Ghi nhật ký hoạt động ngăn mất dữ liệu
Lưu ý
Ghi nhật ký hoạt động cho các chính sách bảo vệ mất dữ liệu hiện không có sẵn trên các đám mây có chủ quyền.
Các hoạt động chính sách chống mất dữ liệu (DLP) được theo dõi từ Microsoft 365 Trung tâm tuân thủ và bảo mật.
Để ghi nhật ký các hoạt động DLP, hãy làm theo các bước sau:
đăng nhập vào Bảo mật & Trung tâm tuân thủ với tư cách là quản trị viên đối tượng thuê.
Chọn Tìm kiếm>Tìm kiếm nhật ký kiểm tra.
Trong phần Tìm kiếm>Hoạt động, hay nhập dlp. Danh sách hoạt động sẽ hiển thị.
Chọn một hoạt động, chọn bên ngoài cửa sổ tìm kiếm để đóng, sau đó chọn Tìm kiếm.
Trên màn hình Tìm kiếm nhật ký kiểm tra , bạn có thể tìm kiếm nhật ký kiểm tra trên nhiều dịch vụ phổ biến bao gồm eDiscovery, Exchange, Power BI, Microsoft Entra ID, Microsoft Teams, ứng dụng tương tác với khách hàng (Dynamics 365 Sales, Dynamics 365 dịch vụ khách hàng, Dynamics 365 Field Service, Dynamics 365 Marketing và Dynamics 365 Project Service Automation) và Microsoft Power Platform.
Sau khi bạn truy cập Tìm kiếm nhật ký kiểm tra, bạn có thể lọc các hoạt động cụ thể bằng cách mở rộng Các hoạt động và sau đó cuộn để tìm phần dành riêng cho hoạt động Microsoft Power Platform.
Các sự kiện DLP nào được kiểm tra
Sau đây là những hành động người dùng bạn có thể kiểm tra:
- Chính sách DLP đã tạo: Khi một chính sách DLP mới được tạo
- Chính sách DLP được cập nhật: Khi chính sách DLP hiện có được cập nhật
- Chính sách DLP đã xóa: Khi chính sách DLP bị xóa
Lược đồ cơ sở cho các sự kiện kiểm tra DLP
Lược đồ xác định trường nào được gửi đến Microsoft 365 Trung tâm tuân thủ và bảo mật. Một số trường phổ biến với tất cả các ứng dụng gửi dữ liệu kiểm tra cho Microsoft 365, trong khi các trường khác dành riêng cho chính sách DLP. Trong bảng sau, Tên và Thông tin bổ sung là các cột cụ thể của chính sách DLP.
Tên trường | Loại | Bắt buộc | Mô tả |
---|---|---|---|
Ngày | Edm.Date | Không | Ngày và giờ tạo khi nhật ký được tạo trong UTC |
Tên ứng dụng | Edm.String | Không | Mã định danh duy nhất của PowerApp |
ID | Edm.Guid | Không | GUID duy nhất cho mỗi hàng được ghi |
Trạng thái Kết quả | Edm.String | Không | Trạng thái hàng được ghi. Thành công trong hầu hết các trường hợp. |
ID Tổ chức | Edm.Guid | Có | Mã định danh duy nhất của tổ chức từ nơi nhật ký được tạo. |
CreationTime | Edm.Date | Không | Ngày và giờ tạo khi nhật ký được tạo trong UTC |
Thao tác | Edm.Date | Không | Tên hoạt động |
UserKey | Edm.String | No | Mã định danh duy nhất của Người dùng trong Microsoft Entra ID |
UserType | Self.UserType | No | Loại kiểm tra (Quản trị, Thường, Hệ thống) |
Thông tin bổ sung | Edm.String | Không | Thông tin bổ sung nếu có (ví dụ: tên môi trường) |
Thông tin bổ sung
Trường Thông tin bổ sung là một đối tượng JSON chứa các thuộc tính dành riêng cho hoạt động. Đối với hoạt động chính sách DLP, trường đó chứa các thuộc tính sau.
Tên trường | Loại | Bắt buộc? | Mô tả |
---|---|---|---|
PolicyId | Edm.Guid | Có | GUID của chính sách. |
PolicyType | Edm.String | Có | Loại chính sách. Giá trị được phép là AllEnvironments, SingleEnvironment, OnlyEnvironments hoặc ExceptEnvironments. |
DefaultConnectorClassification | Edm.String | Có | Phân loại trình kết nối mặc định. Các giá trị được phép là Chung, Bị chặn hoặc Bí mật. |
EnvironmentName | Edm.String | Không | Tên (GUID) của môi trường. Điều này chỉ áp dụng cho các chính sách SingleEnvironment. |
ChangeSet | Edm.String | Không | Các thay đổi được thực hiện đối với chính sách. Chúng chỉ hiện diện cho các hoạt động cập nhật. |
Sau đây là một ví dụ về JSON Thông tin bổ sung cho một sự kiện tạo hoặc xóa.
{
"policyId": "eb1e0480-0fe9-434e-9ad8-df4047a666ec",
"policyType": "SingleEnvironment",
"defaultConnectorClassification": "General",
"environmentName": "8a11a4a6-d8a4-4c47-96d7-3c2a60efe2f5"
}
Sau đây là một ví dụ về JSON Thông tin bổ sung cho một hoạt động cập nhật:
- Thay đổi tên chính sách từ oldPolicyName thành newPolicyName.
- Thay đổi phân loại mặc định từ Chung thành Bí mật.
- Thay đổi loại chính sách từ OnlyEnvironments thành ExceptEnvironments.
- Di chuyển trình kết nối Azure Blob Storage từ bộ chứa Chung sang bộ chứa Bí mật.
- Di chuyển trình kết nối Bing Maps từ bộ chứa Chung sang bộ chứa Bị chặn.
- Di chuyển trình kết nối Azure Automation từ bộ chứa Bí mật sang bộ chứa Bị chặn.
{
"policyId": "eb1e0480-0fe9-434e-9ad8-df4047a666ec",
"policyType": "ExceptEnvironments",
"defaultConnectorClassification": "Confidential",
"changeSet": {
"changedProperties": [
{
"name": "ApiPolicyName",
"previousValue": "oldPolicyName",
"currentValue": "newPolicyName"
},
{
"name": "DefaultConnectorClassification",
"previousValue": "General",
"currentValue": "Confidential"
},
{
"name": "DlpPolicyType",
"previousValue": "OnlyEnvironments",
"currentValue": "ExceptEnvironments"
}
],
"connectorChanges": [
{
"name": "Azure Blob Storage",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureblob",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Confidential"
}
},
{
"name": "Bing Maps",
"id": "/providers/Microsoft.PowerApps/apis/shared_bingmaps",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Blocked"
}
},
{
"name": "Azure Automation",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureautomation",
"previousValue": {
"classification": "Confidential"
},
"currentValue": {
"classification": "Blocked"
}
}
]
}
}