この記事では、Microsoft Purview Information Protection スキャナーのカスタム レポート機能 (プレビュー) について説明します。 カスタム レポートを使用すると、スキャナー管理者はスキャナー クラスター データベースで必要なデータを取得し、スキャン結果に対して独自のレポートを作成できます(ラベル付け、保護状態、一致する機密情報の種類 (SID) など)。
カスタム レポートは、Microsoft Purview Information Protection クライアントおよびスキャナー バージョン 3.2.89.0 以降で使用できます。 カスタム レポートは、 スキャナー機能コントロールを使用して管理者によって有効になります。
カスタム レポートで有効にする機能
現在、スキャナーはスキャンごとの CSV レポートと TXT レポートを生成し、クラスター データベースに限られた運用データのセットを格納します。 ファイルの状態 (変更内容、ラベル付け内容、保護対象、機密データの種類など) の全体像を構築するには、管理者はスキャン サイクル間で複数の CSV エクスポートを結合し、それらを別のレポート ツールに読み込む必要があります。
カスタム レポートは、管理者が次のことができるように、そのデータをスキャナー クラスター データベースに移動します。
- リポジトリ内のスキャンされたすべてのファイルについて、現在および以前のラベル、保護状態、SIT カウントを照会します。
- スキャン間の差分を計算します (たとえば、ファイルごとの一致した SID の数の変化)。
- どのファイルに一致した機密情報の種類と、種類ごとに一致する数を確認します。
- 最初に CSV エクスポートを一緒にステッチすることなく、スキャナー クラスター データベースを任意のレポート ツール (Power BI、エンタープライズ レポート ウェアハウス、SQL ベースのダッシュボード ツールなど) に接続します。
スキャナーは真実の源のままです。 カスタム レポートは、機能が有効になった後の次のスキャン サイクルで、同じ共有スキャナー クラスター データベースに追加のレポート データを書き込みます。
データベース スキーマ
カスタム レポートで必要なレポート テーブルと列は、クライアント バージョン 3.2.57.0 のスキャナー クラスター データベース スキーマに最初に追加されました。 カスタム レポートが有効になるまで、新しい列とテーブルは存在しますが、設定されません。 既存のスキャナー機能は変更されません。
注:
最初にクライアント バージョン 3.2.57.0 をインストールする必要はありません。 スキャナーを新規にインストールする場合も、以前のバージョンからアップグレードする場合でも、スキャナーはインストールまたはアップグレード時に完全なデータベース スキーマ (カスタム レポート テーブルと列を含む) をデプロイします。
スキャナー機能コントロールを使用してカスタム レポートを有効にすると、スキャナーは次のスキャン サイクルで次のデータの入力を開始します。
への追加 dbo.ScannerFiles
dbo.ScannerFiles は、スキャンされたファイルごとに 1 つの行を保持し続けます。 カスタム レポートでは、ファイルの状態と現在のスキャンと以前のスキャンの間の差分をキャプチャするために、次の追加の列が設定されます。
| 列 | 種類 | 説明 |
|---|---|---|
LabelName |
NVARCHAR(MAX)許容 |
ファイルに適用されている現在のラベル名。
NULL ラベルが付いていない場合は 。 |
PrevLabelId |
NVARCHAR(MAX)許容 |
前のスキャンで適用されたラベル ID。文字列として格納されます。
NULL 以前にラベルが付いていない場合は 。 |
PrevLabelName |
NVARCHAR(MAX)許容 |
前のスキャンで適用されたラベル名。
NULL 以前にラベルが付いていない場合は 。 |
ProtectionState |
NVARCHAR(MAX)許容 |
スキャンの最後にあるファイルの現在の保護状態。 |
PrevProtectionState |
NVARCHAR(MAX)許容 |
前のスキャンで記録された保護状態。 |
ClassificationCount |
INT既定 0 |
現在のスキャン時にファイルに一致する機密情報の種類の数。 |
LatestScanSessionId |
UNIQUEIDENTIFIER許容 |
ファイルにタッチした最新のスキャン セッションを識別します。 スキャン サイクル間の差分を計算するために使用されます。 |
FileStatus |
NVARCHAR(MAX)許容 |
スキャン サイクルでのファイルの最終的な処理 (たとえば、 ProcessJobによって設定された必要な理由の状態、処理できなかったファイルの Failed など)。 |
新しいテーブル: dbo.MatchedClassificationAction
dbo.MatchedClassificationAction は、スキャンごとにファイルごとに一致する機密情報の種類を格納する新しいテーブルです。 各行は、1 つのスキャン セッション内の 1 つのファイルに一致する 1 つの SIT を表します。
| 列 | 種類 | 説明 |
|---|---|---|
Id |
BIGINT IDENTITY (主キー) |
行のサロゲート キー。 |
FilePath |
NVARCHAR(MAX)許容 |
SIT が一致したファイルの完全パス。 |
FileHashPath |
BINARY(64)許容 |
ファイル パスのハッシュ。
dbo.ScannerFiles.HashPathに結合され、結合のパフォーマンスのためにインデックスが作成されます。 |
ScanSessionId |
UNIQUEIDENTIFIER許容 |
SIT が一致したスキャン セッションを識別します。
dbo.ScannerFiles.ScanSessionIdに結合され、インデックスが作成されます。 |
MatchedInformationTypeName |
NVARCHAR(MAX)許容 |
一致する機密情報の種類 (たとえば、 U.S. social security number (SSN)) の表示名。 |
MatchedInformationTypeId |
UNIQUEIDENTIFIER許容 |
一致した SIT の GUID。
Workload=OnPremisesFileShareScannerのローカル Microsoft Purview Information Protection ログでも同じ GUID が使用されます。 |
MatchedInformationTypeCount |
INT既定 0 |
ファイル内のこの SIT の一致数。 |
ConfidenceScore |
INT既定 0 |
試合の信頼度スコア。 |
dbo.ScanSummary (スキャンごとの合計) は変更されません。
カスタム レポートが回答できる質問の例
カスタム レポートがデータベースに設定されると、管理者は次のようなクエリを実行できます。
- 一致する SID の濃度が最も高いリポジトリはどれですか。最後のスキャン以降、その濃度はどのように変化していますか?
