Informationen zur Untersuchung von Warnungen zur Verhinderung von Datenverlust

In diesem Artikel werden der Ablauf der Warnungsuntersuchung und die Tools vorgestellt, die Sie zum Untersuchen von DLP-Warnungen verwenden können.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Bevor Sie beginnen

Wenn Sie noch nicht mit Microsoft Purview DLP vertraut sind, finden Sie hier eine Liste der wichtigsten Artikel, die Sie bei der Implementierung Ihrer Vorgehensweise zur Verhinderung von Datenverlust kennen sollten:

1. Administrative Einheiten
2. Informationen zur Verhinderung von Datenverlust in Microsoft Purview: In diesem Artikel werden Die Disziplin zur Verhinderung von Datenverlust und die Implementierung von DLP durch Microsoft vorgestellt.
3. Planen der Verhinderung von Datenverlust (Data Loss Prevention, DLP): Wenn Sie diesen Artikel durcharbeiten, gehen Sie wie folgt vor:
   1. Identifizieren von Projektbeteiligten
   2. Beschreiben der Kategorien vertraulicher Informationen, die geschützt werden sollen
   3. Ziele und Strategie festlegen
4. Richtlinienreferenz zur Verhinderung von Datenverlust: In diesem Artikel werden alle Komponenten einer DLP-Richtlinie vorgestellt und erläutert, wie sich diese auf das Verhalten einer Richtlinie auswirkt.
5. Entwerfen einer DLP-Richtlinie: In diesem Artikel erfahren Sie, wie Sie eine Richtlinienabsichtsanweisung erstellen und sie einer bestimmten Richtlinienkonfiguration zuordnen.
6. Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust: Zeigt einige gängige Richtlinienabsichtsszenarien an, die Sie Konfigurationsoptionen zuordnen. Es führt Sie dann durch die Konfiguration dieser Optionen und enthält Anleitungen zum Bereitstellen einer Richtlinie.
7. Erfahren Sie mehr über die Untersuchung von Warnungen zur Verhinderung von Datenverlust: Dieser Artikel, den Sie jetzt lesen, führt Sie in den Lebenszyklus von Warnungen von der Erstellung bis hin zur endgültigen Korrektur und Richtlinienoptimierung ein. Außerdem werden sie in die Tools eingeführt, die Sie zum Untersuchen von Warnungen verwenden.

Der Lebenszyklus einer DLP-Warnung

Alle Warnungen und Ihre Interaktion mit ihnen durchlaufen die folgenden sechs Schritte:

• Trigger
• Notify
• Triage
• Untersuchen
• Korrektur
• Melodie

Auslöser

Die Lebensdauer einer Microsoft Purview DLP-Warnung (Data Loss Prevention) beginnt, wenn die in der Richtlinie definierten Bedingungen übereinstimmen. Wenn eine Richtlinieneinstimmung auftritt, werden die in der Richtlinie definierten Aktionen ausgelöst. Dies kann auch das Generieren einer Warnung umfassen , wenn die Richtlinie dafür konfiguriert ist .

DLP-Richtlinien werden in der Regel so konfiguriert, dass warnungen in folgenden Fällen überwacht und generiert werden:

• Vertrauliche Informationen, z. B. personenbezogene Daten oder geistiges Eigentum, werden aus Ihrer Organisation exfiltriert.
• Vertrauliche Informationen werden unangemessen an Personen außerhalb oder innerhalb Ihrer Organisation weitergegeben.
• Benutzer nehmen riskante Aktivitäten in Anspruch, z. B. das Herunterladen vertraulicher Informationen auf Wechselmedien.

Benachrichtigen

Wenn eine Warnung generiert wird, wird sie als Incident an das Microsoft Defender-Portal und das DASHBOARD für die DLP-Warnungsverwaltung gesendet. DLP-Richtlinien können so konfiguriert werden, dass Benachrichtigungen per E-Mail an Benutzer, Administratoren und andere Projektbeteiligte gesendet werden.

In der Benachrichtigungsphase von Microsoft Purview:

• Berichte zu DLP-Richtlinienüberstimmungen und Benutzerüberschreibungen.
• Sie können den Aktivitäts-Explorer verwenden, um DLP-bezogene Aktivitäten anzuzeigen und für Berichtsgenerierungszwecke zu filtern.

