แชร์ผ่าน

การบันทึกกิจกรรมการป้องกันข้อมูลสูญหาย

  • บทความ

คำเตือน

โครงร่างที่ระบุไว้ในบทความนี้ไม่สนับสนุนอีกต่อไปและจะไม่สามารถใช้งานได้ตั้งแต่เดือนกรกฎาคม 2024 เป็นต้นไป คุณสามารถใช้รูปแบบใหม่ที่มีได้ที่ หมวดกิจกรรม: เหตุการณ์นโยบายข้อมูล

หมายเหตุ

การบันทึกกิจกรรมสำหรับนโยบายการป้องกันการสูญหายของข้อมูลยังไม่พร้อมใช้งานในระบบคลาวด์สาธารณะ

มีการติดตามกิจกรรมนโยบายการป้องกันการสูญหายของข้อมูล (DLP) จาก ศูนย์การรักษาความปลอดภัยและการปฏิบัติตามนโยบายของ Microsoft 365

เมื่อต้องการบันทึกกิจกรรม DLP ให้ทำตามขั้นตอนเหล่านี้:

  1. ลงชื่อเข้าใช้ ศูนย์การรักษาความปลอดภัยและการปฏิบัติตามนโยบาย ในฐานะผู้ดูแลระบบผู้เช่า

  2. เลือก ค้นหา>การค้นหาบันทึกการตรวจสอบ

  3. ภายใต้ ค้นหา>กิจกรรม ให้ป้อน dlp รายการของกิจกรรมปรากฎขึ้น

  4. เลือกกิจกรรม เลือกนอกหน้าต่างการค้นหาเพื่อปิด และจากนั้น เลือก ค้นหา

บนหน้าจอ การค้นหาบันทึกการตรวจสอบ คุณสามารถค้นหาบันทึกการตรวจสอบในบริการยอดนิยมต่างๆ เช่น eDiscovery, Exchange, Power BI, Microsoft Entra ID, Microsoft Teams, แอปการมีส่วนร่วมของลูกค้า (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing และ Dynamics 365 Project Service Automation) และ Microsoft Power Platform

หลังจากที่คุณเข้าถึง การค้นหาบันทึกการตรวจสอบ คุณสามารถกรองกิจกรรมเฉพาะโดยการขยาย กิจกรรม แล้วจากนั้น เลื่อนหาส่วนที่เฉพาะเจาะจงสำหรับกิจกรรม Microsoft Power Platform

เหตุการณ์ DLP ใดได้รับการตรวจสอบ

ต่อไปนี้คือการดำเนินการของผู้ใช้ที่คุณตรวจสอบได้:

  • นโยบาย DLP ที่สร้างขึ้น: เมื่อมีการสร้างนโยบาย DLP ใหม่
  • นโยบาย DLP ที่อัปเดต: เมื่อมีการอัปเดตนโยบาย DLP ที่มีอยู่
  • นโยบาย DLP ที่ถูกลบ: เมื่อนโยบาย DLP ถูกลบ

Schema พื้นฐานสำหรับเหตุการณ์การตรวจสอบ DLP

Schemas กำหนดว่าฟิลด์ใดจะถูกส่งไปยัง ศูนย์การรักษาความปลอดภัยและการปฏิบัติตามข้อบังคับของ Microsoft 365 ฟิลด์บางฟิลด์มีทั่วไปในโปรแกรมประยุกต์ที่ส่งข้อมูลการตรวจสอบไปยัง Microsoft 365 ในขณะที่รายการอื่นเฉพาะเจาะจงกับนโยบาย DLP ในตารางต่อไปนี้ ชื่อ และ ข้อมูลเพิ่มเติม คือคอลัมน์เฉพาะนโยบาย DLP

ชื่อเขตข้อมูล พิมพ์ข้อความ บังคับ รายละเอียด
วันที่ Edm.Date ไม่ใช่ วันที่และเวลาในการสร้างบันทึกใน UTC
ชื่อแอป Edm.String ไม่ รหัสเฉพาะของ PowerApp
Id Edm.Guid ไม่ GUID ที่ไม่ซ้ำกันสำหรับแถวทุกแถวที่บันทึก
สถานะผลลัพธ์ Edm.String ไม่ สถานะของแถวที่บันทึก ความสำเร็จในกรณีและปัญหาส่วนใหญ่
รหัสองค์กร Edm.Guid ใช่ รหัสเฉพาะขององค์กรจากบันทึกที่ถูกสร้างขึ้น
CreationTime Edm.Date ไม่ วันที่และเวลาในการสร้างบันทึกใน UTC
การดำเนินการ Edm.Date ไม่ ชื่อของการดำเนินการ
UserKey Edm.String ไม่ รหัสเฉพาะของผู้ใช้ใน Microsoft Entra ID
UserType Self.UserType ไม่ ชนิดการตรวจสอบ (ผู้ดูแลระบบ, ปกติ, ระบบ)
ข้อมูลเพิ่มเติม Edm.String ไม่ ข้อมูลเพิ่มเติมหากมี (เช่น ชื่อสภาพแวดล้อม)

