التحقق من تنبيهات تفادي فقدان البيانات باستخدام Microsoft Defender XDR

ينطبق على:

  • Microsoft Defender XDR

يمكنك إدارة تنبيهات تفادي فقدان البيانات في Microsoft Purview (DLP) في مدخل Microsoft Defender. افتح الحوادث & تنبيهات>الحوادث عند التشغيل السريع لمدخل Microsoft Defender. من هذه الصفحة، يمكنك:

  • عرض جميع تنبيهات DLP المجمعة ضمن الحوادث في قائمة انتظار الحوادث Microsoft Defender XDR.
  • عرض التنبيهات المترابطة الذكية (DLP-MDE وDLP-MDO) وداخل الحل (DLP-DLP) في ظل حادث واحد.
  • ابحث عن سجلات التوافق جنبا إلى جنب مع الأمان ضمن التتبع المتقدم.
  • إجراءات معالجة المسؤول الموضعية على المستخدم والملف والجهاز.
  • إقران العلامات المخصصة بحوادث DLP والتصفية حسبها.
  • قم بالتصفية حسب اسم نهج DLP والعلامة والتاريخ ومصدر الخدمة وحالة الحادث والمستخدم في قائمة انتظار الحوادث الموحدة.

تلميح

يمكنك أيضا سحب حوادث DLP جنبا إلى جنب مع الأحداث والأدلة إلى Microsoft Sentinel للتحقيق والمعالجة باستخدام موصل Microsoft Defender XDR في Microsoft Sentinel.

متطلبات الترخيص

للتحقيق في تفادي فقدان البيانات في Microsoft Purview الحوادث في مدخل Microsoft Defender، تحتاج إلى ترخيص من أحد الاشتراكات التالية:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • توافق Microsoft 365 E5/A5
  • حماية البيانات Microsoft 365 E5/A5 والحوكمة

ملاحظة

عندما تكون مرخصا ومؤهلا لهذه الميزة، ستتدفق تنبيهات DLP تلقائيا إلى Microsoft Defender XDR. إذا كنت لا تريد أن تتدفق تنبيهات DLP إلى Defender، فافتح حالة دعم لتعطيل هذه الميزة. إذا قمت بتعطيل هذه الميزة، ستظهر تنبيهات DLP في مدخل Defender ك Microsoft Defender لتنبيهات Office.

ادوار

من أفضل الممارسات منح الحد الأدنى من الأذونات فقط للتنبيهات في مدخل Microsoft Defender. يمكنك إنشاء دور مخصص بهذه الأدوار وتعيينه للمستخدمين الذين يحتاجون إلى التحقيق في تنبيهات DLP.

اذن الوصول إلى تنبيه Defender
إدارة التنبيهات DLP + الأمان
View-Only إدارة التنبيهات DLP + الأمان
محلل حماية البيانات DLP فقط
إدارة توافق DLP DLP فقط
إدارة توافق View-Only DLP DLP فقط

قبل البدء

قم بتشغيل التنبيهات لجميع نهج DLP فيمدخل التوافق في Microsoft Purview.

ملاحظة

تتدفق قيود الوحدات الإدارية من منع فقدان البيانات (DLP) إلى مدخل Defender. إذا كنت مسؤولا مقيدا بالوحدة الإدارية، فسترى فقط تنبيهات DLP للوحدة الإدارية الخاصة بك.

التحقيق في تنبيهات DLP في مدخل Microsoft Defender

  1. انتقل إلى مدخل Microsoft Defender، وحدد الحوادث في قائمة التنقل اليسرى لفتح صفحة الحوادث.

  2. حدد عوامل التصفية في أعلى اليمين، واختر مصدر الخدمة: منع فقدان البيانات لعرض جميع الحوادث باستخدام تنبيهات DLP. فيما يلي بعض الأمثلة على التصفية الفرعية المتوفرة في المعاينة:

    1. حسب أسماء المستخدمين والأجهزة
    2. (في المعاينة) في عامل تصفية الكيانات ، يمكنك البحث عن أسماء الملفات والمستخدم وأسماء الأجهزة ومسارات الملفات.
    3. (في المعاينة) في قائمة انتظار >الحوادث نهج التنبيه> عنوان نهج التنبيه. يمكنك البحث عن اسم نهج DLP.
  3. البحث لاسم نهج DLP للتنبيهات والحوادث التي تهتم بها.

