使用内部风险管理内容资源管理器查看数据

重要

Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。

通过内部风险管理 内容资源管理器 ,分配有 “内部风险管理调查员” 角色的用户可以检查与警报中的活动关联的内容的上下文和详细信息。 内容资源管理器中的案例数据会每天刷新,以包含新的风险活动。 对于已确认案例的所有警报,数据和消息文件的副本将存档为项的时间快照,同时保留存储源中的原始文件和消息。 如果需要,案例数据文件可以导出为可移植文档文件 (PDF) 或原始文件格式。

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

使用内容资源管理器查看特定案例的详细信息

若要检查特定案例中包含的策略捕获的电子邮件和文件,请导航到预览体验成员风险管理 案例 页,并在要查看其详细信息的案例列表中选择案例 名称 行。 然后,在案例详细信息页中,选择“ 内容资源管理器 ”选项卡以打开内容资源管理器。

重要

确认案例警报后,如果组织未将用户分配到 Insider Risk Management 调查员内部 风险管理角色组,则内容资源管理器不会显示该案例的任何详细信息。

内容资源管理器包括与 Microsoft 365 服务文件相关的用户活动,例如 SharePoint、Exchange 和 OneDrive for Business 上的用户活动。 对于新情况,在内容资源管理器中填充内容通常需要大约一个小时。 对于包含大量内容的情况,创建快照可能需要更长的时间。 如果内容仍在内容资源管理器中加载,你将看到显示完成百分比的进度指示器。

在某些情况下,与案例关联的数据可能无法作为快照在内容资源管理器中查看。 删除或移动案例数据时,或者在处理案例数据时出现临时错误时,可能会出现这种情况。 如果出现这种情况,请在警告栏中选择“ 查看文件 ”,查看每个文件的文件名、文件路径和失败原因。 如果需要,可以将此信息导出到 .csv (逗号分隔值) 文件。

如果内容包含信息权限管理权限,则为复制的内容维护这些权限,并且分配有 “预览体验成员风险管理调查员 ”角色的用户需要这些权限和权限才能打开和查看文件。 出于管理目的,会在内部风险管理案例中自动为每个文件和消息分配一个唯一的文件 ID。 与设备指示器活动关联的文档不包括在内容资源管理器中。

注意

案例活动超过 365 天后,内容资源管理器不会更新以反映新活动。 若要在此方案中使用用户的新活动更新内容资源管理器,请解决该案例并为该用户打开一个新案例。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

列选项

为了使风险分析师和调查人员能够更轻松地查看捕获的数据和消息,并查看案例的上下文,内容资源管理器中包括了多个筛选和排序工具。 对于基本排序, DateFile 类 列支持使用内容队列窗格中的列标题进行排序。 其他队列列可用于添加到视图中,以在文件和消息上提供不同的透视。

若要添加或删除内容队列的列标题,请使用 “编辑列” 控件并从以下列选项中进行选择。 这些列映射到内容资源管理器中支持的通用、电子邮件和文档属性条件,并在本文后面列出。

