Начало работы с обозревателем действий
Обозреватель действий позволяет отслеживать, что делается с помеченным содержимым. Обозреватель действий предоставляет историческое представление о действиях в помеченном содержимом. Сведения о действиях собираются из унифицированных журналов аудита Microsoft 365, преобразуются, а затем предоставляются в пользовательском интерфейсе обозревателя действий. Обозреватель действий сообщает о данных за 30 дней.
Обозреватель действий предоставляет несколько способов сортировки и просмотра данных.
Фильтры
Фильтры — это стандартные блоки обозревателя действий, каждый из которых сосредоточен на разных измерениях собранных данных. Существует около 50 различных отдельных фильтров, доступных для использования, некоторые из них:
- Диапазон дат
- Тип действия
- Расположение
- Метка конфиденциальности
- Пользователь
- IP-адрес клиента
- Имя устройства
- Защищено
Чтобы просмотреть их все, откройте панель фильтров в обозревателе действий и просмотрите раскрывающийся список.
Примечание.
Параметры фильтра создаются на основе первых 500 записей для обеспечения оптимальной производительности. Это может привести к тому, что некоторые значения не будут отображаться в раскрывающемся списке фильтра.
Наборы фильтров
Обозреватель действий поставляется с предопределенными наборами фильтров, которые помогают сэкономить время, когда вы хотите сосредоточиться на определенном действии. Используйте наборы фильтров, чтобы быстро предоставить представление о действиях более высокого уровня, чем отдельные фильтры. Ниже приведены некоторые стандартные наборы фильтров.
- Действия защиты от потери данных в конечной точке
- Примененные, измененные или удаленные метки конфиденциальности
- Действия исходящего трафика
- Политики защиты от потери данных, обнаруживающие действия
- Действия защиты от потери данных в сети
- Защищенный браузер
Вы также можете создавать и сохранять собственные наборы фильтров путем объединения отдельных фильтров.
Security Copilot в обозревателе действий (предварительная версия)
В предварительной версииMicrosoft Security Copilot в Microsoft Purview внедрены в обозреватель действий. Она помогает эффективно детализировать данные о действиях и выявлять действия, файлы с конфиденциальной информацией, пользователей и дополнительные сведения, относящиеся к расследованию.
Важно!
Не забудьте проверка ответы от Security Copilot для точности и полноты, прежде чем предпринимать какие-либо действия на основе предоставленной информации. Вы можете предоставить отзыв, чтобы повысить точность ответов.
Поиск данных
Security Copilot навыки использования всех данных, доступных в Microsoft Purview, фильтров и наборов фильтров, доступных в обозревателе действий, и машинного обучения, чтобы предоставить вам аналитические сведения о наиболее важном для вас действии (иногда называемом охотой на данные).
- Показать 5 лучших мероприятий за прошедшую неделю
- Фильтрация и исследование действий
- Поиск файлов, используемых в определенных действиях
При выборе запроса автоматически откроется Security Copilot стороне карта и отображаются результаты запроса. Затем можно дополнительно уточнить запрос.
Естественный язык для создания набора фильтров
Поле запроса можно использовать для ввода сложных запросов на естественном языке для создания наборов фильтров. Например, можно ввести:
"Фильтруйте и исследуйте файлы, скопированные в облако, используя тип кредита конфиденциальной информации карта номер за последние 30 дней.
Security Copilot создаст набор фильтров для запроса. Затем проверьте фильтр, чтобы убедиться, что он вам нужен, а затем вы можете применить его к данным.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Предварительные условия
Лицензирование SKU/подписки
Прежде чем приступить к использованию политик защиты от потери данных, подтвердите подписку На Microsoft 365 и все надстройки.
Сведения о лицензировании см. в статье Подписки Microsoft 365, Office 365, Enterprise Mobility + Security и Windows 11 для предприятий.
Разрешения
Учетной записи необходимо явно назначить членство в любой из этих групп ролей или явно предоставить роль.
