開始使用活動總管
活動總管 可讓您監視已加上標籤的內容正在執行的作業。 活動總管提供已標記內容的活動歷程記錄檢視。 活動資訊會從Microsoft 365 統一稽核記錄收集、轉換,然後在活動總管 UI 中提供。 活動總管會報告最多 30 天的數據。
活動總管提供多種方式來排序和檢視數據。
篩選
篩選條件是活動總管的建置組塊,每個專案都著重於所收集數據的不同維度。 有大約50個不同的個別篩選可供使用,有些則是:
- 日期範圍
- 活動類型
- 位置
- 敏感度標籤
- 使用者
- 用戶端IP
- 裝置名稱
- 受到保護
若要全部查看,請在活動總管中開啟篩選窗格,並查看下拉式清單。
注意事項
篩選選項會根據前 500 筆記錄產生,以確保最佳效能。 這可能會導致某些值未顯示在篩選下拉式清單中。
篩選集
活動總管隨附預先定義的篩選集,可協助您在想要專注於特定活動時節省時間。 使用篩選集快速為您提供比個別篩選條件更高層級活動的檢視。 部份預先定義的篩選集為:
- 端點 DLP 活動
- 套用、變更或移除的敏感度標籤
- 輸出活動
- 偵測到活動的 DLP 原則
- 網路 DLP 活動
- 受保護的瀏覽器
您也可以結合個別篩選條件來建立和儲存您自己的篩選集。
活動總管 (預覽) 中的 Security Copilot
在預覽中,Microsoft Purview 中的 Microsoft Security Copilot 內嵌在活動總管中。 它可協助有效率地向下鑽研活動數據,並協助您識別活動、具有敏感性資訊的檔案、使用者,以及與調查相關的其他詳細數據。
重要事項
根據所提供的資訊採取任何動作之前,請務必先檢查 Security Copilot 的回應是否正確且完整。 您可以提供意見反應來協助改善回應的精確度。
數據搜捕
Security Copilot 技能使用所有可用來Microsoft Purview 的數據、活動總管中可用的篩選和篩選集,並使用機器學習來提供活動 (有時稱為數據搜捕) 對您最重要的數據的深入解析。
- 顯示過去一周的前 5 個活動
- 篩選和調查活動
- 尋找用於特定活動的檔案
選取提示會自動開啟 Security Copilot 端卡片,並顯示查詢的結果。 然後,您可以進一步精簡查詢。
用來篩選集產生的自然語言
您可以使用提示方塊來輸入複雜的自然語言查詢,以產生篩選集。 例如,您可以輸入:
「篩選和調查過去 30 天內以敏感性資訊類型信用卡號碼複製到雲端的檔案。」
Security Copilot 會產生查詢的篩選集。 接著,您應該檢閱篩選,以確定它是您想要的,然後您可以將它套用至數據。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
必要條件
SKU/訂閱授權
開始使用 DLP 原則之前,請確認您的 Microsoft 365 訂閱 和任何附加元件。
如需授權的相關信息,請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 和 Windows 11 訂閱。
權限
帳戶必須在任一角色群組中明確指派成員資格,或必須明確授與該角色。
角色和角色 群組
您可以使用角色和角色群組來微調訪問控制。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權。
Microsoft Purview 角色
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
Microsoft Purview 角色 群組
- 資訊保護
- 資訊保護系統管理員
- 資訊保護調查人員
- 資訊保護分析員
- 資訊保護讀者
Microsoft 365 個角色
- 合規性系統管理員
- 安全性系統管理員
- 合規性數據管理員
Microsoft 365 角色 群組
- 合規性系統管理員
- 安全性系統管理員
- 安全性讀取者
活動類型
活動總管會從多個活動來源的稽核記錄收集資訊。
從原生應用程式到 Microsoft Office 的敏感度標籤活動和保留標籤活動的一些範例、Microsoft 資訊保護 客戶端和掃描器、SharePoint、Exchange (敏感度標籤僅) ,以及 OneDrive 包括:
- 已套用標籤
- 已變更標籤 (升級、降級或移除)
- 自動標籤模擬
- 已讀取檔案
如需活動總管中列出的目前活動清單,請移至 [活動總管],然後開啟 [主動式篩選]。 活動清單可在下拉式清單中取得。
Microsoft 資訊保護 用戶端和瀏覽器中進入活動總管的掃描器專用標籤活動包括:
- 已套用保護
- 保護已變更
- 已移除保護
- 已發現的檔案
如需哪些標籤活動變成活動總管的詳細資訊,請參閱活動總管 中可用的標記事件。
此外,使用端點數據外洩防護 (DLP) ,活動總管會從 Exchange、SharePoint、OneDrive、Teams 聊天和頻道、內部部署 SharePoint 資料夾和文檔庫、內部部署檔案共用,以及執行 Windows 10、Windows 11,以及最近三個主要 macOS 版本中的任何一個,收集 DLP 原則比對事件。 從 Windows 10 裝置收集的一些範例事件包括下列對檔案採取的動作:
- 刪除
- 創造
- 複製到剪貼簿
- 修改
- 讀取
- 重新命名
- 複製到網路共用
- 不受允許的應用程式存取
瞭解對具有敏感度標籤的內容所採取的動作,可協助您判斷您已備妥的控件,例如 Microsoft Purview 資料外洩防護 原則是否有效。 如果不是,或如果您發現某些非預期的 (,例如大量標示 highly confidential
為降級為 general
) 的專案,您可以管理原則並採取新動作來限制不想要的行為。
注意事項
活動總管目前不會監視 Exchange 的保留活動。
注意事項
如果使用者將Teams DLP決策回報為誤判,活動將會在活動總管的清單中顯示為 DLP 資訊。 專案不會有任何規則和原則比對詳細數據存在,但會顯示綜合值。 也不會針對誤判報告產生任何事件報告。
活動類型事件和警示
下表會根據是否偵測到原則相符專案,為三個原則設定範例配置活動總管中觸發的事件。
原則設定 | 針對此動作類型觸發的活動總管事件 | 符合 DLP 規則時觸發的活動總管事件 | 觸發的活動總管警示 |
---|---|---|---|
原則包含單一規則,允許活動而不進行稽核。 | 是 | 否 | 否 |
原則包含兩個規則:允許符合規則 #1;系統會稽核規則 #2 的原則相符專案。 | 是 僅限 (規則 #2) |
是 僅限 (規則 #2) |
是 僅限 (規則 #2) |
原則包含兩個規則:允許和不稽核這兩個規則的相符專案。 | 是 | 否 | 否 |