Поделиться через


Просмотр действий с помощью журнала аудита управления внутренними рисками

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Журнал аудита управления внутренними рисками позволяет оставаться в курсе действий, выполняемых с функциями управления внутренними рисками. Этот журнал позволяет независимо просматривать действия, выполняемые пользователями, назначенными одной или нескольким группам ролей управления внутренними рисками. Журнал аудита управления внутренними рисками автоматически включается в вашей организации и не может быть отключен.

Журнал аудита управления внутренними рисками.

Журнал аудита автоматически и немедленно обновляется при каждом обнаружении определенных действий риска. Журнал аудита хранит сведения в течение 180 дней (около шести месяцев). Через 180 дней данные окончательно удаляются из журнала.

В обнаружении действий с определенными рисками относятся следующие области:

  • Политики
  • Случаях
  • Оповещения
  • Параметры
  • Пользователи
  • Шаблоны уведомлений

Для просмотра и экспорта данных из журнала аудита пользователям необходимо назначить группы ролей Управление внутренними рисками или Аудиторы управления внутренними рисками . Дополнительные сведения о группах ролей управления внутренними рисками см. в статье Начало работы с управлением внутренними рисками, шаг 1. Включение разрешений.

Примечание.

Журнал аудита управления внутренними рисками не связан с журналом аудита Microsoft 365, так как он является независимыми системами аудита и собирает сведения об отдельных областях. Отключение аудита Microsoft 365 не влияет на аудит действий в рамках управления внутренними рисками.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Просмотр действий в журнале аудита внутренних рисков

Чтобы просмотреть действия функций, обнаруженные для управления внутренними рисками, перейдите по адресу и выберите ссылку Журнал аудита внутренних рисков в правом верхнем углу вкладки управления внутренними рисками. По умолчанию для действий по управлению внутренними рисками отображаются следующие сведения:

  • Активность: Описание выявленных действий по риску, выполняемых пользователем в решении для управления внутренними рисками.
  • Категория: Область или элемент, в которых было выполнено действие по обнаружению риска. Например, в качестве категории при выполнении действий по изменению политики вы увидите политики .
  • Действие, выполняемое: Имя пользователя, выполняющего действие по обнаружению риска.
  • Дата: Дата и время выполнения действия по обнаружению риска. Дата и время — это локальная дата и время вашей организации.

Чтобы получить дополнительные сведения о зарегистрированном действии, выберите действие, чтобы отобразить область сведений о действии. Эта область содержит дополнительные сведения о действии, определяемом риском.

Столбцы и фильтрация

Чтобы упростить аудиторам проверку журналов аудита, фильтрация поддерживается в журнале аудита на основе внутренних рисков. Для базовой фильтрации доступны столбцы очередей, добавляемые в представление, чтобы предоставить различные сводки файлов и сообщений. Вы можете отфильтровать выявленные действия риска по полям Категория, Диапазон дат и Действия, выполняемые по .

Чтобы добавить или удалить заголовки столбцов для очереди, используйте элемент управления Настройка столбцов и выберите один из параметров столбца. Эти столбцы сопоставляются с распространенными условиями, поддерживаемыми в журнале аудита внутренних рисков , и перечислены далее в этой статье.

Экспорт журнала аудита

Пользователи, назначенные группам ролей "Управление внутренними рисками " или "Аудиторы управления внутренними рисками ", могут экспортировать действия журнала аудита в файл .csv (значения, разделенные запятыми), выбрав Экспорт на странице Журнал аудита внутренних рисков . В зависимости от действия журнала аудита некоторые поля могут не быть включены в отфильтрованную очередь, поэтому эти поля будут отображаться в экспортируемом файле как пустые.

Файл содержит сведения о действиях журнала аудита для следующих полей:

  • Действие, выполняемое: Имя пользователя, изменяющего значение элемента. Перечисленным здесь пользователям назначена одна или несколько из следующих групп ролей управления внутренними рисками: управление внутренними рисками, администраторы управления внутренними рисками, аналитики по управлению внутренними рисками, следователи по управлению внутренними рисками. Каждая группа ролей имеет разные уровни разрешений для управления функциями внутренних рисков.
  • Активность: Тип действия, принятого для элемента. Значения: Просмотр, Удаление, Добавлено, Измененная политика, Регистр, Пользователь, Оповещение и Параметры.
  • Добавлено: объекты, добавленные во время действия с определенным риском, например пользователи, типы файлов или домены.
  • Том оповещений: уровень объема оповещений, определенный в параметрах управления внутренними рисками.
  • Сумма: выбранные в настоящее время пользовательские значения индикатора для политики.
  • Идентификатор ресурса: идентификатор ресурса для приоритетного физического ресурса, в который было выполнено действие.
  • Категория: Категория измененного элемента. Значениями являются Политики, Варианты, Пользователи, Оповещения, Параметры и Шаблоны уведомлений.
  • Дата: Дата и время, перечисленные в локальной дате и времени вашей организации.
  • Описание. Описание, введенное пользователем для объекта, с которым выполняется действие (например, политика или группа пользователей с приоритетом).
  • Политика защиты от потери данных: политика Защита от потери данных Microsoft Purview (DLP), выбранная для включения в политику управления внутренними рисками.
  • Индикатор: индикатор в параметрах внутренних рисков, с которым было выполнено действие (например, добавление или удаление индикатора).
  • Шаблон уведомления: шаблон уведомления, с которым было выполнено действие по обнаружению риска.
  • Количество дней: окно активации политики, определенное в параметрах внутренних рисков.
  • Количество файлов: ограничение объема файлов, определенное в параметрах управления внутренними рисками.
  • Шаблон политики. Шаблон политики, к которому относятся индикаторы.
  • Предыдущая сумма: ранее выбранные настраиваемые значения индикатора для политики.
  • Группа приоритетных пользователей: группа пользователей с приоритетом, в рамках которых было выполнено действие по обнаружению риска.
  • Удалено: объекты, которые были удалены во время определенного действия риска, например пользователи, типы файлов или домены.
  • Отправитель: поле отправителя шаблона уведомления, в отношении которых было выполнено действие по обнаружению риска.
  • Целевая политика: политика, с помощью которых было выполнено действие по обнаружению риска (например, добавление пользователя в или удаление пользователя).
  • Текст сообщения шаблона: текст сообщения шаблона уведомления, в который было выполнено действие по обнаружению риска.
  • Тема шаблона: поле темы шаблона уведомления, с помощью которых было выполнено действие по обнаружению риска.
  • Пользователь: Пользователь, на который был выполнен определенный риск.