Logg och statistik över ditt informationsskydd

En av de stora fördelarna med Azure Information Protection är att vi får spårbarhet och kan båda övervaka och återkalla känslig information oavsett var filen är lagrad. Detta gör vi enkelt via Tracking Portalen där det finns en vy för slutanvändarna att övervaka de filer de själva har skyddat, samt en vy för administratörer att söka efter både unika filer eller användare.

Det kan dock även vara intressant att få ut en del statistik för att få en översikt hur informationsskyddet faktiskt används inom verksamheten. Hur många skyddar information och hur många är det som konsumerar(läser) skyddad information och så vidare.

Det finns två sätt att lösa detta

Det finns en del färdiga rapporter i den klassiska Azure-portalen (manage.windowsazure.com) där vi även har en del nyheter.

clip_image001

Portalen är väldigt användar(administratörs)-vänligt men dessvärre något begränsat både vad gäller tidsspann och vilken information som går att generera.

Det andra sättet är att helt enkelt nyttja de centrala loggarna. Så gott som all aktivitet runt RMS loggas i separata log filer av typen W3C för varje dygn. Loggning är på som standard sedan februari 2016 och innan dess var man tvungen att aktivera det manuellt.

Men hjälp av dessa loggar kan man få fram allt man kan tänkas behöva veta om sitt informationsskydd. Allt ifrån hur många som faktiskt skyddar eller läser skyddade mail, dokument eller andra format, till hur många som återkallat information.

Loggarna laddas ner via PowerShell där man anger datum för de loggar man vill ha och laddar sedan ner dom lokalt.

clip_image002

Om man vill ta ut statistik eller söka efter ett visst värde under detta tidsspann bör man sammanfoga alla logfiler till en mer lätthanterad logg.

Log Parser är en gratis applikation som löser uppgiften och laddas hem härifrån: Microsoft’s Log Parser

clip_image003

Kommandot ovan ger oss en stor kommaseparerad (csv) fil innehållande all data. Vad man sedan gör med denna är fritt. Jag tänkte tipsa om hur jag oftast hanterar denna data för att söka efter det jag vill.

Excel är en grym programvara som ger oss möjlighet att söka och filtrera all data på ett relativt smidigt sätt.

Det kan dock bli ganska tungt vid väldigt stora mängder data.
Jag brukar då använda mig av Power BI Desktop version för att skapa både rapporter och statistik: Lokal installation av Power BI laddas hem här: https://powerbi.microsoft.com/en-us/downloads/ sedan finns även en molnvariant.

Genom att importera CSV-filen kan vi här skapa rapporter efter önskemål.

Här följer två exempel:

Ta reda på hur många som skyddar information

Använd content-id som loggar ett unikt värde för allt som RMS-skyddas tillsammans med owner-id som redovisar vem som applicerade skyddet.

clip_image001[7]

 

Ta reda på hur många som konsumerar skyddad information

Använd content-id på samma sätt men tillsammans med user-id som redovisar vem som öppnar en skyddad fil.
Välj typ av Count och använd Distinct Count för att beräkna antal unika filer som en användare dekrypterat eller en standard Count för att få reda på hur många gånger användarna öppnar skyddade filer.

Om du har en RMS Connector för lokal infrastruktur se då till att filtrera bort användaren Aadrm_S-1-7-0 som nyttjas av connectorn.
Om du aktiverat IRM-stöd i Exchange och SharePoint Online filtrera då bort användaren microsoftrmsonline@<TenantID>.rms.<region>.aadrm.com

clip_image001[9]

Genom att exportera data från varje rapport får du en skräddarsydd och lätthanterlig CSV-fil som du sedan med fördel kan importera till Excel

Vill du filtrera ut och se hur många skyddade mail eller exempelvis Word dokument som används, skapa ett filter baserat på c-info som innehåller just detta och sök på den applikation du vill filtrera på

clip_image008

Efter import i Excel har möjlighet att filtrera och söka vidare.
Filtrering på Request-type kan exempelvis visa vilka som återkallat information genom att filtrera på RevokeAccess medans AcquireLicens filtrerar ut varje gång något dekrypterats.

clip_image009

Spåra unik information

Tracking Portalen är absolut mest användarvänlig men saknar man exempelvis Premium licens och därmed tillgång till denna portal kan man även söka efter specifika filer direkt i dessa loggar.

I dagsläget är det enbart filer som krypteras via (höger klick funktionen) Classify and protect som loggar själva filnamnet under värdet file-name. Vill vi där emot exempelvis söka efter ett dokument som skyddats via Office får vi söka upp dess content-id. Om vi har tillgång till den skyddade filen ligger detta värde okrypterat och genom att öppna en RMS-krypterad fil med exempelvis Notepad kan vi identifiera värdet och sedan söka på detta värde i loggarna.

På det sättet kan vi identifiera vem eller vilka som tagit del eller försökt tagit del av informationen

clip_image010

Annonser
Det här inlägget postades i Azure Information protection, Informationssäkerhet, RMS och har märkts med etiketterna . Bokmärk permalänken.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s