活动资源管理器 允许你监视对已标记内容执行的操作。 活动资源管理器提供已标记内容上活动的历史视图。 活动信息来自 Microsoft 365 统一审核日志。 它已转换,然后在活动资源管理器 UI 中可用。 活动资源管理器报告最多 30 天的数据。
活动资源管理器提供多种对数据进行排序和查看的方法。
筛选器
筛选器是活动资源管理器的构建基块。 每个筛选器侧重于收集的数据的不同维度。 可以使用大约 50 个不同的单独筛选器,包括:
- 日期范围
- 活动类型
- 位置
- 敏感度标签
- 用户
- 客户端 IP
- 设备名称
- 受保护
若要查看所有筛选器,请在活动资源管理器中打开筛选器窗格并查看下拉列表。
注意
筛选器选项基于前 500 条记录生成,以确保最佳性能。 此限制可能会导致某些值不显示在筛选器下拉列表中。 对于终结点事件,仅显示限制性最高的 DLP 规则。 在活动资源管理器中应用的筛选器也会基于此限制性最高的规则进行操作。
筛选器集
活动资源管理器附带预定义的筛选器集,有助于在你想要专注于特定活动时节省时间。 使用筛选器集快速提供比单个筛选器更高级别活动的视图。 一些预定义筛选器集包括:
- 终结点 DLP 活动
- 应用、更改或删除的敏感度标签
- 出口活动
- 检测到活动的 DLP 策略
- 网络 DLP 活动
- 受保护的浏览器
还可以通过组合各个筛选器来创建和保存自己的筛选器集。
活动资源管理器中的智能 智能 Microsoft Security Copilot 副驾驶® 副驾驶® (预览)
在预览版中,Microsoft Purview 中的智能 智能 Microsoft Security Copilot 副驾驶® 副驾驶®嵌入在活动资源管理器中。 它可以帮助有效地向下钻取活动数据,并帮助你识别活动、包含敏感信息的文件、用户和与调查相关的其他详细信息。
重要
在根据提供的信息采取任何操作之前,请务必检查Security Copilot的响应的准确性和完整性。 可以提供反馈以帮助提高响应的准确性。
数据搜寻
Security Copilot技能使用可用于Microsoft活动资源管理器中可用的 Purview、筛选器和筛选器集的所有数据,并使用机器学习来为你提供对活动 (有时称为对数据最重要的数据搜寻) 。
- 显示过去一周的前 5 个活动
- 筛选和调查活动
- 查找特定活动中使用的文件
选择提示将自动打开Security Copilot端卡并显示查询结果。 然后,可以进一步优化查询。
用于筛选集生成的自然语言
使用提示框输入复杂的自然语言查询以生成筛选器集。 例如,可以输入:
Filter and investigate files copied to cloud with sensitive info type credit card number for past 30 days.
Security Copilot为查询生成筛选器集。 查看筛选器以确保它符合你的需求,然后将其应用于数据。
先决条件
SKU/订阅许可
有关许可的信息,请参阅
权限
帐户必须在其中任一角色组中显式分配成员身份,或者必须显式授予该角色。
角色和角色组
使用角色和角色组微调访问控制。 有关详细信息,请参阅 Microsoft Purview 门户中的权限。
Microsoft Purview 角色
- 信息保护管理员
- 信息保护分析师
- 信息保护调查员
- 信息保护读者
Microsoft Purview 角色组
- 信息保护
- 信息保护调查员
- 信息保护分析师
- 需要为两个角色组分配信息保护管理员 & 信息保护 读者 ()
Microsoft 365 个角色
- 合规性管理员
- 安全管理员
- 合规性数据管理员
Microsoft 365 角色组
- 合规性管理员
- 安全管理员
- 安全信息读取者
活动类型
活动资源管理器从多个活动源的审核日志中收集信息。
Microsoft Office 本机应用程序中的敏感度标签活动和保留标签活动的一些示例、Microsoft Purview 信息保护客户端和扫描程序、SharePoint、Exchange (敏感度标签仅) 以及 OneDrive 包括:
- 已应用的标签
- 已更改(已升级、已降级或已删除)的标签
