Просмотр данных с помощью обозревателя содержимого управления внутренними рисками
Важно!
Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.
Обозреватель содержимого управления внутренними рисками позволяет пользователям, которым назначена роль следователей по управлению внутренними рисками, изучить контекст и сведения о содержимом, связанном с действиями в оповещениях. Данные о случаях в обозревателе содержимого обновляются ежедневно, чтобы включить новые действия риска. Для всех оповещений, подтвержденных в случае, копии файлов данных и сообщений архивируются как snapshot во времени элементов, сохраняя исходные файлы и сообщения в источниках хранилища. При необходимости файлы данных регистра можно экспортировать как переносимый файл документа (PDF) или в исходном формате.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Использование обозревателя содержимого для просмотра сведений о конкретном случае
Чтобы изучить сообщения электронной почты и файлы, захваченные политиками, включенными в конкретный случай, перейдите на страницу Варианты управления внутренними рисками и выберите строку имени обращения в списке для случая, для которого требуется просмотреть подробные сведения. Затем на странице сведений о случае выберите вкладку Обозреватель содержимого , чтобы открыть обозреватель содержимого.
Важно!
После подтверждения оповещения об обращении обозреватель содержимого не будет отображать никаких сведений об этом случае, если организация не назначила пользователя ни в группу ролей " Следователи по управлению внутренними рисками ", либо в группу ролей "Управление внутренними рисками ".
Обозреватель содержимого включает действия пользователей, связанные с файлами службы Microsoft 365, например действия пользователей в SharePoint, Exchange и OneDrive для бизнеса. Для новых случаев обычно заполнение содержимого в обозревателе содержимого занимает около часа. Для случаев с большим объемом содержимого создание snapshot может занять больше времени. Если содержимое по-прежнему загружается в обозревателе содержимого, вы увидите индикатор хода выполнения, отображающий процент завершения.
В некоторых случаях данные, связанные с делом, могут быть недоступны в качестве snapshot для проверки в обозревателе содержимого. Такая ситуация может возникнуть, когда данные о случаях были удалены или перемещены, или при обработке данных о случаях возникает временная ошибка. В этой ситуации выберите Просмотреть файлы на панели предупреждений, чтобы просмотреть имена файлов, путь к файлу и причину сбоя для каждого файла. При необходимости эти сведения можно экспортировать в файл .csv (значения, разделенные запятыми).
Если содержимое содержит разрешения управления правами на доступ к данным, эти разрешения сохраняются для скопированного содержимого, и пользователям, которым назначена роль Следователя управления внутренними рисками , потребуются эти разрешения и права, если им нужно открыть и просмотреть файлы. Каждому файлу и сообщению автоматически назначается уникальный идентификатор файла в случае управления внутренними рисками. Документы, связанные с действиями индикаторов устройств, не включаются в обозреватель содержимого.
Примечание.
После того как дело будет активно в течение 365 дней, обозреватель содержимого не обновляется, чтобы отразить новые действия. Чтобы обновить обозреватель содержимого с помощью новых действий для пользователя в этом сценарии, устраните дело и откройте новое дело для пользователя.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Параметры столбца
Чтобы аналитикам рисков и следователям было проще просматривать захваченные данные и сообщения, а также просматривать контекст дела, в обозревателе контента включены несколько средств фильтрации и сортировки. Для базовой сортировки столбцы классов Date и File поддерживают сортировку с использованием заголовков столбцов в области очереди содержимого. Другие столбцы очереди доступны для добавления в представление для предоставления различных сводных данных о файлах и сообщениях.
Чтобы добавить или удалить заголовки столбцов для очереди содержимого, используйте элемент управления Изменить столбцы и выберите один из следующих параметров столбцов. Эти столбцы сопоставляются с общими условиями свойств, свойств электронной почты и документа, которые поддерживаются в обозревателе содержимого и перечислены далее в этой статье.
| Параметр столбца | Описание |
|---|---|
| Author | Поле автора в документах Microsoft Office, которое сохраняется при копировании документа. Например, если пользователь создает документ и отправляет его по электронной почте другому пользователю, который затем отправляет его в SharePoint, в документе по-прежнему будет сохранен исходный автор. |
| Bcc | Доступные для сообщений электронной почты, пользователи в поле ск. |
| Cc | Доступно для сообщений электронной почты, пользователи в поле Копия сообщения. |
| Составной путь | Доступный для чтения путь, описывающий источник элемента. |
| Идентификатор беседы | Идентификатор беседы из сообщения. |
| Индекс беседы | Индекс беседы из сообщения. |
| Время создания. | Время создания файла или сообщения электронной почты. |
| Дата (UTC) | Для электронной почты: дата получения сообщения адресатом или его отправки отправителем. Для документов — дата последнего изменения документа. Дата находится в формате UTC. |
| Доминирующая тема | Доминирующая тема, рассчитанная для аналитики. |
| идентификатор набора Email | Идентификатор группы для всех сообщений в одном наборе сообщений электронной почты. |
| Идентификатор семьи | Идентификатор семьи объединяет все элементы; для электронной почты этот столбец содержит сообщение и все вложения; Для документов этот столбец содержит документ и все внедренные элементы. |
| Класс File | Для содержимого из SharePoint и OneDrive: Document; для содержимого из Exchange: Email или вложение. |
| Идентификатор файла | Идентификатор документа, уникальный в регистре. |
| Значок типа файла | Расширение файла; например, docx, one, pptx или xlsx. Это поле является тем же свойством, что и свойство сайта FileExtension. |
