使用内部风险管理审核日志查看活动
重要
Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。
通过内部风险管理审核日志,你可以随时了解针对内部风险管理功能执行的操作。 此日志允许独立查看分配给一个或多个内部风险管理角色组的用户执行的操作。 内部风险管理审核日志在组织中自动启用,无法禁用。
每当检测到已识别的风险活动发生时,都会自动立即更新审核日志。 审核日志将信息保留 180 天 (大约 6 个月) 。 180 天后,数据将从日志中永久删除。
识别的风险活动检测包括:
- 策略
- 例
- 警报
- 设置
- 用户
- 通知模板
若要查看和导出审核日志中的数据,必须将用户分配到 Insider Risk Management 或 Insider Risk Management 审核员 角色组。 若要详细了解内部风险管理角色组,请参阅 预览体验成员风险管理入门步骤 1:启用权限。
注意
内部风险管理审核日志与 Microsoft 365 审核日志无关,因为它们是独立的审核系统,并捕获不同区域的信息。 禁用 Microsoft 365 审核不会影响内部风险管理中的活动审核。
提示
开始使用Microsoft 安全 Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft 安全 Copilot。
在内部风险审核日志中查看活动
若要查看针对内部风险管理检测到的功能活动,请导航到,然后选择任何内部风险管理选项卡右上角区域中的“预览体验成员风险 审核日志 ”链接。默认情况下,你将看到针对内部风险管理活动显示的以下信息:
- 活动: 说明用户在内部风险管理解决方案中确定的风险活动。
- 类别: 执行标识的风险活动的区域或项。 例如,在执行 策略 更改活动时,会看到“策略”作为类别。
- 由执行的活动: 执行标识的风险活动的用户的用户名。
- 日期: 执行标识的风险活动的日期和时间。 日期和时间是组织的本地日期和时间。
有关记录的活动的详细信息,请选择活动以显示活动详细信息窗格。 此窗格包含有关已识别的风险活动的其他信息。
列和筛选
为了使审核员能够更轻松地查看审核日志, 预览体验成员风险审核日志支持筛选。 对于基本筛选,队列列可以添加到视图中,以在文件和消息上提供不同的透视。 可以按 “类别”、“日期范围 ”和“ 按字段执行的活动” 筛选已识别的风险活动。
若要添加或删除队列的列标题,请使用 自定义列 控件并从列选项中进行选择。 这些列映射到 预览体验成员风险审核日志 中支持的常见条件,本文稍后会列出。
审核日志导出
分配到 Insider Risk Management 或 Insider Risk Management Audits 角色组的用户可以通过在预览体验成员风险审核日志日志页上选择“导出”,将审核日志活动导出为 .csv (逗号分隔的值) 文件。 根据审核日志活动,某些字段可能不包含在筛选的队列中,因此这些字段在导出的文件中显示为空白。
该文件包含以下字段的审核日志活动信息:
- 由执行的活动: 修改项值的用户的名称。 此处列出的用户已分配到以下一个或多个 内部风险管理角色组: 内部风险管理、 内部风险管理管理员、 内部风险管理分析师、 内部风险管理调查员。 每个角色组具有不同的权限级别,用于管理内部风险功能。
- 活动: 对项执行的活动类型。 值为 Viewed、Deleted、Added、Edited policy、Case、User、Alert 和 Settings。
- 已添加:在标识的风险活动期间添加的对象,例如用户、文件类型或域。
- 警报量:在内部风险管理设置中定义的警报量级别。
- 金额:当前为策略选择的自定义指示器金额。
- 资产 ID:执行活动的优先级物理资产的资产 ID。
- 类别: 已修改项的类别。 值为 策略、案例、用户、警报、设置 和 通知模板。
- 日期: 日期和时间,列在组织的本地日期和时间。
- 说明:用户针对正在对 ((例如策略或优先级用户组) )执行操作的对象的说明输入。
- DLP 策略:选择Microsoft Purview 数据丢失防护 (DLP) 策略以触发包含在内部风险管理策略中。
- 指示器:在内部风险设置中指示活动已对 (执行,例如添加或删除指示器) 。
- 通知模板:注意已对标识的风险活动执行了的模板。
- 天数:内部风险设置中定义的策略激活窗口。
- 文件数:内部风险管理设置中定义的文件卷限制。
- 策略模板:指标所针对的策略模板。
- 上一个金额:以前为策略选择的自定义指示器金额。
- 优先级用户组:执行标识的风险活动的优先级用户组。
- 已删除:在标识的风险活动期间删除的对象,例如用户、文件类型或域。
- 发件人:已识别的风险活动的通知模板的“发件人”字段。
- 目标策略:对 ((例如向) 添加用户或删除用户)执行标识的风险活动的策略。
- 模板消息正文:已识别的风险活动的通知模板的消息正文。
- 模板主题:已识别的风险活动的通知模板的主题字段。
- 用户: 执行标识的风险活动的用户。