- 自动标记模拟
- 已读文件
对于活动资源管理器中列出的当前活动列表,请转到活动资源管理器并打开活动筛选器。 下拉列表中提供了活动列表。
特定于活动资源管理器中的Microsoft Purview 信息保护客户端和扫描程序的标记活动包括:
- 已应用保护
- 已更改保护
- 已删除保护
- 已发现文件
有关哪些标记活动使其进入活动资源管理器的更多详细信息,请参阅 标记活动资源管理器中可用的事件。
此外,活动资源管理器从 Microsoft 365 个工作负载(例如 Exchange、SharePoint、OneDrive、Teams 聊天和频道以及本地 SharePoint 文件夹、库和文件共享)收集 DLP 策略匹配事件。 (DLP) 启用终结点数据丢失防护时,活动资源管理器还包括载入Windows 10、Windows 11和三个最新主要 macOS 版本的设备级活动。
Exchange DLP 事件的增强匹配条件 (预览)
对于Exchange Online DLP 事件,除了 SIT 匹配之外,活动资源管理器还会显示非敏感信息类型 (SIT) 条件的增强匹配条件详细信息。 导致 DLP 策略匹配的每个非 SIT 条件都以三个级别的详细信息显示:
- 条件名称:匹配的特定策略条件,例如 发件人域为 或 附件的文件扩展名为 。
-
匹配值:触发条件的实际值匹配,例如 或
contoso.com.docx。 - 源:找到匹配的邮件部分,例如邮件头、信封或附件。
活动资源管理器中 Exchange DLP 事件的事件详细信息浮出控件和 DLP 警报仪表板上显示增强的匹配条件详细信息。 支持以下条件类别:
- 发件人条件:发件人为,发件人域为,发件人地址包含字词,发件人地址匹配模式,发件人为 成员,发件人 IP 地址为,发件人 AD 属性
- 收件人条件:收件人为,收件人域为,收件人地址包含字词,收件人地址匹配模式,收件人为 成员,收件人 AD 属性
- 附件条件:附件的文件扩展名为,文档名称包含单词,文档名称匹配模式,Document 属性为,文档大小等于或大于,文档受密码保护,无法扫描文档,文档未完成扫描
- 内容条件:内容字符集包含字词,内容从 M365 共享,内容接收自
- 标头条件:标头包含单词,标头匹配模式
- 消息属性条件:邮件大小结束、消息类型为、消息重要性为、主题包含字词、主题匹配模式、主题或正文包含字词、主题或正文匹配模式、已覆盖发件人策略提示
有关 Exchange DLP 条件的完整参考,请参阅 数据丢失防护 Exchange 条件和操作参考。
从设备收集的一些示例事件包括对文件采取的以下操作:
- 删除
- 创造
- 复制到剪贴板
- 修改
- 阅读
- 打印
- 重命名
- 复制到网络共享
- 由未安装的应用访问
了解对具有敏感度标签的内容执行的操作有助于确定已实施的控制措施(如Microsoft Purview 数据丢失防护策略)是否有效。 如果没有,或者如果你发现意外 ((例如大量标记为 highly confidential 降级为 general) 的项目),则可以管理策略并采取新操作来限制不需要的行为。
注意
- 活动资源管理器不监视 Exchange 的保留活动。
- 不支持旧Azure 信息保护 (AIP) 标签;因此,它们可能会在活动资源管理器中显示为 GUID。
注意
如果用户将 Teams DLP 判决报告为误报,活动会在活动资源管理器的列表中显示为 DLP 信息 。 该条目没有任何规则和策略匹配详细信息,但显示合成值。 也没有为误报生成事件报告。
活动类型事件和警报
此表显示活动资源管理器针对三个示例策略配置触发的事件。 事件取决于是否检测到策略匹配。
| 策略配置 | 为此操作类型触发的活动资源管理器事件 | 匹配 DLP 规则时触发的活动资源管理器事件 | 已触发活动资源管理器警报 |
|---|---|---|---|
| 策略包含一个规则,允许活动无需审核。 | 是 | 否 | 否 |
| 策略包含两个规则:允许规则 #1 匹配;审核规则 #2 的策略匹配项。 | 是 仅 (规则 #2) |
是 仅 (规则 #2) |
是 仅 (规则 #2) |
| 策略包含两个规则:允许且不审核这两个规则的匹配项。 | 是 | 否 | 否 |