Auf Englisch lesen

Teilen über

Informationen zur Untersuchung von Warnungen zur Verhinderung von Datenverlust

  • Artikel

In diesem Artikel werden der Ablauf der Warnungsuntersuchung und die Tools vorgestellt, die Sie zum Untersuchen von DLP-Warnungen verwenden können.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Bevor Sie beginnen

Wenn Sie noch nicht mit Microsoft Purview DLP vertraut sind, finden Sie hier eine Liste der wichtigsten Artikel, die Sie bei der Implementierung Ihrer Vorgehensweise zur Verhinderung von Datenverlust kennen sollten:

  1. Administrative Einheiten
  2. Erfahren Sie mehr über Microsoft Purview Data Loss Prevention: Der Artikel führt Sie in die Disziplin zur Verhinderung von Datenverlust und die Implementierung von DLP durch Microsoft ein.
  3. Planen der Verhinderung von Datenverlust (Data Loss Prevention, DLP): Wenn Sie diesen Artikel durcharbeiten, gehen Sie wie folgt vor:
    1. Identifizieren von Projektbeteiligten
    2. Beschreiben der Kategorien vertraulicher Informationen, die geschützt werden sollen
    3. Ziele und Strategie festlegen
  4. Richtlinienreferenz zur Verhinderung von Datenverlust: In diesem Artikel werden alle Komponenten einer DLP-Richtlinie vorgestellt und erläutert, wie sich diese auf das Verhalten einer Richtlinie auswirkt.
  5. Entwerfen einer DLP-Richtlinie: In diesem Artikel erfahren Sie, wie Sie eine Richtlinienabsichtsanweisung erstellen und sie einer bestimmten Richtlinienkonfiguration zuordnen.
  6. Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust: Zeigt einige gängige Richtlinienabsichtsszenarien an, die Sie Konfigurationsoptionen zuordnen. Es führt Sie dann durch die Konfiguration dieser Optionen und enthält Anleitungen zum Bereitstellen einer Richtlinie.
  7. Erfahren Sie mehr über die Untersuchung von Warnungen zur Verhinderung von Datenverlust: Dieser Artikel, den Sie jetzt lesen, führt Sie in den Lebenszyklus von Warnungen von der Erstellung bis hin zur endgültigen Korrektur und Richtlinienoptimierung ein. Außerdem werden sie in die Tools eingeführt, die Sie zum Untersuchen von Warnungen verwenden.

Der Lebenszyklus einer DLP-Warnung

Alle Warnungen und Ihre Interaktion mit ihnen durchlaufen die folgenden sechs Schritte:

Auslöser

Die Lebensdauer einer Microsoft Purview Data Loss Prevention -Warnung (DLP) beginnt, wenn die in der Richtlinie definierten Bedingungen übereinstimmen. Wenn eine Richtlinieneinstimmung auftritt, werden die in der Richtlinie definierten Aktionen ausgelöst. Dies kann auch das Generieren einer Warnung umfassen , wenn die Richtlinie dafür konfiguriert ist .

DLP-Richtlinien werden in der Regel so konfiguriert, dass warnungen in folgenden Fällen überwacht und generiert werden:

  • Vertrauliche Informationen, z. B. personenbezogene Daten oder geistiges Eigentum, werden aus Ihrem organization exfiltriert.
  • Vertrauliche Informationen werden unangemessen an Personen außerhalb oder innerhalb Ihrer organization weitergegeben.
  • Benutzer nehmen riskante Aktivitäten in Anspruch, z. B. das Herunterladen vertraulicher Informationen auf Wechselmedien.

Benachrichtigen

Wenn eine Warnung generiert wird, wird sie als Incident an das Microsoft Defender-Portal gesendet, und die DLP-Warnungsverwaltung Dashboard. DLP-Richtlinien können so konfiguriert werden, dass Benachrichtigungen per E-Mail an Benutzer, Administratoren und andere Projektbeteiligte gesendet werden.

In der Benachrichtigungsphase von Microsoft Purview:

  • Berichte zu DLP-Richtlinienüberstimmungen und Benutzerüberschreibungen.
  • Sie können den Aktivitäts-Explorer verwenden, um DLP-bezogene Aktivitäten anzuzeigen und für Berichtsgenerierungszwecke zu filtern.

Um Aktivitätsdaten für die Berichterstellung zu exportieren, verwenden Sie Export-ActivityExplorerData (ExchangePowerShell) | Microsoft-Dokumentation mithilfe der O365-Verwaltungsaktivitäts-API oder incident-API.

Hinweis

Das Microsoft Defender-Portal speichert Vorfälle sechs Monate lang. Die DLP-Warnungsverwaltung Dashboard Warnungen 30 Tage lang aufbewahrt.

