Aktivitetslogging for hindring av tap av data
Advarsel!
Skjemaet som er dokumentert i denne artikkelen, er avskrevet og vil ikke være tilgjengelig fra og med juli 2024. Du kan bruke det nye skjemaet som er tilgjengelig i Aktivitetskategori: Datapolicyhendelser.
Notat
Aktivitetslogging for policyer for beskyttelse mot tap av data er for øyeblikket ikke tilgjengelig i nasjonale skyer.
Aktiviteter for policyer for hindring av datatap spores fra Sikkerhets- og samsvarssenter for Microsoft 365.
Følg denne fremgangsmåten for å logge aktiviteter for hindring av datatap:
Logg på Sikkerhets- og samsvarssenter som en leieradministrator.
Velg Søk>Søk i endringssporingslogg.
Under Søk>Aktiviteter skriver du inn dlp. En liste over aktiviteter vises.
Velg en aktivitet, velg utenfor søkevinduet for å lukke den, og velg deretter Søk.
På skjermen Søk i revisjonslogg kan du søke i revisjonslogger på tvers av mange populære tjenester, inkludert eDiscovery, Exchange, Power BI, Microsoft Entra ID, Microsoft Teams, kundeengasjementsapper (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing og Dynamics 365 Project Service Automation) og Microsoft Power Platform.
Når du har fått tilgang til Søk i revisjonslogg, kan du filtrere etter bestemte aktiviteter ved å utvide Aktiviteter og deretter rulle for å finne delen som er dedikert til Microsoft Power Platform-aktiviteter.
Hvilke DLP-hendelser spores for endringer
Følgende er brukerhandlinger du kan overvåke:
- Opprettet policy for hindring av datatap: Når en ny policy for hindring av datatap opprettes
- Oppdatert policy for hindring av datatap: Når en eksisterende policy for hindring av datatap oppdateres
- Slettet policy for hindring av datatap: Når en policy for hindring av datatap slettes
Basisskjema for DLP-hendelser for endringssporing
Skjemaer definerer hvilke felt som skal sendes til Sikkerhets- og samsvarssenter for Microsoft 365. Enkelte felt er felles for alle programmer som sender sporingsdata til Microsoft 365, mens andre er spesifikke for DLP-policyer. I tabellen nedenfor er Navn og Tilleggsinformasjon de DLP-policyspesifikke kolonnene.
| Feltnavn | Type | Obligatorisk | Beskrivelse |
|---|---|---|---|
| Dato | Edm.Date | Nei | Dato og klokkeslett da loggen ble opprettet i UTC |
| Appnavn | Edm.String | Nei | Unik identifikator for PowerApp |
| ID | Edm.Guid | Nei | Unik GUID for hver rad logget |
| Resultatstatus | Edm.String | Nei | Status for raden som er logget. Vellykket i de fleste tilfeller. |
| Organisasjons-ID | Edm.Guid | Ja | Unik ID for organisasjonen som loggen ble generert fra. |
| CreationTime | Edm.Date | Nei | Dato og klokkeslett da loggen ble opprettet i UTC |
| Operasjon | Edm.Date | Nei | Navn på operasjon |
| UserKey | Edm.String | Nei | Unik identifikator for brukeren i Microsoft Entra ID |
| UserType | Self.UserType | Nei | Sporingstypen (administrator, vanlig, system) |
| Tilleggsinformasjon | Edm.String | No | Mer informasjon hvis noen (f.eks. miljønavnet) |
Tilleggsinformasjon
Tilleggsinformasjon-feltet er et JSON-objekt som inneholder operasjonsspesifikke egenskaper. For en DLP-policyoperasjon inneholder den følgende egenskaper.
| Feltnavn | Type | Obligatorisk? | Beskrivelse |
|---|---|---|---|
| PolicyId | Edm.Guid | Ja | GUIDen til policyen. |
| PolicyType | Edm.String | Ja | Policytypen. Tillatte verdier er AllEnvironments, SingleEnvironment, OnlyEnvironments eller ExceptEnvironments. |
| DefaultConnectorClassification | Edm.String | Ja | Standard koblingsklassifisering. Tillatte verdier er Generelt, Blokkert eller Konfidensielt. |
| EnvironmentName | Edm.String | Nei | Navnet (GUID) på miljøet. Dette finnes bare for SingleEnvironment-policyer. |
| Changeset | Edm.String | Nei | Endringer som er gjort i policyen. Disse finnes bare for oppdateringsoperasjoner. |
Følgende er et eksempel på JSON Tilleggsinformasjon for en opprettings- eller slettehendelse.
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "SingleEnvironment",
"defaultConnectorClassification": "General",
"environmentName": "8a11a4a6-d8a4-4c47-96d7-3c2a60efe2f5"
}
Følgende er et eksempel på JSON Tilleggsinformasjon for en oppdateringsoperasjon som:
- Endrer policynavnet fra oldPolicyName til newPolicyName.
- Endrer standardklassifisering fra Generelt til Konfidensielt.
- Endrer policytypen fra OnlyEnvironments til ExceptEnvironments.
- Flytter koblingen for Azure Blob Storage fra Generelt- til Konfidensielt-samlingen.
- Flytter Bing-kartkoblingen fra Generelt- til Blokkert-samlingen.
- Flytter koblingen for Azure Automation fra Konfidensielt- til Blokkert-samlingen.
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "ExceptEnvironments",
"defaultConnectorClassification": "Confidential",
"changeSet": {
"changedProperties": [
{
"name": "ApiPolicyName",
"previousValue": "oldPolicyName",
"currentValue": "newPolicyName"
},
{
"name": "DefaultConnectorClassification",
"previousValue": "General",
"currentValue": "Confidential"
},
{
"name": "DlpPolicyType",
"previousValue": "OnlyEnvironments",
"currentValue": "ExceptEnvironments"
}
],
"connectorChanges": [
{
"name": "Azure Blob Storage",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureblob",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Confidential"
}
},
{
"name": "Bing Maps",
"id": "/providers/Microsoft.PowerApps/apis/shared_bingmaps",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Blocked"
}
},
{
"name": "Azure Automation",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureautomation",
"previousValue": {
"classification": "Confidential"
},
"currentValue": {
"classification": "Blocked"
}
}
]
}
}