Informationen zur Untersuchung von Warnungen zur Verhinderung von Datenverlust

In diesem Artikel werden der Ablauf der Warnungsuntersuchung und die Tools vorgestellt, die Sie zum Untersuchen von DLP-Warnungen verwenden können.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Bevor Sie beginnen:

Wenn Sie noch nicht mit Microsoft Purview DLP vertraut sind, finden Sie hier eine Liste der wichtigsten Artikel, die Sie bei der Implementierung Ihrer Vorgehensweise zur Verhinderung von Datenverlust kennen sollten:

1. Administrative Einheiten
2. Informationen zu Microsoft Purview Data Loss Prevention: In diesem Artikel werden die Disziplin zur Verhinderung von Datenverlust und die Implementierung von DLP durch Microsoft vorgestellt.
3. Planen der Verhinderung von Datenverlust (Data Loss Prevention, DLP): In diesem Artikel gehen Sie wie folgt vor:
   1. Identifizieren von Projektbeteiligten
   2. Beschreiben der Kategorien vertraulicher Informationen, die geschützt werden sollen
   3. Ziele und Strategie festlegen
4. Richtlinienreferenz zur Verhinderung von Datenverlust : In diesem Artikel werden alle Komponenten einer DLP-Richtlinie vorgestellt und erläutert, wie sich diese auf das Verhalten einer Richtlinie auswirkt.
5. Entwerfen einer DLP-Richtlinie : In diesem Artikel erfahren Sie, wie Sie eine Richtlinienabsichtsanweisung erstellen und sie einer bestimmten Richtlinienkonfiguration zuordnen.
6. Create und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust: Stellt einige gängige Richtlinienabsichtsszenarien vor, die Sie Konfigurationsoptionen zuordnen. Es führt Sie dann durch die Konfiguration dieser Optionen und enthält Anleitungen zum Bereitstellen einer Richtlinie.
7. Informationen zum Untersuchen von Warnungen zur Verhinderung von Datenverlust : Dieser Artikel, den Sie jetzt lesen, führt Sie in den Lebenszyklus von Warnungen von der Erstellung bis hin zur endgültigen Korrektur und Richtlinienoptimierung ein. Außerdem werden sie in die Tools eingeführt, die Sie zum Untersuchen von Warnungen verwenden.

Der Lebenszyklus einer DLP-Warnung

Alle Warnungen und Ihre Interaktion mit ihnen durchlaufen die folgenden sechs Schritte:

• Trigger
• Notify
• Triage
• Untersuchen
• Korrektur
• Tune

Auslöser

Die Lebensdauer einer Microsoft Purview Data Loss Prevention -Warnung (DLP) beginnt, wenn die in der Richtlinie definierten Bedingungen übereinstimmen. Wenn eine Richtlinieneinstimmung auftritt, werden die in der Richtlinie definierten Aktionen ausgelöst. Dies kann auch das Generieren einer Warnung umfassen , wenn die Richtlinie dafür konfiguriert ist .

DLP-Richtlinien werden in der Regel so konfiguriert, dass warnungen in folgenden Fällen überwacht und generiert werden:

• Vertrauliche Informationen, z. B. personenbezogene Daten oder geistiges Eigentum, werden aus Ihrem organization exfiltriert.
• Vertrauliche Informationen werden unangemessen an Personen außerhalb oder innerhalb Ihrer organization weitergegeben.
• Benutzer nehmen riskante Aktivitäten in Anspruch, z. B. das Herunterladen vertraulicher Informationen auf Wechselmedien.

Benachrichtigen

Wenn eine Warnung generiert wird, wird sie als Incident an das Microsoft Defender-Portal gesendet, und die DLP-Warnungsverwaltung Dashboard. DLP-Richtlinien können so konfiguriert werden, dass Benachrichtigungen per E-Mail an Benutzer, Administratoren und andere Projektbeteiligte gesendet werden.

In der Benachrichtigungsphase von Microsoft Purview:

• Berichte zu DLP-Richtlinienüberstimmungen und Benutzerüberschreibungen.
• Sie können den Aktivitäts-Explorer verwenden, um DLP-bezogene Aktivitäten anzuzeigen und für Berichtsgenerierungszwecke zu filtern.

