Бөлісу құралы:


Начало работы с обозревателем действий

Общие сведения о классификации данных и вкладки обозревателя содержимого позволяют узнать, какое содержимое было обнаружено и помечено, а также где находится содержимое. Обозреватель действий округляет этот набор функциональных возможностей, позволяя отслеживать, что делается с помеченным содержимым. Обозреватель действий предоставляет историческое представление о действиях в помеченном содержимом. Сведения о действиях собираются из унифицированных журналов аудита Microsoft 365, преобразуются, а затем предоставляются в пользовательском интерфейсе обозревателя действий. Обозреватель действий сообщает о данных за 30 дней.

снимок экрана: обзор обозревателя действий с заполнителем.

Существует более 30 различных фильтров, доступных для использования, некоторые из них:

  • Диапазон дат
  • Тип действия
  • Расположение
  • Пользователь
  • Метка конфиденциальности
  • Метка хранения
  • Путь к файлу
  • Политика защиты от потери данных

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Предварительные требования

Каждой учетной записи, которая осуществляет доступ и использует классификацию данных, необходимо назначить лицензию из одной из следующих подписок:

  • Microsoft 365 (E5)
  • Office 365 (E5)
  • Дополнение Advanced Compliance (E5)
  • Дополнение Advanced Threat Intelligence (E5)
  • Защита информации и управление данными в Microsoft 365 E5 или A5
  • Соответствие требованиям Microsoft 365 E5 или A5

Разрешения

Учетной записи необходимо явно назначить членство в любой из этих групп ролей или явно предоставить роль.

Роли и Группы ролей

Существуют роли и группы ролей, которые можно использовать для точной настройки элементов управления доступом. Дополнительные сведения о них см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.

Роли Microsoft Purview Роль Microsoft Purview Группы Роли Microsoft 365 Роль Microsoft 365 Группы
Администратор Information Protection Защита информации Глобальные администраторы Администратор соответствия требованиям
Аналитик Information Protection Администраторы Information Protection Администраторы соответствия требованиям Администратор безопасности
Исследователь Information Protection Исследователи Information Protection Администраторы безопасности Читатель сведений о безопасности
Читатель Information Protection Аналитики Information Protection Администраторы данных соответствия
Читатели Information Protection

Типы действий

Обозреватель действий собирает сведения из журналов аудита нескольких источников действий.

Ниже приведены некоторые примеры действий меток конфиденциальности и меток хранения из приложений, встроенных в Microsoft Office, клиента и сканера Microsoft Information Protection, SharePoint, Exchange (только метки конфиденциальности) и OneDrive:

  • Метка применена
  • Метка изменена (обновление, возврат к предыдущей или удаление)
  • Имитация автоматической маркировки
  • Файл прочитан

Для текущего списка действий, перечисленных в обозревателе действий, перейдите в обозреватель действий и откройте фильтр действия. Список действий доступен в раскрывающемся списке.

Действия маркировки, относящиеся к клиенту и сканеру Microsoft Information Protection, которые поступают в обозреватель действий, включают:

  • Применена защита
  • Защита изменена
  • Защита удалена
  • Обнаруженные файлы

Дополнительные сведения о том, какое действие маркировки делает его в обозревателе действий, см. в разделе События меток, доступные в обозревателе действий.

Кроме того, используя защиту от потери данных конечных точек (DLP), обозреватель действий собирает события политики защиты от потери данных из Exchange, SharePoint, OneDrive, чата и канала Teams, локальных папок и библиотек SharePoint, локальных файловых ресурсов и устройств под управлением Windows 10, Windows 11 и любой из трех последних основных версий macOS. Некоторые примеры событий, собранных с Windows 10 устройств, включают следующие действия, выполняемые с файлами:

  • Удаление
  • Создание
  • Копирование в буфер обмена
  • Изменение
  • Чтение
  • Print
  • Переименовать
  • Копирование в сетевую папку
  • Доступ с помощью не разрешенного приложения

Понимание действий, выполняемых с содержимым с метками конфиденциальности, помогает определить, эффективны ли имеющиеся элементы управления, например политики Защита от потери данных Microsoft Purview. Если нет, или вы обнаружите что-то непредвиденное (например, большое количество элементов, помеченных highly confidential как general), вы можете управлять политиками и предпринимать новые действия, чтобы ограничить нежелательное поведение.

Примечание.

Обозреватель действий в настоящее время не отслеживает действия хранения для Exchange.

Примечание.

Если пользователь сообщает о вердикте защиты от потери данных в Teams как ложноположительное, действие будет отображаться в списке в обозревателе действий как сведения о защите от потери данных. В записи не будет представлено сведений о соответствии правил и политик, но будут отображаться искусственные значения. Отчет об инциденте также не будет создан для ложноположительных отчетов.

События и оповещения типа действия

В следующей таблице описаны события, которые активируются в Обозреватель действий для трех примеров конфигураций политики в зависимости от того, обнаружено ли соответствие политике.

Конфигурация политики Событие Обозреватель действия, активированное для этого типа действия Действие Обозреватель событие, активируется при сопоставлении правила защиты от потери данных Активируется оповещение Обозреватель действий
Политика содержит одно правило, разрешающее действие без аудита. Да Нет Нет
Политика содержит два правила: разрешены совпадения для правила 1; Выполняется аудит соответствия политик для правила 2. Да
(Только правило 2)
Да
(Только правило 2)
Да
(Только правило 2)
Политика содержит два правила: соответствие обоим правилам разрешено и не проверяется. Да Нет Нет

См. также