活动资源管理器入门

活动资源管理器 允许你监视对已标记内容执行的操作。 活动资源管理器提供已标记内容上活动的历史视图。 活动信息从 Microsoft 365 统一审核日志中收集,经过转换,然后在活动资源管理器 UI 中提供。 活动资源管理器报告最多 30 天的数据。

活动资源管理器提供多种对数据进行排序和查看的方法。

筛选器

筛选器是活动资源管理器的构建基块,每个筛选器侧重于收集的数据的不同维度。 大约有 50 个不同的单独筛选器可供使用,其中一些是:

  • 日期范围
  • 活动类型
  • 位置
  • 敏感度标签
  • 用户
  • 客户端 IP
  • 设备名称
  • 受保护

若要查看所有这些内容,请在活动资源管理器中打开筛选器窗格,然后查看下拉列表。

注意

筛选器选项基于前 500 条记录生成,以确保最佳性能。 这可能会导致某些值未显示在筛选器下拉列表中。

筛选器集

活动资源管理器附带预定义的筛选器集,有助于在你想要专注于特定活动时节省时间。 使用筛选器集快速提供比单个筛选器更高级别活动的视图。 一些预定义筛选器集包括:

  • 终结点 DLP 活动
  • 已应用、更改或删除的敏感度标签
  • 出动
  • 检测到活动的 DLP 策略
  • 网络 DLP 活动
  • 受保护的浏览器

还可以通过组合各个筛选器来创建和保存自己的筛选器集。

活动资源管理器中的Security Copilot (预览)

预览版中,Microsoft Purview 中的Microsoft Security Copilot嵌入到活动资源管理器中。 它可以帮助有效地向下钻取活动数据,并帮助你识别活动、包含敏感信息的文件、用户和与调查相关的其他详细信息。

重要

在根据提供的信息采取任何操作之前,请务必检查Security Copilot的响应的准确性和完整性。 可以提供反馈以帮助提高响应的准确性。

数据搜寻

Security Copilot技能使用可用于Microsoft Purview 的所有数据、活动资源管理器中可用的筛选器和筛选器集,并使用机器学习为你提供对活动 (有时称为数据搜寻) 对你最重要的数据。

  • 显示过去一周的前 5 个活动
  • 筛选和调查活动
  • 查找特定活动中使用的文件

选择提示将自动打开Security Copilot端卡并显示查询结果。 然后,可以进一步优化查询。

用于筛选集生成的自然语言

可以使用提示框输入复杂的自然语言查询以生成筛选器集。 例如,可以输入:

“筛选和调查复制到云的文件,其中包含过去 30 天内的敏感信息类型信用卡编号。

Security Copilot将为查询生成筛选器集。 然后,应查看筛选器,确保它是所需的,然后可以将其应用于数据。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

先决条件

SKU/订阅许可

在开始使用 DLP 策略之前,请确认 Microsoft 365 订阅 和任何加载项。

有关许可的信息,请参阅 Microsoft 365、Office 365、企业移动性 + 安全性 和 Windows 11 企业订阅

权限

帐户必须在其中任一角色组中显式分配成员身份,或者必须显式授予该角色。

角色和角色组

可以使用一些角色和角色组来微调访问控制。 若要详细了解它们,请参阅Microsoft Purview 合规门户中的权限

Microsoft Purview 角色

  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者

Microsoft Purview 角色组

  • 信息保护
  • 信息保护管理员
  • 信息保护调查员
  • 信息保护分析师
  • 信息保护读者

Microsoft 365 个角色

  • 合规性管理员
  • 安全管理员
  • 合规性数据管理员

Microsoft 365 角色组

  • 合规性管理员
  • 安全管理员
  • 安全信息读取者

活动类型

活动资源管理器从多个活动源的审核日志中收集信息。

Microsoft Office 本机应用程序中的敏感度标签活动和保留标签活动的一些示例、Microsoft信息保护客户端和扫描程序、SharePoint、Exchange (敏感度标签仅) ,以及 OneDrive 包括:

  • 已应用的标签
  • 已更改(已升级、已降级或已删除)的标签
  • 自动标记模拟
  • 已读文件

对于活动资源管理器中列出的当前活动列表,请转到活动资源管理器并打开现有筛选器。 下拉列表中提供了活动列表。

特定于活动资源管理器中的Microsoft信息保护客户端和扫描程序的标记活动包括:

  • 已应用保护
  • 已更改保护
  • 已删除保护
  • 已发现文件

有关哪些标记活动使其进入活动资源管理器的更多详细信息,请参阅 标记活动资源管理器中可用的事件

此外,使用终结点数据丢失防护 (DLP) ,活动资源管理器会收集来自 Exchange、SharePoint、OneDrive、Teams 聊天和频道、本地 SharePoint 文件夹和库、本地文件共享以及运行 Windows 10、Windows 11 以及三个最新 macOS 版本中的任何一个的设备的 DLP 策略匹配事件。 从Windows 10设备收集的一些示例事件包括对文件采取的以下操作:

  • 删除
  • 创造
  • 复制到剪贴板
  • 修改
  • 阅读
  • 打印
  • 重命名
  • 复制到网络共享
  • 由未安装的应用访问

了解对具有敏感度标签的内容执行的操作有助于确定已实施的控制措施(如Microsoft Purview 数据丢失防护策略)是否有效。 如果没有,或者如果你发现意外 ((例如大量标记为 highly confidential 降级为 general) 的项目),则可以管理策略并采取新操作来限制不需要的行为。

注意

活动资源管理器当前不监视 Exchange 的保留活动。

注意

如果用户将 Teams DLP 判决报告为误报,活动将在活动资源管理器的列表中显示为 DLP 信息。 条目不会显示任何规则和策略匹配详细信息,但将显示合成值。 也不会为误报生成事件报告。

活动类型事件和警报

此表列出了在活动资源管理器中为三个示例策略配置触发的事件,具体取决于是否检测到策略匹配。

策略配置 为此操作类型触发的活动资源管理器事件 匹配 DLP 规则时触发的活动资源管理器事件 已触发活动资源管理器警报
策略包含一个规则,允许活动无需审核。
策略包含两个规则:允许规则 #1 匹配;审核规则 #2 的策略匹配项。
仅 (规则 #2)

仅 (规则 #2)

仅 (规则 #2)
策略包含两个规则:允许且不审核这两个规则的匹配项。

另请参阅