Del via

Undersøg underretninger om forebyggelse af datatab med Microsoft Defender XDR

  • Artikel

Gælder for:

  • Microsoft Defender XDR

Du kan administrere DLP-beskeder (Microsoft Purview Forebyggelse af datatab) på Microsoft Defender-portalen. Åbn Hændelser & beskeder>Hændelser på hurtig start af Microsoft Defender-portalen. Fra denne side kan du:

  • Få vist alle dine DLP-beskeder grupperet under hændelser i Microsoft Defender XDR hændelseskø.
  • Få vist intelligente mellemløsningsbeskeder (DLP-MDE, DLP-MDO) og interne løsningsrelaterede beskeder (DLP-DLP) under en enkelt hændelse.
  • Gå på jagt efter overholdelseslogge sammen med sikkerhed under Avanceret jagt.
  • Handlinger til lokal administratorafhjælpning på bruger, fil og enhed.
  • Knyt brugerdefinerede mærker til DLP-hændelser, og filtrer efter dem.
  • Filtrer efter DLP-politiknavn, kode, dato, tjenestekilde, hændelsesstatus og bruger på den samlede hændelseskø.

Tip

Du kan også trække DLP-hændelser sammen med hændelser og beviser til Microsoft Sentinel med henblik på undersøgelse og afhjælpning med Microsoft Defender XDR-connectoren i Microsoft Sentinel.

Licenskrav

Hvis du vil undersøge Microsoft Purview Forebyggelse af datatab hændelser på Microsoft Defender-portalen, skal du have en licens fra et af følgende abonnementer:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • overholdelse af Microsoft 365 E5/A5
  • Microsoft 365 E5/A5-Information Protection og styring

Bemærk!

Når du er licenseret og berettiget til denne funktion, overføres DLP-beskeder automatisk til Microsoft Defender XDR. Hvis du ikke ønsker, at DLP-beskeder skal overføres til Defender, skal du åbne en supportsag for at deaktivere denne funktion. Hvis du deaktiverer denne funktion, vises DLP-beskeder på Defender-portalen som Microsoft Defender for Office-beskeder.

Roller

Det er bedste praksis kun at tildele minimale tilladelser til beskeder på Microsoft Defender portalen. Du kan oprette en brugerdefineret rolle med disse roller og tildele den til de brugere, der skal undersøge DLP-beskeder.

Tilladelse Beskedadgang til Defender
Administrer beskeder DLP + sikkerhed
View-Only Administrer beskeder DLP + sikkerhed
Information Protection analytiker Kun DLP
Administration af DLP-overholdelse Kun DLP
administration af DLP-overholdelse af View-Only Kun DLP

Før du starter

Slå beskeder til for alle dine DLP-politikker i Microsoft Purview-compliance-portal.

Bemærk!

Begrænsninger for administrative enheder går fra forebyggelse af datatab (DLP) til Defender-portalen. Hvis du er administrator med begrænset administratorrettigheder, kan du kun se DLP-beskederne for din administrative enhed.

Undersøg DLP-beskeder på Microsoft Defender-portalen

  1. Gå til Microsoft Defender-portalen, og vælg Hændelser i navigationsmenuen til venstre for at åbne siden med hændelser.

  2. Vælg Filtre øverst til højre, og vælg Tjenestekilde: Forebyggelse af datatab for at få vist alle hændelser med DLP-beskeder. Her er nogle eksempler på de underfiltre, der er tilgængelige som prøveversion:

    1. efter bruger- og enhedsnavne
    2. (i eksempelvisning) I filteret Enheder kan du søge efter filnavne, brugere, enhedsnavne og filstier.
    3. (i eksempelvisning) I køen >HændelserBeskedpolitikker> Titel på beskedpolitik. Du kan søge efter navnet på DLP-politikken.

