Microsoft Purview 資訊保護連接器參考 - 稽核記錄記錄類型和活動支援
本文列出搭配 Microsoft Sentinel 使用 Microsoft Purview 資訊保護 連接器時支援的稽核記錄記錄類型和活動。
當您使用Microsoft Purview 資訊保護 連接器時,會將稽核記錄串流至
MicrosoftPurviewInformationProtection 標準化資料表。 資料是透過使用結構化架構的 Office 管理 API來收集資料。
支援的稽核記錄記錄類型
| 值 | 成員 | 名稱 | 描述 | Operations |
|---|---|---|---|---|
| 93 | AipDiscover |
Microsoft Purview 掃描器事件。 | 描述存取的類型。 | |
| 94 | AipSensitivityLabelAction |
Microsoft Purview 敏感度標籤事件。 | 稽核記錄的作業類型。 使用者或系統管理員活動的名稱,以取得最常見作業的描述:
|
|
| 95 | AipProtectionAction |
Microsoft Purview 保護事件。 | 包含與 Microsoft Purview 保護事件相關的資訊。 | |
| 96 | AipFileDeleted |
Microsoft Purview 檔案刪除事件。 | 包含與 Microsoft Purview 檔案刪除事件相關的資訊。 | |
| 97 | AipHeartBeat |
Microsoft Purview 活動訊號事件。 | 稽核記錄的作業類型。 使用者或系統管理員活動的名稱,以取得最常見作業或活動的描述:
SensitivityLabelUpdated |
|
| 43 | MipLabel |
在電子郵件訊息的傳輸管線中偵測到的事件, (這些訊息會以手動方式或自動) 敏感度標籤標記。 | ||
| 82 | SensitivityLabelPolicyMatch |
開啟或重新命名標示敏感標籤的檔案時所產生的事件。 | ||
| 83 | SensitivityLabelAction |
套用、更新或移除敏感度標籤時所產生的事件。 | ||
| 84 | SensitivityLabeledFileAction |
開啟或重新命名標示敏感度標籤的檔案時所產生的事件。 | ||
| 71 | MipAutoLabelSharePointItem |
SharePoint 中的自動套用標籤事件 | ||
| 72 | MipAutoLabelSharePointPolicyLocation |
SharePoint 中的自動套用標籤原則事件。 | ||
| 75 | MipAutoLabelExchangeItem |
Microsoft Exchange 中的自動套用標籤事件。 |
支援的活動
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已將敏感度標籤套用至檔案 | FileSensitivityLabelApplied |
敏感度標籤是透過 Microsoft 365 應用程式、Office 網頁版或自動套用標籤原則套用至檔。 |
| 已變更套用至檔案的敏感度標籤 | FileSensitivityLabelChanged |
不同的敏感度標籤已套用至檔。 Office 網頁版或自動套用標籤原則已變更。 |
| 已從檔案中移除敏感度標籤 | FileSensitivityLabelRemoved |
敏感度標籤已透過 Microsoft 365 應用程式、Office 網頁版、自動套用標籤原則或Unlock-SPOSensitivityLabelEncryptedFile Cmdlet 從檔中移除。 |
| 已將敏感度標籤套用至網站 | SensitivityLabelApplied |
敏感度標籤已套用至 SharePoint 或 Teams 網站。 |
| 已變更套用至檔案的敏感度標籤 | SensitivityLabelUpdated |
不同的敏感度標籤已套用至檔。 |
| 已從網站移除敏感度標籤 | SensitivityLabelRemoved |
敏感度標籤已從 SharePoint 或 Teams 網站中移除。 |
SiteSensitivityLabelApplied |
敏感度標籤已套用至 SharePoint 或 Teams 網站。 | |
| 已變更網站上的敏感度標籤 | SensitivityLabelChanged |
不同的敏感度標籤已套用至 SharePoint 或 Teams 網站。 |
| 已從網站移除敏感度標籤 | SiteSensitivityLabelRemoved |
敏感度標籤已從 SharePoint 或 Teams 網站中移除。 |
| Document | DocumentSensitivityMismatchDetected |
不可稽核的活動。 向 [基底] 發出訊號,指出專案已從 SharedWithMe 檢視中移除。 這與 RemovedFromSharedWithMe 作業相同,但沒有稽核。 |
下一步
在本文中,您已瞭解使用 Microsoft Purview 資訊保護 連接器時支援的稽核記錄記錄類型和活動。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 深入了解如何取得資料的可見度以及潛在威脅。
- 開始使用 Microsoft Sentinel 來偵測威脅。
- 使用活頁簿監視資料。