Начало работы с обозревателем действий
Общие сведения о классификации данных и вкладки обозревателя содержимого позволяют узнать, какое содержимое было обнаружено и помечено, а также где находится содержимое. Обозреватель действий округляет этот набор функциональных возможностей, позволяя отслеживать, что делается с помеченным содержимым. Обозреватель действий предоставляет историческое представление о действиях в помеченном содержимом. Сведения о действиях собираются из унифицированных журналов аудита Microsoft 365, преобразуются, а затем предоставляются в пользовательском интерфейсе обозревателя действий. Обозреватель действий сообщает о данных за 30 дней.
Существует более 30 различных фильтров, доступных для использования, некоторые из них:
- Диапазон дат
- Тип действия
- Расположение
- Пользователь
- Метка конфиденциальности
- Метка хранения
- Путь к файлу
- Политика защиты от потери данных
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Предварительные требования
Каждой учетной записи, которая осуществляет доступ и использует классификацию данных, необходимо назначить лицензию из одной из следующих подписок:
- Microsoft 365 (E5)
- Office 365 (E5)
- Дополнение Advanced Compliance (E5)
- Дополнение Advanced Threat Intelligence (E5)
- Защита информации и управление данными в Microsoft 365 E5 или A5
- Соответствие требованиям Microsoft 365 E5 или A5
Разрешения
Учетной записи необходимо явно назначить членство в любой из этих групп ролей или явно предоставить роль.
Роли и Группы ролей
Существуют роли и группы ролей, которые можно использовать для точной настройки элементов управления доступом. Дополнительные сведения о них см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.
| Роли Microsoft Purview | Роль Microsoft Purview Группы | Роли Microsoft 365 | Роль Microsoft 365 Группы |
|---|---|---|---|
| Администратор Information Protection | Защита информации | Глобальные администраторы | Администратор соответствия требованиям |
| Аналитик Information Protection | Администраторы Information Protection | Администраторы соответствия требованиям | Администратор безопасности |
| Исследователь Information Protection | Исследователи Information Protection | Администраторы безопасности | Читатель сведений о безопасности |
| Читатель Information Protection | Аналитики Information Protection | Администраторы данных соответствия | |
| Читатели Information Protection |
Типы действий
Обозреватель действий собирает сведения из журналов аудита нескольких источников действий.
Ниже приведены некоторые примеры действий меток конфиденциальности и меток хранения из приложений, встроенных в Microsoft Office, клиента и сканера Microsoft Information Protection, SharePoint, Exchange (только метки конфиденциальности) и OneDrive:
- Метка применена
- Метка изменена (обновление, возврат к предыдущей или удаление)
- Имитация автоматической маркировки
- Файл прочитан
Для текущего списка действий, перечисленных в обозревателе действий, перейдите в обозреватель действий и откройте фильтр действия. Список действий доступен в раскрывающемся списке.
Действия маркировки, относящиеся к клиенту и сканеру Microsoft Information Protection, которые поступают в обозреватель действий, включают:
- Применена защита
- Защита изменена
- Защита удалена
- Обнаруженные файлы
Дополнительные сведения о том, какое действие маркировки делает его в обозревателе действий, см. в разделе События меток, доступные в обозревателе действий.
Кроме того, используя защиту от потери данных конечных точек (DLP), обозреватель действий собирает события политики защиты от потери данных из Exchange, SharePoint, OneDrive, чата и канала Teams, локальных папок и библиотек SharePoint, локальных файловых ресурсов и устройств под управлением Windows 10, Windows 11 и любой из трех последних основных версий macOS. Некоторые примеры событий, собранных с Windows 10 устройств, включают следующие действия, выполняемые с файлами:
- Удаление
- Создание
- Копирование в буфер обмена
- Изменение
- Чтение
- Переименовать
- Копирование в сетевую папку
- Доступ с помощью не разрешенного приложения
Понимание действий, выполняемых с содержимым с метками конфиденциальности, помогает определить, эффективны ли имеющиеся элементы управления, например политики Защита от потери данных Microsoft Purview. Если нет, или вы обнаружите что-то непредвиденное (например, большое количество элементов, помеченных highly confidential как general), вы можете управлять политиками и предпринимать новые действия, чтобы ограничить нежелательное поведение.
Примечание.
Обозреватель действий в настоящее время не отслеживает действия хранения для Exchange.
Примечание.
Если пользователь сообщает о вердикте защиты от потери данных в Teams как ложноположительное, действие будет отображаться в списке в обозревателе действий как сведения о защите от потери данных. В записи не будет представлено сведений о соответствии правил и политик, но будут отображаться искусственные значения. Отчет об инциденте также не будет создан для ложноположительных отчетов.
События и оповещения типа действия
В следующей таблице описаны события, которые активируются в Обозреватель действий для трех примеров конфигураций политики в зависимости от того, обнаружено ли соответствие политике.
| Конфигурация политики | Событие Обозреватель действия, активированное для этого типа действия | Действие Обозреватель событие, активируется при сопоставлении правила защиты от потери данных | Активируется оповещение Обозреватель действий |
|---|---|---|---|
| Политика содержит одно правило, разрешающее действие без аудита. | Да | Нет | Нет |
| Политика содержит два правила: разрешены совпадения для правила 1; Выполняется аудит соответствия политик для правила 2. | Да (Только правило 2) |
Да (Только правило 2) |
Да (Только правило 2) |
| Политика содержит два правила: соответствие обоим правилам разрешено и не проверяется. | Да | Нет | Нет |