Aktivitätsprotokollierung zur Verhinderung von Datenverlust
Warnung
Das in diesem Artikel dokumentierte Schema ist veraltet und wird ab Juli 2024 nicht mehr verfügbar sein. Sie können das neue Schema verwenden, das unter der Aktivitätskategorie: Datenrichtlinienereignisse verfügbar ist.
Anmerkung
Die Aktivitätsprotokollierung für Richtlinien zum Schutz vor Datenverlust ist derzeit in Sovereign Clouds nicht verfügbar.
Aktivitäten im Hinblick auf die Richtlinie zur Verhinderung von Datenverlust (DLP) werden vom Microsoft 365 Security and Compliance Center nachverfolgt.
Gehen Sie folgendermaßen vor, um DLP-Aktivitäten zu protokollieren:
Melden Sie sich beim Security & Compliance Center als Mandantenadministrator an.
Wählen Sie Suchen>Überwachungsprotokollsuche aus.
Geben Sie unter Suchen>Aktivitäten die Zeichenfolge dlp ein. Eine Liste der Aktivitäten wird angezeigt.
Wählen Sie eine Aktivität aus, klicken Sie auf einen Bereich außerhalb des Suchfensters, um es zu schließen, und wählen Sie dann Suchen aus.
Auf dem Bildschirm Überwachungsprotokollsuche können Sie Überwachungsprotokolle in vielen gängigen Diensten durchsuchen, darunter eDiscovery, Exchange, Power BI, Microsoft Entra ID, Microsoft Teams, Customer Engagement-Apps (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing und Dynamics 365 Project Service Automation) und Microsoft Power Platform.
Nach dem Zugriff auf Überwachungsprotokollsuche können Sie durch Erweitern von Aktivitäten nach bestimmten Aktivitäten filtern und dann scrollen, um den Abschnitt zu finden, der Microsoft Power Platform-Aktivitäten gewidmet ist.
Welche DLP-Ereignisse werden überwacht
Die folgenden Benutzeraktionen können Sie überwachen:
- Erstellte DLP-Richtlinie: Wenn eine neue DLP-Richtlinie erstellt wird.
- Aktualisierte DLP-Richtlinie: Wenn eine vorhandene DLP-Richtlinie aktualisiert wird.
- Gelöschte DLP-Richtlinie: Wenn eine DLP-Richtlinie gelöscht wird.
Basisschema für DLP-Überwachungsereignisse
Schemas definieren, welche Felder an das Microsoft 365 Security and Compliance Center gesendet werden. Einige Felder sind für alle Anwendungen verbreitet, die Überwachungsdaten an Microsoft 365 senden, während andere für DLP-Richtlinien bestimmt sind. In der folgenden Tabelle sind Name und Zusätzliche Informationen die zur DLP-Richtlinie gehörenden Spalten.
Feldname | Art | Obligatorisch | Beschreibung |
---|---|---|---|
Datum | Edm.Date | Nein | Datum und Uhrzeit der Erstellung der UTC-Konfiguration. |
App-Name | Edm.String | Nein | Eindeutiger Bezeichner der PowerApp |
Kennung | Edm.Guid | Nein | Eindeutige GUID für jede Zeile protokolliert |
Ergebnis-Status | Edm.String | Nein | Status der protokollierten Zeile. Erfolg in den meisten Fällen. |
Unternehmens-ID | Edm.Guid | Ja | Eindeutiger Bezeichner der Organisation, in der der Datensatz erstellt wurde. |
CreationTime | Edm.Date | Nein | Datum und Uhrzeit der Erstellung der UTC-Konfiguration. |
Vorgang | Edm.Date | Nein | Name des Vorgangs |
UserKey | Edm.String | Nein | Eindeutiger Bezeichner des Benutzers in Microsoft Entra ID |
UserType | Self.UserType | Nein | Der Überwachungstyp (Administrator, Regulär, System) |
Zusätzliche Info | Edm.String | Nr. | Weitere Informationen, falls vorhanden (z. B. der Name Umgebung) |
Zusätzliche Info
Das Feld Zusätzliche Informationen ist ein JSON-Objekt, das betriebsspezifische Eigenschaften enthält. Für eine DLP-Richtlinienoperation enthält es die folgenden Eigenschaften.
Feldname | Art | Obligatorisch? | Beschreibung |
---|---|---|---|
PolicyId | Edm.Guid | Ja | Die GUID der Richtlinie. |
PolicyType | Edm.String | Ja | Den Richtlinientyp. Zulässige Werte sind AllEnvironments, SingleEnvironment, OnlyEnvironments oder ExceptEnvironments. |
DefaultConnectorClassification | Edm.String | Ja | Die Standardklassifizierung für Connectors. Zulässige Werte sind „Allgemein“, „Blockiert“ oder „Vertraulich“. |
EnvironmentName | Edm.String | Nein | Der Name (GUID) der Umgebung. Nur für SingleEnvironment-Richtlinien vorhanden. |
ChangeSet | Edm.String | Nein | Änderungen an der Richtlinie. Nur für Aktualisierungsvorgänge vorhanden. |
Das Folgende ist ein Beispiel für das JSON-Objekt Zusätzliche Informationen für ein Ereignis zum Erstellen oder Löschen.
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "SingleEnvironment",
"defaultConnectorClassification": "General",
"environmentName": "8a11a4a6-d8a4-4c47-96d7-3c2a60efe2f5"
}
Das Folgende ist ein Beispiel für das JSON-Objekt Zusätzliche Informationen für einen Aktualisierungsvorgang, der:
- den Richtliniennamen von „oldPolicyName“ in „newPolicyName“ ändert.
- die Standardklassifizierung von „Allgemein“ in „Vertraulich“ ändert.
- den Richtlinientyp von „OnlyEnvironments“ in „ExceptEnvironments“ ändert.
- den Azure Blob Storage-Connector vom allgemeinen in den vertraulichen Bereich verschiebt.
- den Bing Maps-Connector vom allgemeinen in den blockierten Bereich verschiebt.
- den Azure Automation-Connector vom vertraulichen in den blockierten Bereich verschiebt.
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "ExceptEnvironments",
"defaultConnectorClassification": "Confidential",
"changeSet": {
"changedProperties": [
{
"name": "ApiPolicyName",
"previousValue": "oldPolicyName",
"currentValue": "newPolicyName"
},
{
"name": "DefaultConnectorClassification",
"previousValue": "General",
"currentValue": "Confidential"
},
{
"name": "DlpPolicyType",
"previousValue": "OnlyEnvironments",
"currentValue": "ExceptEnvironments"
}
],
"connectorChanges": [
{
"name": "Azure Blob Storage",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureblob",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Confidential"
}
},
{
"name": "Bing Maps",
"id": "/providers/Microsoft.PowerApps/apis/shared_bingmaps",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Blocked"
}
},
{
"name": "Azure Automation",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureautomation",
"previousValue": {
"classification": "Confidential"
},
"currentValue": {
"classification": "Blocked"
}
}
]
}
}