Erste Schritte mit dem Dashboard

Microsoft Purview Data Loss Prevention-Richtlinien (DLP) können Schutzmaßnahmen ergreifen, um die unbeabsichtigte Freigabe vertraulicher Elemente zu verhindern. Sie können benachrichtigt werden, wenn eine Aktion für ein vertrauliches Element ausgeführt wird, indem Sie Warnungen für DLP konfigurieren. In diesem Artikel erfahren Sie, wie Sie Warnungen in Ihren Dlp-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) konfigurieren. Sie erfahren, wie Sie die DLP-Warnungsverwaltung Dashboard im Microsoft Purview-Complianceportal verwenden, um Warnungen, Ereignisse und zugehörige Metadaten für DLP-Richtlinienverstöße anzuzeigen.

Wenn Sie noch nicht mit DLP-Warnungen vertraut sind, sollten Sie Erste Schritte mit den Warnungen zur Verhinderung von Datenverlust lesen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Microsoft Purview-Complianceportal zeigt Warnungen für DLP-Richtlinien an, die für die folgenden Workloads erzwungen werden:

• Exchange-E-Mail
• SharePoint-Websites
• OneDrive-Konten
• Teams-Chat- und Teams-Kanalnachrichten
• Geräte
• Instanzen
• Lokale Repositorys
• Power BI

Bevor Sie beginnen

Bevor Sie beginnen, stellen Sie sicher, dass Sie über die erforderlichen Voraussetzungen verfügen:

• Lizenzierung für die VERWALTUNG von DLP-Warnungen Dashboard
• Lizenzierung für Warnungskonfigurationsoptionen
• Erforderliche Rollen

Lizenzierung für die DLP-warnungsverwaltung Dashboard

Bevor Sie mit der Verwendung von DLP-Richtlinien beginnen, bestätigen Sie Ihr Microsoft 365-Abonnement und alle Add-Ons.

Informationen zur Lizenzierung finden Sie unter Microsoft 365, Office 365, Enterprise Mobility + Security und Windows 11 Subscriptions for Enterprises.

Kunden, die Endpunkt-DLP verwenden, die für Teams DLP berechtigt sind, sehen ihre Endpunkt-DLP-Richtlinienwarnungen und Teams DLP-Richtlinienwarnungen im DLP-Warnungsverwaltungs-Dashboard.

Lizenzierung für Warnungskonfigurationsoptionen

Bevor Sie mit der Verwendung von DLP-Richtlinien beginnen, bestätigen Sie Ihr Microsoft 365-Abonnement und alle Add-Ons.

Informationen zur Lizenzierung finden Sie unter Microsoft 365, Office 365, Enterprise Mobility + Security und Windows 11 Subscriptions for Enterprises.

Rollen und Rollengruppen

Wenn Sie die DLP-Warnungsverwaltung Dashboard anzeigen oder die Warnungskonfigurationsoptionen in einer DLP-Richtlinie bearbeiten möchten, müssen Sie Mitglied einer der folgenden Rollengruppen sein:

• Complianceadministrator
• Compliancedatenadministrator
• Sicherheitsadministrator
• Sicherheitsoperator
• Sicherheitsleseberechtigter
• Information Protection-Administrator
• Information Protection-Analyst
• Information Protection-Ermittler
• Information Protection-Leser

Weitere Informationen dazu finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal

Hier finden Sie eine Liste der anwendbaren Rollengruppen. Weitere Informationen hierzu finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

• Informationsschutz
• Information Protection-Administratoren
• Information Protection-Analysten
• Information Protection-Ermittler
• Information Protection-Leser

Für den Zugriff auf die DLP-Warnungsverwaltung Dashboard benötigen Sie die Rolle Warnungen verwalten und eine der beiden folgenden Rollen:

• DLP-Complianceverwaltung
• View-Only DLP Compliance Management

Um auf die Inhaltsvorschaufunktion und die Features Übereinstimmende sensible Inhalte und Kontexte zugreifen zu können, müssen Sie Mitglied der Rollengruppe Inhalts-Explorer Inhalts-Viewer sein, der die Rolle Datenklassifizierungsinhalts-Viewer vorab zugewiesen ist.

DLP-Warnungskonfiguration

Informationen zum Konfigurieren einer Warnung in Ihrer DLP-Richtlinie finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust.

