Начало работы с обозревателем действий

Обозреватель действий позволяет отслеживать действия, выполняемые с помеченным содержимым. Обозреватель действий предоставляет историческое представление о действиях в помеченном содержимом. Сведения о действиях поступают из унифицированных журналов аудита Microsoft 365. Он преобразуется, а затем делается доступным в пользовательском интерфейсе обозревателя действий. Обозреватель действий сообщает о данных за 30 дней.

Обозреватель действий предоставляет несколько способов сортировки и просмотра данных.

Фильтры

Фильтры — это стандартные блоки обозревателя действий. Каждый фильтр фокусируется на разных измерениях собранных данных. Вы можете использовать около 50 различных отдельных фильтров, в том числе:

• Диапазон дат
• Тип действия
• Расположение
• Метка конфиденциальности
• Пользователь
• IP-адрес клиента
• Имя устройства
• Защищено

Чтобы просмотреть все фильтры, откройте панель фильтров в обозревателе действий и просмотрите раскрывающийся список.

Примечание.

Параметры фильтра создаются на основе первых 500 записей для обеспечения оптимальной производительности. Это ограничение может привести к тому, что некоторые значения не отображаются в раскрывающемся списке фильтра. Для событий конечной точки отображается только самое строгое правило защиты от потери данных. Фильтры, применяемые в обозревателе действий, также работают на основе этого самого ограничивающего правила.

Наборы фильтров

Обозреватель действий поставляется с предопределенными наборами фильтров, которые помогают сэкономить время, когда вы хотите сосредоточиться на определенном действии. Используйте наборы фильтров, чтобы быстро предоставить представление о действиях более высокого уровня, чем отдельные фильтры. Ниже приведены некоторые стандартные наборы фильтров.

• Действия защиты от потери данных в конечной точке
• Метки конфиденциальности применены, изменены или удалены
• Действия исходящего трафика
• Политики защиты от потери данных, обнаруживающие действия
• Действия защиты от потери данных в сети
• Защищенный браузер

Вы также можете создавать и сохранять собственные наборы фильтров путем объединения отдельных фильтров.

Microsoft Security Copilot в обозревателе действий (предварительная версия)

В предварительной версииMicrosoft Security Copilot в Microsoft Purview внедрены в обозреватель действий. Она помогает эффективно детализировать данные о действиях и выявлять действия, файлы с конфиденциальной информацией, пользователей и другие сведения, относящиеся к расследованию.

Важно!

Не забудьте проверка ответы от Security Copilot для точности и полноты, прежде чем предпринимать какие-либо действия на основе предоставленной информации. Вы можете предоставить отзыв, чтобы повысить точность ответов.

Поиск данных

Security Copilot навыки используют все данные, доступные в Microsoft Purview, фильтры и наборы фильтров, доступные в обозревателе действий, а также машинное обучение, чтобы предоставить вам аналитические сведения о наиболее важных для вас действиях (иногда называемых охотой на данные).

• Показать 5 лучших мероприятий за прошедшую неделю
• Фильтрация и исследование действий
• Поиск файлов, используемых в определенных действиях

При выборе запроса автоматически открывается Security Copilot стороне карта и отображаются результаты запроса. Затем можно дополнительно уточнить запрос.

Естественный язык для создания набора фильтров

Используйте поле запроса для ввода сложных запросов на естественном языке для создания наборов фильтров. Например, можно ввести:

Filter and investigate files copied to cloud with sensitive info type credit card number for past 30 days.

Security Copilot создает набор фильтров для запроса. Проверьте фильтр, чтобы убедиться, что он соответствует вашим потребностям, а затем примените его к данным.

Предварительные условия

Лицензирование SKU/подписки

Сведения о лицензировании см. в разделе

• Планы Microsoft 365 корпоративный
• Описания служб Microsoft 365

Разрешения

Учетной записи необходимо явно назначить членство в любой из этих групп ролей или явно предоставить роль.

Роли и группы ролей

Используйте роли и группы ролей для точной настройки элементов управления доступом. Дополнительные сведения см. в разделе Разрешения на портале Microsoft Purview.

