Использование отчетов и аудита о соответствии требованиям к обмену данными

Важно!

Соответствие требованиям к обмену данными Microsoft Purview предоставляет средства, помогающие организациям обнаруживать соответствие нормативным требованиям (например, SEC или FINRA) и нарушения бизнес-поведения, такие как конфиденциальная или конфиденциальная информация, преследования или угрозы языка, а также предоставление общего доступа к содержимому для взрослых. Созданные с учетом конфиденциальности по умолчанию, имена пользователей псевдонимизированы по умолчанию, элементы управления доступом на основе ролей встроены, следователи выбираются администратором, а журналы аудита позволяют обеспечить конфиденциальность на уровне пользователей.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Отчеты

Панель мониторинга "Отчеты " является центральным местом для просмотра всех отчетов о соответствии требованиям к обмену данными. Для просмотра отчетов и управления ими пользователи должны быть назначены группе ролей Средства проверки соответствия требованиям к обмену данными .

Мини-приложения отчетов предоставляют быстрое представление аналитических сведений, наиболее часто необходимых для общей оценки состояния действий по соответствию обмену данными. Сведения, содержащиеся в мини-приложениях отчетов, не экспортируются. Подробные отчеты содержат подробные сведения, связанные с определенными областями соответствия требованиям к обмену данными, а также позволяют фильтровать, группировать, сортировать и экспортировать информацию при проверке.

Для фильтра диапазона дат дата и время для событий перечислены в формате UTC. При фильтрации сообщений все фильтры для отчета применяются в даты начала 00:00:00 UTC к дате окончания 23:59:59 UTC.

Панель мониторинга отчетов о соответствии требованиям к обмену данными

Панель мониторинга "Отчеты" содержит следующие мини-приложения отчетов и подробные ссылки на отчеты:

Мини-приложения отчетов

  • Последние совпадения политик: отображает количество совпадений по активным политикам с течением времени.
  • Разрешенные элементы по политике: отображает количество оповещений о совпадении политик, разрешенных политиками с течением времени.
  • Пользователи с наибольшим количеством совпадений политик: отображает пользователей (или анонимные имена пользователей) и количество совпадений политик за заданный период.
  • Политика с наибольшим числом совпадений: отображает политики и количество совпадений за заданный период, ранжированные с наивысшим или наименьшим для совпадений.
  • Эскалации по политике: отображает количество эскалаций для каждой политики за определенное время.

Подробные отчеты

Используйте параметр Экспорт отчета , чтобы создать файл .CSV, содержащий сведения об отчете для любого подробного отчета. Параметр Экспорт отчета поддерживает скачивание файлов размером до 3 МБ.

  • Параметры политики и состояние. Содержит подробный обзор конфигурации и параметров политики, а также общего состояния каждой политики (совпадений и действий) в сообщениях. Содержит сведения о политике и о том, как политики связаны с пользователями и группами, расположениями, процентами просмотра, рецензентами, состоянием и моментом последнего изменения политики. Используйте параметр Экспорт , чтобы создать файл .CSV, содержащий сведения об отчете.

  • Элементы и действия на политику: проверка и экспорт соответствующих элементов и действий по исправлению для каждой политики. Содержит сведения о политике и о том, как политики связаны с:

    • Элементы, сопоставленные
    • Элементы с эскалацией
    • Разрешенные элементы
    • Помечено как соответствующее
    • Помечен как несоответствующий
    • Помечено как сомнительные
    • Элементы, ожидающие проверки
    • Уведомление пользователя
    • Создано дело
  • Элемент и действия по расположению. Просмотр и экспорт соответствующих элементов и действий по исправлению для каждого расположения Microsoft 365. Содержит сведения о том, как платформы рабочей нагрузки связаны с:

