你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Purview 信息保护连接器参考 - 审核日志记录类型和活动支持
本文列出了将 Microsoft Purview 信息保护连接器与 Microsoft Sentinel 配合使用时支持的审核日志记录类型和活动。
使用 Microsoft Purview 信息保护连接器时,可将审核日志流式传输到
MicrosoftPurviewInformationProtection 标准化表。 数据是通过使用结构化架构的 Office 管理 API 收集的。
支持的审核日志记录类型
| 值 | 成员 | 名称 | 说明 | 操作 |
|---|---|---|---|---|
| 93 | AipDiscover |
Microsoft Purview 扫描程序事件。 | 描述访问类型。 | |
| 94 | AipSensitivityLabelAction |
Microsoft Purview 敏感度标签事件。 | 审核日志的操作类型。 用于描述最常见操作的用户或管理员活动名称:
|
|
| 95 | AipProtectionAction |
Microsoft Purview 保护事件。 | 包含与 Microsoft Purview 保护事件相关的信息。 | |
| 96 | AipFileDeleted |
Microsoft Purview 文件删除事件。 | 包含与 Microsoft Purview 文件删除事件相关的信息。 | |
| 97 | AipHeartBeat |
Microsoft Purview 检测信号事件。 | 审核日志的操作类型。 用于描述最常见操作或活动的用户或管理员活动名称:
SensitivityLabelUpdated |
|
| 43 | MipLabel |
在使用敏感度标签进行标记(手动或自动)的电子邮件的传输管道中检测到的事件。 | ||
| 82 | SensitivityLabelPolicyMatch |
打开或重命名标有敏感标签的文件时生成的事件。 | ||
| 83 | SensitivityLabelAction |
应用、更新或删除敏感度标签时生成的事件。 | ||
| 84 | SensitivityLabeledFileAction |
打开或重命名标有敏感度标签的文件时生成的事件。 | ||
| 71 | MipAutoLabelSharePointItem |
SharePoint 中的自动标记事件 | ||
| 72 | MipAutoLabelSharePointPolicyLocation |
SharePoint 中的自动标记策略事件。 | ||
| 75 | MipAutoLabelExchangeItem |
Microsoft Exchange 中的自动标记事件。 |
支持的活动
| 友好名称 | Operation | 说明 |
|---|---|---|
| 已将敏感度标签应用于文件 | FileSensitivityLabelApplied |
已通过 Microsoft 365 应用、Office Web 版或自动标记策略将敏感度标签应用于文档。 |
| 已更改应用于文件的敏感度标签 | FileSensitivityLabelChanged |
已将不同的敏感度标签应用于文档。 已更改 Office Web 版或自动标记策略。 |
| 已从文件中删除敏感度标签 | FileSensitivityLabelRemoved |
已通过 Microsoft 365 应用、Office Web 版、自动标记策略或 Unlock-SPOSensitivityLabelEncryptedFile cmdlet 从文档中删除敏感度标签。 |
| 已将敏感度标签应用于站点 | SensitivityLabelApplied |
已将敏感度标签应用于 SharePoint 或 Teams 站点。 |
| 已更改应用于文件的敏感度标签 | SensitivityLabelUpdated |
已将不同的敏感度标签应用于文档。 |
| 已从站点中删除敏感度标签 | SensitivityLabelRemoved |
已从 SharePoint 或 Teams 站点中删除敏感度标签。 |
SiteSensitivityLabelApplied |
已将敏感度标签应用于 SharePoint 或 Teams 站点。 | |
| 已更改站点上的敏感度标签 | SensitivityLabelChanged |
已将不同的敏感度标签应用于 SharePoint 或 Teams 站点。 |
| 已从站点中删除敏感度标签 | SiteSensitivityLabelRemoved |
已从 SharePoint 或 Teams 站点中删除敏感度标签。 |
| 文档 | DocumentSensitivityMismatchDetected |
不可审核的活动。 向 Substrate 指明已从 SharedWithMe 视图中删除了项。 这与 RemovedFromSharedWithMe 操作相同,但没有审核。 |
后续步骤
在本文中,你已了解在使用 Microsoft Purview 信息保护连接器时支持的审核日志记录类型和活动。 若要详细了解 Microsoft Sentinel,请参阅以下文章:
- 了解如何洞悉数据和潜在威胁。
- 开始使用 Microsoft Sentinel 检测威胁。
- 使用工作簿监视数据。