Auditoria no SDK do MIP

O portal Purview fornece acesso a relatórios de auditoria através do explorador de atividades. Esses relatórios fornecem visibilidade sobre os rótulos que os usuários aplicam, manual ou automaticamente, em todos os aplicativos que integraram o MIP SDK. Os parceiros de desenvolvimento que utilizam o SDK podem facilmente habilitar essa funcionalidade, permitindo que as informações de seus aplicativos apareçam nos relatórios dos clientes.

Tipos de Eventos

Há três tipos de eventos de auditoria que podem ser enviados por meio do SDK. Eventos de pulsação, eventos de descoberta e eventos de alteração

Eventos Heartbeat

Os eventos de pulsação são gerados automaticamente para qualquer aplicação que tenha integrado o Policy SDK. Os eventos relacionados ao ritmo cardíaco incluem:

  • Id de Inquilino
  • Tempo gerado
  • Nome Principal do Usuário
  • Nome da máquina onde a auditoria foi gerada
  • Nome do Processo
  • Plataforma
  • ID do aplicativo - Corresponde ao ID do aplicativo Microsoft Entra.

Esses eventos são úteis para detetar aplicativos em toda a empresa que estão usando o SDK da Proteção de Informações da Microsoft.

Eventos de descoberta

Os eventos de descoberta fornecem informações sobre informações rotuladas que são lidas ou consumidas pelo SDK de política. Esses eventos são úteis à medida que revelam os dispositivos, a localização e os usuários que estão acessando informações em uma organização.

Os eventos de descoberta são gerados no Policy SDK, definindo um sinalizador ao criar o mip::PolicyHandler objeto. No exemplo abaixo, o valor de isAuditDiscoveryEnabled é definido como true. Quando mip::ExecutionState for passado para ComputeActions() ou GetSensitivityLabel() (com informações de metadados e identificador de conteúdo existentes), as informações de descoberta serão submetidas ao explorador de atividades do Microsoft Purview.

A auditoria de descoberta é gerada quando o aplicativo chama ComputeActions() ou GetSensitivityLabel() e fornece mip::ExecutionState. Esse evento é gerado apenas uma vez por manipulador.

Analise a documentação de conceitos para obter mais detalhes sobre o mip::ExecutionState estado de execução.

// Create PolicyHandler, passing in true for isAuditDiscoveryEnabled
auto handler = mEngine->CreatePolicyHandler(true);

// Returns vector of mip::Action and generates discovery event.
auto actions = handler->ComputeActions(*state);

//Or, get the label for a given state
auto label = handler->GetSensitivityLabel(*state);

Na prática, isAuditDiscoveryEnabled deve estar true durante a mip::PolicyHandler construção, para permitir que as informações de acesso ao arquivo fluam para o explorador de atividades.

Alterar evento

Os eventos de alteração fornecem informações sobre o arquivo, o rótulo que foi aplicado ou alterado e quaisquer justificativas fornecidas pelo usuário. Os eventos de alteração são gerados ao chamar NotifyCommittedActions() no mip::PolicyHandler. A chamada é feita depois de uma alteração ter sido cometida com êxito num ficheiro, passando o mip::ExecutionState que foi usado para calcular as ações.

Se o aplicativo não conseguir chamar essa função, nenhum evento de auditoria será enviado.

handler->NotifyCommittedActions(*state);

Painel de auditoria

Os eventos de auditoria enviados pelo SDK estarão disponíveis no explorador de atividades do Purview.

Próximas Etapas