Protokolování aktivit ochrany před únikem informací
Poznámka:
Protokolování aktivit pro zásady ochrany před ztrátou dat není v současné době dostupné v suverénních cloudech.
Aktivity zásad ochrany před ztrátou dat (DLP) jsou sledovány z Centra zabezpečení a dodržování předpisů Microsoft 365.
Chcete-li protokolovat aktivity DLP, postupujte takto:
Přihláste se do centra zabezpečení a dodržování předpisů jako správce klienta.
Vyberte Vyhledávání>Vyhledat protokol auditu.
V nabídce Vyhledávání>Činnosti zadejte dlp. Zobrazí seznam aktivit.
Vyberte aktivitu, zavřete ji klepnutím mimo okno vyhledávání a poté vyberte Hledat.
Na obrazovce Prohledávání protokolu auditu můžete prohledávat protokoly auditu v mnoha oblíbených službách, včetně eDiscovery, Exchange, Power BI, Microsoft Entra ID, Microsoft Teams, aplikace pro zapojení zákazníků (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing a Dynamics 365 Project Service Automation) a Microsoft Power Platform.
Poté, co přejdete do nabídky Prohledávání protokolu auditu, můžete konkrétní aktivity filtrovat rozbalením seznamu Činnosti a poté vyhledáním části věnované činnostem Microsoft Power Platform.
Jaké události DLP jsou auditovány
Činnosti uživatele, které můžete auditovat, jsou následující:
- Vytvořená zásada DLP: Když je vytvořena nová zásada DLP
- Aktualizovaná zásada DLP: Když se aktualizuje stávající zásada DLP
- Odstraněná zásada DLP: Když je zásada DLP odstraněna
Základní schéma pro události auditu DLP
Schémata definují, která pole jsou odeslána do Centra zabezpečení a dodržování předpisů Microsoft 365. Některá pole jsou společná pro všechny aplikace, které odesílají data auditu do služeb Microsoft 365, zatímco ostatní jsou specifické pro Zásady DLP. V následující tabulce jsou sloupce Název a Další informace specifické pro zásady DLP.
| Název pole | Typ | Povinný | Popis |
|---|---|---|---|
| Datum | Edm.Date | Ne | Datum a čas, kdy byla protokol vygenerován v UTC |
| Název aplikace | Edm.String | Ne | Jedinečný identifikátor PowerApp |
| ID | Edm.Guid | Ne | Jedinečný identifikátor GUID pro každý zaprotokolovaný řádek |
| Stav výsledku | Edm.String | Ne | Stav zaznamenaného řádku. Úspěch ve většině případů. |
| ID organizace | Edm.Guid | Ano | Jedinečný identifikátor organizace, ze které byl vygenerován protokol. |
| CreationTime | Edm.Date | Ne | Datum a čas, kdy byla protokol vygenerován v UTC |
| Operace | Edm.Date | Ne | Název operace |
| UserKey | Edm.String | No | Jedinečný identifikátor uživatele v Microsoft Entra ID |
| UserType | Self.UserType | No | Typ auditu služeb (správce, běžný, systém) |
| Další informace | Edm.String | Ne | Případné další informace (např. název prostředí) |
Další informace
Pole Další informace je objekt JSON, který obsahuje vlastnosti specifické pro operaci. Pro operaci zásady DLP obsahuje následující vlastnosti.
| Název pole | Typ | Povinné? | Popis |
|---|---|---|---|
| PolicyId | Edm.Guid | Ano | GUID zásady. |
| PolicyType | Edm.String | Ano | Typ zásady. Povolené hodnoty jsou AllEnvironments, SingleEnvironment, OnlyEnvironments nebo ExceptEnvironments. |
| DefaultConnectorClassification | Edm.String | Ano | Výchozí klasifikace konektorů. Povolené hodnoty jsou Obecné, Blokované nebo Důvěrné. |
| EnvironmentName | Edm.String | Ne | Název (GUID) prostředí. K dispozici pouze pro zásady SingleEnvironment. |
| Changeset | Edm.String | Ne | Změny v zásadách. K dispozici pouze pro operace aktualizace. |
Následuje příklad souboru Další informace JSON pro událost vytvoření nebo odstranění.
{
"policyId": "eb1e0480-0fe9-434e-9ad8-df4047a666ec",
"policyType": "SingleEnvironment",
"defaultConnectorClassification": "General",
"environmentName": "8a11a4a6-d8a4-4c47-96d7-3c2a60efe2f5"
}
Následuje příklad souboru Další informace JSON pro operaci aktualizace, která:
- Změní název zásady z „oldPolicyName“ na „newPolicyName“.
- Změní výchozí klasifikaci z „Obecné“ na „Důvěrné“.
- Změní typ zásady z „OnlyEnvironmentments“ na „ExceptEnvironmentments“.
- Přesune konektor Azure Blob Storage z Obecného do Důvěrného bloku.
- Přesune konektor Bing Maps z Obecného do Blokovaného bloku.
- Přesune konektor Azure Automation z Důvěrného do Blokovaného bloku.
{
"policyId": "eb1e0480-0fe9-434e-9ad8-df4047a666ec",
"policyType": "ExceptEnvironments",
"defaultConnectorClassification": "Confidential",
"changeSet": {
"changedProperties": [
{
"name": "ApiPolicyName",
"previousValue": "oldPolicyName",
"currentValue": "newPolicyName"
},
{
"name": "DefaultConnectorClassification",
"previousValue": "General",
"currentValue": "Confidential"
},
{
"name": "DlpPolicyType",
"previousValue": "OnlyEnvironments",
"currentValue": "ExceptEnvironments"
}
],
"connectorChanges": [
{
"name": "Azure Blob Storage",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureblob",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Confidential"
}
},
{
"name": "Bing Maps",
"id": "/providers/Microsoft.PowerApps/apis/shared_bingmaps",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Blocked"
}
},
{
"name": "Azure Automation",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureautomation",
"previousValue": {
"classification": "Confidential"
},
"currentValue": {
"classification": "Blocked"
}
}
]
}
}