ข้อมูลเพิ่มเติม

ฟิลด์ ข้อมูลเพิ่มเติม คือออบเจ็กต์ JSON ที่มีคุณสมบัติเฉพาะการดำเนินการ สำหรับการดำเนินการนโยบาย DLP จะมีคุณสมบัติดังต่อไปนี้

ชื่อเขตข้อมูล พิมพ์ข้อความ บังคับหรือไม่ รายละเอียด
PolicyId Edm.Guid ตกลง GUID ของนโยบาย
PolicyType Edm.String ตกลง ชนิดของนโยบาย ค่าที่อนุญาตคือ AllEnvironments, SingleEnvironment, OnlyEnvironments หรือ ExceptionEnvironments
DefaultConnectorClassification Edm.String ตกลง การจัดประเภทตัวเชื่อมต่อเริ่มต้น ค่าที่อนุญาตคือ ทั่วไป ถูกบล็อก หรือลับเฉพาะ
EnvironmentName Edm.String ไม่ใช่ ชื่อ (GUID) ของสภาพแวดล้อม นี่จะมีให้สำหรับนโยบาย SingleEnvironment เท่านั้น
ChangeSet Edm.String ไม่ใช่ การเปลี่ยนแปลงที่เกิดขึ้นกับนโยบาย รายการเหล่านี้มีให้สำหรับการดำเนินการอัปเดตเท่านั้น

ต่อไปนี้เป็นตัวอย่างของ ข้อมูลเพิ่มเติม JSON สำหรับสร้างหรือลบเหตุการณ์

{ 
  "policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5", 
  "policyType": "SingleEnvironment", 
  "defaultConnectorClassification": "General", 
  "environmentName": "8a11a4a6-d8a4-4c47-96d7-3c2a60efe2f5" 
}

ต่อไปนี้เป็นตัวอย่างของ ข้อมูลเพิ่มเติม JSON สำหรับสการดำเนินการปรับปรุงที่:

  • เปลี่ยนชื่อนโยบายจาก oldPolicyName เป็น newPolicyName
  • เปลี่ยนการจัดประเภทเริ่มต้นจาก ทั่วไป เป็น ลับเฉพาะ
  • เปลี่ยนชนิดนโยบายจาก OnlyEnvironments เป็น ExceptEnvironments
  • ย้ายตัวเชื่อมต่อ Azure Blob Storage จากบักเก็ต ทั่วไป ไปยัง ลับเฉพาะ
  • ย้ายตัวเชื่อมต่อ Bing Maps จากบักเก็ต ทั่วไป ไปยัง ถูกบล็อค
  • ย้ายตัวเชื่อมต่อ Azure Automation จากบักเก็ต ลับเฉพาะ ไปยัง ถูกบล็อค
{ 
  "policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5", 
  "policyType": "ExceptEnvironments", 
  "defaultConnectorClassification": "Confidential", 
  "changeSet": { 
    "changedProperties": [ 
      { 
        "name": "ApiPolicyName", 
        "previousValue": "oldPolicyName", 
        "currentValue": "newPolicyName" 
      }, 
      { 
        "name": "DefaultConnectorClassification", 
        "previousValue": "General", 
        "currentValue": "Confidential" 
      }, 
      { 
        "name": "DlpPolicyType", 
        "previousValue": "OnlyEnvironments", 
        "currentValue": "ExceptEnvironments" 
      } 
    ], 
    "connectorChanges": [ 
      { 
        "name": "Azure Blob Storage", 
        "id": "/providers/Microsoft.PowerApps/apis/shared_azureblob", 
        "previousValue": { 
          "classification": "General" 
        }, 
        "currentValue": { 
          "classification": "Confidential" 
        } 
      }, 
      { 
        "name": "Bing Maps", 
        "id": "/providers/Microsoft.PowerApps/apis/shared_bingmaps", 
        "previousValue": { 
          "classification": "General" 
        }, 
        "currentValue": { 
          "classification": "Blocked" 
        } 
      }, 
      { 
        "name": "Azure Automation", 
        "id": "/providers/Microsoft.PowerApps/apis/shared_azureautomation", 
        "previousValue": { 
          "classification": "Confidential" 
        }, 
        "currentValue": { 
          "classification": "Blocked" 
        } 
      } 
    ] 
  } 
}

ดูเพิ่มเติม

นโยบายการป้องกันการสูญเสียข้อมูล