aprimorados para serem autônomos, úteis e adicionados a partir do Rights Management Service posteriormente.

Referência do PowerShell

O único cmdlet do PowerShell que você precisa para acessar o log de uso de proteção é Get-AipServiceUserLog.

Para obter mais informações sobre como usar o PowerShell para a Proteção de Informações do Azure, confira Administrando a proteção da Proteção de Informações do Azure usando o PowerShell.