Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit dem Aktivitäts-Explorer können Sie überwachen, was mit Ihren bezeichneten Inhalten geschieht. Der Aktivitäts-Explorer bietet eine Verlaufsansicht der Aktivitäten in Ihren bezeichneten Inhalten. Die Aktivitätsinformationen stammen aus den einheitlichen Überwachungsprotokollen von Microsoft 365. Es wird transformiert und dann auf der Benutzeroberfläche des Aktivitäts-Explorers verfügbar gemacht. Der Aktivitäts-Explorer meldet Daten im Wert von bis zu 30 Tagen.
Der Aktivitäts-Explorer bietet Ihnen mehrere Möglichkeiten zum Sortieren und Anzeigen der Daten.
Filter
Filter sind die Bausteine des Aktivitäts-Explorers. Jeder Filter konzentriert sich auf eine andere Dimension der gesammelten Daten. Sie können etwa 50 verschiedene einzelne Filter verwenden, einschließlich:
- Datumsbereich
- Aktivitätstyp
- Standort
- Vertraulichkeitsbezeichnung
- Benutzer
- Client-IP
- Gerätename
- Ist geschützt
Um alle Filter anzuzeigen, öffnen Sie den Filterbereich im Aktivitäts-Explorer, und sehen Sie sich die Dropdownliste an.
Hinweis
Filteroptionen werden basierend auf den ersten 500 Datensätzen generiert, um eine optimale Leistung sicherzustellen. Diese Einschränkung kann dazu führen, dass einige Werte nicht in der Filterdropdownliste angezeigt werden. Für Endpunktereignisse wird nur die restriktivste DLP-Regel angezeigt. Filter, die Sie im Aktivitäts-Explorer anwenden, funktionieren auch basierend auf dieser restriktivsten Regel.
Filtersätze
Der Aktivitäts-Explorer enthält vordefinierte Filtersätze, um Zeit zu sparen, wenn Sie sich auf eine bestimmte Aktivität konzentrieren möchten. Verwenden Sie Filtersätze, um Ihnen schnell eine Ansicht von Aktivitäten auf höherer Ebene als einzelne Filter bereitzustellen. Einige der vordefinierten Filtersätze sind:
- Endpunkt-DLP-Aktivitäten
- Angewendete, geänderte oder entfernte Vertraulichkeitsbezeichnungen
- Ausgehende Aktivitäten
- DLP-Richtlinien, die Aktivitäten erkannt haben
- Netzwerk-DLP-Aktivitäten
- Geschützter Browser
Sie können auch eigene Filtersätze erstellen und speichern, indem Sie einzelne Filter kombinieren.
Microsoft Security Copilot im Aktivitäts-Explorer (Vorschau)
In der Vorschauist Microsoft Security Copilot in Microsoft Purview in den Aktivitäts-Explorer eingebettet. Es kann ihnen helfen, einen effizienten Drilldown in Aktivitätsdaten durchzuführen und Ihnen dabei zu helfen, Aktivitäten, Dateien mit vertraulichen Informationen, Benutzer und andere Details zu identifizieren, die für eine Untersuchung relevant sind.
Wichtig
Überprüfen Sie unbedingt die Antworten von Security Copilot auf Richtigkeit und Vollständigkeit, bevor Sie maßnahmen, die auf den bereitgestellten Informationen basieren. Sie können Feedback geben, um die Genauigkeit der Antworten zu verbessern.
Datensuche
Security Copilot Skills verwenden alle für Microsoft Purview verfügbaren Daten, Filter und Filtersätze, die im Aktivitäts-Explorer verfügbar sind, und verwenden maschinelles Lernen, um Ihnen Einblicke in die Aktivität (manchmal auch als Datensuche bezeichnet) zu Ihren Daten zu geben, die für Sie am wichtigsten sind.
- Zeige mir die top 5 Aktivitäten der letzten Woche
- Filtern und Untersuchen von Aktivitäten
- Suchen von Dateien, die in bestimmten Aktivitäten verwendet werden
Wenn Sie eine Eingabeaufforderung auswählen, wird automatisch die Security Copilot Karte geöffnet, und die Ergebnisse der Abfrage werden angezeigt. Anschließend können Sie die Abfrage weiter verfeinern.
Natürliche Sprache zum Filtern der Satzgenerierung
Verwenden Sie das Eingabeaufforderungsfeld, um komplexe Abfragen in natürlicher Sprache einzugeben, um Filtersätze zu generieren. Sie können beispielsweise Folgendes eingeben:
Filter and investigate files copied to cloud with sensitive info type credit card number for past 30 days.
Security Copilot generiert einen Filtersatz für Ihre Abfrage. Überprüfen Sie den Filter, um sicherzustellen, dass er Ihren Anforderungen entspricht, und wenden Sie ihn dann auf die Daten an.
Voraussetzungen
SKU/Abonnement-Lizenzierung
Informationen zur Lizenzierung finden Sie unter
Berechtigungen
Einem Konto muss explizit die Mitgliedschaft in einer dieser Rollengruppen zugewiesen werden, oder die Rolle muss explizit zugewiesen werden.
Rollen und Rollengruppen
Verwenden Sie Rollen und Rollengruppen, um Ihre Zugriffssteuerungen zu optimieren. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Portal.