Um Aktivitätsdaten für die Berichterstellung zu exportieren, verwenden Sie Export-ActivityExplorerData (ExchangePowerShell) | Microsoft-Dokumentation mithilfe der O365-Verwaltungsaktivitäts-API oder Incident-API

Hinweis

Das Microsoft Defender-Portal speichert Vorfälle sechs Monate lang. Die DLP-Warnungsverwaltung Dashboard Warnungen 30 Tage lang aufbewahrt.

Triage

In diesem Schritt analysieren Sie eine Warnung und alle zugehörigen Protokolle und entscheiden, ob es sich bei der Warnung um eine richtig positive oder eine falsch positive Warnung handelt. Wenn es sich um ein true positives Ergebnis handelt, legen Sie die Priorität der Warnung basierend auf dem Schweregrad des Problems und den Auswirkungen auf Ihre organization fest und weisen einen Besitzer zu. Wenn es sich um ein falsch positives Ergebnis handelt, können Sie die Blockierung des Benutzers aufheben und mit der nächsten Warnung fortfahren.

Das Defender-Portal gruppiert DLP-Ereignisse in Incidents. Incidents sind eine Sammlung verwandter Warnungen, die basierend auf allen anderen Signalen gruppiert werden, die Defender empfängt. Wenn Sie beispielsweise eine DLP-Richtlinie zum Überwachen und Warnen vertraulicher Dateien auf SharePoint-Websites konfiguriert haben und ein Benutzer eine Datei von einer SharePoint-Website herunterlädt, diese dann auf ein persönliches OneDrive hochlädt und sie dann für einen externen Benutzer teilt, gruppiert Defender alle diese Warnungen in einem einzelnen Incident. Dies ist ein leistungsstarkes Feature, mit dem Sie sich zuerst auf die wichtigsten Warnungen konzentrieren können.

Im Defender-Portal können Sie sofort mit der Selektierung von Incidents beginnen und Tags, Kommentare und andere Features verwenden, um Ihr Incidentmanagement zu strukturieren. Sie sollten die Seite Incidents im Microsoft Defender-Portal verwenden, um Ihre DLP-Warnungen zu verwalten. Sie können die Incidents-Warteschlange filtern, um alle Vorfälle mit Microsoft Purview DLP-Warnungen anzuzeigen, indem Sie Filter und dann Dienstquelle: Verhinderung von Datenverlust auswählen.

Wenn Sie die Freigabe von Insider-Risikomanagementdaten mit Microsoft Defender XDR (Vorschau) aktiviert haben, wird der Schweregrad der Insider-Risikomanagement-Richtlinie, die einem Benutzer zugeordnet ist, auf der Dlp-Warnungsseite angezeigt. Die Schweregrade des Insider-Risikomanagements sind: Niedrig, Mittel, Hoch und Keine. Sie können diese Informationen verwenden, um Ihre Untersuchungs- und Korrekturmaßnahmen zu priorisieren. Diese Informationen sind auch im Microsoft 365 Defender-Portal in den Details des Incidents verfügbar.

Untersuchen

Das Standard Ziel der Untersuchungsphase besteht darin, dass der zugewiesene Besitzer Beweise korreliert, die Ursache und die vollständige Auswirkung der Warnung ermittelt und einen Wiederherstellungsplan festlegt. Der zugewiesene Besitzer ist für eine eingehendere Untersuchung und Behebung der Warnung verantwortlich. Die primären Tools für die Untersuchung von Warnungen sind das Microsoft Defender-Portal und die DLP-Warnungsverwaltung Dashboard. Sie können auch den Aktivitäts-Explorer verwenden, um Warnungen zu untersuchen. Sie können Warnungen auch für andere Benutzer in Ihrem organization freigeben.

Sie können dlp-Features wie die folgenden nutzen:

• Die Beweissammlung für Dateiaktivitäten auf Geräten macht Dateien wie E-Mails und Dokumente, die einer Richtlinie entsprechen, leicht zugänglich.
• Verwenden Sie den Inhalts-Explorer , um den Inhalt des Incidents gründlich zu untersuchen.

