查看 DLP 策略检测报告

Exchange Online
 

适用于:Exchange Online

上一次修改主题:2016-12-09

在 Exchange Online 中创建数据丢失防护 (DLP) 策略后,即可监视和调查策略匹配项。

 

报告类型 查找位置 描述

过去 24 小时的摘要

Exchange 管理中心 > 合规性管理 > 数据丢失防护

查看过去 24 小时内的策略检测计数。

趋势

Office 365 管理中心 >“报告”>“DLP”。

Exchange 管理中心 > 合规性管理 > 数据丢失防护 > 报告报告图标

针对发送和接收的邮件使用单独报告,查看策略检测随时间推移的趋势。

特定邮件的详细信息

Office 365 管理中心 > 报告 > DLP

单击数据点,查看有关每封邮件的信息,包括 DLP 操作、发件人、收件人以及主题。

您可以立刻查看到过去七天内有关发送邮件的信息,并可以请求更早期的信息。

Excel 工作簿

请从 Office 365 的邮件保护报告中下载 适用于 Exchange Online 报告的 Microsoft Office 365 Excel 插件工作薄。

使用 Office 365 管理中心提供的 Excel 版本的邮件报告,包括针对任何时段可筛选的 DLP 报告以及过去七天内发送或接收到的邮件详细信息。

注意注意:
这些报告仅在以下情况下显示信息:
  • 您对 Exchange Online 或 Office 365 的订阅包括 DLP。

  • 你已设置了 DLP 策略并且启用了规则。

  • 规则选中了“使用以下严重性级别审核此规则”复选框。

  • 在您所查看的报告的时间范围内,用户发送或接收了与您的策略中的规则匹配的邮件。

数据不会立即显示在报告中。

若要为单个策略检测事件创建事件报告,请参阅为 DLP 策略检测创建事件报告

此报告显示过去 24 小时内的数据。

DLP 24 小时摘要报告

下表将向您介绍针对每个策略显示的列。如果某个列的值为零,则将显示为长划线。

 

字段 描述

ON(打开)

指示策略已启用的复选框。

MATCHES(匹配)

显示与此策略相匹配的检测项目的数量。

OVERRRIDES(忽略)

显示发件人通过在“策略提示”中单击“忽略”选择发送邮件而不管信息是否敏感的次数。

FALSE POSITIVES(误报)

显示发件人在“策略提示”中点击“报告”的次数。发件人会在认为此策略检测到的内容不适用时单击“报告”。

MODE(模式)

指示策略状态,以及策略是否已经过测试或强制应用。通过单击以突出显示该策略,然后在描述列中选择另一个模式来快速更改此模式。

报告、图表和表格可供您快速查看 DLP 策略随时间检测到的邮件数量。使用内置筛选器选择要查看其数据的单个策略。若要更改报告的范围,请前往 Office 365 管理中心内的报告,并使用任何选择选项。

用于筛选 DLP 报告的选项

前往 Office 365 管理中心内可见的报告,然后单击图表中的任一数据点,即可查看与特定策略匹配的邮件的详细信息。对于当前数据,邮件表显示在底部。对于较旧的数据,您将看到请求数据的提示,而后会在该数据可用时收到通知。

显示与所选数据点匹配的消息的表

如果您喜欢在 Excel 中查看报告以便使用 Excel 功能识别趋势或不常见的活动,或者希望查看有关与 DLP 规则匹配的邮件的详细信息,可使用 适用于 Exchange Online 报告的 Microsoft Office 365 Excel 插件。这一可下载的工作簿包含所有的 Office 365 邮件报告。将数据加载到工作簿后,可通过更改视图使用 Excel 数据切片器执行分析。还可以使用 Excel 的其他功能以识别并监视检测到的策略匹配项。

此工作簿包含适用于每个邮件报告的选项卡。Excel 工作簿中有两个选项卡与 DLP 相关:

  • 数据丢失防护:此选项卡将显示与 Office 365 管理中心内的可筛选报告一样的数据。

  • DLP 邮件详细信息:此选项卡将显示更多有关过去七天内与 DLP 匹配的邮件的详细信息,包括邮件内敏感信息的类型、发件人和收件人、主题、邮件 ID 以及事件类型。

第一次使用邮件保护报告
  1. 要下载工作簿,请参阅 Office 365 的邮件保护报告

  2. 在您的桌面上,单击到“Office 365 的邮件保护报告”的快捷方式,然后选择“安装”。

  3. 选择“DLP 邮件详细信息”或“数据丢失防护”选项卡,然后选择“查询”。

  4. 输入您的 Office 365 凭据,然后选择“登录”。

  5. 若要刷新报告中的数据,请选择“刷新”。若要更改报告参数,请选择“查询”。

 
显示: