Просмотр действий с помощью журнала аудита управления внутренними рисками
Важно!
Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.
Журнал аудита управления внутренними рисками позволяет оставаться в курсе действий, выполняемых с функциями управления внутренними рисками. Этот журнал позволяет независимо просматривать действия, выполняемые пользователями, назначенными одной или нескольким группам ролей управления внутренними рисками. Журнал аудита управления внутренними рисками автоматически включается в вашей организации и не может быть отключен.
Журнал аудита автоматически и немедленно обновляется при каждом обнаружении определенных действий риска. Журнал аудита хранит сведения в течение 180 дней (около шести месяцев). Через 180 дней данные окончательно удаляются из журнала.
В обнаружении действий с определенными рисками относятся следующие области:
- Политики
- Случаях
- Оповещения
- Параметры
- Пользователи
- Шаблоны уведомлений
Для просмотра и экспорта данных из журнала аудита пользователям необходимо назначить группы ролей Управление внутренними рисками или Аудиторы управления внутренними рисками . Дополнительные сведения о группах ролей управления внутренними рисками см. в статье Начало работы с управлением внутренними рисками, шаг 1. Включение разрешений.
Примечание.
Журнал аудита управления внутренними рисками не связан с журналом аудита Microsoft 365, так как он является независимыми системами аудита и собирает сведения об отдельных областях. Отключение аудита Microsoft 365 не влияет на аудит действий в рамках управления внутренними рисками.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Просмотр действий в журнале аудита внутренних рисков
Чтобы просмотреть действия функций, обнаруженные для управления внутренними рисками, перейдите по адресу и выберите ссылку Журнал аудита внутренних рисков в правом верхнем углу вкладки управления внутренними рисками. По умолчанию для действий по управлению внутренними рисками отображаются следующие сведения:
- Активность: Описание выявленных действий по риску, выполняемых пользователем в решении для управления внутренними рисками.
- Категория: Область или элемент, в которых было выполнено действие по обнаружению риска. Например, в качестве категории при выполнении действий по изменению политики вы увидите политики .
- Действие, выполняемое: Имя пользователя, выполняющего действие по обнаружению риска.
- Дата: Дата и время выполнения действия по обнаружению риска. Дата и время — это локальная дата и время вашей организации.
Чтобы получить дополнительные сведения о зарегистрированном действии, выберите действие, чтобы отобразить область сведений о действии. Эта область содержит дополнительные сведения о действии, определяемом риском.
Столбцы и фильтрация
Чтобы упростить аудиторам проверку журналов аудита, фильтрация поддерживается в журнале аудита на основе внутренних рисков. Для базовой фильтрации доступны столбцы очередей, добавляемые в представление, чтобы предоставить различные сводки файлов и сообщений. Вы можете отфильтровать выявленные действия риска по полям Категория, Диапазон дат и Действия, выполняемые по .
Чтобы добавить или удалить заголовки столбцов для очереди, используйте элемент управления Настройка столбцов и выберите один из параметров столбца. Эти столбцы сопоставляются с распространенными условиями, поддерживаемыми в журнале аудита внутренних рисков , и перечислены далее в этой статье.
Экспорт журнала аудита
Пользователи, назначенные группам ролей "Управление внутренними рисками " или "Аудиторы управления внутренними рисками ", могут экспортировать действия журнала аудита в файл .csv (значения, разделенные запятыми), выбрав Экспорт на странице Журнал аудита внутренних рисков . В зависимости от действия журнала аудита некоторые поля могут не быть включены в отфильтрованную очередь, поэтому эти поля будут отображаться в экспортируемом файле как пустые.
Файл содержит сведения о действиях журнала аудита для следующих полей:
- Действие, выполняемое: Имя пользователя, изменяющего значение элемента. Перечисленным здесь пользователям назначена одна или несколько из следующих групп ролей управления внутренними рисками: управление внутренними рисками, администраторы управления внутренними рисками, аналитики по управлению внутренними рисками, следователи по управлению внутренними рисками. Каждая группа ролей имеет разные уровни разрешений для управления функциями внутренних рисков.
- Активность: Тип действия, принятого для элемента. Значения: Просмотр, Удаление, Добавлено, Измененная политика, Регистр, Пользователь, Оповещение и Параметры.
- Добавлено: объекты, добавленные во время действия с определенным риском, например пользователи, типы файлов или домены.
- Том оповещений: уровень объема оповещений, определенный в параметрах управления внутренними рисками.
- Сумма: выбранные в настоящее время пользовательские значения индикатора для политики.
- Идентификатор ресурса: идентификатор ресурса для приоритетного физического ресурса, в который было выполнено действие.
- Категория: Категория измененного элемента. Значениями являются Политики, Варианты, Пользователи, Оповещения, Параметры и Шаблоны уведомлений.
- Дата: Дата и время, перечисленные в локальной дате и времени вашей организации.
- Описание. Описание, введенное пользователем для объекта, с которым выполняется действие (например, политика или группа пользователей с приоритетом).
- Политика защиты от потери данных: политика Защита от потери данных Microsoft Purview (DLP), выбранная для включения в политику управления внутренними рисками.
- Индикатор: индикатор в параметрах внутренних рисков, с которым было выполнено действие (например, добавление или удаление индикатора).
- Шаблон уведомления: шаблон уведомления, с которым было выполнено действие по обнаружению риска.
- Количество дней: окно активации политики, определенное в параметрах внутренних рисков.
- Количество файлов: ограничение объема файлов, определенное в параметрах управления внутренними рисками.
- Шаблон политики. Шаблон политики, к которому относятся индикаторы.
- Предыдущая сумма: ранее выбранные настраиваемые значения индикатора для политики.
- Группа приоритетных пользователей: группа пользователей с приоритетом, в рамках которых было выполнено действие по обнаружению риска.
- Удалено: объекты, которые были удалены во время определенного действия риска, например пользователи, типы файлов или домены.
- Отправитель: поле отправителя шаблона уведомления, в отношении которых было выполнено действие по обнаружению риска.
- Целевая политика: политика, с помощью которых было выполнено действие по обнаружению риска (например, добавление пользователя в или удаление пользователя).
- Текст сообщения шаблона: текст сообщения шаблона уведомления, в который было выполнено действие по обнаружению риска.
- Тема шаблона: поле темы шаблона уведомления, с помощью которых было выполнено действие по обнаружению риска.
- Пользователь: Пользователь, на который был выполнен определенный риск.