使用測試人員風險管理稽核記錄檢閱活動
重要事項
Microsoft Purview 內部風險管理 相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如IP竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。
測試人員風險管理稽核記錄可讓您隨時掌握對內部風險管理功能採取的動作。 此記錄可讓您獨立檢閱指派給一或多個內部風險管理角色群組的使用者所採取的動作。 內部風險管理稽核記錄會在您的組織中自動啟用,且無法停用。
每當偵測到已識別的風險活動發生時,稽核記錄就會自動並立即更新。 稽核記錄會將資訊保留 180 天 (大約六個月) 。 180 天后,數據會從記錄檔中永久刪除。
已識別風險活動偵測中的區域包括:
- 原則
- 例
- 警示
- 設定
- 使用者
- 通知範本
若要檢視和導出稽核記錄中的數據,必須將使用者指派給 測試人員風險管理 或 測試人員風險管理稽核員 角色群組。 若要深入瞭解測試人員風險管理角色群組,請 參閱開始使用內部風險管理步驟 1:啟用許可權。
注意事項
測試人員風險管理稽核記錄不會與Microsoft 365 稽核記錄相關聯,因為它們是獨立的稽核系統,並擷取不同區域的資訊。 停用 Microsoft 365 稽核不會影響內部風險管理內的活動稽核。
提示
開始使用 Microsoft Security Copilot,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。
在測試人員風險稽核記錄中檢視活動
若要檢視針對測試人員風險管理偵測到的功能活動,請流覽至 ,然後選取任何內部風險管理索引標籤右上方區域中的 [ 測試人員風險稽核記錄 ] 連結。根據預設,您會看到針對內部風險管理活動顯示的下列資訊:
- 活動: 用戶在測試人員風險管理解決方案中所採取之已識別風險活動的描述。
- 類別: 已識別風險活動執行所在的區域或專案。 例如,當執行 原則 變更活動時,您會將原則視為類別。
- 由下列專案執行的活動: 執行已識別風險活動的用戶名稱。
- 日期: 已識別風險活動的執行日期和時間。 日期和時間是貴組織的本機日期和時間。
如需已記錄活動的詳細資訊,請選取活動以顯示活動詳細數據窗格。 此窗格包含已識別風險活動的其他相關信息。
數據行和篩選
為了讓稽核員更容易檢閱稽核記錄, 測試人員風險稽核記錄中支持篩選。 若要進行基本篩選,佇列數據行可以新增至檢視,以在檔案和訊息上提供不同的樞紐。 您可以依欄位所執行的 [類別]、[日期範圍 ] 和 [ 活動] 來 篩選已識別的風險活動。
若要新增或移除佇列的數據行標題,請使用 [自定義數據 行] 控件,然後從數據行選項中選取。 這些數據行會對應至 測試人員風險稽核記錄 中支援的一般條件,稍後會在本文中列出。
稽核記錄導出
指派給測試人員風險管理或測試人員風險管理稽核員角色群組的使用者,可以在測試人員風險稽核記錄頁面上選取 [匯出],將稽核記錄活動匯出至 .csv (逗號分隔值) 檔案。 視稽核記錄活動而定,某些欄位可能不會包含在篩選的佇列中,因此這些欄位在導出的檔案中會顯示為空白。
檔案包含下列欄位的稽核記錄活動資訊:
- 由下列專案執行的活動: 修改專案值的用戶名稱。 此處列出的使用者已指派給下列一或多個角色 內部風險管理角色群組: 測試人員風險管理、 測試人員風險管理管理員、 測試人員風險管理分析師、 測試人員風險管理調查員。 每個角色群組都有不同的許可權等級來管理內部風險功能。
- 活動: 在專案上取得的活動類型。 值為 [檢視]、[已刪除]、[新增]、[已編輯的原則]、[案例]、[使用者]、[警示] 和 [設定]。
- 已新增:在已識別風險活動期間新增的物件,例如使用者、檔類型或網域。
- 警示數量:在內部風險管理設定中定義的警示數量層級。
- 數量:目前已選取原則的自定義指標數量。
- 資產標識碼:執行活動之優先順序實體資產的資產標識碼。
- 類別: 已修改項目的類別。 值為 原則、案例、使用者、警示、設定 和 通知範本。
- 日期: 日期和時間,列在您組織的本機日期和時間中。
- 描述:使用者針對在 (上執行動作之物件的描述輸入,例如原則或優先順序使用者群組) 。
- DLP 原則:選取 Microsoft Purview 資料外洩防護 (DLP) 原則,以觸發包含在內部風險管理原則中。
- 指標:內部風險設定中的指標,表示活動是在 (上執行,例如新增或移除指標) 。
- 注意範本:請注意已識別風險活動執行所在的範本。
- 天數:內部風險設定中定義的原則啟用視窗。
- 檔案數目:內部風險管理設定中定義的檔案數量限制。
- 原則範本:指標作用所屬的原則範本。
- 先前的數量:先前為原則選取的自定義指標數量。
- 優先順序使用者群組:已識別風險活動執行所在的優先使用者群組。
- 已移除:已在識別風險活動期間移除的物件,例如使用者、檔類型或網域。
- 寄件者:已識別風險活動執行所在的通知範本發件者字段。
- 目標原則:已識別風險活動在 (上執行的原則,例如將使用者新增至或從) 中移除使用者。
- 範本訊息本文:已識別風險活動執行所在的通知範本的訊息本文。
- 範本主體:已識別風險活動執行所在的通知範本主體欄位。
- 使用者: 使用者已在上執行已識別的風險活動。