Um Aktivitätsdaten für die Berichterstellung zu exportieren, verwenden Sie Export-ActivityExplorerData (ExchangePowerShell) | Microsoft-Dokumentation mithilfe der O365-Verwaltungsaktivitäts-API oder incident-API.

Hinweis

Im Microsoft Defender-Portal werden Vorfälle sechs Monate lang aufbewahrt. Das Dashboard für die DLP-Warnungsverwaltung behält Warnungen 30 Tage lang bei.

Triage

In diesem Schritt analysieren Sie eine Warnung und alle zugehörigen Protokolle und entscheiden, ob es sich bei der Warnung um eine richtig positive oder eine falsch positive Warnung handelt. Wenn es sich um ein richtig positives Ergebnis handelt, legen Sie die Priorität der Warnung basierend auf dem Schweregrad des Problems und seinen Auswirkungen auf Ihre Organisation fest und weisen einen Besitzer zu. Wenn es sich um ein falsch positives Ergebnis handelt, können Sie die Blockierung des Benutzers aufheben und mit der nächsten Warnung fortfahren.

Das Defender-Portal gruppiert DLP-Ereignisse in Incidents. Incidents sind eine Sammlung verwandter Warnungen, die basierend auf allen anderen Signalen gruppiert werden, die Defender empfängt. Wenn Sie beispielsweise eine DLP-Richtlinie konfiguriert haben, um vertrauliche Dateien auf SharePoint-Websites zu überwachen und warnungen zu können, lädt ein Benutzer eine Datei von einer SharePoint-Website herunter und lädt sie dann auf ein persönliches OneDrive hoch und gibt sie dann für einen externen Benutzer weiter. Defender gruppiert alle diese Warnungen in einem einzelnen Incident. Dies ist ein leistungsstarkes Feature, mit dem Sie sich zuerst auf die wichtigsten Warnungen konzentrieren können.

Im Defender-Portal können Sie sofort mit der Selektierung von Incidents beginnen und Tags, Kommentare und andere Features verwenden, um Ihr Incidentmanagement zu strukturieren. Sie sollten die Seite Incidents im Microsoft Defender-Portal verwenden, um Ihre DLP-Warnungen zu verwalten. Sie können die Incidents-Warteschlange filtern, um alle Vorfälle mit Microsoft Purview DLP-Warnungen anzuzeigen, indem Sie Filter und dann Dienstquelle: Verhinderung von Datenverlust auswählen.

Wenn Sie die Freigabe von Insider-Risikomanagementdaten mit Microsoft Defender XDR (Vorschau) aktiviert haben, wird der Schweregrad der Insider-Risikomanagement-Richtlinie, die einem Benutzer zugeordnet ist, auf der Dlp-Warnungsseite angezeigt. Die Schweregrade des Insider-Risikomanagements sind: Niedrig, Mittel, Hoch und Keine. Sie können diese Informationen verwenden, um Ihre Untersuchungs- und Korrekturmaßnahmen zu priorisieren. Diese Informationen sind auch im Microsoft 365 Defender-Portal in den Details des Incidents verfügbar.

Untersuchen

Das Hauptziel der Untersuchungsphase besteht darin, dass der zugewiesene Besitzer Beweise korreliert, die Ursache und die vollständigen Auswirkungen der Warnung ermittelt und einen Korrekturplan festlegt. Der zugewiesene Besitzer ist für eine eingehendere Untersuchung und Behebung der Warnung verantwortlich. Die primären Tools zur Untersuchung von Warnungen sind das Microsoft Defender-Portal und das Dashboard für die DLP-Warnungsverwaltung. Sie können auch den Aktivitäts-Explorer verwenden, um Warnungen zu untersuchen. Sie können Warnungen auch für andere Benutzer in Ihrer Organisation freigeben.

Sie können dlp-Features wie die folgenden nutzen:

• Die Beweissammlung für Dateiaktivitäten auf Geräten macht Dateien wie E-Mails und Dokumente, die einer Richtlinie entsprechen, leicht zugänglich.
• Verwenden Sie den Inhalts-Explorer , um den Inhalt des Incidents gründlich zu untersuchen.

