Journalisation des activités de protection contre la perte de données
Nonte
Le nouveau centre d’administration Power Platform amélioré est maintenant en version préliminaire publique ! Nous avons conçu le nouveau centre d’administration pour qu’il soit plus facile à utiliser, avec une navigation axée sur les tâches qui vous aide à obtenir des résultats spécifiques plus rapidement. Nous publierons la documentation nouvelle et mise à jour au fur et à mesure que le nouveau centre d’administration Power Platform passera en disponibilité générale.
Avertissement
Le schéma documenté dans cet article est obsolète et ne sera plus disponible à partir de juillet 2024. Vous pouvez utiliser le nouveau schéma disponible sur Catégorie d’activité : événements liés à la politique de données.
Nonte
La journalisation des activités pour les stratégies de protection contre la perte de données n’est actuellement pas disponible dans les clouds souverains.
Les activités de la politique de protection contre la perte de données (DLP) sont suivies depuis le Centre de sécurité et de conformité Microsoft 365.
Pour consigner les activités DLP, procédez comme suit :
Connectez-vous au Centre de sécurité et de conformité en tant qu’administrateur de client.
Sélectionnez Rechercher>Recherche dans les journaux d’audit.
Sous Rechercher>Activités, entrez dlp. Une liste d’activités s’affiche.
Sélectionnez une activité, cliquez en dehors de la fenêtre de recherche pour la fermer, puis sélectionnez Rechercher.
Dans l’écran Recherche de journaux d’audit, vous pouvez rechercher des journaux d’audit dans de nombreux services populaires, notamment eDiscovery, Exchange, Power BI, Microsoft Entra ID, Microsoft Teams, les applications de Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing et Dynamics 365 Project Service Automation) et Microsoft Power Platform.
Après avoir accédé à Recherche de journaux d’audit, vous pouvez filtrer des activités spécifiques en développant Activités, puis en faisant défiler pour rechercher la section dédiée aux activités de Microsoft Power Platform.
Les événements DLP audités
Voici les actions utilisateur que vous pouvez auditer :
- Stratégie DLP créée : lorsqu’une nouvelle stratégie DLP est créée
- Stratégie DLP mise à jour : lorsqu’une stratégie DLP existante est mise à jour
- Stratégie DLP supprimée : lorsqu’une stratégie DLP est supprimée
Schéma de base pour les événements d’audit DLP
Les schémas définissent les champs envoyés au Centre de sécurité et conformité Microsoft 365. Certains champs sont communs à toutes les applications qui envoient des données d’audit à Microsoft 365, tandis que d’autres sont spécifiques aux politiques de protection contre la perte de données. Dans le tableau suivant, Nom et Information supplémentaires sont les colonnes spécifiques à la stratégie DLP.
| Nom du champ | Type | Obligatoire | Description |
|---|---|---|---|
| Date | Edm.Date | Non | Date et heure UTC de génération du journal |
| Nom de l’application | Edm.String | Non | Identificateur unique de PowerApp |
| ID | Edm.Guid | Non | GUID unique pour chaque ligne enregistrée |
| Statut du résultat | Edm.String | Non | Statut de la ligne enregistrée. Réussite dans la plupart des cas. |
| ID de l’organisation | Edm.Guid | Oui | Identificateur unique de l’organisation depuis laquelle le journal a été généré. |
| CreationTime | Edm.Date | Non | Date et heure UTC de génération du journal |
| Opération | Edm.Date | Non | Nom de l’opération |
| UserKey | Edm.String | Non | Identificateur unique de l’utilisateur dans Microsoft Entra ID |
| UserType | Self.UserType | Non | Type d’audit (administrateur, standard, système) |
| Informations supplémentaires | Edm.Chaîne | Non | Informations supplémentaires le cas échéant (par exemple, le nom de l’environnement) |
Informations supplémentaires
Le champ Informations supplémentaires est un objet JSON qui contient des propriétés spécifiques à l’opération. Pour une opération de stratégie DLP, elle contient les propriétés suivantes.
| Nom du champ | Type | Obligatoire ? | Description |
|---|---|---|---|
| PolicyId | Edm.Guid | Oui | GUID de la stratégie. |
| PolicyType | Edm.String | Oui | Type de stratégie. Les valeurs autorisées sont AllEnvironments, SingleEnvironment, OnlyEnvironments ou ExceptEnvironments. |
| DefaultConnectorClassification | Edm.String | Oui | Classification de connecteurs par défaut. Les valeurs autorisées sont Général, Bloqué ou Confidentiel. |
| EnvironmentName | Edm.String | Non | Nom (GUID) de l’environnement. Celui-ci n’est présent que pour les stratégies SingleEnvironment. |
| ChangeSet | Edm.String | Non | Modifications apportées à la stratégie. Celles-ci ne sont présentes que pour les opérations de mise à jour. |
Voici un exemple du JSON Informations supplémentaires pour un événement de création ou de suppression.
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "SingleEnvironment",
"defaultConnectorClassification": "General",
"environmentName": "8a11a4a6-d8a4-4c47-96d7-3c2a60efe2f5"
}
Voici un exemple du JSON Informations supplémentaires pour une opération de mise à jour qui :
- Modifie le nom de la stratégie de oldPolicyName en newPolicyName.
- Modifie la classification par défaut de Général en Confidentiel.
- Modifie le type de stratégie de OnlyEnvironments en ExceptEnvironments.
- Déplace le connecteur Azure Blob Storage du compartiment Général vers le compartiment Confidentiel.
- Déplace le connecteur Bing Maps du compartiment Général vers le compartiment Bloqué.
- Déplace le connecteur Azure Automation du compartiment Confidentiel vers le compartiment Bloqué.
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "ExceptEnvironments",
"defaultConnectorClassification": "Confidential",
"changeSet": {
"changedProperties": [
{
"name": "ApiPolicyName",
"previousValue": "oldPolicyName",
"currentValue": "newPolicyName"
},
{
"name": "DefaultConnectorClassification",
"previousValue": "General",
"currentValue": "Confidential"
},
{
"name": "DlpPolicyType",
"previousValue": "OnlyEnvironments",
"currentValue": "ExceptEnvironments"
}
],
"connectorChanges": [
{
"name": "Azure Blob Storage",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureblob",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Confidential"
}
},
{
"name": "Bing Maps",
"id": "/providers/Microsoft.PowerApps/apis/shared_bingmaps",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Blocked"
}
},
{
"name": "Azure Automation",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureautomation",
"previousValue": {
"classification": "Confidential"
},
"currentValue": {
"classification": "Blocked"
}
}
]
}
}