Sdílet prostřednictvím


Zkoumání upozornění ochrany před únikem informací pomocí Microsoft Defender XDR

Platí pro:

  • Microsoft Defender XDR

Výstrahy Ochrana před únikem informací Microsoft Purview (DLP) můžete spravovat na portálu Microsoft Defender. Otevřete Incidenty & výstrahy>Incidenty na rychlém spuštění portálu Microsoft Defender. Na této stránce můžete:

  • Zobrazte všechna upozornění ochrany před únikem informací seskupených v rámci incidentů ve frontě incidentů Microsoft Defender XDR.
  • V rámci jednoho incidentu můžete zobrazit inteligentní výstrahy mezi řešeními (DLP-MDE, DLP-MDO) a výstrahy v rámci řešení (DLP-DLP).
  • Proaktivní vyhledávání protokolů dodržování předpisů spolu se zabezpečením v rámci rozšířeného proaktivního vyhledávání.
  • Místní akce nápravy správce pro uživatele, soubory a zařízení
  • Přidružte vlastní značky k incidentům ochrany před únikem informací a filtrujte podle nich.
  • Můžete filtrovat podle názvu zásad ochrany před únikem informací, značky, data, zdroje služby, stavu incidentu a uživatele ve sjednocené frontě incidentů.

Tip

Incidenty ochrany před únikem informací spolu s událostmi a důkazy můžete také vyžádat do služby Microsoft Sentinel k prošetření a nápravě pomocí konektoru Microsoft Defender XDR ve službě Microsoft Sentinel.

Licenční požadavky

K prošetření Ochrana před únikem informací Microsoft Purview incidentů na portálu Microsoft Defender potřebujete licenci z jednoho z následujících předplatných:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 – dodržování předpisů
  • Information Protection a zásady správného řízení Microsoft 365 E5/A5

Poznámka

Pokud máte licenci a nárok na tuto funkci, budou upozornění ochrany před únikem informací automaticky přecházet do Microsoft Defender XDR. Pokud nechcete, aby se upozornění ochrany před únikem informací dostala do Defenderu, otevřete případ podpory a tuto funkci zakažte. Pokud tuto funkci zakážete, zobrazí se upozornění ochrany před únikem informací na portálu Defender jako Microsoft Defender pro upozornění Office.

Role

Osvědčeným postupem je udělit upozorněním na portálu Microsoft Defender jenom minimální oprávnění. S těmito rolemi můžete vytvořit vlastní roli a přiřadit ji uživatelům, kteří potřebují prošetřit výstrahy ochrany před únikem informací.

Oprávnění Přístup k upozorněním defenderu
Správa upozornění Ochrana před únikem informací a zabezpečení
View-Only Spravovat výstrahy Ochrana před únikem informací a zabezpečení
Information Protection Analytik Pouze před únikem informací
Správa dodržování předpisů před únikem informací Pouze před únikem informací
View-Only správa dodržování předpisů před únikem informací Pouze před únikem informací

Než začnete

Zapněte upozornění pro všechny zásady ochrany před únikem informací v Portál dodržování předpisů Microsoft Purview.

Poznámka

Omezení jednotek pro správu proudí z ochrany před únikem informací do portálu Defender. Pokud jste správcem s omezeným přístupem k jednotce pro správu, zobrazí se jenom upozornění ochrany před únikem informací pro vaši jednotku pro správu.

Zkoumání upozornění ochrany před únikem informací na portálu Microsoft Defender

  1. Přejděte na portál Microsoft Defender a v levé navigační nabídce vyberte Incidenty a otevřete stránku incidentů.

  2. Pokud chcete zobrazit všechny incidenty s upozorněními na ochranu před únikem informací, vyberte Filtry v pravém horním rohu a zvolte Zdroj služby : Ochrana před únikem informací. Tady je několik příkladů podfiltrů, které jsou dostupné ve verzi Preview:

    1. podle názvů uživatelů a zařízení
    2. (ve verzi Preview) Ve filtru Entity můžete hledat názvy souborů, jména uživatelů, zařízení a cesty k souborům.
    3. (ve verzi Preview) Ve frontě >incidentůZásady upozornění Název> zásady upozornění. Můžete vyhledat název zásady ochrany před únikem informací.
  3. Search název zásad ochrany před únikem informací pro výstrahy a incidenty, které vás zajímají.

  4. Pokud chcete zobrazit stránku souhrnu incidentu, vyberte incident z fronty. Podobně vyberte výstrahu a zobrazte stránku upozornění ochrany před únikem informací.

  5. Podrobnosti o zásadách a typech citlivých informací zjištěných v upozornění najdete v článku Výstraha . Výběrem události v části Související události zobrazíte podrobnosti o aktivitě uživatele.

  6. Pokud máte požadované oprávnění, zobrazte odpovídající citlivý obsah na kartě Typy citlivých informací a obsah souboru na kartě Zdroj (podrobnosti najdete tady).

Rozšíření vyšetřování upozornění ochrany před únikem informací o rozšířeném proaktivním vyhledávání

Rozšířené proaktivní vyhledávání je nástroj proaktivního vyhledávání hrozeb založený na dotazech, který umožňuje prozkoumat až 30denní protokoly auditu uživatelů, souborů a lokalit, které vám pomohou při vyšetřování. Můžete proaktivně kontrolovat události ve vaší síti a vyhledávat indikátory hrozeb a entity. Flexibilní přístup k datům umožňuje unconstrained proaktivní vyhledávání známých i potenciálních hrozeb.

Tabulka CloudAppEvents obsahuje všechny protokoly auditu ve všech umístěních, jako jsou SharePoint, OneDrive, Exchange a zařízení.

Než začnete

Pokud s pokročilým proaktivním vyhledáváním začínáte, měli byste si projít téma Začínáme s pokročilým proaktivním vyhledáváním.

Abyste mohli použít proaktivní vyhledávání, musíte mít přístup k tabulce CloudAppEvents, která obsahuje data Microsoft Purview.

Použití předdefinovaných dotazů

Důležité

Tato funkce je ve verzi Preview. Funkce Preview nejsou určené pro produkční použití a můžou mít omezené funkce. Tyto funkce jsou dostupné před oficiálním vydáním, aby zákazníci mohli získat dřívější přístup a poskytnout zpětnou vazbu.

Portál Defender nabízí několik předdefinovaných dotazů, které vám můžou pomoct s vyšetřováním upozornění ochrany před únikem informací.

  1. Přejděte na portál Microsoft Defender a v levé navigační nabídce vyberte Incidenty & výstrahy a otevřete stránku incidentů. Vyberte Incidenty.
  2. Pokud chcete zobrazit všechny incidenty s upozorněními na ochranu před únikem informací, vyberte Filtry v pravém horním rohu a zvolte Zdroj služby : Ochrana před únikem informací.
  3. Otevřete incident ochrany před únikem informací.
  4. Výběrem výstrahy zobrazíte přidružené události.
  5. Vyberte událost.
  6. V podokně podrobností události vyberte ovládací prvek Přejít pro vyhledávání .
    1. Defender zobrazí seznam předdefinovaných dotazů, které jsou relevantní pro zdrojové umístění události. Pokud například událost pochází ze Služby SharePoint, zobrazí se
      1. Soubor sdílený s
      2. Aktivity souborů
      3. Aktivita webu
      4. Porušení ochrany před únikem informací uživatele za posledních 30 dnů
  7. Můžete zvolit okamžité spuštění dotazu , změnu časového rozsahu, úpravu nebo uložení dotazu pro pozdější použití.
  8. Po spuštění dotazu si prohlédněte výsledky na kartě Výsledky .

Pokud se upozornění používá pro e-mailovou zprávu, můžete si ji stáhnout výběrem možnosti Akce>Stáhnout e-mail.

Pokud se upozornění zobrazuje pro soubor v SharePointu Online nebo OneDrivu pro firmy, můžete provést tyto akce:

  • Použít popisek uchovávání informací
  • Zrušit sdílení
  • Vymazání
  • Použít popisek citlivosti
  • Stáhnout (pro tuto akci se vyžaduje role prohlížeče obsahu klasifikace dat )
  • Odvolání zpětné vazby

V případě nápravných akcí vyberte kartu Uživatel v horní části stránky upozornění a otevřete tak podrobnosti o uživateli.

V části Výstrahy ochrany před únikem informací zařízení vyberte kartu zařízení v horní části stránky upozornění, abyste zobrazili podrobnosti o zařízení a mohli na zařízení provést nápravné akce.

Přejděte na stránku souhrnu incidentu a vyberte Spravovat incident a přidejte značky incidentu, přiřaďte nebo vyřešte incident.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.