  4. لعرض صفحة ملخص الحدث، حدد الحدث من قائمة الانتظار. وبالمثل، حدد التنبيه لعرض صفحة تنبيه DLP.

  5. اعرض قصة التنبيه للحصول على تفاصيل حول النهج وأنواع المعلومات الحساسة التي تم اكتشافها في التنبيه. حدد الحدث في قسم الأحداث ذات الصلة لمشاهدة تفاصيل نشاط المستخدم.

  6. اعرض المحتوى الحساس المطابق في علامة التبويب أنواع المعلومات الحساسة ومحتوى الملف في علامة التبويب المصدر إذا كان لديك الإذن المطلوب (راجع التفاصيل هنا).

توسيع التحقيق في تنبيه DLP مع التتبع المتقدم

التتبع المتقدم هو أداة تتبع التهديدات المستندة إلى الاستعلام والتي تتيح لك استكشاف ما يصل إلى 30 يوما من سجلات التدقيق للمستخدم والملفات ومواقع الموقع للمساعدة في التحقيق الخاص بك. يمكنك فحص الأحداث بشكل استباقي في شبكتك لتحديد موقع مؤشرات التهديد والكيانات. يتيح الوصول المرن إلى البيانات التتبع غير المقيد لكل من التهديدات المعروفة والمحتملة.

يحتوي جدول CloudAppEvents على جميع سجلات التدقيق عبر جميع المواقع مثل SharePoint وOneDrive وExchange والأجهزة.

قبل البدء

إذا كنت جديدا على التتبع المتقدم، فيجب عليك مراجعة بدء التتبع المتقدم.

قبل أن تتمكن من استخدام التتبع المتقدم، يجب أن يكون لديك حق الوصول إلى جدول CloudAppEvents الذي يحتوي على بيانات Microsoft Purview.

استخدام الاستعلامات المضمنة

هام

هذه الميزة قيد المعاينة. ميزات المعاينة غير مخصصة لاستخدام الإنتاج وقد تكون لها وظائف مقيدة. تتوفر هذه الميزات قبل إصدار رسمي حتى يتمكن العملاء من الوصول المبكر وتقديم الملاحظات.

يوفر مدخل Defender العديد من الاستعلامات المضمنة التي يمكنك استخدامها للمساعدة في التحقيق في تنبيه DLP.

  1. انتقل إلى مدخل Microsoft Defender، وحدد الحوادث & التنبيهات في قائمة التنقل اليسرى لفتح صفحة الحوادث. حدد Incidents.
  2. حدد عوامل التصفية في أعلى اليمين، واختر مصدر الخدمة: منع فقدان البيانات لعرض جميع الحوادث باستخدام تنبيهات DLP.
  3. افتح حدث DLP.
  4. حدد تنبيها لعرض الأحداث المقترنة به.
  5. حدد حدثا.
  6. في جزء تفاصيل الحدث، حدد عنصر تحكم Go Hunt .
    1. يعرض لك Defender قائمة بالاستعلامات المضمنة ذات الصلة بالموقع المصدر للحدث. على سبيل المثال، إذا كان الحدث من SharePoint، فسترى
      1. ملف تمت مشاركته مع
      2. أنشطة الملفات
      3. نشاط الموقع
      4. انتهاكات DLP للمستخدم لآخر 30 يوما
  7. يمكنك اختيار تشغيل الاستعلام على الفور أو تغيير النطاق الزمني أو تحرير الاستعلام أو حفظه لاستخدامه لاحقا.
  8. بمجرد تشغيل الاستعلام، اعرض النتائج في علامة التبويب النتائج .

إذا كان التنبيه مخصصا لرسالة بريد إلكتروني، يمكنك تنزيل الرسالة عن طريق تحديد الإجراءات>تنزيل البريد الإلكتروني.

إذا كان التنبيه مخصصا لملف في SharePoint Online أو One Drive for Business، فيمكنك اتخاذ هذه الإجراءات:

لإجراءات المعالجة، حدد بطاقة المستخدم في أعلى صفحة التنبيه لفتح تفاصيل المستخدم.

بالنسبة لتنبيهات الأجهزة DLP، حدد بطاقة الجهاز أعلى صفحة التنبيه لعرض تفاصيل الجهاز واتخاذ إجراءات المعالجة على الجهاز.

انتقل إلى صفحة ملخص الحدث وحدد إدارة الحادث لإضافة علامات الحدث أو تعيينه أو حله.

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.