Sie können sowohl Microsoft Defender Portal als auch Purview-Tools verwenden, um Warnungen zu selektieren und zu untersuchen, aber das Microsoft Defender-Portal bietet mehr Funktionen zum Verwalten von Warnungen und Vorfällen, z. B.:

• Zeigen Sie alle IHRE DLP-Warnungen in der Microsoft Defender XDR Incidentwarteschlange unter Incidents gruppiert an.
• Zeigen Sie intelligente, lösungsübergreifende (DLP-MDE, DLP-MDO) und lösungsinterne (DLP-DLP) korrelierte Warnungen unter einem einzelnen Incident an.
• Suchen Sie unter Erweiterte Suche nach Konformitätsprotokollen zusammen mit Sicherheit.
• Direkte Administratorwartungsaktionen für Benutzer, Dateien und Geräte.
• Ordnen Sie DLP-Vorfällen benutzerdefinierte Tags zu, und filtern Sie nach diesen.
• Filtern Sie nach DLP-Richtlinienname, Tag, Datum, Dienstquelle, Incident status und Benutzer in der einheitlichen Incidentwarteschlange.

Wenn Sie Insider-Risikomanagementdaten für Defender (Vorschau) freigeben, können Sie die Zusammenfassung der Benutzeraktivität aller Exfiltrationsaktivitäten sehen, die der Benutzer bis zu den letzten 120 Tagen durchgeführt hat.

Korrigieren

Ihr Wiederherstellungsplan bezieht sich auf Die Richtlinien Ihrer Organisation, die Branchen und geopolitischen Vorschriften, die sie einhalten müssen, sowie auf Geschäftspraktiken. Wie Ihr organization auf eine Warnung reagiert, dreht sich um die Genauigkeit der Warnung (wahr positiv, falsch positiv, falsch negativ), den Schweregrad des Problems und die Auswirkungen auf Ihre organization.

Wiederherstellungsaktionen können Folgendes umfassen:

• Nur Überwachen, keine weitere Aktion erforderlich.
• Es sind keine weiteren Maßnahmen erforderlich, da die von der Richtlinie ergriffenen Maßnahmen das Risiko ausreichend verringert haben.
• Das Risiko wird durch automatisierte Richtlinienaktionen gemindert, aber eine Schulung der Benutzer ist erforderlich.
• Das Problem wurde durch die Richtlinie nicht vollständig behoben, sodass weitere sauber und Risikominderung zusammen mit mehr Benutzerschulung erforderlich sind.
• Über adaptiven Schutz in der Verhinderung von Datenverlust (Vorschau), bei dem DLP in Insider-Risikomanagement integriert ist, können Sie dem Benutzer eine Risikostufe für weitere Überwachung und Aktionen zuweisen.

Mit dem Defender-Portal können Sie sofort Abhilfemaßnahmen für Warnungen und Vorfälle ergreifen. Zum Beispiel:

• Kennwort zurücksetzen
• Konto deaktivieren
• Anzeigen der Benutzeraktivität
• Aktionen für DLP-Erkennungen
• Dokument entfernen
• Vertraulichkeitsbezeichnung anwenden
• Freigabe aufheben
• E-Mail herunterladen
• Erweiterte Suche
• Gerät isolieren
• Erfassen des Untersuchungspakets vom Gerät
• Ausführen der AV-Überprüfung
• Quarantänedatei
• Benutzer deaktivieren
• Pwd zurücksetzen
• E-Mail löschen
• Verschieben von E-Mails in einen anderen Postfachordner
• Datei herunterladen

Tune

Basierend auf der Genauigkeit und Effektivität Ihrer Richtlinie müssen Sie sie möglicherweise aktualisieren, damit sie wirksam bleibt. Sie haben Ihre Richtlinie bereits während des Richtlinienerstellungs- und Bereitstellungsprozesses optimiert, aber da sich Ihr Datenbestand und Ihre Geschäftlichen Anforderungen ändern, müssen Die Richtlinien aktualisiert werden, damit sie weiterhin wirksam sind. Diese Änderungen werden am besten in der Richtlinienabsichtsanweisung und in der Richtlinienkonfiguration nachverfolgt.