    • Элементы, сопоставленные
    • Элементы с эскалацией
    • Разрешенные элементы
    • Помечено как соответствующее
    • Помечен как несоответствующий
    • Помечено как сомнительные
    • Элементы, ожидающие проверки
    • Уведомление пользователя
    • Создано дело
  • Действия по пользователям: просмотр и экспорт соответствующих элементов и действий по исправлению для каждого пользователя. Содержит сведения о том, как пользователи связаны с:

    • Элементы, сопоставленные
    • Элементы с эскалацией
    • Разрешенные элементы
    • Помечено как соответствующее
    • Помечен как несоответствующий
    • Помечено как сомнительные
    • Элементы, ожидающие проверки
    • Уведомление пользователя
    • Создано дело

Примечание.

Отображаемые элементы и действия относятся только к элементам и действиям, сопоставленным в течение диапазона дат, включенного в фильтр диапазона дат, упомянутый выше.

  • Тип конфиденциальной информации для каждого расположения (предварительная версия). Просмотрите и экспортируйте сведения об обнаружении типов конфиденциальной информации и связанных источниках в политиках соответствия требованиям к обмену данными. Включает общее общее и конкретное распределение экземпляров типов конфиденциальной информации в источниках, настроенных в вашей организации. Значения для каждого стороннего источника отображаются в отдельных столбцах в файле .CSV. Примеры:

    • Email: типы конфиденциальной информации, обнаруженные в сообщениях электронной почты Exchange.
    • Teams: типы конфиденциальной информации, обнаруженные в каналах Microsoft Teams и сообщениях чата.
    • Microsoft Copilot для Microsoft 365. Типы конфиденциальной информации, обнаруженные во взаимодействиях Copilot.
    • Viva Engage. Типы конфиденциальной информации, обнаруженные в Viva Engage почтовых ящиках, публикациях, чатах и ответах.
    • Сторонние источники: типы конфиденциальной информации, обнаруженные для действий, связанных со сторонними соединителями, настроенными в вашей организации. Чтобы просмотреть разбивку сторонних источников для определенного типа конфиденциальной информации в отчете, наведите указатель мыши на значение типа конфиденциальной информации в столбце Стороннего источника.
    • Прочее. Типы конфиденциальной информации, используемые для внутренней обработки системы. Выбор или отмена выбора этого источника для отчета не повлияет ни на какие значения.
  • Email отправителей. Просмотрите и экспортируйте список отправителей сообщений электронной почты, которые были отфильтрованы из ваших политик соответствия требованиям к обмену данными, чтобы снизить уровень шума. Фильтрация взрывов электронной почты — это параметр политики соответствия требованиям к обмену данными. Отчет об отправителях Email включает следующие поля:

    • Имя политики
    • Дата последнего изменения политики
    • Sender
    • Количество отфильтрованной почты

Экспорт отчета со сведениями о сообщении

Создание пользовательских отчетов и просмотр сведений о сообщениях, содержащихся в определенных политиках, на вкладке Политики. Эти отчеты можно использовать для всех проверок сообщений и создания отчета snapshot состояния сообщений за настраиваемый период времени. После создания отчета можно просмотреть и скачать отчет со сведениями о сообщении в виде файла .CSV на вкладке Экспорты .

Отчет о сообщениях о соответствии требованиям к обмену данными

Чтобы создать отчет со сведениями о сообщении, выполните следующие действия:

  1. Войдите в Microsoft Purview с учетной записью, которая входит в группу ролей Следователей соответствия требованиям к коммуникации .
  2. На вкладке Политики выберите политику, а затем нажмите кнопку Экспорт отчета в правом верхнем углу страницы.
  3. В области Параметры экспорта введите имя отчета в поле Имя отчета .
  4. В разделе Включить элементы из этих пользователей выберите один из следующих вариантов:
    • Все пользователи. Выберите этот параметр, если вы хотите создать отчет со сведениями о сообщениях для всех пользователей в политике.
    • Выберите пользователей. Выберите этот параметр, а затем выберите определенных пользователей из списка, чтобы создать отчет с сообщениями, отправленными этими конкретными пользователями. В списке будут доступны только те пользователи, которые отправили сообщение, которое было помечено.
  5. В разделе Выберите диапазон дат выберите дату начала и дату окончания для отчета.
  6. Выберите Экспорт. Откроется панель Мы создаем отчет .

