Журналювання справ із запобігання втраті даних
Попередження
Схема, задокументована в цій статті, вважається застарілою й не стане доступною з липня 2024 року. Ви можете використовувати нову схему, доступну в категорії Активність: події політики даних.
Нотатка
Ведення журналу активності для політик захисту від втрати даних наразі недоступне в суверенних хмарах.
Дії політики захисту від втрати даних (DLP) відстежуються в Microsoft 365 Центрі безпеки та відповідності.
Щоб знайти журнал справ ЗВД, виконайте зазначені нижче кроки.
увійдіть у Центр безпеки та відповідності як адміністратор клієнта.
Виберіть Пошук>Пошук у журналі відстеження.
У полі Пошук>Справи введіть звд. Відобразиться список справ.
Виберіть справу, натисніть за межами вікна пошуку, щоб закрити його, а тоді виберіть Пошук.
На екрані пошуку журналу аудиту можна шукати журнали аудиту в багатьох популярних службах, зокрема eDiscovery, Exchange, Power BI, Microsoft Entra ID, Microsoft Teams програми для взаємодії з клієнтами (Dynamics 365 Sales, Dynamics 365 служба підтримки клієнтів, Dynamics 365 Field Service, Dynamics 365 Marketing та Dynamics 365 Project Service Automation Microsoft Power Platform ін.) тощо.
Після відкриття Пошуку у журналі відстеження ви можете застосовувати фільтри для пошуку певних справ. Для цього розгорніть Справи, а тоді прокрутіть список та знайдіть розділ, присвячений справам Microsoft Power Platform.
Які події DLP відстежуються
Нижче наведено дії користувачів, які можна відстежувати.
- Створено політику ЗВД: при створенні нової політики ЗВД
- Оновлено політику ЗВД: при оновленні наявної політики ЗВД
- Видалено політику ЗВД: при видаленні політики ЗВД
Основна схема для подій відстеження DLP
Схеми визначають, які поля надсилаються до Microsoft 365 Центру безпеки та відповідності. Деякі поля є загальними для всіх програм, що надсилають дані відстеження до Microsoft 365, тоді як інші існують лише для політик DLP. У наведеній нижче таблиці стовпці Ім'я та Додаткові відомості є стовпцями, що відносяться до політики ЗВД.
| Назва поля | Ввести | Обов’язково | Опис |
|---|---|---|---|
| датою | Edm.Date | Ні | Дата і час створення журналу в UTC |
| Назва програми | Edm.String | Ні | Унікальний ідентифікатор PowerApp |
| Ідентифікатор | Edm.Guid | Ні | Унікальний GUID для кожного зареєстрованого рядка |
| Стан результату | Edm.String | Ні | Стан рядка зареєстровано. Успіх у більшості випадків. |
| Ідентифікатор організації | Edm.Guid | Так | Унікальний ідентифікатор організації, з якого створено журнал. |
| CreationTime | Edm.Date | Ні | Дата і час створення журналу в UTC |
| Операція | Edm.Date | Ні | Назва операції |
| UserKey | Edm.String | No | Унікальний ідентифікатор користувача в Microsoft Entra ID |
| UserType | Self.UserType | No | Тип відстеження (адміністратор, регулярне, система) |
| Додаткові відомості | Edm.String | No | Додаткові відомості, якщо такі є (наприклад, назва середовища) |
Додаткові відомості
Поле Додаткові відомості — це об'єкт JSON, який зберігає властивості, притаманні операції. Для операцій ЗВД, наприклад, тут містяться зазначені нижче властивості.
| Назва поля | Ввести | Обов’язково? | Опис |
|---|---|---|---|
| PolicyId | Edm.Guid | Так | GUID політики. |
| PolicyType | Edm.String | Так | Тип політики. Допустимими значеннями є AllEnvironments, SingleEnvironment, OnlyEnvironments або ExceptEnvironments. |
| DefaultConnectorClassification | Edm.String | Так | Класифікація з'єднувачів за замовчуванням. Допустимі значення: Загальний, Заблоковано або Конфіденційний. |
| EnvironmentName | Edm.String | Ні | Ім'я (GUID) середовища. Це значення доступне лише для політик SingleEnvironment. |
| ChangeSet | Edm.String | Ні | Зміни, внесені до політики. Доступні лише для операцій внесення змін. |
Нижче наведено приклад JSON у полі Додаткові відомості для події створення або видалення.
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "SingleEnvironment",
"defaultConnectorClassification": "General",
"environmentName": "8a11a4a6-d8a4-4c47-96d7-3c2a60efe2f5"
}
Нижче наведено приклад JSON у полі Додаткові відомості для події внесення змін, яка виконує перелічені далі оновлення.
- Змінює ім'я політики з oldPolicyName на newPolicyName.
- Змінює класифікацію за замовчуванням з Загальний на Конфіденційний.
- Змінює тип політики з OnlyEnvironments на ExceptEnvironments.
- Переносить з'єднувач Сховища BLOB-об'єктів Azure з блоку Загальний до блоку Конфіденційний.
- Переносить з'єднувач Карти Bing з блоку Загальний до блоку Заблоковано.
- Переносить з'єднувач Автоматизація Azure з блоку Конфіденційний до блоку Заблоковано.
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "ExceptEnvironments",
"defaultConnectorClassification": "Confidential",
"changeSet": {
"changedProperties": [
{
"name": "ApiPolicyName",
"previousValue": "oldPolicyName",
"currentValue": "newPolicyName"
},
{
"name": "DefaultConnectorClassification",
"previousValue": "General",
"currentValue": "Confidential"
},
{
"name": "DlpPolicyType",
"previousValue": "OnlyEnvironments",
"currentValue": "ExceptEnvironments"
}
],
"connectorChanges": [
{
"name": "Azure Blob Storage",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureblob",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Confidential"
}
},
{
"name": "Bing Maps",
"id": "/providers/Microsoft.PowerApps/apis/shared_bingmaps",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Blocked"
}
},
{
"name": "Azure Automation",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureautomation",
"previousValue": {
"classification": "Confidential"
},
"currentValue": {
"classification": "Blocked"
}
}
]
}
}