| ID | Идентификатор GUID для файла. |
| Неизменяемый идентификатор | Неизменяемый идентификатор, хранящийся в Office 365. |
| Инклюзивный тип | Инклюзивный тип, вычисляемый для аналитики: 0 — не инклюзивный; 1 - включительно; 2 - включительно минус; 3 — инклюзивная копия. |
| Дата последнего изменения | Дата последнего изменения документа. |
| Отмечено как представительное | Один документ из каждого набора точных дубликатов помечается как представители. |
| Тип сообщения | Тип сообщения электронной почты для поиска. Возможные значения: контакты, документы, электронная почта, внешние данные, факсы, im, журналы, собрания, Microsoft Teams (возвращает элементы из чатов, собраний и звонков в Microsoft Teams), заметки, записи, RSS-каналы, задачи, голосовая почта |
| Участники | Список всех участников сообщения; например Sender, To, Cc, Bcc. |
| Идентификатор сводной таблицы | Идентификатор сводной таблицы. |
| Received | Дата получения сообщения адресатом. Это поле является тем же свойством, что и свойство Полученное сообщение электронной почты. |
| Получатели | Все поля получателя в сообщении электронной почты. Эти поля: Кому, Копия и Ск. |
| Идентификатор представителя | Числовой идентификатор каждого набора точных дубликатов. |
| Sender | Отправитель сообщения электронной почты. |
| Отправитель или автор | Для электронной почты: отправитель сообщения. Для документов: пользователь, указанный в поле автора в документах Office. Можно ввести несколько имен, разделенных запятой. Два или более значений, логически соединенных с помощью оператора OR. |
| Типы конфиденциальной информации | Типы конфиденциальной информации, определенные в содержимом. |
| Метки конфиденциальности | Метки конфиденциальности, применяемые к содержимому. |
| Sent | Дата отправки сообщения отправителем. Это поле является тем же свойством, что и свойство отправленного сообщения электронной почты. |
| Размер | Для электронной почты и документов: размер элемента (в байтах). |
| Тема | Текст в строке темы сообщения электронной почты. |
| Тема или заголовок | Для электронной почты: текст в строке темы сообщения. Для документов: заголовок документа. Как упоминалось ранее, свойство Title — это метаданные, указанные в документах Microsoft Office. Можно ввести имена нескольких тем или заголовков, разделенных запятыми. Два или более значений, логически соединенных с помощью оператора OR. |
| Список тем | Список тем, вычисляемый для аналитики. |
| Title | Заголовок документа. Свойство Title — это метаданные, указанные в документах Office. Он отличается от имени файла документа. |
| Для | Получатель сообщения электронной почты в поле Кому. |
Фильтрация
Вы можете использовать один или несколько фильтров, чтобы сузить область поиска и вернуть более точный набор результатов. Чтобы задать фильтр, выберите Фильтры в верхней части очереди содержимого. Многие фильтры включают дополнительные параметры фильтрации, помогающие сузить результаты, возвращаемые фильтром. Например, фильтр даты включает элементы управления для настройки даты начала и окончания для фильтра даты . Выберите один или несколько элементов фильтра из следующих категорий:
Общие фильтры
| Фильтр | Описание |
|---|---|
| Дата (UTC) | Для электронной почты: дата получения сообщения адресатом или его отправки отправителем. Для документов — дата последнего изменения документа. |
| Отправитель или автор | Для электронной почты: отправитель сообщения. Для документов— пользователь, указанный в поле "Автор" из документов Office. Можно ввести несколько имен, разделенных запятой. |
| Source | Расположение документа в организации. Например, определенное расположение сайта SharePoint. |
| Тема или заголовок | Для электронной почты: текст в строке темы сообщения. Для документов: заголовок документа. Свойство Title в документах — это метаданные, указанные в документах Microsoft Office. Можно ввести имена нескольких тем или заголовков, разделенных запятыми. Два или более значений, логически соединенных с помощью оператора OR. |
Фильтры электронной почты
| Фильтр | Описание |
|---|---|
| Bcc | Поле СК сообщения электронной почты. |
| Cc | Поле Копия сообщения электронной почты. |
| Имеет вложение | Указывает, есть ли в сообщении вложение. Значения отображаются как true или false. |
| Вложение электронной почты | Если документ является вложением, значение отображается как Да. |
| Внедренный документ | Если документ внедрен в сообщение электронной почты, значение будет указано как Да. |
| Встроенное вложение | Если документ является встроенным вложением в сообщении электронной почты, значение отображается как Да. |
| Участники | Все поля людей в сообщении электронной почты. Эти поля: "От", "Кому", "Копия" и "Ск". |
| Received | Дата получения сообщения адресатом. |
| Домены получателей | Список всех доменов получателей сообщения. |
| Получатели | Получатели сообщений электронной почты. |
| Sender | Поле Отправителя (От) для типов сообщений. Формат — DisplayName <SmtpAddress>. |
| Домен отправителя | Домен отправителя. |
| Для | Поле "Кому" электронного письма. |
| Уникальный в наборе электронной почты | Значение False, если в наборе электронной почты есть дубликат вложения. |
Фильтры документов
| Фильтры | Описание |
|---|---|
| Метки соответствия | Метки соответствия требованиям, применяемые в Microsoft 365. |
| Время создания (UTC) | Дата и время создания файла или сообщения электронной почты. Дата и время находятся в формате UTC. |
| Дата последнего изменения (UTC) | Дата последнего изменения документа. Дата и время находятся в формате UTC. |
| Расширение файла | Тип расширения файла. |
| События действий пользователей | Действия для элементов, связанных с конкретными действиями пользователя в случае. Например, если щелкнуть ссылку на "Обзор содержимого" для действия на странице Действия пользователя дела, этот фильтр используется для отображения элементов, связанных с этим действием. |
| Рабочий продукт | Тип рабочего продукта для документа. Например, заметки или теги в документе. |