Роли Microsoft Purview

• Администратор Information Protection
• Аналитик Information Protection
• Исследователь Information Protection
• Читатель Information Protection

Группы ролей Microsoft Purview

• Защита информации
• Администраторы Information Protection
• Исследователи Information Protection
• Аналитики Information Protection
• Читатели Information Protection

Роли Microsoft 365

• Администраторы соответствия требованиям
• Администраторы безопасности
• Администраторы данных соответствия

Группы ролей Microsoft 365

• Администратор соответствия требованиям
• Администратор безопасности
• Читатель сведений о безопасности

Типы действий

Обозреватель действий собирает сведения из журналов аудита нескольких источников действий.

Ниже приведены примеры действий меток конфиденциальности и меток хранения из приложений, собственных для Microsoft Office, клиента и сканера Защита информации Microsoft Purview, SharePoint, Exchange (только меток конфиденциальности) и OneDrive:

• Метка применена
• Метка изменена (обновление, возврат к предыдущей или удаление)
• Имитация автоматического маркировки
• Файл прочитан

Для текущего списка действий, перечисленных в обозревателе действий, перейдите в обозреватель действий и откройте фильтр действий. Список действий доступен в раскрывающемся списке.

Действие маркировки, относящееся к клиенту и сканеру Защита информации Microsoft Purview, которые поступают в обозреватель действий, включает:

• Применена защита
• Защита изменена
• Защита удалена
• Обнаруженные файлы

Дополнительные сведения о том, какое действие маркировки делает его в обозревателе действий, см. в разделе События меток, доступные в обозревателе действий.

Кроме того, Обозреватель действий собирает события соответствия политике защиты от потери данных из рабочих нагрузок Microsoft 365, таких как Exchange, SharePoint, OneDrive, чат и каналы Teams, а также локальные папки, библиотеки и общие папки SharePoint. При включении защиты от потери данных конечных точек (DLP) Обозреватель действий также включает действия на уровне устройства из подключенных Windows 10, Windows 11 и трех последних основных версий macOS.

Некоторые примеры событий, собранных с устройств, включают следующие действия, выполняемые с файлами:

• Удаление
• Создание
• Копирование в буфер обмена
• Изменение
• Чтение
• Print
• Переименовать
• Копирование в сетевую папку
• Доступ с помощью не разрешенного приложения

Понимание действий, выполняемых с содержимым с метками конфиденциальности, помогает определить, эффективны ли имеющиеся элементы управления, например политики Защита от потери данных Microsoft Purview. Если нет, или вы обнаружите что-то непредвиденное (например, большое количество элементов, помеченных highly confidential как general), вы можете управлять политиками и предпринимать новые действия, чтобы ограничить нежелательное поведение.

Примечание.

Обозреватель действий в настоящее время не отслеживает действия хранения для Exchange.

Примечание.

Если пользователь сообщает вердикт Защиты от потери данных Teams как ложноположительный результат, действие отображается в виде сведений о защите от потери данных в списке в обозревателе действий. Запись не содержит сведений о совпадении правил и политик, но отображает искусственные значения. Отчет об инциденте также не создается для ложноположительных отчетов.

События и оповещения типа действия

В этой таблице показаны события, которые действие Обозреватель триггерами для трех примеров конфигураций политики. События зависят от того, обнаружено ли совпадение политики.

Конфигурация политики	Событие Обозреватель действия, активированное для этого типа действия	Действие Обозреватель событие, активируется при сопоставлении правила защиты от потери данных	Активируется оповещение Обозреватель действий
Политика содержит одно правило, разрешающее действие без аудита.	Да	Нет	Нет
Политика содержит два правила: разрешены совпадения для правила 1; Выполняется аудит соответствия политик для правила 2.	Да (Только правило 2)	Да (Только правило 2)	Да (Только правило 2)
Политика содержит два правила: совпадения для обоих правил разрешены и не проверяются.	Да	Нет	Нет

См. также

• Сведения о метках конфиденциальности
• Сведения о политиках и метках хранения
• Сведения о типах конфиденциальной информации