В зависимости от количества элементов в отчете может потребоваться от нескольких минут до нескольких часов, прежде чем отчет будет готов к скачиванию. Вы можете проверка ход выполнения, нажав кнопку Проверить ход выполнения на панели Мы создаем отчет, или перейдите на вкладку Экспорты, чтобы проверка ход выполнения. В столбце Состояние на вкладке Экспортыотображается состояние Выполняется или Готово к скачиванию. Одновременно можно обрабатывать до 15 отдельных отчетов. Чтобы скачать отчет, выберите отчет в состоянии Готов к загрузке , а затем нажмите кнопку Загрузить экспорт над списком.

Примечание.

Если выбранный период времени не возвращает результаты сообщений в отчете, это означает, что сообщений за выбранный период времени не было. Отчет будет пустым.

Отчеты со сведениями о сообщениях содержат следующие сведения для каждого элемента сообщения в политике:

  • Идентификатор соответствия: уникальный идентификатор копии сообщения в соответствии с требованиями к обмену данными.
  • Идентификатор сообщения в Интернете: уникальный идентификатор сообщения на разных платформах.
  • Идентификатор семейства бесед: идентификатор потока для сообщения.
  • Столбец отправителей: отправитель сообщения. Если соответствие политике является ответом Microsoft Copilot для Microsoft 365, значением будет "Copilot".
  • Столбец Recipient: получатели, включенные в сообщение. Если соответствие политике — это запрос на copilot, значение — "Copilot".
  • Дата: дата отправки сообщения.
  • Расположение: канал, по которому было отправлено сообщение. Это может быть Exchange Online, Teams, Viva Engage или любой сторонний канал, поддерживаемый соответствием требованиям к обмену данными.
  • Тема: тема сообщения. Если это взаимодействие с Copilot, тема сообщения — "Copilot" и имя приложения Microsoft 365. Например, "Copilot в Excel".
  • Содержит вложения: состояние всех вложений для сообщения. Значения: Да или Нет.
  • Имя политики: имя политики, связанной с сообщением. Это значение будет одинаковым для всех сообщений в отчете.
  • Состояние элемента: состояние элемента сообщения в политике. Значения: Pending или Resolved.
  • Теги: теги, назначенные сообщению. Значения: Вопросим, Совместимым или Несоответствующим.
  • Ключевые слова совпадают: ключевые слова соответствуют сообщению.
  • Идентификатор обучаемого классификатора: идентификатор соответствующего обучаемого классификатора.
  • Имя обучаемого классификатора и совпадающие ключевые слова: имя обучаемого классификатора и ключевых слов, которые активировали сопоставление классификатора.
  • Рецензенты: рецензенты, назначенные сообщению.
  • Pending for (days): количество дней, в течение которых сообщение находится в состоянии ожидания. Для разрешенных сообщений значение равно 0.
  • Комментарий для разрешено: примечания для сообщения, введенного при разрешении.
  • Дата разрешения: дата и универсальное скоординированное время (UTC) сообщение было разрешено.
  • Последнее обновление: имя пользователя последнего обновления.
  • Последнее обновление: дата и скоординированное универсальное время (UTC) сообщение было обновлено в последний раз.
  • Журнал примечаний: список всех примечаний к оповещению сообщения, включая автора комментария и дату, а также универсальное скоординированное время (UTC) комментария.

