Ведение журнала действий по предотвращению потери данных
Предупреждение
Схема, описанная в этой статье, устарела и не будет доступна с июля 2024 года. Вы можете использовать новую схему, доступную в Категория действий: События политики данных.
Заметка
Ведение журнала действий для политик защиты от потери данных в настоящее время недоступно в национальных облаках.
Действия политики защиты от потери данных (DLP) отслеживаются в центре безопасности и соответствия требованиям Microsoft 365.
Чтобы зарегистрировать действия DLP, выполните следующие действия:
Войдите в Центр безопасности и соответствия требованиям как администратор клиента.
Выберите Поиск>Поиск в журнале аудита.
В пункте Поиск>Действия введите dlp. Появится список действий.
Выберите действие, выберите за пределами окна поиска, чтобы закрыть его, а затем выберите Поиск.
На экране Поиск в журнале аудита вы можете искать журналы аудита во многих популярных сервисах, включая eDiscovery, Exchange, Power BI, Microsoft Entra ID, Microsoft Teams, приложения для взаимодействия с клиентами (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing и Dynamics 365 Project Service Automation) и Microsoft Power Platform.
После того, как вы получите доступ к Поиск в журнале аудита, вы можете отфильтровать определенные действия, развернув Действия, а затем прокрутив страницу до раздела, посвященного действиям Microsoft Power Platform.
Какие события DLP включаются в аудит
Ниже приведены действия пользователя, которые вы можете проверять:
- Созданная политика защиты от потери данных: при создании новой политики защиты от потери данных
- Обновленная политика защиты от потери данных: при обновлении существующей политики защиты от потери данных
- Удаленная политика защиты от потери данных: при удалении политики защиты от потери данных
Базовая схема для событий аудита DLP
Схемы определяют, какие поля отправляются в центр безопасности и соответствия требованиям Microsoft 365. Некоторые поля общие для всех приложений, которые отправляют данные аудита в Microsoft 365, в то время как другие относятся конкретно к политикам защиты от потери данных. В следующей таблице столбцы Имя и Дополнительная информация зависят от политики DLP.
| Имя поля | Тип | Обязательно | Описание |
|---|---|---|---|
| Дата | Edm.Date | Нет | Дата и время создания журнала в UTC. |
| Имя приложения | Edm.String | Нет | Уникальный идентификатор PowerApp |
| Артикул | Edm.Guid | Нет | Уникальный GUID для каждой строки, внесенной в журнал |
| Состояние результатов | Edm.String | Нет | Состояние строки, внесенной в журнал. Успех в большинстве случаев. |
| ИД организации | Edm.Guid | Да | Уникальный идентификатор организации, из которой был создан журнал. |
| CreationTime | Edm.Date | Нет | Дата и время создания журнала в UTC. |
| Операция | Edm.Date | Нет | Название операции |
| UserKey | Edm.String | Нет | Уникальный идентификатор пользователя в Microsoft Entra ID |
| UserType | Self.UserType | Нет | Тип аудита (администратор, обычный, система) |
| Дополнительная информация | Edm.String | нет | Дополнительная информация, если таковая имеется (например, название среды) |
Дополнительная информация
Поле Дополнительная информация — это объект JSON, который содержит свойства, относящиеся к операции. Для операции политики защиты от потери данных оно содержит следующие свойства.
| Имя поля | Тип | Обязательный? | Описание |
|---|---|---|---|
| PolicyId | Edm.Guid | Да | GUID политики. |
| PolicyType | Edm.String | Да | Тип политики. Допустимые значения: AllEnvironments, SingleEnvironments, OnlyEnvironments или ExceptEnvironments. |
| DefaultConnectorClassification | Edm.String | Да | Классификация соединителей по умолчанию. Допустимые значения: "Общие", "Заблокировано" или "Конфиденциально". |
| EnvironmentName | Edm.String | Нет | Имя (GUID) среды. Это присутствует только для политик SingleEnvironment. |
| Changeset | Edm.String | Нет | Изменения, внесенные в политику. Они доступны только для операций обновления. |
Ниже приведен пример JSON Дополнительная информация для создания или удаления события.
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "SingleEnvironment",
"defaultConnectorClassification": "General",
"environmentName": "8a11a4a6-d8a4-4c47-96d7-3c2a60efe2f5"
}
Ниже приведен пример JSON Дополнительная информация для операции обновления, которая:
- Изменяет имя политики с "oldPolicyName" на "newPolicyName".
- Изменяет классификацию по умолчанию с "Общие" на "Конфиденциально".
- Изменяет тип политики с "OnlyEnvironments" на "ExceptEnvironments".
- Перемещает соединитель хранилища BLOB-объектов Azure из общего контейнера в конфиденциальный контейнер.
- Перемещает соединитель карт Bing из общего контейнера в конфиденциальный контейнер.
- Перемещает соединитель службы автоматизации Azure из конфиденциального контейнера в заблокированный контейнер.
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "ExceptEnvironments",
"defaultConnectorClassification": "Confidential",
"changeSet": {
"changedProperties": [
{
"name": "ApiPolicyName",
"previousValue": "oldPolicyName",
"currentValue": "newPolicyName"
},
{
"name": "DefaultConnectorClassification",
"previousValue": "General",
"currentValue": "Confidential"
},
{
"name": "DlpPolicyType",
"previousValue": "OnlyEnvironments",
"currentValue": "ExceptEnvironments"
}
],
"connectorChanges": [
{
"name": "Azure Blob Storage",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureblob",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Confidential"
}
},
{
"name": "Bing Maps",
"id": "/providers/Microsoft.PowerApps/apis/shared_bingmaps",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Blocked"
}
},
{
"name": "Azure Automation",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureautomation",
"previousValue": {
"classification": "Confidential"
},
"currentValue": {
"classification": "Blocked"
}
}
]
}
}