Wichtig

Die Konfiguration der Aufbewahrungsrichtlinie für Überwachungsprotokolle Ihres organization steuert, wie lange eine Warnung in der Konsole sichtbar bleibt. Weitere Informationen finden Sie unter Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle .

Konfiguration von Aggregieren von Ereigniswarnungen

Wenn Ihr organization für aggregierte Warnungskonfigurationsoptionen lizenziert ist, werden diese Optionen beim Erstellen oder Bearbeiten einer DLP-Richtlinie angezeigt.

Mit dieser Konfiguration können Sie eine Richtlinie einrichten, um eine Warnung zu generieren, wenn eine Aktivität den Richtlinienbedingungen entspricht oder wenn ein bestimmter Schwellenwert überschritten wird, basierend auf der Anzahl der Aktivitäten oder basierend auf der Menge exfiltrierter Daten.

Konfiguration einzelner Ereigniswarnungen

Wenn Ihr organization für Konfigurationsoptionen für Warnungen mit nur einem Ereignis lizenziert ist, werden diese Optionen beim Erstellen oder Bearbeiten einer DLP-Richtlinie angezeigt. Verwenden Sie diese Option, um eine Warnung zu erstellen, die bei jeder Übereinstimmung mit einer DLP-Regel ausgelöst wird.

Untersuchen einer DLP-Warnung

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

Microsoft Purview-Portal

So arbeiten Sie mit der DLP-Warnungsverwaltung Dashboard:

1. Melden Sie sich beim Microsoft Purview-Portal>vor Datenverlust an.
2. Wählen Sie Warnungen aus, um die Dashboard für DLP-Warnungen anzuzeigen.
3. Verwenden Sie die Filterfelder , um die Liste der Warnungen zu verfeinern.
4. Wählen Sie Spalten anpassen aus, um die Eigenschaften aufzulisten, die Sie anzeigen möchten.
5. Um die Ergebnisse in aufsteigender oder absteigender Reihenfolge zu sortieren, doppelklicken Sie auf die Spaltenüberschrift.
6. Doppelklicken Sie auf eine Warnung, um weitere Informationen dazu zu erhalten.
7. Die Registerkarte Details wird standardmäßig geöffnet und enthält allgemeine Informationen zur Warnung.
8. Wählen Sie Details anzeigen aus, um die Registerkarte Übersicht zu öffnen, die eine Zusammenfassung der folgenden Informationen enthält:
   • Was ist passiert
   • Wer hat die Aktionen ausgeführt, die die Richtlinienentsprechung verursacht haben?
   • Zusätzliche Informationen zur Richtlinienüberstimmung
   1. Auf der Registerkarte Ereignisse werden alle Ereignisse aufgelistet, die der Warnung zugeordnet sind. Wählen Sie ein beliebiges Ereignis in der Liste aus, um ausführliche Informationen zum Ereignis zu erhalten. Wählen Sie für jedes Ereignis die Dropdownliste Aktionen aus, um eine Liste der Aktionen anzuzeigen, die Sie für die Warnung ausführen können, z. B. um zu überprüfen, ob die Warnung eine echte Übereinstimmung oder ein falsch positives Ergebnis identifiziert hat. 1. Die Registerkarte "Zusammenfassung der Benutzeraktivität" erfordert, dass die Freigabe in den Einstellungen für das Insider-Risikomanagement aktiviert ist. Nach der Aktivierung enthält die Registerkarte Zusammenfassung der Benutzeraktivität alle Exfiltrationsaktivitäten, an denen der Benutzer beteiligt ist (bis zu den letzten 120 Tagen). Benutzer müssen sich im Bereich einer Insider-Risikomanagementrichtlinie befinden , um die Registerkarte Zusammenfassung der Benutzeraktivität anzuzeigen.
   2. Nachdem Sie die Warnung untersucht haben, kehren Sie zur Registerkarte Übersicht zurück, auf der Sie Details anzeigen können, um die Löschung der Warnung zu selektieren und zu verwalten, Kommentare hinzuzufügen und den Besitz der Warnung zuzuweisen. (So zeigen Sie den Verlauf der Workflowverwaltung an.)
   3. Nachdem Sie die erforderliche Aktion für die Warnung ausgeführt haben, legen Sie den Status der Warnung auf Gelöst fest.