Роли и Группы ролей
Существуют роли и группы ролей, которые можно использовать для точной настройки элементов управления доступом. Дополнительные сведения о них см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.
Роли Microsoft Purview
- Администратор Information Protection
- Аналитик Information Protection
- Исследователь Information Protection
- Читатель Information Protection
Роль Microsoft Purview Группы
- Защита информации
- Администраторы Information Protection
- Исследователи Information Protection
- Аналитики Information Protection
- Читатели Information Protection
Роли Microsoft 365
- Администраторы соответствия требованиям
- Администраторы безопасности
- Администраторы данных соответствия
Роль Microsoft 365 Группы
- Администратор соответствия требованиям
- Администратор безопасности
- Читатель сведений о безопасности
Типы действий
Обозреватель действий собирает сведения из журналов аудита нескольких источников действий.
Ниже приведены некоторые примеры действий меток конфиденциальности и меток хранения из приложений, встроенных в Microsoft Office, клиента и сканера Microsoft Information Protection, SharePoint, Exchange (только метки конфиденциальности) и OneDrive:
- Метка применена
- Метка изменена (обновление, возврат к предыдущей или удаление)
- Имитация автоматического применения меток
- Файл прочитан
Для текущего списка действий, перечисленных в обозревателе действий, перейдите в обозреватель действий и откройте фильтр действия. Список действий доступен в раскрывающемся списке.
Действия маркировки, относящиеся к клиенту и сканеру Microsoft Information Protection, которые поступают в обозреватель действий, включают:
- Применена защита
- Защита изменена
- Защита удалена
- Обнаруженные файлы
Дополнительные сведения о том, какое действие маркировки делает его в обозревателе действий, см. в разделе События меток, доступные в обозревателе действий.
Кроме того, с помощью защиты от потери данных конечных точек (DLP) обозреватель действий собирает события политики защиты от потери данных из Exchange, SharePoint, OneDrive, чата и канала Teams, локальных папок и библиотек SharePoint, локальных файловых ресурсов и устройств под управлением Windows 10, Windows 11 и любой из трех последних основных версий macOS. Некоторые примеры событий, собранных с Windows 10 устройств, включают следующие действия, выполняемые с файлами:
- Удаление
- Создание
- Копирование в буфер обмена
- Изменение
- Чтение
- Переименовать
- Копирование в сетевую папку
- Доступ с помощью не разрешенного приложения
Понимание действий, выполняемых с содержимым с метками конфиденциальности, помогает определить, эффективны ли имеющиеся элементы управления, например политики Защита от потери данных Microsoft Purview. Если нет, или вы обнаружите что-то непредвиденное (например, большое количество элементов, помеченных highly confidential как general), вы можете управлять политиками и предпринимать новые действия, чтобы ограничить нежелательное поведение.
Примечание.
Обозреватель действий в настоящее время не отслеживает действия хранения для Exchange.
Примечание.
Если пользователь сообщает о вердикте защиты от потери данных в Teams как ложноположительное, действие будет отображаться в списке в обозревателе действий как сведения о защите от потери данных. В записи не будет представлено сведений о соответствии правил и политик, но будут отображаться искусственные значения. Отчет об инциденте также не будет создан для ложноположительных отчетов.
События и оповещения типа действия
В этой таблице перечислены события, которые активируются в Обозреватель действий для трех примеров конфигураций политики в зависимости от того, обнаружено ли соответствие политике.
| Конфигурация политики | Событие Обозреватель действия, активированное для этого типа действия | Действие Обозреватель событие, активируется при сопоставлении правила защиты от потери данных | Активируется оповещение Обозреватель действий |
|---|---|---|---|
| Политика содержит одно правило, разрешающее действие без аудита. | Да | Нет | Нет |
| Политика содержит два правила: разрешены совпадения для правила 1; Выполняется аудит соответствия политик для правила 2. | Да (Только правило 2) |
Да (Только правило 2) |
Да (Только правило 2) |
| Политика содержит два правила: соответствие обоим правилам разрешено и не проверяется. | Да | Нет | Нет |