活動總管 可讓您監控標記內容的執行動作。 活動總管提供已標記內容上活動的歷史檢視。 活動資訊來自 Microsoft 365 統一稽核記錄。 它已轉換,然後在活動總管 UI 中提供。 活動總管會報告最多 30 天的資料。
活動總管為您提供多種排序和檢視資料的方法。
篩選
篩選器是活動總管的建置組塊。 每個篩選器都著重於所收集資料的不同維度。 您可以使用大約 50 種不同的單獨過濾器,包括:
- 日期範圍
- 活動類型
- 位置
- 敏感度標籤
- 使用者
- 用戶端 IP
- 裝置名稱
- 受到保護
若要查看所有篩選,請在活動總管中開啟篩選窗格,然後查看下拉式清單。
注意事項
篩選選項會根據前 500 筆記錄產生,以確保最佳效能。 此限制可能會導致某些值不會出現在篩選器下拉式清單中。 對於端點事件,只會顯示最嚴格的 DLP 規則。 您在活動總管中套用的篩選器也會根據這個最嚴格的規則來運作。
篩選器集
活動總管隨附預先定義的篩選器集,可在您想要專注於特定活動時協助節省時間。 使用篩選器集可快速為您提供比個別篩選器更高層次活動的檢視。 一些預先定義的篩選器集包括:
- 端點 DLP 活動
- 已套用、變更或移除敏感度標籤
- 輸出活動
- 偵測到活動的 DLP 原則
- 網路 DLP 活動
- 受保護的瀏覽器
您也可以透過組合個別篩選器來建立和儲存自己的篩選器集。
在活動總管 (預覽) 中Microsoft Security Copilot
在預覽版中,Microsoft Purview 中的 Microsoft Security Copilot 會內嵌在活動總管中。 它可協助有效率地向下切入活動數據,並協助您識別活動、具有敏感性資訊的檔案、使用者,以及與調查相關的其他詳細數據。
重要事項
請務必檢查 Security Copilot 的回應,以確保其準確性和完整性,然後再根據提供的資訊採取任何動作。 您可以提供意見回饋,以協助提高回應的準確性。
資料搜尋
Security Copilot技能會使用活動總管中可用的所有可用數據來Microsoft Purview、篩選和篩選集,並使用機器學習為您提供活動 (深入解析,有時稱為對您最重要的數據的數據搜捕) 。
- 顯示過去一周的前 5 項活動
- 篩選和調查活動
- 尋找特定活動中使用的檔案
選取提示會自動開啟 Security Copilot 端卡,並顯示查詢的結果。 然後,您可以進一步精簡查詢。
自然語言來篩選集產生
使用提示框輸入複雜的自然語言查詢以產生篩選集。 例如,您可以輸入:
Filter and investigate files copied to cloud with sensitive info type credit card number for past 30 days.
Security Copilot 會為您的查詢產生篩選集。 檢閱篩選器以確定它符合您的需求,然後將其套用至資料。
必要條件
SKU/訂閱授權
如需授權的相關資訊,請參閱
權限
帳戶必須明確指派其中任何一個角色群組的成員資格,或必須明確授與角色。
角色和角色群組
使用角色和角色群組來微調您的存取控制。 如需詳細資訊,請參閱 Microsoft Purview 入口網站中的許可權。
Microsoft Purview 角色
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
Microsoft Purview 角色群組
- 資訊保護
- 資訊保護系統管理員
- 資訊保護調查人員
- 資訊保護分析員
- 資訊保護讀者
Microsoft 365 角色
- 合規管理員
- 安全性管理員
- 合規性資料管理員
Microsoft 365 角色群組
- 合規性系統管理員
- 安全性系統管理員
- 安全性讀取者
活動類型
活動總管會從多個活動來源的稽核記錄中收集資訊。
來自 Microsoft Office 原生應用程式的敏感度標籤活動和保留標籤活動的一些範例、Microsoft Purview 資訊保護用戶端和掃描器、SharePoint、Exchange (敏感度標籤僅限) ,以及 OneDrive 包括:
- 已套用標籤
- 已變更標籤 (升級、降級或移除)
- 自動標註模擬
- 已讀取檔案
如需活動總管中列出的目前活動清單,請移至 [活動總管] 並開啟活動篩選器。 活動清單可在下拉式清單中找到。
進入活動總管的 Microsoft Purview 資訊保護用戶端和掃描器特定的標籤活動包括:
- 已套用保護
- 保護已變更
- 已移除保護
- 已發現的檔案
如需哪些標記活動進入活動總管的詳細資訊,請參閱 標記 活動總管中可用的事件。
此外,藉由使用端點資料外洩防護 (DLP) ,活動總管會從 Exchange、SharePoint、OneDrive、Teams 聊天和頻道、內部部署 SharePoint 資料夾和文件庫、內部部署檔案共用,以及執行 Windows 10、Windows 11 和三個最新主要 macOS 版本中的任何一個的裝置收集 DLP 原則相符事件。 從 Windows 10 裝置收集的一些範例事件包括對檔案採取的下列動作:
- 刪除
- 創造
- 複製到剪貼簿
- 修改
- 讀取
- 重新命名
- 複製到網路共用
- 由不允許的應用程式存取
瞭解對具有敏感度標籤的內容所採取的動作,可協助您判斷您現有的控制項,例如 Microsoft Purview 資料外洩防護原則,是否有效。 如果沒有,或者如果您發現非預期的 (,例如大量標記 highly confidential 為降級為 general) 的項目,您可以管理原則並採取新動作來限制不想要的行為。
注意事項
活動總管目前不會監視 Exchange 的保留活動。
注意事項
如果使用者將 Teams DLP 判定報告為誤判,則活動會在活動總管的清單中顯示為 DLP 資訊 。 項目沒有任何規則和原則比對詳細資料,但會顯示合成值。 也沒有針對誤報報告產生事件報告。
活動類型事件和警示
下表顯示活動總管針對三個範例原則設定觸發的事件。 這些事件取決於是否偵測到原則相符。
| 原則設定 | 針對此動作類型觸發的活動總管事件 | 比對 DLP 規則時觸發的活動總管事件 | 活動總管警示已觸發 |
|---|---|---|---|
| 原則包含允許活動而不稽核的單一規則。 | 是 | 否 | 否 |
| 原則包含兩個規則:允許規則 #1 的相符項;會稽核規則 #2 的原則相符專案。 | 是 (規則 #2 僅) |
是 (規則 #2 僅) |
是 (規則 #2 僅) |
| 原則包含兩個規則:允許且不稽核這兩個規則的相符專案。 | 是 | 否 | 否 |