Microsoft Information Protection und Auditlogs Update

Aus der Public Preview ist nun ein ausgereifter Service geworden und es werden Auditlogs für Events in Microsoft Information Protection angezeigt. Wie und was und warum erläutere ich in diesem Blogpost.

Audit Logs

Wo? Microsoft Purview Center -> Überwachungsprotokolle

Die Audit Logs müssen einmal eingeschaltet werden und können dann hier eingesehen oder auch in ein SOC Siem überführt werden. Neben den Audit Logs findet ihr Informationen über die Anwendung von Informationsschutz im Compliance Center unter dem Punkt “Datenklassifizierung” und dort im Aktivitätenexplorer, der die Informationen der Auditlogs graphisch darstellt.

Welche Auditlogs gibt es für Azure Information Protection?

Die folgenden Ereignisse werden angezeigt: 

  • Auf Datei zugegriffen
  • Datei gefunden
  • Vertraulichkeitsbezeichnung angewendet
  • Vertraulichkeitsbezeichnung aktualisiert
  • Vertraulichkeitsbezeichnung entfernt
  • Datei entfernt
  • Schutz angewendet
  • Schutz geändert
  • Schutz entfernt
  • AIP-Takt empfangen
    (Informationen zu Labels vom Client empfangen)

Screenshots 

Übersicht

Detaillierte Ansicht eines Elementes

 

Detail
Datum
2022-08-31T19:28:19
IP-Adresse
91.17.203.106
Benutzer
i:0h.f|membership|1XXXX0@live.com
Aktivität
FileUploaded
Element
https://rakoellner-my.sharepoint.com/personal/raphael_koellner_rakoellner_com/Documents/Photos/Camera Roll/2022/08/20220831_173912000_iOS.png
Detail
 
AppAccessContext
{
    "AADSessionId": "c-4651b71ce",
    "CorrelationId": "d-5000-0452-f19cf6c05193",
    "UniqueTokenId": "EuMedGmCAA"
}
CreationTime
2022-08-31T19:28:19
 
Id
01e9fe358-08da8b86f5e5
 
Operation
FileUploaded
 
OrganizationId
90c8581a-2dfe-4a0e-94de-6627b14e98b7
 
RecordType
6
 
UserKey
i:0h.f|membership|1003@live.com
 
UserType
0
 
Version
1
 
Workload
OneDrive
 
ClientIP
91.17.203.106
 
ObjectId
https://rakoellner-my.sharepoint.com/personal/raphael_koellner_rakoellner_com/Documents/Photos/Camera Roll/2022/08/20220831_173912000_iOS.png
 
UserId
raphael.koellner@rakoellner.com
 
CorrelationId
d07860452-f19cf6c05193
 
EventSource
SharePoint
 
ItemType
File
 
ListId
af4e261d-37c7a0f174
 
ListItemUniqueId
a7e16d95a38968bc76e
 
Site
3e1fc21b-e083-4bfaa2f10
 
UserAgent
OneDriveiOSApp/13.31 (iOS/15.6.1; de_DE; Apple/iPhone)
 
WebId
eceb287b-6358-48a6
 
HighPriorityMediaProcessing
false
 
ImplicitShare
No
 
IsManagedDevice
false
 
SourceFileExtension
png
 
SiteUrl
https://rakoellner-my.sharepoint.com/personal/raphael_koellner_rakoellner_com/
SourceFileName
20220831_173912000_iOS.png
 
SourceRelativeUrl
Documents/Photos/Camera Roll/2022/08