Zkoumání incidentů ztráty dat pomocí Microsoft 365 Defender
Poznámka
Chcete si Microsoft 365 Defender prožít? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotovat Microsoft 365 Defender.
Platí pro:
- Microsoft 365 Defender
Incidenty pro Ochrana před únikem informací Microsoft Purview (DLP) je teď možné spravovat na portálu Microsoft 365 Defender. Incidenty ochrany před únikem informací můžete spravovat společně s incidenty zabezpečení v části Výstrahy &>incidentů při rychlém spuštění portálu Microsoft 365 Defender. Na této stránce můžete:
- Zobrazte všechna upozornění ochrany před únikem informací seskupených v rámci incidentů ve frontě incidentů Microsoft 365 Defender.
- Zobrazení inteligentních výstrah mezi řešeními (DLP-MDE, DLP-MDO) a výstrah v rámci řešení (DLP-DLP) korelovaných v rámci jednoho incidentu
- Proaktivní vyhledávání protokolů dodržování předpisů spolu se zabezpečením v rámci rozšířeného proaktivního vyhledávání.
- Místní akce nápravy správce pro uživatele, soubory a zařízení
- Přidružte vlastní značky k incidentům ochrany před únikem informací a filtrujte podle nich.
- Můžete filtrovat podle názvu zásad ochrany před únikem informací, značky, data, zdroje služby, stavu incidentu a uživatele ve sjednocené frontě incidentů.
Konektor Microsoft 365 Defender ve službě Microsoft Sentinel můžete také použít k načtení incidentů ochrany před únikem informací spolu s událostmi a důkazy do služby Microsoft Sentinel za účelem šetření a nápravy.
Licenční požadavky
K prošetření Ochrana před únikem informací Microsoft Purview incidentů na portálu Microsoft 365 Defender potřebujete licenci z jednoho z následujících předplatných:
- Microsoft Office 365 E5/A5
- Microsoft 365 E5/A5
- Microsoft 365 E5/A5 – dodržování předpisů
- zabezpečení Microsoft 365 E5/A5
- Information Protection a zásady správného řízení Microsoft 365 E5/A5
Poznámka
Pokud máte licenci a nárok na tuto funkci, budou upozornění ochrany před únikem informací automaticky přecházet do Microsoft 365 Defender. Pokud chcete tuto funkci zakázat, otevřete případ podpory.
Prostředí pro šetření ochrany před únikem informací na portálu Microsoft 365 Defender
Než začnete, zapněte upozornění na všechny zásady ochrany před únikem informací v Portál dodržování předpisů Microsoft Purview.
Přejděte na portál Microsoft 365 Defender a v levé navigační nabídce vyberte Incidenty a otevřete stránku incidentů.
Pokud chcete zobrazit všechny incidenty s upozorněními na ochranu před únikem informací, vyberte Filtry v pravém horním rohu a zvolte Zdroj služby : Ochrana před únikem informací.
Vyhledejte název zásady ochrany před únikem informací pro výstrahy a incidenty, které vás zajímají.
Pokud chcete zobrazit stránku souhrnu incidentu, vyberte incident z fronty. Podobně vyberte výstrahu a zobrazte stránku upozornění ochrany před únikem informací.
Podrobnosti o zásadách a typech citlivých informací zjištěných v upozornění najdete v článku Výstraha . Výběrem události v části Související události zobrazíte podrobnosti o aktivitě uživatele.
Pokud máte požadované oprávnění, zobrazte odpovídající citlivý obsah na kartě Typy citlivých informací a obsah souboru na kartě Zdroj (podrobnosti najdete tady).
Pomocí rozšířeného proaktivního vyhledávání můžete také prohledávat protokoly auditování uživatelů, souborů a umístění webů pro účely šetření. Tabulka CloudAppEvents obsahuje všechny protokoly auditu ve všech umístěních, jako jsou SharePoint, OneDrive, Exchange a zařízení.
E-mail si můžete stáhnout také tak, že vyberete Akce>Stáhnout e-mail.
V případě nápravných akcí u souborů na webech SPO nebo ODB se můžete podívat na akce, jako jsou:
- Použít popisek uchovávání informací
- Použít popisek citlivosti
- Zrušit sdílení souboru
- Vymazání
V případě nápravných akcí vyberte kartu Uživatel v horní části stránky upozornění a otevřete tak podrobnosti o uživateli.
V části Výstrahy ochrany před únikem informací zařízení vyberte kartu zařízení v horní části stránky upozornění, abyste zobrazili podrobnosti o zařízení a mohli na zařízení provést nápravné akce.
Přejděte na stránku souhrnu incidentu a vyberte Spravovat incident a přidejte značky incidentu, přiřaďte nebo vyřešte incident.
Důležité
Ochrana před únikem informací podporuje přidružení zásad ochrany před únikem informací a správy výstrah k jednotkám pro správu v Portál dodržování předpisů Microsoft Purview (Preview). Upozornění ochrany před únikem informací jsou dostupná jenom pro neomezené správce ochrany před únikem informací na portálu Microsoft 365 Defender. Správce ochrany před únikem informací s omezenými jednotkami pro správu neuvidí upozornění ochrany před únikem informací. Podrobnosti o implementaci najdete v jednotkách pro správu . Podrobnosti o vymezení rozsahu jednotek pro správu najdete v tématu Vymezení rozsahu zásad.
Prostředí pro šetření ochrany před únikem informací ve službě Microsoft Sentinel
Konektor Microsoft 365 Defender v Microsoft Sentinelu můžete použít k importu všech incidentů ochrany před únikem informací do služby Sentinel, abyste rozšířili korelaci, detekci a šetření mezi další zdroje dat a rozšířili toky automatizované orchestrace pomocí nativních funkcí SOAR služby Sentinel.
Postupujte podle pokynů v tématu Připojení dat z Microsoft 365 Defender ke službě Microsoft Sentinel a naimportujte do služby Sentinel všechny incidenty, včetně incidentů a výstrah ochrany před únikem informací. Povolte
CloudAppEventskonektor událostí, aby načítal všechny protokoly auditu O365 do služby Sentinel.Po nastavení výše uvedeného konektoru byste měli být schopni zobrazit incidenty ochrany před únikem informací ve službě Sentinel.
Vyberte Výstrahy a zobrazte stránku upozornění.
Pomocí alertType, startTime a endTime můžete dotazovat tabulku CloudAppEvents a získat tak všechny aktivity uživatelů, které k upozornění přispěly. Pomocí tohoto dotazu identifikujte základní aktivity:
let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime