Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O log de auditoria unificado fornece acesso a eventos de auditoria. Esses eventos mostram quais rótulos os usuários estão aplicando, manual ou automaticamente, em qualquer aplicativo ou serviço integrado ao SDK do Microsoft Information Protection (MIP). Os parceiros de desenvolvimento que usam o SDK podem habilitar essa funcionalidade para exibir informações de seus aplicativos em relatórios de clientes.
Habilitando a auditoria
Por padrão, o MIP SDK não envia eventos de auditoria. A auditoria deve ser habilitada em uma ou mais políticas de rótulo para que os eventos de auditoria sejam acionados a partir de aplicativos habilitados para MIP SDK.
Para enviar dados de auditoria, habilite a seguinte configuração avançada.
Adicione a seguinte política configuração avançada usando o PowerShell do & Centro de Conformidade de Segurança:
- Chave: AtivarAuditoria
- Valor: True
Por exemplo, se a sua política de etiquetas se chamar "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="True"}Observação
Por padrão, essa configuração avançada não está presente na política e os logs de auditoria não são enviados.
Tipos de Eventos
Há três tipos de eventos que podem ser enviados por meio do SDK para o Microsoft Purview. Eventos de pulsação, eventos de descoberta e eventos de alteração
Eventos Heartbeat
Os eventos de pulsação são gerados automaticamente para qualquer aplicação integrada ao File SDK. Os eventos de pulsação aparecem no log de auditoria unificado como eventos AipHeartBeat. Os eventos relacionados ao ritmo cardíaco incluem:
- Id de Inquilino
- Tempo gerado
- Nome Principal do Usuário
- Nome da máquina onde a auditoria foi gerada
- Nome do Processo
- Plataforma
- ID do aplicativo - Corresponde ao ID do aplicativo Microsoft Entra.
Esses eventos são úteis para detetar aplicativos em toda a empresa que estão usando o SDK da Proteção de Informações da Microsoft.
Eventos de descoberta
Os eventos de descoberta fornecem informações sobre informações rotuladas lidas ou consumidas com o File SDK. Esses eventos são úteis à medida que revelam os dispositivos, a localização e os usuários que estão acessando informações em uma organização. Os eventos de descoberta aparecem no log de auditoria unificado como eventos AipDiscover.
Esses eventos são enviados para auditoria, definindo o AuditDiscoveryEnabled parâmetro como true ao criar um novo mip::FileHandler. Além disso, um identificador de conteúdo que identifica o arquivo em algum formato legível por humanos é fornecido. O caminho do arquivo geralmente deve ser usado para esse identificador.
O exemplo a seguir cria um novo mip::FileHandler com a funcionalidade de descoberta de auditoria ativada. O método CreateFileHandler() é chamado no mip::FileEngine, e AuditDiscoveryEnabled é definido como verdadeiro. Depois que o rótulo FileHandler é lido, uma auditoria de reconhecimento é gerada.
// Create FileHandler with discovery enabled
auto handlerPromise = std::make_shared<std::promise<std::shared_ptr<FileHandler>>>();
auto handlerFuture = handlerPromise->get_future();
fileEngine->CreateFileHandlerAsync(inputFilePath, actualFilePath, true /*AuditDiscoveryEnabled*/, make_shared<FileHandlerObserver>(), createFileHandlerPromise);
auto handler = handlerFuture.get();
// Read label. This generates the discovery audit.
auto label = handler->GetLabel();
Alterar eventos
Os eventos de alteração fornecem informações sobre o arquivo, o rótulo que foi aplicado ou alterado e quaisquer justificativas fornecidas pelo usuário. Os eventos de mudança são gerados ao chamar NotifyCommitSuccessful() no mip::FileHandler, depois que uma mudança é confirmada com êxito em um ficheiro. Os eventos de alteração podem aparecer na auditoria unificada como AipSensitivityLabelAction, AipProtectionAction ou AipFileDeleted.
// Create labeling options, set label
string contentId = "C:\\users\\myuser\\Documents\\MyPlan.docx";
mip::LabelingOptions labelingOptions(mip::AssignmentMethod::PRIVILEGED);
handler->SetLabel(labelId, labelingOptions, mip::ProtectionSettings());
auto commitPromise = std::make_shared<std::promise<bool>>();
auto commitFuture = commitPromise->get_future();
// CommitAsync() returns a bool. If the change was successful, call NotifyCommitSuccessful().
fileHandler->CommitAsync(outputFile, commitPromise);
if(commitFuture.get()) {
// Submit audit event.
handler->NotifyCommitSuccessful(contentId);
}