活動檔案總管 讓你監控標記內容的使用情況。 活動總管提供您標註內容活動的歷史視圖。 活動資訊來自 Microsoft 365 統一稽核日誌。 它會被轉換後,然後在活動總管的介面中提供。 活動總管會報告最多 30 天的資料。
活動總管提供多種排序與查看資料的方式。
篩選
篩選器是活動探索器的基本組件。 每個過濾器聚焦於收集資料的不同維度。 你可以使用大約 50 種不同的濾鏡,包括:
- 日期範圍
- 活動類型
- 位置
- 敏感度標籤
- 使用者
- 用戶端 IP
- 裝置名稱
- 受到保護
要查看所有篩選條件,請在活動總管開啟篩選窗格,查看下拉選單。
注意事項
過濾選項會根據前 500 筆紀錄產生,以確保最佳效能。 這個限制可能導致某些數值不會出現在濾波器下拉選單中。 對於端點事件,只有最嚴格的 DLP 規則會出現。 你在活動檔案總管中套用的篩選器也是基於這個最嚴格的規則運作。
濾波器集
活動探索器內建預設篩選器,方便你在想專注於特定活動時節省時間。 使用篩選器集,能快速提供比單一篩選器更高層次的活動視圖。 部分預設的濾波器集包括:
- 端點 DLP 活動
- 敏感度標籤的套用、變更或移除
- 出動
- 偵測活動的 DLP 政策
- 網絡DLP活動
- 受保護瀏覽器
你也可以透過組合個別的篩選器來建立並儲存自己的篩選器組。
Microsoft Security Copilot在活動總管 (預覽)
預覽版中,Microsoft Purview 中的 Microsoft Security Copilot 已嵌入活動總管中。 它能有效深入分析活動資料,並協助你辨識活動、敏感資訊檔案、使用者及其他與調查相關的細節。
重要事項
在根據所提供的資訊採取任何行動前,務必檢查 Security Copilot 的回應是否準確且完整。 你可以提供回饋,幫助提升回答的準確性。
資料搜尋
Security Copilot技能運用所有可用資料Microsoft活動總管中的 Purview、篩選器及篩選集,並利用機器學習提供對你最重要的活動洞察 (有時稱為資料搜尋) 。
- 給我看過去一週的五大熱門活動
- 篩選與調查活動
- 尋找用於特定活動的檔案
選擇提示會自動開啟 Security Copilot 側邊卡片,並顯示查詢結果。 接著你可以進一步細化查詢。
自然語言用於產生濾波集
使用提示框輸入複雜的自然語言查詢以產生篩選器集。 例如,你可以輸入:
Filter and investigate files copied to cloud with sensitive info type credit card number for past 30 days.
Security Copilot 會為你的查詢產生一個篩選器集。 檢查篩選器確認符合你的需求,然後套用到資料上。
必要條件
SKU/訂閱授權
有關授權資訊,請參見
權限
帳號必須明確被指派為任一角色群組的成員,或明確被賦予該角色。
角色與角色組別
利用角色和角色群組來微調你的存取控制。 更多資訊請參閱 Microsoft Purview 入口網站的權限。
Microsoft Purview 角色
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
Microsoft Purview 角色群組
- 資訊保護
- 資訊保護系統管理員
- 資訊保護調查人員
- 資訊保護分析員
- 資訊保護讀者
Microsoft 365 角色
- 合規管理員
- 資安管理員
- 合規資料管理員
Microsoft 365 角色群組
- 合規性系統管理員
- 安全性系統管理員
- 安全性讀取者
活動類型
活動探索器從多個活動來源的稽核日誌中收集資訊。
一些來自 Microsoft Office、Microsoft Purview 資訊保護客戶端與掃描器、SharePoint、Exchange (僅) 敏感標籤,以及 OneDrive 原生應用程式的敏感度標籤活動與保留標籤活動範例包括:
- 已套用標籤
- 已變更標籤 (升級、降級或移除)
- 自動標註模擬
- 已讀取檔案
在活動總管中查看目前的活動清單,請進入活動總管並開啟活動篩選器。 活動清單可在下拉選單中找到。
針對進入活動總管的 Microsoft Purview 資訊保護客戶端與掃描器的特定活動標示包括:
- 已套用保護
- 保護已變更
- 已移除保護
- 已發現的檔案
欲了解哪些標籤活動會進入活動總管,請參閱活動 總管中可用的標籤事件。
此外,活動總管還會收集來自 Microsoft 365 工作負載(如 Exchange、SharePoint、OneDrive、Teams 聊天與頻道,以及本地 SharePoint 資料夾、函式庫和檔案分享)的 DLP 政策匹配事件。 當你啟用端點資料遺失防護 (DLP) 時,活動總管也會包含來自上線Windows 10、Windows 11 以及最近三個主要 macOS 版本的裝置層級活動。
從裝置收集的一些事件範例包括對檔案採取的以下操作:
- 刪除
- 創造
- 複製到剪貼簿
- 修改
- 讀取
- 重新命名
- 複製到網路分享
- 透過不允許的應用程式存取
了解對敏感性標籤內容所採取的行動,有助於判斷你所採取的控管措施,例如 Microsoft Purview 資料外洩防護政策,是否有效。 如果沒有,或你發現 (意外狀況,例如大量標示 highly confidential 的項目被降級為 general) ,你可以管理政策並採取新措施限制不良行為。
注意事項
活動總覽目前並未監控 Exchange 的保留活動。
注意事項
如果使用者將 Teams DLP 判定報告為誤判,活動檔案總管的清單中會顯示該活動為 DLP 資訊 。 該條目沒有規則和政策匹配的細節,但顯示的是合成值。 錯誤報案也不會產生事故報告。
活動類型事件與警示
下表顯示活動總覽針對三個範例政策配置所觸發的事件。 事件取決於是否偵測到政策匹配。
| 政策配置 | 此動作類型觸發的活動探索器事件 | 當 DLP 規則被匹配時,活動總管事件會被觸發 | 活動探索器警報已觸發 |
|---|---|---|---|
| 政策只包含一條規則,允許該活動而不需稽核。 | 是 | 否 | 否 |
| 政策包含兩條規則:允許為規則#1進行比賽;規則 #2 的政策匹配會被審核。 | 是 (規則#2僅限) |
是 (規則#2僅限) |
是 (規則#2僅限) |
| 政策包含兩條規則:允許兩種規則的匹配,且不需審核。 | 是 | 否 | 否 |