- 最新のスキャン サイクル中にラベル付けまたは再ラベル付けされたファイルと、前のラベルは何でしたか?
- ラベルが付いていないが、1 つ以上の機密情報の種類に一致するものが含まれているファイルはどれですか?
- 特定のリポジトリで最も一般的な機密情報の種類と、どのような信頼度がありますか?
- 前回のスキャン以降、保護されていないファイルから保護されたファイル (または逆のファイル) に移行されたファイルはどれですか?
カスタム レポートを有効にする
カスタム レポートは、管理者が制御する 機能構成によってオンになります。 スキャナー クラスター内の任意のノードから、次を実行します。
Set-ScannerConfiguration -FeatureSettings @{CustomReporting="On"}
新しいスキャナー ノードでインストール時にカスタム レポートを有効にするには、Install-Scanner で -FeatureSettings パラメーターを使用します。
Install-Scanner -SqlServerInstance SQLSERVER1 -Cluster Europe -FeatureSettings @{CustomReporting="On"}
現在の状態を確認するには、次を実行します。
Get-ScannerConfiguration
この変更は、次のスキャン サイクルでクラスター内のすべてのノードに対して有効になります。 サービスの再起動は必要ありません。
カスタム レポートの列とテーブルの設定を停止するには、次のコマンドを実行します。
Set-ScannerConfiguration -FeatureSettings @{CustomReporting="Off"}
カスタム レポートを無効にすると、新しい書き込みが停止します。 レポート列とテーブルに既に書き込まれているデータは削除されないため、後でデータを失うことなく機能を再度有効にすることができます。
レポート用にスキャナー クラスター データベースを計画する
カスタム レポートを有効にすると、スキャナー クラスター データベースには、スキャン サイクルごとに大幅に多くのデータが格納されます。 dbo.ScannerFiles内のファイルごとに追加の列に加え、 dbo.MatchedClassificationActionのスキャンごとに一致する SIT ごとに 1 行が格納されます。 スキャナー クラスター データベースに対してレポートを作成すると、スキャナーの運用読み取りと書き込みと共に実行される読み取りワークロードも追加されます。
運用環境でカスタム レポートを有効にする前に、次のことを検討してください。
- クラスター サイズとスキャン ボリューム。 1 サイクルあたりにスキャンされたファイルの数、ファイルごとの SIT 一致の一般的な数、スキャンする頻度を見積もります。 これらの数値を使用して、データベースのサイズを変更します。
- 運用上の影響。 スキャナーが書き込むのと同じデータベースに対してクエリを報告すると、スキャン サイクル中にスキャナーとリソースを競合させることができます。
- 実際に必要なレポート ワークロード。 対話型ダッシュボード、スケジュールされた抽出、アドホック クエリは、それぞれ非常に異なる影響を与えます。
ほとんどの運用環境のデプロイでは、読み取り専用レプリカをレポート専用にできるように、SQL Server Enterpriseでスキャナー クラスター データベースをホストすることをお勧めします。 SQL Server Always On可用性グループを使用すると、レポート トラフィックを読み取り可能なセカンダリ レプリカにルーティングして、レポート クエリがプライマリ レプリカ上のスキャナーの運用ワークロードと競合しないようにすることができます。
この分離により、レポート ツール (Power BI など) は、プライマリのスキャン スループットに影響を与えることなく、読み取り専用レプリカに接続し、独自の間隔で更新できます。
注:
スキャナー自体は常にプライマリ データベースから読み取り、書き込みを行います。 読み取り専用レプリカでは、カスタム レポート ワークロードのみを指す必要があります。
プレビュー中の制限事項
- このプレビューでは、カスタム レポートと共に提供される組み込みのダッシュボードはありません。 お客様は、スキャナー クラスター データベースに対して独自のレポートを作成します。
- 管理者が制御する機能構成によって構成された設定は、Microsoft Purview ポータルと同期されません。 すべてのスキャナー機能がポータルから構成できるわけではありません。 ポータルで使用でき、そこで構成されている機能の場合、ポータルで構成された設定が優先され、PowerShell からの更新が禁止されます。