Elemente, die Sie optimieren:

• Der Bereich der Richtlinie.
• Die Bedingungen, die für eine Richtlinien-Übereinstimmung erforderlich sind.
• Die Aktionen, die ausgeführt werden, wenn eine Richtlinienentsprechung auftritt.
• Benachrichtigungen, die an Benutzer und Administratoren gesendet werden.

Weitere Informationen zum Zuordnen von Geschäftsanforderungen zu Richtlinienentwurfs- und Testrichtlinien finden Sie unter:

• Entwerfen einer Richtlinie zur Verhinderung von Datenverlust
• Testen Ihrer Richtlinien zur Verhinderung von Datenverlust

Toolsets

Es gibt mehrere Tools, mit denen Sie Microsoft Purview Data Loss Prevention (DLP)-Warnungen untersuchen und verwalten können. Es gibt:

• Microsoft Defender-Portal
• Dashboard für Microsoft Purview-Complianceportal-Warnungen
• Aktivitätenexplorer
• Inhaltsexplorer
• Microsoft Copilot für Security in der eingebetteten Purview-Umgebung (Vorschau)
• Microsoft Copilot für Security in der eigenständigen Purview-Umgebung

Microsoft empfiehlt die Verwendung der einheitlichen Incidentwarteschlange in Microsoft Defender Portal, um Ihre DLP-Warnungen zu verwalten. Ihr organization kann jedoch Anforderungen haben, die mit dem DLP-Warnungsverwaltungs-Dashboard zusätzlich zum Microsoft Defender-Portal erfüllt werden können.

Microsoft Defender-Portal

• DLP-Warnungen werden mit anderen Ereignissen und Warnungen in eine einzelne Incidentwarteschlange integriert, die ein umfassenderes Bild des Incidents bietet.
• Der Vorfallverlauf ist sechs Monate lang verfügbar.
• Die erweiterte Suche ist verfügbar.
• Untersuchen von Datenverlustvorfällen mit Microsoft Defender XDR: Sie können DLP-Vorfälle zusammen mit Sicherheitsvorfällen aus Incidents & Warnungen>Incidents beim Schnellstart des Microsoft Defender-Portals verwalten.
• Reagieren auf Ihren ersten Vorfall in Microsoft Defender XDR
• Reaktion auf Vorfälle mit Microsoft Defender XDR
• Priorisieren von Vorfällen in Microsoft Defender XDR
• Verwalten von Vorfällen in Microsoft Defender XDR
• Untersuchen von Vorfällen in Microsoft Defender XDR
• Untersuchen von Warnungen in Microsoft Defender XDR
• Proaktives Suchen nach Bedrohungen mit erweiterter Suche in Microsoft Defender XDR

Microsoft Purview-Complianceportal

• Warnungen Dashboard, Aktivitäts-Explorer und Inhalts-Explorer sind alle im Microsoft Purview-Complianceportal verfügbar. Sie können Warnungen mithilfe von Microsoft Copilot für Security (Vorschau) zusammenfassen. Untersuchen einer DLP-Warnung
• Sie können eine Warnung status auf Untersuchen festlegen.
• Sie können Warnungen für andere Benutzer in Ihrem organization freigeben.
• Herunterladen von Dateien aus OneDrive und SharePoint (Für diese Aktion ist die Rolle "Datenklassifizierungsinhalts-Viewer " erforderlich)

Wenn Sie noch nicht mit der Verwendung der DLP-Warnungen Dashboard vertraut sind, sollten Sie diese Artikel lesen, um Ihnen den Einstieg zu erleichtern.

• Erste Schritte mit dem Dashboard
• Warnungen zur Verhinderung von Datenverlust freigeben (Vorschau)
• Erste Schritte mit Warnungen zur Verhinderung von Datenverlust
• Erste Schritte mit dem Aktivitäten-Explorer
• Erste Schritte mit dem Inhalts-Explorer

Nächste Schritte

• Untersuchen von Warnungen zur Verhinderung von Datenverlust mit Microsoft Defender XDR
• Erste Schritte mit dem Dashboard