Справочник по соединителю Защита информации Microsoft Purview — поддержка типов записей и действий журнала аудита
В этой статье перечислены поддерживаемые типы записей журнала аудита и действия при использовании соединителя Защита информации Microsoft Purview с Microsoft Sentinel.
При использовании соединителя Защита информации Microsoft Purview потоковой передачи журналов аудита в
MicrosoftPurviewInformationProtection стандартизованная таблица. Данные собираются через API управления Office, который использует структурированную схему.
Поддерживаемые типы записей журнала аудита
| Значение | Член | Имя | Описание | Operations |
|---|---|---|---|---|
| 93 | AipDiscover |
События сканера Microsoft Purview. | Описывает тип доступа. | |
| 94 | AipSensitivityLabelAction |
Событие метки конфиденциальности Microsoft Purview. | Тип операции для журнала аудита. Имя действия пользователя или администратора для описания наиболее распространенных операций:
|
|
| 95 | AipProtectionAction |
События защиты Microsoft Purview. | Содержит сведения, связанные с событиями защиты Microsoft Purview. | |
| 96 | AipFileDeleted |
Событие удаления файла Microsoft Purview. | Содержит сведения, связанные с событиями удаления файлов Microsoft Purview. | |
| 97 | AipHeartBeat |
Событие пульса Microsoft Purview. | Тип операции для журнала аудита. Имя действия пользователя или администратора для описания наиболее распространенных операций или действий:
SensitivityLabelUpdated |
|
| 43 | MipLabel |
События, обнаруженные в транспортном конвейере сообщений электронной почты, помеченных (вручную или автоматически) метками конфиденциальности. | ||
| 82 | SensitivityLabelPolicyMatch |
События, создаваемые при открытии или переименовании файла, помеченного конфиденциальной меткой. | ||
| 83 | SensitivityLabelAction |
Событие, создаваемое при применении, обновлении или удалении меток конфиденциальности. | ||
| 84 | SensitivityLabeledFileAction |
События, создаваемые при открытии или переименовании файла с меткой конфиденциальности. | ||
| 71 | MipAutoLabelSharePointItem |
События автоматического добавления меток в SharePoint | ||
| 72 | MipAutoLabelSharePointPolicyLocation |
События политики автоматического добавления меток в SharePoint. | ||
| 75 | MipAutoLabelExchangeItem |
События автоматического добавления меток в Microsoft Exchange. |
Поддерживаемые действия
| Понятное имя | Операция | Описание |
|---|---|---|
| Применена метка конфиденциальности к файлу | FileSensitivityLabelApplied |
Метка конфиденциальности была применена к документу с помощью приложений Microsoft 365, Office в Интернете или политики автоматического применения меток. |
| Изменена метка конфиденциальности, примененная к файлу | FileSensitivityLabelChanged |
К документу была применена другая метка конфиденциальности. Изменена Office в Интернете или политика автоматического применения меток. |
| Удалена метка конфиденциальности из файла | FileSensitivityLabelRemoved |
Метка конфиденциальности была удалена из документа с помощью приложений Microsoft 365, Office в Интернете, политики автоматического применения меток или командлета Unlock-SPOSensitivityLabelEncryptedFile. |
| Примененная метка конфиденциальности к сайту | SensitivityLabelApplied |
Метка конфиденциальности была применена к сайту SharePoint или Teams. |
| Изменена метка конфиденциальности, примененная к файлу | SensitivityLabelUpdated |
К документу была применена другая метка конфиденциальности. |
| Удалена метка конфиденциальности с сайта | SensitivityLabelRemoved |
Метка конфиденциальности была удалена с сайта SharePoint или Teams. |
SiteSensitivityLabelApplied |
Метка конфиденциальности была применена к сайту SharePoint или Teams. | |
| Измененная метка конфиденциальности на сайте | SensitivityLabelChanged |
К сайту SharePoint или Teams была применена другая метка конфиденциальности. |
| Удалена метка конфиденциальности с сайта | SiteSensitivityLabelRemoved |
Метка конфиденциальности была удалена с сайта SharePoint или Teams. |
| Документ | DocumentSensitivityMismatchDetected |
Действие, не допускающее аудита. Сообщает Субстрату, что элемент был удален из представления SharedWithMe. Это то же самое, что и RemovedFromSharedWithMe операция, но без аудита. |
Дальнейшие действия
Из этой статьи вы узнали о типах записей журнала аудита и действиях, поддерживаемых при использовании соединителя Защита информации Microsoft Purview. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:
- Узнайте, как отслеживать свои данные и потенциальные угрозы.
- Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.
- Используйте книги для мониторинга данных.