Sie können sowohl das Microsoft Defender-Portal als auch Purview-Tools verwenden, um Warnungen zu selektieren und zu untersuchen, aber das Microsoft Defender-Portal bietet weitere Funktionen zum Verwalten von Warnungen und Vorfällen, z. B.:

• Zeigen Sie alle DLP-Warnungen an, die unter Incidents in der Microsoft Defender XDR-Incidentwarteschlange gruppiert sind.
• Zeigen Sie intelligente, lösungsübergreifende (DLP-MDE, DLP-MDO) und lösungsinterne (DLP-DLP) korrelierte Warnungen unter einem einzelnen Incident an.
• Suchen Sie unter Erweiterte Suche nach Konformitätsprotokollen zusammen mit Sicherheit.
• Direkte Administratorwartungsaktionen für Benutzer, Dateien und Geräte.
• Ordnen Sie DLP-Vorfällen benutzerdefinierte Tags zu, und filtern Sie nach diesen.
• Filtern Sie nach DLP-Richtlinienname, Tag, Datum, Dienstquelle, Incidentstatus und Benutzer in der einheitlichen Incidentwarteschlange.

Wenn Sie Insider-Risikomanagementdaten für Defender (Vorschau) freigeben, können Sie die Zusammenfassung der Benutzeraktivität aller Exfiltrationsaktivitäten sehen, die der Benutzer bis zu den letzten 120 Tagen durchgeführt hat.

Korrigieren

Ihr Wiederherstellungsplan bezieht sich auf die Richtlinien Ihrer Organisation, die Branche, die geopolitischen Vorschriften, die sie einhalten muss, und die Geschäftspraktiken. Wie Ihre Organisation auf eine Warnung reagiert, dreht sich um die Genauigkeit der Warnung (true positive, false positive, false negative), den Schweregrad des Problems und die Auswirkungen auf Ihre Organisation.

Wiederherstellungsaktionen können Folgendes umfassen:

• Nur Überwachen, keine weitere Aktion erforderlich.
• Es sind keine weiteren Maßnahmen erforderlich, da die von der Richtlinie ergriffenen Maßnahmen das Risiko ausreichend verringert haben.
• Das Risiko wird durch automatisierte Richtlinienaktionen gemindert, aber eine Schulung der Benutzer ist erforderlich.
• Das Problem wurde durch die Richtlinie nicht vollständig behoben, sodass eine weitere Bereinigung und Risikominderung zusammen mit mehr Benutzerschulung erforderlich ist.
• Über adaptiven Schutz in der Verhinderung von Datenverlust (Vorschau), bei dem DLP in Insider-Risikomanagement integriert ist, können Sie dem Benutzer eine Risikostufe für weitere Überwachung und Aktionen zuweisen.

Mit dem Defender-Portal können Sie sofort Abhilfemaßnahmen für Warnungen und Vorfälle ergreifen. Beispiel:

• Kennwort zurücksetzen
• Konto deaktivieren
• Anzeigen der Benutzeraktivität
• Aktionen für DLP-Erkennungen
• Dokument entfernen
• Vertraulichkeitsbezeichnung anwenden
• Freigabe aufheben
• E-Mail herunterladen
• Erweiterte Suche
• Gerät isolieren
• Erfassen des Untersuchungspakets vom Gerät
• Ausführen der AV-Überprüfung
• Quarantänedatei
• Benutzer deaktivieren
• Pwd zurücksetzen
• E-Mail löschen
• Verschieben von E-Mails in einen anderen Postfachordner
• Datei herunterladen

Melodie

Basierend auf der Genauigkeit und Effektivität Ihrer Richtlinie müssen Sie sie möglicherweise aktualisieren, damit sie wirksam bleibt. Sie haben Ihre Richtlinie bereits während des Richtlinienerstellungs- und Bereitstellungsprozesses optimiert, aber da sich Ihr Datenbestand und Ihre Geschäftlichen Anforderungen ändern, müssen Die Richtlinien aktualisiert werden, damit sie weiterhin wirksam sind. Diese Änderungen werden am besten in der Richtlinienabsichtsanweisung und in der Richtlinienkonfiguration nachverfolgt.

