Начало работы с обозревателем действий

Общие сведения о классификации данных и вкладки обозревателя содержимого позволяют узнать, какое содержимое было обнаружено и помечено, а также где находится содержимое. Обозреватель действий округляет этот набор функциональных возможностей, позволяя отслеживать, что делается с помеченным содержимым. Обозреватель действий предоставляет историческое представление о действиях в помеченном содержимом. Сведения о действиях собираются из унифицированных журналов аудита Microsoft 365, преобразуются, а затем предоставляются в пользовательском интерфейсе обозревателя действий. Обозреватель действий сообщает о данных за 30 дней.

снимок экрана: обзор обозревателя действий с заполнителем.

Существует более 30 различных фильтров, доступных для использования, некоторые из них:

  • Диапазон дат
  • Тип действия
  • Расположение
  • User
  • Метка конфиденциальности
  • Метка хранения
  • Путь к файлу
  • Политика защиты от потери данных

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Предварительные требования

Каждой учетной записи, которая осуществляет доступ и использует классификацию данных, необходимо назначить лицензию из одной из следующих подписок:

  • Microsoft 365 (E5)
  • Office 365 (E5)
  • Дополнение Advanced Compliance (E5)
  • Дополнение Advanced Threat Intelligence (E5)
  • Защита информации и управление данными в Microsoft 365 E5 или A5
  • Соответствие требованиям Microsoft 365 E5 или A5

Разрешения

Учетной записи необходимо явно назначить членство в любой из этих групп ролей или явно предоставить роль.

Роли и группы ролей

Существуют роли и группы ролей, которые можно использовать для точной настройки элементов управления доступом. Дополнительные сведения о них см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.

Роли Microsoft Purview Группы ролей Microsoft Purview Роли Microsoft 365 Группы ролей Microsoft 365
Администратор Information Protection Защита информации Глобальные администраторы Администратор соответствия требованиям
Аналитик Information Protection Администраторы Information Protection Администраторы соответствия требованиям Администратор безопасности
Исследователь Information Protection Исследователи Information Protection Администраторы безопасности Читатель сведений о безопасности
Читатель Information Protection Аналитики Information Protection Администраторы данных соответствия
Читатели Information Protection

Типы действий

Обозреватель действий собирает сведения из журналов аудита нескольких источников действий.

Ниже приведены примеры действий меток конфиденциальности и меток хранения из приложений, встроенных в Microsoft Office, клиента и сканера унифицированных меток Azure Information Protection (AIP), SharePoint, Exchange (только меток конфиденциальности) и OneDrive:

  • Метка применена
  • Метка изменена (обновление, возврат к предыдущей или удаление)
  • Имитация автоматической маркировки
  • Файл прочитан

Действия маркировки, определенные для сканера azure Information Protection (AIP) и клиентов AIP, которые поступают в обозреватель действий, включают:

  • Примененная защита
  • Защита изменена
  • Защита удалена
  • Обнаруженные файлы

Дополнительные сведения о том, какое действие маркировки делает его в обозревателе действий, см. в разделе События меток, доступные в обозревателе действий.

Кроме того, используя защиту от потери данных конечных точек (DLP), обозреватель действий собирает события политики защиты от потери данных из Exchange, SharePoint, OneDrive, чата и канала Teams, локальных папок и библиотек SharePoint, локальных файловых ресурсов и устройств под управлением Windows 10, Windows 11 и любой из трех последних основных версий macOS. Некоторые примеры событий, собранных с Windows 10 устройств, включают следующие действия, выполняемые с файлами:

  • Удаление
  • Создание
  • Копирование в буфер обмена
  • Изменение
  • Чтение
  • Print
  • Переименовать
  • Копирование в сетевую папку
  • Доступ с помощью не разрешенного приложения

Понимание действий, выполняемых с содержимым с метками конфиденциальности, помогает определить, эффективны ли имеющиеся элементы управления, например политики Защита от потери данных Microsoft Purview. Если нет, или вы обнаружите что-то непредвиденное (например, большое количество элементов, помеченных highly confidential как general), вы можете управлять политиками и предпринимать новые действия, чтобы ограничить нежелательное поведение.

Примечание.

Обозреватель действий в настоящее время не отслеживает действия хранения для Exchange.

Примечание.

Если пользователь сообщает о вердикте защиты от потери данных в Teams как ложноположительное, действие будет отображаться в списке в обозревателе действий как сведения о защите от потери данных. В записи не будет представлено сведений о соответствии правил и политик, но будут отображаться искусственные значения. Отчет об инциденте также не будет создан для ложноположительных отчетов.

См. также