Compliance-Portal

So arbeiten Sie mit der DLP-Warnungsverwaltung Dashboard:

1. Navigieren Sie im Microsoft Purview-Complianceportal zu Verhinderung von Datenverlust, und wählen Sie Warnungen aus.

2. Wählen Sie Spalten anpassen aus, um die Eigenschaften aufzulisten, die Sie anzeigen möchten. Sie können die Warnungen auch in aufsteigender oder absteigender Reihenfolge in einer beliebigen Spalte sortieren.

3. Wählen Sie Anwenden aus.

4. Wählen Sie Details anzeigen aus, um die Seite Übersicht für die Warnung zu öffnen. Die Übersichtsseite enthält eine Zusammenfassung, die Folgendes identifiziert:

   • Was ist passiert
   • wer die Aktionen ausgeführt hat, die die Richtlinienentsprechung verursacht haben
   • Informationen über die übereinstimmene Richtlinie
   1. Wählen Sie die Registerkarte Ereignisse aus, um alle Ereignisse anzuzeigen, die der Warnung zugeordnet sind. Die Registerkarten auf dieser Seite enthalten Informationen zu den folgenden Themen:
      • Beteiligter Quellinhalt
      • Details zum Ereignis
      • Klassifizierer , die eine Übereinstimmung erkannt haben
      • Details zur Dateiaktivität
      • Dem Ereignis zugeordnete Metadaten

   Wichtig

   Keine kann entweder bedeuten, dass sich der Benutzer nicht im Rahmen einer Insider-Risikomanagementrichtlinie befindet oder dass der Benutzer in den letzten 120 Tagen keine Exfiltrationsaktivitäten durchgeführt hat. Benutzer müssen sich im Bereich einer Insider-Risikomanagementrichtlinie befinden , um die Spalte Insider-Risikoschweregrad anzuzeigen.

   1. Wählen Sie eine Warnung aus, um die Details anzuzeigen.
   2. Im Bereich Warnungsdetails können Sie Zusammenfassung von Security Copilot abrufen auswählen. Dies bewirkt, dass der Security Copilot eine Zusammenfassung der Warnung generiert. Die Warnungszusammenfassung enthält Folgendes:
      1. Warnungsschweregrad
      2. Warnungstitel
      3. der Name der Richtlinie, die abgeglichen wurde
      4. die beteiligte Namensdatei und ein Link zur Datei
      5. warnungs-status
      6. die E-Mail-Adresse des Benutzers, der die Aktion ausgeführt hat, die der Richtlinie entspricht
   3. Wählen Sie die Auslassungspunkte in der Security Copilot-Zusammenfassung aus, um Folgendes zu ermöglichen:
      1. Kopieren der Zusammenfassung in die Zwischenablage
      2. Erneutes Generieren der Zusammenfassung
      3. Öffnen Sie die Warnung in der eigenständigen Benutzeroberfläche von Security Copilot.

1. Wählen Sie alle Aktionen aus, die Sie für die Datei ausführen möchten.

2. Nachdem Sie die Warnung untersucht haben, kehren Sie zur Registerkarte Übersicht zurück, auf der Sie die Löschung der Warnung selektieren und verwalten, Kommentare hinzufügen und den Besitz der Warnung zuweisen können.

   1. Um den Verlauf der Workflowverwaltung anzuzeigen, wählen Sie Verwaltungsprotokoll aus.
   2. Nachdem Sie die erforderliche Aktion für die Warnung ausgeführt haben, legen Sie den status der Warnung auf Gelöst fest.

Andere übereinstimmene Bedingungen

Microsoft Purview unterstützt das Anzeigen übereinstimmener Bedingungen in einem DLP-Ereignis, um die genaue Ursache für eine gekennzeichnete DLP-Richtlinie aufzudecken. Diese Informationen werden angezeigt in:

• DLP-Warnungskonsole
• Aktivitäts-Explorer
• Microsoft Defender for Business-Portal

Öffnen Sie auf der Registerkarte Ereignissedie Option Details , um andere übereinstimmende Bedingungen anzuzeigen.

Voraussetzungen

• Muss Windows 10 x64 (Build 1809 oder höher) oder Windows 11 ausgeführt werden.
  • Siehe 21. März 2023 – KB5023773 (BS-Builds 19042.2788, 19044.2788 und 19045.2788) Vorschau für erforderliche Windows-Betriebssystembuilds.
• Daten zu übereinstimmenden Bedingungen sind für gültige E3- und E5-Lizenzinhaber verfügbar.
• Aktivieren Sie die Überwachung.
• Aktivieren Sie erweiterte Klassifizierungsüberprüfung und -schutz.