Triage

In diesem Schritt analysieren Sie eine Warnung und alle zugehörigen Protokolle und entscheiden, ob es sich bei der Warnung um eine richtig positive oder eine falsch positive Warnung handelt. Wenn es sich um ein richtig positives Ergebnis handelt, legen Sie die Priorität der Warnung basierend auf dem Schweregrad des Problems und seinen Auswirkungen auf Ihre organization fest und weisen einen Besitzer zu. Wenn es sich um ein falsch positives Ergebnis handelt, können Sie die Blockierung des Benutzers aufheben und mit der nächsten Warnung fortfahren.

Das Defender-Portal gruppiert DLP-Ereignisse in Incidents. Incidents sind eine Sammlung verwandter Warnungen, die basierend auf allen anderen Signalen gruppiert werden, die Defender empfängt. Wenn Sie beispielsweise eine DLP-Richtlinie konfiguriert haben, um vertrauliche Dateien auf SharePoint-Websites zu überwachen und warnungen zu können, lädt ein Benutzer eine Datei von einer SharePoint-Website herunter und lädt sie dann auf ein persönliches OneDrive hoch und gibt sie dann für einen externen Benutzer weiter. Defender gruppiert alle diese Warnungen in einem einzelnen Incident. Dies ist ein leistungsstarkes Feature, mit dem Sie sich zuerst auf die wichtigsten Warnungen konzentrieren können.

Im Defender-Portal können Sie sofort mit der Selektierung von Incidents beginnen und Tags, Kommentare und andere Features verwenden, um Ihr Incidentmanagement zu strukturieren. Sie sollten die Seite Incidents im Microsoft Defender-Portal verwenden, um Ihre DLP-Warnungen zu verwalten. Sie können die Incidents-Warteschlange filtern, um alle Vorfälle mit Microsoft Purview DLP-Warnungen anzuzeigen, indem Sie Filter und dann Dienstquelle: Verhinderung von Datenverlust auswählen.

Wenn Sie die Freigabe von Insider-Risikomanagementdaten mit Microsoft Defender XDR (Vorschau) aktiviert haben, wird der Schweregrad der Insider-Risikomanagement-Richtlinie, die einem Benutzer zugeordnet ist, auf der Dlp-Warnungsseite angezeigt. Die Schweregrade des Insider-Risikomanagements sind: Niedrig, Mittel, Hoch und Keine. Sie können diese Informationen verwenden, um Ihre Untersuchungs- und Korrekturmaßnahmen zu priorisieren. Diese Informationen sind auch im Microsoft 365 Defender-Portal in den Details des Incidents verfügbar.

Selektierung mit Microsoft Security Copilot

Ein weiteres Tool, das Sie verwenden können, um Warnungen zu selektieren, die es Microsoft Security Copilot. Security Copilot ist eine cloudbasierte KI-Plattform, die Sicherheits- und Complianceexperten beim Schutz ihrer organization-Daten unterstützen kann. Sie ist im dlp-Warnungs-Dashboard und in Datensicherheitstatus-Management (Vorschau) verfügbar.

Untersuchen

Das Standard Ziel der Untersuchungsphase besteht darin, dass der zugewiesene Besitzer Beweise korreliert, die Ursache und die vollständige Auswirkung der Warnung ermittelt und einen Wiederherstellungsplan festlegt. Der zugewiesene Besitzer ist für eine eingehendere Untersuchung und Behebung der Warnung verantwortlich. Die primären Tools für die Untersuchung von Warnungen sind das Microsoft Defender-Portal und die DLP-Warnungsverwaltung Dashboard. Sie können auch den Aktivitäts-Explorer verwenden, um Warnungen zu untersuchen. Sie können Warnungsereignisse auch für andere Benutzer in Ihrem organization freigeben.

Sie können dlp-Features wie die folgenden nutzen:

Sie können sowohl Microsoft Defender Portal als auch Purview-Tools verwenden, um Warnungen zu selektieren und zu untersuchen, aber das Microsoft Defender-Portal bietet mehr Funktionen zum Verwalten von Warnungen und Vorfällen, z. B.:

  • Zeigen Sie alle IHRE DLP-Warnungen in der Microsoft Defender XDR Incidentwarteschlange unter Incidents gruppiert an.
  • Zeigen Sie intelligente, lösungsübergreifende (DLP-MDE, DLP-MDO) und lösungsinterne (DLP-DLP) korrelierte Warnungen unter einem einzelnen Incident an.
  • Suchen Sie unter Erweiterte Suche nach Konformitätsprotokollen zusammen mit Sicherheit.
  • Direkte Administratorwartungsaktionen für Benutzer, Dateien und Geräte.
  • Ordnen Sie DLP-Vorfällen benutzerdefinierte Tags zu, und filtern Sie nach diesen.
  • Filtern Sie nach DLP-Richtlinienname, Tag, Datum, Dienstquelle, Incident status und Benutzer in der einheitlichen Incidentwarteschlange.

