Journalisation des activités de protection contre la perte de données
Avertissement
Le schéma documenté dans cet article est obsolète et ne sera plus disponible à partir de juillet 2024. Vous pouvez utiliser le nouveau schéma disponible dans Catégorie d’activité : Événements de politique de données.
Note
La journalisation des activités pour les stratégies de protection contre la perte de données n’est actuellement pas disponible dans les clouds souverains.
Les activités de la politique de protection contre la perte de données (DLP) sont suivies depuis le Centre de sécurité et de conformité Microsoft 365.
Pour consigner les activités DLP, procédez comme suit :
Connectez-vous au Centre de sécurité et de conformité en tant qu’administrateur de client.
Sélectionnez Rechercher>Recherche dans les journaux d’audit.
Sous Rechercher>Activités, entrez dlp. Une liste d’activités s’affiche.
Sélectionnez une activité, cliquez en dehors de la fenêtre de recherche pour la fermer, puis sélectionnez Rechercher.
Dans l’écran Recherche de journaux d’audit, vous pouvez rechercher des journaux d’audit dans de nombreux services populaires, notamment eDiscovery, Exchange, Power BI, Microsoft Entra ID, Microsoft Teams, les applications de Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing et Dynamics 365 Project Service Automation) et Microsoft Power Platform.
Après avoir accédé à Recherche de journaux d’audit, vous pouvez filtrer des activités spécifiques en développant Activités, puis en faisant défiler pour rechercher la section dédiée aux activités de Microsoft Power Platform.
Les événements DLP audités
Voici les actions utilisateur que vous pouvez auditer :
- Stratégie DLP créée : lorsqu’une nouvelle stratégie DLP est créée
- Stratégie DLP mise à jour : lorsqu’une stratégie DLP existante est mise à jour
- Stratégie DLP supprimée : lorsqu’une stratégie DLP est supprimée
Schéma de base pour les événements d’audit DLP
Les schémas définissent les champs envoyés au Centre de sécurité et conformité Microsoft 365. Certains champs sont communs à toutes les applications qui envoient des données d’audit à Microsoft 365, tandis que d’autres sont spécifiques aux politiques de protection contre la perte de données. Dans le tableau suivant, Nom et Information supplémentaires sont les colonnes spécifiques à la stratégie DLP.
| Nom du champ | Type | Obligatoire | Description |
|---|---|---|---|
| Date | Edm.Date | Non | Date et heure UTC de génération du journal |
| Nom de l’application | Edm.String | Non | Identificateur unique de PowerApp |
| ID | Edm.Guid | Non | GUID unique pour chaque ligne enregistrée |
| Statut du résultat | Edm.String | Non | Statut de la ligne enregistrée. Réussite dans la plupart des cas. |
| ID de l’organisation | Edm.Guid | Oui | Identificateur unique de l’organisation depuis laquelle le journal a été généré. |
| CreationTime | Edm.Date | Non | Date et heure UTC de génération du journal |
| Opération | Edm.Date | Non | Nom de l’opération |
| UserKey | Edm.String | Non | Identificateur unique de l’utilisateur dans Microsoft Entra ID |
| UserType | Self.UserType | Non | Type d’audit (administrateur, standard, système) |
| Informations supplémentaires | Edm.String | No | Plus d’informations si nécessaire (par exemple le nom environnement) |
Informations supplémentaires
Le champ Informations supplémentaires est un objet JSON qui contient des propriétés spécifiques à l’opération. Pour une opération de stratégie DLP, elle contient les propriétés suivantes.
| Nom du champ | Type | Obligatoire ? | Description |
|---|---|---|---|
| PolicyId | Edm.Guid | Oui | GUID de la stratégie. |
| PolicyType | Edm.String | Oui | Type de stratégie. Les valeurs autorisées sont AllEnvironments, SingleEnvironment, OnlyEnvironments ou ExceptEnvironments. |
| DefaultConnectorClassification | Edm.String | Oui | Classification de connecteurs par défaut. Les valeurs autorisées sont Général, Bloqué ou Confidentiel. |
| EnvironmentName | Edm.String | Non | Nom (GUID) de l’environnement. Celui-ci n’est présent que pour les stratégies SingleEnvironment. |
| ChangeSet | Edm.String | Non | Modifications apportées à la stratégie. Celles-ci ne sont présentes que pour les opérations de mise à jour. |
Voici un exemple du JSON Informations supplémentaires pour un événement de création ou de suppression.
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "SingleEnvironment",
"defaultConnectorClassification": "General",
"environmentName": "8a11a4a6-d8a4-4c47-96d7-3c2a60efe2f5"
}
Voici un exemple du JSON Informations supplémentaires pour une opération de mise à jour qui :
- Modifie le nom de la stratégie de oldPolicyName en newPolicyName.
- Modifie la classification par défaut de Général en Confidentiel.
- Modifie le type de stratégie de OnlyEnvironments en ExceptEnvironments.
- Déplace le connecteur Azure Blob Storage du compartiment Général vers le compartiment Confidentiel.
- Déplace le connecteur Bing Maps du compartiment Général vers le compartiment Bloqué.
- Déplace le connecteur Azure Automation du compartiment Confidentiel vers le compartiment Bloqué.
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "ExceptEnvironments",
"defaultConnectorClassification": "Confidential",
"changeSet": {
"changedProperties": [
{
"name": "ApiPolicyName",
"previousValue": "oldPolicyName",
"currentValue": "newPolicyName"
},
{
"name": "DefaultConnectorClassification",
"previousValue": "General",
"currentValue": "Confidential"
},
{
"name": "DlpPolicyType",
"previousValue": "OnlyEnvironments",
"currentValue": "ExceptEnvironments"
}
],
"connectorChanges": [
{
"name": "Azure Blob Storage",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureblob",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Confidential"
}
},
{
"name": "Bing Maps",
"id": "/providers/Microsoft.PowerApps/apis/shared_bingmaps",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Blocked"
}
},
{
"name": "Azure Automation",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureautomation",
"previousValue": {
"classification": "Confidential"
},
"currentValue": {
"classification": "Blocked"
}
}
]
}
}