  3. Søg for navnet på DLP-politikken for de beskeder og hændelser, du er interesseret i.

  4. Hvis du vil have vist oversigtssiden for hændelser, skal du vælge hændelsen i køen. På samme måde skal du vælge beskeden for at få vist DLP-beskedsiden.

  5. Se historien Besked for at få oplysninger om politik og de følsomme oplysningstyper, der er registreret i beskeden. Vælg hændelsen i afsnittet Relaterede hændelser for at få vist oplysninger om brugeraktivitet.

  6. Få vist det tilsvarende følsomme indhold under fanen Typer af følsomme oplysninger og filindholdet under fanen Kilde , hvis du har den nødvendige tilladelse (se detaljer her).

Forlæng DLP-alarmundersøgelsen med avanceret jagt

Avanceret jagt er et forespørgselsbaseret trusselsjagtværktøj, der giver dig mulighed for at udforske op til 30 dages overvågningslogge over bruger-, fil- og webstedsplaceringer, som kan hjælpe dig med din undersøgelse. Du kan proaktivt inspicere hændelser i dit netværk for at finde trusselsindikatorer og -enheder. Den fleksible adgang til data muliggør uforbeholden jagt på både kendte og potentielle trusler.

Tabellen CloudAppEvents indeholder alle overvågningslogge på tværs af alle placeringer, f.eks. SharePoint, OneDrive, Exchange og enheder.

Før du begynder

Hvis du ikke kender til avanceret jagt, bør du gennemgå Kom i gang med avanceret jagt.

Før du kan bruge avanceret jagt, skal du have adgang til tabellen CloudAppEvents, der indeholder Microsoft Purview-dataene.

Brug af indbyggede forespørgsler

Vigtigt!

Denne funktion er en prøveversion. Prøveversionsfunktioner er ikke beregnet til produktionsbrug og kan have begrænset funktionalitet. Disse funktioner er tilgængelige før en officiel version, så kunderne kan få tidlig adgang og give feedback.

Defender-portalen tilbyder flere indbyggede forespørgsler, som du kan bruge til at hjælpe med din DLP-beskedundersøgelse.

  1. Gå til Microsoft Defender-portalen, og vælg Hændelser & beskeder i navigationsmenuen til venstre for at åbne hændelsessiden. Vælg Hændelser.
  2. Vælg Filtre øverst til højre, og vælg Tjenestekilde: Forebyggelse af datatab for at få vist alle hændelser med DLP-beskeder.
  3. Åbn en DLP-hændelse.
  4. Vælg en besked for at få vist de tilknyttede hændelser.
  5. Vælg en hændelse.
  6. I ruden med hændelsesoplysninger skal du vælge kontrolelementet Gå jagt .
    1. Defender viser dig en liste over indbyggede forespørgsler, der er relevante for hændelsens kildeplacering. Hvis hændelsen f.eks. er fra SharePoint, kan du se
      1. Fil, der er delt med
      2. Filaktiviteter
      3. Webstedsaktivitet
      4. Bruger-DLP-overtrædelser i de seneste 30 dage
  7. Du kan vælge at køre forespørgslen med det samme, ændre tidsintervallen, redigere eller gemme forespørgslen til senere brug.
  8. Når du har kørt forespørgslen, kan du få vist resultaterne under fanen Resultater .

Hvis beskeden er for en mail, kan du downloade meddelelsen ved at vælge Handlinger>Download mail.

Hvis beskeden er for en fil i SharePoint Online eller One Drive for Business, kan du gøre følgende:

For afhjælpningshandlinger skal du vælge kortet Bruger øverst på beskedsiden for at åbne brugeroplysningerne.

For DLP-beskeder for enheder skal du vælge enhedskortet øverst på beskedsiden for at få vist enhedsoplysningerne og udføre afhjælpningshandlinger på enheden.

Gå til siden med oversigt over hændelser, og vælg Administrer hændelse for at tilføje hændelseskoder, tildele eller løse en hændelse.

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.