Elemente, die Sie optimieren:

• Der Bereich der Richtlinie.
• Die Bedingungen, die für eine Richtlinien-Übereinstimmung erforderlich sind.
• Die Aktionen, die ausgeführt werden, wenn eine Richtlinienentsprechung auftritt.
• Benachrichtigungen, die an Benutzer und Administratoren gesendet werden.

Weitere Informationen zum Zuordnen von Geschäftsanforderungen zu Richtlinienentwurfs- und Testrichtlinien finden Sie unter:

• Entwerfen einer Richtlinie zur Verhinderung von Datenverlust
• Testen Ihrer Richtlinien zur Verhinderung von Datenverlust

Toolsets

Es gibt mehrere Tools, mit denen Sie Microsoft Purview DLP-Warnungen (Data Loss Prevention) untersuchen und verwalten können. Es gibt:

• Microsoft Defender-Portal
• Dashboard "Warnungen" im Microsoft Purview-Complianceportal
• Aktivitätenexplorer
• Inhaltsexplorer
• Microsoft Copilot for Security in Purview embedded experience
• Microsoft Copilot for Security in purview standalone experience

Microsoft empfiehlt die Verwendung der einheitlichen Incidentwarteschlange im Microsoft Defender-Portal, um Ihre DLP-Warnungen zu verwalten. Ihre Organisation hat jedoch möglicherweise Anforderungen, die über das Dashboard für die DLP-Warnungsverwaltung zusätzlich zum Microsoft Defender-Portal erfüllt werden können.

Microsoft Defender-Portal

• DLP-Warnungen werden mit anderen Ereignissen und Warnungen in eine einzelne Incidentwarteschlange integriert, die ein umfassenderes Bild des Incidents bietet.
• Der Vorfallverlauf ist sechs Monate lang verfügbar.
• Die erweiterte Suche ist verfügbar.
• Untersuchen von Datenverlustvorfällen mit Microsoft Defender XDR : Sie können DLP-Vorfälle zusammen mit Sicherheitsvorfällen von Incidents & Warnungen>Incidents beim Schnellstart des Microsoft Defender-Portals verwalten.
• Reagieren auf Ihren ersten Vorfall in Microsoft Defender XDR
• Reaktion auf Vorfälle mit Microsoft Defender XDR
• Priorisieren von Vorfällen in Microsoft Defender XDR
• Verwalten von Vorfällen in Microsoft Defender XDR
• Untersuchen von Vorfällen in Microsoft Defender XDR
• Untersuchen von Warnungen in Microsoft Defender XDR
• Proaktive Suche nach Bedrohungen mit erweiterter Suche in Microsoft Defender XDR

Microsoft Purview-Complianceportal

• Das Warnungsdashboard, der Aktivitäts-Explorer und der Inhalts-Explorer sind alle im Microsoft Purview-Complianceportal verfügbar. Sie können Warnungen mithilfe von Microsoft Copilot for Security zusammenfassen. Untersuchen einer DLP-Warnung
• Sie können einen Warnungsstatus auf Untersuchen festlegen.
• Sie können Warnungen für andere Benutzer in Ihrer Organisation freigeben.
• Herunterladen von Dateien aus OneDrive und SharePoint (Für diese Aktion ist die Rolle "Datenklassifizierungsinhalts-Viewer " erforderlich)

Wenn Sie noch nicht mit der Verwendung des DLP-Warnungsdashboards vertraut sind, sollten Sie diese Artikel lesen, um Ihnen den Einstieg zu erleichtern.

• Erste Schritte mit dem Dashboard "Warnungen zur Verhinderung von Datenverlust"
• Warnungen zur Verhinderung von Datenverlust freigeben (Vorschau)
• Erste Schritte mit Warnungen zur Verhinderung von Datenverlust
• Erste Schritte mit dem Aktivitäten-Explorer
• Erste Schritte mit dem Inhalts-Explorer

Nächste Schritte

• Untersuchen von Warnungen zur Verhinderung von Datenverlust mit Microsoft Defender XDR
• Erste Schritte mit dem Dashboard "Warnungen zur Verhinderung von Datenverlust"