Аудит в пакете SDK MIP

Портал Purview предоставляет доступ к отчетам аудита через анализатор активности. Эти отчеты обеспечивают видимость меток, которые пользователи применяют вручную или автоматически, для всех приложений, интегрированных с MIP SDK. Партнеры по разработке, использующие пакет SDK, могут легко включить эту функцию, позволяя получать сведения от своих приложений в отчетах клиентов.

Типы событий

Существует три типа событий аудита, которые можно отправлять с помощью пакета SDK. События сердцебиения, события обнаружения и события изменения

События сердцебиения

События пульса создаются автоматически для любого приложения, которое интегрировано с пакетом SDK политики. События сердцебиения включают:

  • Идентификатор арендатора (TenantId)
  • Время создания
  • Основное имя пользователя
  • Имя компьютера, на котором был создан аудит
  • Имя процесса
  • Платформа
  • Идентификатор приложения — соответствует идентификатору приложения Microsoft Entra.

Эти события полезны при обнаружении приложений в вашей организации, использующих пакет SDK Microsoft Information Protection.

События обнаружения

События обнаружения предоставляют сведения о помеченных сведениях, которые считываются или используются пакетом SDK политики. Эти события полезны, так как они выявляют устройства, местоположения и пользователей, получающих доступ к информации в организации.

События обнаружения создаются в пакете SDK политики, задав флаг при создании mip::PolicyHandler объекта. В приведенном ниже примере для isAuditDiscoveryEnabled задано trueзначение . Когда mip::ExecutionState передается ComputeActions() или GetSensitivityLabel() с существующими сведениями о метаданных и идентификатором содержимого, информация об обнаружении будет отправлена в обозреватель действий Microsoft Purview.

Аудит обнаружения создается, когда приложение вызывает ComputeActions() или GetSensitivityLabel() и предоставляет mip::ExecutionState. Это событие создается только один раз для каждого обработчика.

Обратитесь к mip::ExecutionState документации по основным понятиям для получения более подробной информации о состоянии выполнения.

// Create PolicyHandler, passing in true for isAuditDiscoveryEnabled
auto handler = mEngine->CreatePolicyHandler(true);

// Returns vector of mip::Action and generates discovery event.
auto actions = handler->ComputeActions(*state);

//Or, get the label for a given state
auto label = handler->GetSensitivityLabel(*state);

На практике isAuditDiscoveryEnabled должно быть true во время mip::PolicyHandler конфигурации, чтобы разрешить передачу информации о доступе к файлам в обозреватель действий.

Изменение события

События изменения предоставляют информацию о файле, ту метку, которая была применена или изменена, и любые обоснования, предоставленные пользователем. События изменений создаются посредством вызова NotifyCommittedActions() на mip::PolicyHandler. Вызов выполняется после успешного фиксации изменения в файле, передавая mip::ExecutionState, который использовался для вычисления действий.

Если приложению не удается вызвать эту функцию, события аудита не отправляются.

handler->NotifyCommittedActions(*state);

Панель мониторинга аудита

События аудита, отправленные пакетом SDK, будут доступны в обозревателе действий Purview.

Дальнейшие шаги