Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article répertorie les types d’enregistrements de journal d’audit et les activités pris en charge lors de l’utilisation du connecteur Protection des données Microsoft Purview avec Microsoft Sentinel.
Lorsque vous utilisez le connecteur Protection des données Microsoft Purview, vous diffusez en continu les journaux d’audit dans le
MicrosoftPurviewInformationProtection table standardisée. Les données sont collectées via l’API de gestion Office, qui utilise un schéma structuré.
Types d’enregistrements de journal d’audit pris en charge
| Valeur | Member | Nom | Description | Opérations |
|---|---|---|---|---|
| 93 | AipDiscover |
Événements du scanneur Microsoft Purview. | Décrit le type d’accès. | |
| 94 | AipSensitivityLabelAction |
Événement d’étiquette de confidentialité Microsoft Purview. | Type d’opération pour le journal d’audit. Nom de l’activité de l’utilisateur ou de l’administrateur pour une description des opérations les plus courantes :
|
|
| 95 | AipProtectionAction |
Événements de protection Microsoft Purview. | Contient des informations relatives aux événements de protection Microsoft Purview. | |
| 96 | AipFileDeleted |
Événement de suppression de fichier Microsoft Purview. | Contient des informations relatives aux événements de suppression de fichier Microsoft Purview. | |
| 97 | AipHeartBeat |
Événement de pulsation Microsoft Purview. | Type d’opération pour le journal d’audit. Nom de l’activité de l’utilisateur ou de l’administrateur pour une description des opérations ou activités les plus courantes :
SensitivityLabelUpdated |
|
| 43 | MipLabel |
Événements détectés dans le pipeline de transport des messages électroniques étiquetés (manuellement ou automatiquement) avec des étiquettes de confidentialité. | ||
| 82 | SensitivityLabelPolicyMatch |
Événements générés lorsqu’un fichier étiqueté avec une étiquette sensible est ouvert ou renommé. | ||
| 83 | SensitivityLabelAction |
Événement généré lorsque des étiquettes de confidentialité sont appliquées, mises à jour ou supprimées. | ||
| 84 | SensitivityLabeledFileAction |
Événements générés lorsqu’un fichier est étiquetté avec une étiquette de confidentialité est ouvert ou renommé. | ||
| 71 | MipAutoLabelSharePointItem |
Événements d’étiquetage automatique dans SharePoint | ||
| 72 | MipAutoLabelSharePointPolicyLocation |
Évènements de la stratégie d’étiquetage automatique dans SharePoint. | ||
| 75 | MipAutoLabelExchangeItem |
Événements d’étiquetage automatique dans Microsoft Exchange. |
Activités prises en charge
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Étiquette de confidentialité appliquée au fichier | FileSensitivityLabelApplied |
Une étiquette de confidentialité a été appliquée à un document via les applications Microsoft 365, Office sur le Web ou une stratégie d’étiquetage automatique. |
| Étiquette de confidentialité modifiée appliquée au fichier | FileSensitivityLabelChanged |
Une étiquette de niveau de confidentialité différente a été appliquée à un document. Une Office sur le Web ou une stratégie d’étiquetage automatique a été modifiée. |
| Suppression de l'étiquette de confidentialité sur le document | FileSensitivityLabelRemoved |
Une étiquette de confidentialité a été supprimée d’un document via les applications Microsoft 365, Office sur le Web, une stratégie d’étiquetage automatique ou l’applet de commande Unlock-SPOSensitivityLabelEncryptedFile. |
| Étiquette de confidentialité appliquée au site | SensitivityLabelApplied |
Une étiquette de confidentialité a été appliquée à un site SharePoint ou Teams. |
| Étiquette de confidentialité modifiée appliquée au fichier | SensitivityLabelUpdated |
Une étiquette de niveau de confidentialité différente a été appliquée à un document. |
| Suppression de l'étiquette de confidentialité sur le site | SensitivityLabelRemoved |
Une étiquette de confidentialité a été supprimée sur un site SharePoint ou Teams. |
SiteSensitivityLabelApplied |
Une étiquette de confidentialité a été appliquée à un site SharePoint ou Teams. | |
| Étiquette de confidentialité modifiée sur un site | SensitivityLabelChanged |
Une étiquette de niveau de confidentialité différente a été appliquée à un site Microsoft Office SharePoint Online ou Teams. |
| Suppression de l'étiquette de confidentialité sur le site | SiteSensitivityLabelRemoved |
Une étiquette de confidentialité a été supprimée sur un site SharePoint ou Teams. |
| Document | DocumentSensitivityMismatchDetected |
Activité non auditable. Signale à Substrate que l’élément a été supprimé de la vue SharedWithMe. Cette opération est identique à l’opération RemovedFromSharedWithMe , mais sans audit. |
Étapes suivantes
Dans cet article, vous avez découvert les types d’enregistrements de journal d’audit et les activités pris en charge lorsque vous utilisez le connecteur Protection des données Microsoft Purview. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Découvrez comment obtenir une visibilité sur vos données et les menaces potentielles.
- Commencez à détecter les menaces avec Microsoft Sentinel.
- Utilisez des classeurs pour surveiller vos données.