Registo de atividades de prevenção de perda de dados
Aviso
O esquema documentado neste artigo foi preterido e não estará disponível a partir de julho de 2024. Você pode usar o novo esquema disponível na categoria Atividade: Eventos de política de dados.
Nota
O registo de atividades para políticas de proteção de perda de dados não está atualmente disponível em clouds soberanas.
As atividades da política de Proteção de Perda de Dados (DLP) são monitorizadas a partir do Centro de Segurança e Conformidade do Microsoft 365.
Para registar as atividades DLP, siga estes passos:
Inicie sessão no Centro de Conformidade e Segurança como administrador do inquilino.
Selecione Procurar>Pesquisa de registos de auditoria.
Em Pesquisa>Atividades, introduza dlp. Aparece uma lista de atividades.
Selecione uma atividade, selecione fora da janela de pesquisa para fechá-la e, em seguida, selecione Procurar.
No ecrã Pesquisa de registo de auditoria, pode procurar registos de auditoria em vários serviços populares, incluindo o eDiscovery, Exchange, Power BI, ID do Microsoft Entra, Microsoft Teams, aplicações de interação com os clientes (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation) e Microsoft Power Platform.
Depois de aceder à Pesquisa de registo de auditoria, pode filtrar por atividades específicas ao expandir Atividades e, em seguida, deslocar-se para localizar a secção dedicada às atividades do Microsoft Power Platform.
Quais os eventos DLP auditados
Seguem-se as ações de utilizador que pode auditar:
- Política DLP criada: quando uma nova política DLP é criada
- Política DLP atualizada: quando uma política DLP existente é atualizada
- Política DLP eliminada: quando uma política DLP é eliminada
Esquema base para eventos de auditoria DLP
Os esquemas definem os campos que são enviados para o Centro de Conformidade e Segurança do Microsoft 365. Alguns campos são comuns a todas as aplicações que enviam dados de auditoria para o Microsoft 365, enquanto outros são específicos de políticas DLP. Na tabela seguinte, Nome e Informações Adicionais são as colunas específicas da política DLP.
| Nome do campo | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| Data | Edm.Date | Não | Data e hora de criação do registo em UTC |
| Nome da aplicação | Edm.String | Não | Identificador exclusivo da PowerApp |
| ID | Edm.Guid | Não | GUID exclusivo para cada linha registada |
| Estado do resultado | Edm.String | Não | Estado da linha registada. Êxito na maioria dos casos. |
| ID da Organização | Edm.Guid | Sim | Identificador exclusivo da organização a partir da qual o registo foi gerado. |
| CreationTime | Edm.Date | Não | Data e hora de criação do registo em UTC |
| Operação | Edm.Date | Não | Nome da operação |
| UserKey | Edm.String | Não | Identificador Exclusivo do Utilizador no ID do Microsoft Entra |
| UserType | Self.UserType | Não | O tipo de auditoria (Administrador, normal, sistema) |
| Informação adicional | Edm.String | No | Mais informações, se houver (por exemplo, o nome do ambiente) |
Informação adicional
O campo Informações Adicionais é um objeto JSON que contém propriedades específicas do funcionamento. Para uma operação de política DLP, contém as seguintes propriedades.
| Nome do campo | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| PolicyId | Edm.Guid | Sim | O GUID da política. |
| PolicyType | Edm.String | Sim | O tipo de política. Os valores permitidos são AllEnvironments, SingleEnvironment, OnlyEnvironments ou ExceptEnvironments. |
| DefaultConnectorClassification | Edm.String | Sim | A classificação de conectores predefinidos. Os valores permitidos são Geral, Bloqueado ou Confidencial. |
| EnvironmentName | Edm.String | Não | O nome (GUID) do ambiente. Isto só está presente nas políticas SingleEnvironment. |
| ChangeSet | Edm.String | Não | Alterações feitas à política. Estes só estão presentes para operações de atualização. |
Segue-se um exemplo do JSON de Informações Adicionais para um evento de criação ou eliminação.
{
"policyId": "eb1e0480-0fe9-434e-9ad8-df4047a666ec",
"policyType": "SingleEnvironment",
"defaultConnectorClassification": "General",
"environmentName": "8a11a4a6-d8a4-4c47-96d7-3c2a60efe2f5"
}
Segue-se um exemplo do JSON de Informações Adicionais para uma operação de atualização que:
- Altera o nome da política de oldPolicyName para newPolicyName.
- Altera a classificação predefinida de Geral para Confidencial.
- Altera o tipo de política de OnlyEnvironments para ExceptEnvironments.
- Move o conector do Armazenamento de Blobs do Azure do registo Geral para Confidencial.
- Move o conector dos Mapas Bing do registo Geral para Bloqueado.
- Move o conector Automatização do Azure do registo Confidencial para Bloqueado.
{
"policyId": "eb1e0480-0fe9-434e-9ad8-df4047a666ec",
"policyType": "ExceptEnvironments",
"defaultConnectorClassification": "Confidential",
"changeSet": {
"changedProperties": [
{
"name": "ApiPolicyName",
"previousValue": "oldPolicyName",
"currentValue": "newPolicyName"
},
{
"name": "DefaultConnectorClassification",
"previousValue": "General",
"currentValue": "Confidential"
},
{
"name": "DlpPolicyType",
"previousValue": "OnlyEnvironments",
"currentValue": "ExceptEnvironments"
}
],
"connectorChanges": [
{
"name": "Azure Blob Storage",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureblob",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Confidential"
}
},
{
"name": "Bing Maps",
"id": "/providers/Microsoft.PowerApps/apis/shared_bingmaps",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Blocked"
}
},
{
"name": "Azure Automation",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureautomation",
"previousValue": {
"classification": "Confidential"
},
"currentValue": {
"classification": "Blocked"
}
}
]
}
}