Аудит

В некоторых случаях необходимо предоставить сведения нормативным или нормативным аудиторам, чтобы доказать, что действия и сообщения пользователей ограничены. Эта информация может быть сводной информацией обо всех действиях, связанных с определенной политикой организации, или при изменении политики соответствия требованиям к обмену данными. Политики соответствия требованиям к обмену данными имеют встроенные журналы аудита для полной готовности к внутреннему или внешнему аудиту. Подробные журналы аудита каждого действия по созданию, редактированию и удалению фиксируются политиками коммуникации, чтобы предоставить подтверждение процедур с заданной областью.

Важно!

Аудит должен быть включен для вашей организации, прежде чем будут записаны события соответствия требованиям к обмену данными. Чтобы включить аудит, см . раздел Включение журнала аудита. Когда действия активируют события, которые записываются в журнал аудита Microsoft 365, может потребоваться до 48 часов, прежде чем эти события можно будет просмотреть в политиках соответствия требованиям к обмену данными.

Чтобы просмотреть действия по обновлению политики соответствия требованиям к обмену данными, выберите элемент управления Экспорт обновлений политики на странице main для любой политики. Для экспорта действий по обновлению вам должны быть назначены роли Глобальный Администратор или Администраторы соответствия требованиям к обмену данными. Это действие создает файл аудита в формате .CSV, содержащий следующие сведения:

Поле Подробно
CreationDate Дата выполнения действия обновления в политике.
UserIds Пользователь, выполняющий действие обновления в политике.
Операции Операции обновления, выполняемые в политике.
AuditData Основной источник данных для всех действий по обновлению политики. Все действия по обновлению записываются и разделяются разделителями-запятыми.

Чтобы просмотреть действия проверки соответствия требованиям для политики, выберите элемент управления Экспорт действий проверки на странице Обзор для определенной политики. Для экспорта действий проверки вам должны быть назначены роли глобальных Администратор или администраторов соответствия требованиям к обмену данными. Это действие создает файл аудита в формате .CSV, содержащий следующие сведения:

Поле Подробно
CreationDate Дата выполнения действия проверки в политике.
UserIds Пользователь, выполняющий действие проверки в политике.
Операции Проверка операций, выполненных в политике.
AuditData Основной источник данных для всех действий по проверке политик. Все действия проверки записываются и разделяются разделителями-запятыми.

Действия аудита также можно просмотреть в едином журнале аудита или с помощью командлета PowerShell Search-UnifiedAuditLog . Дополнительные сведения о политиках хранения журналов аудита см. в статье Управление политиками хранения журналов аудита.

Например, в следующем примере возвращаются действия для всех действий проверки с заданной областью (политики и правила):

Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType AeD -Operations SupervisoryReviewTag

В этом примере возвращаются действия обновления для политик соответствия требованиям к обмену данными:

Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType Discovery -Operations SupervisionPolicyCreated,SupervisionPolicyUpdated,SupervisionPolicyDeleted

В этом примере возвращаются действия, соответствующие текущим политикам соответствия требованиям к обмену данными:

Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -Operations SupervisionRuleMatch

Соответствия политик соответствия требованиям к обмену данными хранятся в почтовом ящике с заданной областью для каждой политики. В некоторых случаях может потребоваться проверка размер почтового ящика с заданной областью для политики, чтобы убедиться, что вы не приближаетесь к текущему размеру хранилища 100 ГБ или 1 миллиону сообщений. Если достигнуто ограничение почтового ящика, совпадения политик не записываются, и вам потребуется создать новую политику (с теми же параметрами), чтобы продолжать записывать совпадения для одних и того же действия.

Чтобы проверка размер почтового ящика с заданной областью для политики, выполните следующие действия.

  1. Подключение к PowerShell для Exchange Online.

  2. Выполните следующую команду:

    ForEach ($p in Get-SupervisoryReviewPolicyV2 | Sort-Object Name)
    {
       "<Name of your communication compliance policy>: " + $p.Name
       Get-MailboxStatistics $p.ReviewMailbox | ft ItemCount,TotalItemSize
    }