Microsoft Purview-Rollen
- Information Protection-Administrator
- Information Protection-Analyst
- Information Protection-Ermittler
- Information Protection-Leser
Microsoft Purview-Rollengruppen
- Informationsschutz
- Information Protection-Administratoren
- Information Protection-Ermittler
- Information Protection-Analysten
- Information Protection-Leser
Microsoft 365-Rollen
- Complianceadministratoren
- Sicherheitsadministratoren
- Compliancedatenadministratoren
Microsoft 365-Rollengruppen
- Complianceadministrator
- Sicherheitsadministrator
- Sicherheitsleseberechtigter
Aktivitätstypen
Der Aktivitäts-Explorer sammelt Informationen aus den Überwachungsprotokollen mehrerer Quellen von Aktivitäten.
Einige Beispiele für die Aktivitäten für Vertraulichkeitsbezeichnungen und Aufbewahrungsbezeichnungen von Anwendungen, die nativen Microsoft Office-Anwendungen, die Microsoft Purview Information Protection Client und Scanner, SharePoint, Exchange (nur Vertraulichkeitsbezeichnungen) und OneDrive umfassen:
- Bezeichnung angewendet
- Bezeichnung geändert (aktualisiert, heruntergestuft oder entfernt)
- Automatische Beschriftungssimulation
- Datei gelesen
Die aktuelle Liste der im Aktivitäts-Explorer aufgeführten Aktivitäten finden Sie im Aktivitäts-Explorer, und öffnen Sie den Aktivitätsfilter. Die Liste der Aktivitäten ist in der Dropdownliste verfügbar.
Die bezeichnungsspezifische Aktivität für den Microsoft Purview Information Protection Client und Scanner, der im Aktivitäts-Explorer enthalten ist, umfasst Folgendes:
- Schutz angewendet
- Schutz geändert
- Schutz entfernt
- Dateien ermittelt
Ausführlichere Informationen dazu, welche Bezeichnungsaktivität sie in den Aktivitäts-Explorer übernimmt, finden Sie unter Bezeichnungsereignisse, die im Aktivitäts-Explorer verfügbar sind.
Darüber hinaus erfasst Activity Explorer DLP-Richtlinienvergleichsereignisse aus Microsoft 365-Workloads wie Exchange, SharePoint, OneDrive, Teams-Chat und -Kanälen sowie lokalen SharePoint-Ordnern, Bibliotheken und Dateifreigaben. Wenn Sie die Verhinderung von Datenverlust (Data Loss Prevention, DLP) für Endpunkte aktivieren, umfasst activity Explorer auch Aktivitäten auf Geräteebene aus integrierten Windows 10, Windows 11 und den drei neuesten Hauptversionen von macOS.
Einige Beispielereignisse, die von Geräten erfasst werden, umfassen die folgenden Aktionen, die für Dateien ausgeführt werden:
- Löschung
- Kreation
- In Zwischenablage kopieren
- Ändern
- Lesen
- Umbenennen
- In Netzwerkfreigabe kopieren
- Zugriff durch eine nicht zulässige App
Wenn Sie die Aktionen verstehen, die für Inhalte mit Vertraulichkeitsbezeichnungen ausgeführt werden, können Sie feststellen, ob die von Ihnen eingerichteten Steuerelemente, z. B. Microsoft Purview Data Loss Prevention Richtlinien, wirksam sind. Falls nicht, oder wenn Sie unerwartete Elemente entdecken (z. B. eine große Anzahl von Elementen highly confidential , die in generalherabgestuft wurden), können Sie Ihre Richtlinien verwalten und neue Aktionen ergreifen, um das unerwünschte Verhalten einzuschränken.
Hinweis
Der Aktivitäts-Explorer überwacht derzeit keine Aufbewahrungsaktivitäten für Exchange.
Hinweis
Wenn ein Benutzer die Teams DLP-Bewertung als falsch positiv meldet, wird die Aktivität in der Liste im Aktivitäts-Explorer als DLP-Informationen angezeigt. Der Eintrag enthält keine Details zur Übereinstimmung von Regeln und Richtlinien, zeigt jedoch synthetische Werte an. Es wird auch kein Vorfallbericht für falsch positive Berichte generiert.
Aktivitätstypereignisse und -warnungen
In dieser Tabelle sind die Ereignisse aufgeführt, die von Activity Explorer für drei Beispielrichtlinienkonfigurationen ausgelöst werden. Die Ereignisse hängen davon ab, ob eine Richtlinien-Übereinstimmung erkannt wird.
| Richtlinienkonfiguration | Für diesen Aktionstyp ausgelöstes Aktivitätsereignis Explorer | Aktivität Explorer Ereignis ausgelöst, wenn eine DLP-Regel abgeglichen wird | Ausgelöste Aktivitätswarnung Explorer |
|---|---|---|---|
| Die Richtlinie enthält eine einzelne Regel, die die Aktivität ohne Überwachung zulässt. | Ja | Nein | Nein |
| Die Richtlinie enthält zwei Regeln: Übereinstimmungen für Regel Nr. 1 sind zulässig; Richtlinien-Übereinstimmungen für Regel Nr. 2 werden überwacht. | Ja (Nur Regel Nr. 2) |
Ja (Nur Regel Nr. 2) |
Ja (Nur Regel Nr. 2) |
| Die Richtlinie enthält zwei Regeln: Übereinstimmungen für beide Regeln sind zulässig und werden nicht überwacht. | Ja | Nein | Nein |