Übereinstimmene Ereignisinformationen werden für diese Bedingungen unterstützt.

Bedingung	Exchange	Sharepoint	Teams	Endpunkt
Absender ist	Ja	Nein	Ja	Nein
Absenderdomäne ist	Ja	Nein	Ja	Nein
Absenderadresse enthält Wörter	Ja	Nein	Nein	Nein
Absenderadresse stimmt mit Mustern überein	Ja	Nein	Nein	Nein
Absender ist Mitglied von	Ja	Nein	Nein	Nein
IP-Adresse des Absenders lautet	Ja	Nein	Nein	Nein
Hat den Richtlinientipp vom Absender überschrieben	Ja	Nein	Nein	Nein
SenderAdAttribute enthält Wörter	Ja	Nein	Nein	Nein
SenderAdAttribute vergleicht Muster	Ja	Nein	Nein	Nein
Empfänger lautet	Ja	Nein	Ja	Nein
Empfängerdomäne lautet	Ja	Nein	Ja	Nein
Empfängeradresse enthält Wörter	Ja	Nein	Nein	Nein
Empfängeradresse stimmt mit Mustern überein	Ja	Nein	Nein	Nein
Empfänger ist Mitglied von	Ja	Nein	Nein	Nein
RecipientAdAttribute enthält Wörter	Ja	Nein	Nein	Nein
RecipientAdAttribute vergleicht Muster	Ja	Nein	Nein	Nein
Das Dokument ist kennwortgeschütztes Dokument.	Ja	Nein	Nein	Nein
Dokument konnte nicht gescannt werden	Ja	Nein	Nein	Nein
Dokument hat die Überprüfung nicht abgeschlossen	Ja	Nein	Nein	Nein
Dokumentname enthält Wörter	Ja	Ja	Nein	Nein
Dokumentname entspricht Mustern	Ja	Nein	Nein	Nein
Dokumenteigenschaft lautet	Ja	Ja	Nein	Nein
Dokumentgröße über	Ja	Ja	Nein	Nein
Dokumentinhalt enthält Wörter	Ja	Nein	Nein	Nein
Dokumentinhalt stimmt mit Mustern überein	Ja	Nein	Nein	Nein
Dokumenttyp ist	Nein	Nein	Nein	Ja
Dokumenterweiterung ist	Ja	Ja	Nein	Ja
Inhalt wird von M365 freigegeben	Ja	Ja	Ja	Nein
Inhalt wird von empfangen	Ja	Nein	Nein	Nein
Inhaltszeichensatz enthält Wörter	Ja	Nein	Nein	Nein
Betreff enthält Wörter	Ja	Nein	Nein	Nein
Betreff stimmt mit Mustern überein	Ja	Nein	Nein	Nein
Betreff oder Text enthält Wörter	Ja	Nein	Nein	Nein
Betreff oder Text entspricht Mustern	Ja	Nein	Nein	Nein
Kopfzeile enthält Wörter	Ja	Nein	Nein	Nein
Kopfzeile stimmt mit Mustern überein	Ja	Nein	Nein	Nein
Nachrichtengröße über	Ja	Nein	Nein	Nein
Nachrichtentyp ist	Ja	Nein	Nein	Nein
Nachrichtenpriorität ist	Ja	Nein	Nein	Nein

Einschränkung beim Herunterladen von E-Mails aus einer DLP-Warnung

Wenn Sie die DLP-Warnungsverwaltung Dashboard verwenden, können Sie im Allgemeinen bestimmte E-Mails aus einer Warnung herunterladen. E-Mails, die in einem der folgenden Szenarien gelöscht wurden, können jedoch nicht heruntergeladen werden.

Absender	Empfänger	Email Status
Intern	Extern	Vom Absender gelöscht
Extern	Intern	Vom Empfänger gelöscht
Intern	Intern	Von beiden Parteien gelöscht

Zusätzliche Tools zur Untersuchung von Warnungen

• Erste Schritte mit Warnungen zur Verhinderung von Datenverlust
• Warnungen zur Verhinderung von Datenverlust freigeben (Vorschau)
• Erste Schritte mit dem Aktivitäten-Explorer