Wenn Sie Insider-Risikomanagementdaten für Defender (Vorschau) freigeben, können Sie die Zusammenfassung der Benutzeraktivität aller Exfiltrationsaktivitäten sehen, die der Benutzer bis zu den letzten 120 Tagen durchgeführt hat.

Korrigieren

Ihr Wiederherstellungsplan ist einzigartig für die Richtlinien Ihrer organization, die Branche, die geopolitischen Vorschriften, die sie einhalten muss, und Geschäftspraktiken. Wie Ihr organization auf eine Warnung reagiert, dreht sich um die Genauigkeit der Warnung (true positive, false positive, false negative), den Schweregrad des Problems und die Auswirkungen auf Ihre organization.

Wiederherstellungsaktionen können Folgendes umfassen:

  • Nur Überwachen, keine weitere Aktion erforderlich.
  • Es sind keine weiteren Maßnahmen erforderlich, da die von der Richtlinie ergriffenen Maßnahmen das Risiko ausreichend verringert haben.
  • Das Risiko wird durch automatisierte Richtlinienaktionen gemindert, aber eine Schulung der Benutzer ist erforderlich.
  • Das Problem wurde durch die Richtlinie nicht vollständig behoben, sodass weitere sauber und Risikominderung zusammen mit mehr Benutzerschulung erforderlich sind.
  • Über adaptiven Schutz in der Verhinderung von Datenverlust (Vorschau), bei dem DLP in Insider-Risikomanagement integriert ist, können Sie dem Benutzer eine Risikostufe für weitere Überwachung und Aktionen zuweisen.

Mit dem Defender-Portal können Sie sofort Abhilfemaßnahmen für Warnungen und Vorfälle ergreifen. Zum Beispiel:

  • Kennwort zurücksetzen
  • Konto deaktivieren
  • Anzeigen der Benutzeraktivität
  • Aktionen für DLP-Erkennungen
  • Dokument entfernen
  • Vertraulichkeitsbezeichnung anwenden
  • Freigabe aufheben
  • E-Mail herunterladen
  • Erweiterte Suche
  • Gerät isolieren
  • Erfassen des Untersuchungspakets vom Gerät
  • Ausführen der AV-Überprüfung
  • Quarantänedatei
  • Benutzer deaktivieren
  • Pwd zurücksetzen
  • E-Mail löschen
  • Verschieben von E-Mails in einen anderen Postfachordner
  • Datei herunterladen

Melodie

Basierend auf der Genauigkeit und Effektivität Ihrer Richtlinie müssen Sie sie möglicherweise aktualisieren, damit sie wirksam bleibt. Sie haben Ihre Richtlinie bereits während des Richtlinienerstellungs- und Bereitstellungsprozesses optimiert, aber da sich Ihr Datenbestand und Ihre Geschäftlichen Anforderungen ändern, müssen Die Richtlinien aktualisiert werden, damit sie weiterhin wirksam sind. Diese Änderungen werden am besten in der Richtlinienabsichtsanweisung und in der Richtlinienkonfiguration nachverfolgt.

Elemente, die Sie optimieren:

  • Der Bereich der Richtlinie.
  • Die Bedingungen, die für eine Richtlinien-Übereinstimmung erforderlich sind.
  • Die Aktionen, die ausgeführt werden, wenn eine Richtlinienentsprechung auftritt.
  • Benachrichtigungen, die an Benutzer und Administratoren gesendet werden.

Weitere Informationen zum Zuordnen von Geschäftsanforderungen zu Richtlinienentwurfs- und Testrichtlinien finden Sie unter:

Toolsets

Es gibt mehrere Tools, mit denen Sie Microsoft Purview Data Loss Prevention (DLP)-Warnungen untersuchen und verwalten können. Es gibt:

Microsoft empfiehlt die Verwendung der einheitlichen Incidentwarteschlange in Microsoft Defender Portal, um Ihre DLP-Warnungen zu verwalten. Ihre organization haben jedoch möglicherweise Anforderungen, die mithilfe des DLP-Warnungsverwaltungs-Dashboard zusätzlich zum Microsoft Defender-Portal erfüllt werden können.

Microsoft Defender-Portal

Microsoft Purview-Complianceportal

  • Warnungen Dashboard, Aktivitäts-Explorer und Inhalts-Explorer sind alle im Microsoft Purview-Complianceportal verfügbar. Sie können Warnungen mithilfe von Microsoft Security Copilot Untersuchen einer DLP-Warnung zusammenfassen.
  • Sie können eine Warnung status auf Untersuchen festlegen.
  • Sie können Warnungsereignisse für andere Benutzer in Ihrer organization freigeben.
  • Herunterladen von Dateien aus OneDrive und SharePoint (Für diese Aktion ist die Rolle "Datenklassifizierungsinhalts-Viewer " erforderlich)

Wenn Sie noch nicht mit der Verwendung der DLP-Warnungen Dashboard vertraut sind, sollten Sie diese Artikel lesen, um Ihnen den Einstieg zu erleichtern.

Nächste Schritte