Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В современных строгих нормативных условиях организациям важно отслеживать и анализировать взаимодействие пользователей с продуктами безопасности. Организациям может потребоваться отслеживать действия, транзакции и параметры конфигурации на платформе, чтобы обеспечить соответствие нормативным требованиям и нормативным стандартам.
Security Copilot сегодня предоставляет доступ к журналам аудита через Единый журнал аудита Microsoft Purview (UAL), Управление состоянием безопасности данных Microsoft Purview (DSPM) для ИИ и API управления Office, чтобы обеспечить соответствие нормативным требованиям. UAL от Purview позволяет просматривать такие сведения, как события администратора и метаданные действий, в то время как DSPM для ИИ предоставляет аналитические сведения о парах запросов и ответов.
- события Администратор — привилегированные действия, такие как изменение параметров на уровне клиента или административные изменения (например, общий доступ к данным, агент, триггер агента, конфигурации подключаемого модуля и модуля командной строки).
- Метаданные действия — журналы взаимодействия пользователей на платформе Security Copilot (например, пользователь запросил запрос в определенное время со сведениями о типе действия).
- Пары ответа на запросы. Действие в Security Copilot может содержать запрос на навык, который создает пару ответов. Пара и ее содержимое являются основной функциональностью платформы и критически важной точкой проверки для целей аудита.
Примечание.
Содержимое клиента, например содержимое, содержащееся в паре запросов и ответов, в настоящее время включается только через Microsoft Purview DSPM для искусственного интеллекта. Дополнительные сведения см. в статье Microsoft Purview для DSPM.
Отслеживая эти взаимодействия, можно определить риски, обеспечить стабильную работу важных рабочих процессов и защитить рабочие данные.
Включение Security Copilot для решений аудита и DSPM Purview
Чтобы включить Purview DSPM для решений ИИ и UAL для Security Copilot, эта возможность должна быть включена в Security Copilot и настроена в соответствующих решениях Purview. Существует два варианта включения возможностей в Security Copilot. Изначально во время первого запуска администратор безопасности может разрешить Microsoft Purview получать доступ, обрабатывать, копировать и хранить действия администратора, действия пользователей и ответы Copilot. Дополнительные сведения о начале работы с Security Copilot см. в статье Начало работы с Security Copilot.
Кроме того, администратор безопасности также может получить доступ к этому параметру на странице параметров владельца. Дополнительные сведения о типах ролей см. в статье Общие сведения о проверке подлинности.
Чтобы обновить параметры журнала аудита, выполните следующие действия.
Войдите в Security Copilot (https://securitycopilot.microsoft.com).
Щелкните значок главного меню.
Перейдите враздел Параметры>владельца>Ведение журнала данных аудита в Microsoft Purview.
Важно!
Microsoft Purview будет хранить данные клиентов в регионе, где хранятся данные Microsoft 365. Дополнительные сведения см. в статье Конфиденциальность и безопасность данных. Срок хранения журналов аудита по умолчанию составляет 180 дней, но его можно продлить с помощью политик хранения журналов аудита. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.
Можно включить или отключить этот переключатель.
Доступ к журналам аудита Security Copilot через единый журнал аудита в Microsoft Purview
Подготовка к работе
В этом разделе приводятся общие сведения о предварительных требованиях для доступа к журналу аудита.
Вам понадобится следующее:
- Убедитесь, что вы решили разрешить доступ к Microsoft Purview внутри Security Copilot. Дополнительные сведения см. в разделе Включение возможности журнала аудита.
- Убедитесь, что функция журнала аудита активна в Microsoft Purview. Дополнительные сведения см . в разделе Перед поиском в журнале аудита.
Примечание.
Для доступа к журналу аудита в Microsoft Purview потребуются соответствующие разрешения. Дополнительные сведения см. в разделе Разрешения на портале Microsoft Purview. Эти права доступа могут отличаться от прав доступа в Security Copilot.
Параметры доступа к единому журналу аудита в Microsoft Purview
Для доступа к журналу аудита в Microsoft Purview можно выполнить следующие действия:
- Поиск по журналу аудита . Статья, в которую приводятся инструкции по доступу к данным событий журнала аудита и их поиску, чтобы получить аналитические сведения и дальнейшее исследование действий пользователей.
- Поиск по действиям в журнале аудита — статья, описывающая действия, зафиксированные в журнале аудита.
- Ссылки на имена операций действий для Security Copilot— список имен операций действий для управления Security Copilot, управления агентами и взаимодействия СИ, таких как запросы.
- Выполните поиск в журнале аудита с помощью скрипта PowerShell . Статья, в которую приводятся инструкции по запуску скрипта PowerShell для поиска в журнале аудита, чтобы помочь в расследовании инцидентов безопасности и проблем с соответствием требованиям.
- Отслеживайте действия пользователей и системные события с помощью Security Copilot и Microsoft Sentinel. Блог, в этом блоге содержатся сведения о том, как использовать отправку журналов аудита Security Copilot в собственный облачный SIEM для получения более глубокой информации об использовании и принятия упреждающих мер по снижению рисков.
Доступ к содержимому пары ответов запроса в Microsoft Purview DSPM для ИИ
Подготовка к работе
В этом разделе приводятся общие сведения о предварительных требованиях для доступа к содержимому пары ответов запроса через Purview DSPM для ИИ.
Вам понадобится следующее:
- Убедитесь, что вы решили разрешить доступ к Microsoft Purview внутри Security Copilot. Дополнительные сведения см. в разделе Включение возможности журнала аудита.
- Убедитесь, что необходимые шаги настройки завершены, см. статью Learn | DSPM для настройки ИИ.
- Убедитесь, что любой администратор, которому требуется создание политики или возможность просматривать содержимое, записанное в запросах и ответах, соответствует минимальным уровням разрешений. Конфигурации ролей и разрешений подробно описаны в Learn | DSPM для ИИ
- Убедитесь, что политики DSPM для сбора содержимого Copilot настроены, см. статью DSPM политик по умолчанию ИИ в Learn.
После выполнения предварительных требований различные способы защиты информации, и просмотр содержимого в парах запроса и ответа является допустимым.
- Ознакомьтесь с капбилитами DSPM Purview для решения ИИ Microsoft Purview для защиты данных и соответствия требованиям для генеривных приложений ИИ
- Защита информации, к которым обращаются различные возможности Copilot Вопросы защиты информации для Copilot
- Просмотр и поиск содержимого в событиях обозревателя действий для Purview DSPM для событий обозревателя действий ИИ