列选项 说明
Author 作者字段位于 Office 文档中,复制文档后仍然存在其中。 例如,如果用户创建文档并将其通过电子邮件发送到其他人,然后将其上传到 SharePoint,则该文档仍将保留原始作者。
Bcc 可用于电子邮件,即密件抄送邮件字段中的用户。
Cc 可用于电子邮件,即“抄送邮件”字段中的用户。
复合路径 描述项源的人类可读路径。
对话 ID 消息中的对话 ID。
对话索引 邮件中的对话索引。
创建时间 创建文件或电子邮件的时间。
日期 (UTC) 对于电子邮件而言,是指收件人收到邮件的日期,或发件人发送邮件的日期。 对于文档,上次修改文档的日期。 日期采用协调世界时 (UTC) 。
主导主题 为分析计算的主导主题。
Email集 ID 同一电子邮件集中所有邮件的组 ID。
家庭 ID 家庭 ID 将所有项组合在一起;对于电子邮件,此列包括邮件和所有附件;对于文档,此列包括文档和任何嵌入项。
文件类 对于 SharePoint 和 OneDrive 中的内容:文档;Exchange 中的内容:Email附件
文件 ID 文档标识符在事例中是唯一的。
文件类型图标 文件的扩展名;例如,docx、one、pptx 或 xlsx。 此字段与 FileExtension 站点属性相同。
ID 文件的 GUID 标识符。
不可变 ID 存储在 Office 365 中的不可变 ID。
非独占类型 为分析计算的非独占类型: 0 - 不包括; 1 - 含; 2 - 含减号; 3 - 包含副本。
上次修改时间 上次修改文档的日期。
标记为代表 每组精确重复项中的一个文档标记为代表。
消息类型 要搜索的电子邮件类型。 可能的值:联系人、文档、电子邮件、外部数据、传真、即时消息、日记、会议、microsoft 团队 (从聊天、会议和通话中返回项目Microsoft Teams) 、笔记、帖子、RSS 源、任务、语音邮件
参与者 邮件的所有参与者的列表;例如,发件人、收件人、抄送、密件抄送。
透视表 ID 透视表的 ID。
Received 收件人接收电子邮件的日期。 此字段与 Received email 属性相同。
收件人 电子邮件中的所有收件人字段。 这些字段为“收件人”、“抄送”和“密件抄送”。
代表 ID 每组精确重复项的数字标识符。
Sender 电子邮件的发件人。
发件人/作者 对于电子邮件而言,是指发送邮件的人。 对于文档而言,是指从 Office 文档的作者字段中引用的人员。 你可以键入多个名称,用逗号分隔。 通过 OR 运算符在逻辑上连接两个或多个值。
敏感信息类型 在内容中标识的敏感信息类型。
敏感度标签 应用于内容的敏感度标签。
Sent 发件人发送电子邮件的日期。 此字段与“已发送邮件”属性相同。
Size 对于电子邮件和文档而言,是项目的大小(以字节为单位)。
主题 电子邮件主题行中的文本。
主题/标题 对电子邮件而言,是指邮件的主题行中的文本。 对于文档而言,是指文档的标题。 如前所述,Title 属性是在 Office 文档中Microsoft指定的元数据。 可以键入多个主题/标题的名称,用逗号分隔。 通过 OR 运算符在逻辑上连接两个或多个值。
主题列表 为分析计算的主题列表。
标题 文档的标题。 Title 属性是 Office 文档中指定的元数据。 它不同于文档的文件名。
"自" “收件人”字段中电子邮件的收件人。

筛选

可以使用一个或多个筛选器缩小搜索范围,并返回更精细的结果集。 若要设置筛选器,请选择内容队列顶部的 “筛选器 ”。 许多筛选器包括其他筛选选项,以帮助缩小筛选器返回的结果范围。 例如,“日期”筛选器包含用于配置“日期”筛选器的“开始日期”结束日期”的控件。 从以下类别中选择一个或多个筛选器项:

常见筛选器

筛选 说明
日期 (UTC) 对于电子邮件而言,是指收件人收到邮件的日期,或发件人发送邮件的日期。 对于文档,上次修改文档的日期。
发件人/作者 对于电子邮件而言,是指发送邮件的人。 对于文档,在 Office 文档的 “作者” 字段中引用的人员。 你可以键入多个名称,用逗号分隔。
Source 文档在组织中的位置。 例如,特定的 SharePoint 网站位置。
主题/标题 对电子邮件而言,是指邮件的主题行中的文本。 对于文档而言,是指文档的标题。 文档中的 Title 属性是在 Office 文档中Microsoft指定的元数据。 可以键入多个主题/标题的名称,用逗号分隔。 通过 OR 运算符在逻辑上连接两个或多个值。

电子邮件筛选器

筛选 说明
Bcc 电子邮件的密件抄送字段。
Cc 电子邮件的“抄送”字段。
具有附件 指示邮件是否具有附件。 值以 truefalse 的形式列出。
是电子邮件附件 如果文档是附件,则值将列为 “是”。
是嵌入文档 如果文档嵌入到电子邮件中,则值将列为 “是”。
是内联附件 如果文档是电子邮件中的内联附件,则值将列为 “是”。
参与者 电子邮件中的所有人员字段。 这些字段为“发件人”、“收件人”、“抄送”和“密件抄送”。
Received 收件人接收电子邮件的日期。
收件人域 邮件收件人的所有域的列表。
收件人 电子邮件收件人。
Sender 邮件类型的发件人 (发件人) 字段。 格式为 DisplayName <SmtpAddress>
发件人域 发件人的域。
"自" 电子邮件的“收件人”字段。
在电子邮件集中唯一 如果电子邮件集中有附件的副本,则为 False。

文档筛选器

筛选器 说明
合规性标签 Microsoft 365 中应用的合规性标签。
创建时间 (UTC) 创建文件或电子邮件的日期和时间。 日期和时间采用协调世界时 (UTC) 。
上次修改日期 (UTC) 上次修改文档的日期。 日期和时间采用协调世界时 (UTC) 。
文件扩展名 文件的扩展类型。
用户活动事件 与案例中的特定用户活动相关的项的活动。 例如,在案例的“ 用户活动 ”页中选择活动“浏览内容”链接时,此筛选器用于显示与该活动相关的项目。
工作产品 文档的工作产品类型。 例如,文档中的批注或标记。