Erste Schritte mit dem Dashboard "Warnungen zur Verhinderung von Datenverlust"
Microsoft Purview DLP-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) können Schutzmaßnahmen ergreifen, um die unbeabsichtigte Freigabe vertraulicher Elemente zu verhindern. Sie können benachrichtigt werden, wenn eine Aktion für ein vertrauliches Element ausgeführt wird, indem Sie Warnungen für DLP konfigurieren. In diesem Artikel erfahren Sie, wie Sie Warnungen in Ihren Dlp-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) konfigurieren. Sie erfahren, wie Sie das Dashboard für die DLP-Warnungsverwaltung im Microsoft Purview-Complianceportal verwenden, um Warnungen, Ereignisse und zugehörige Metadaten für DLP-Richtlinienverstöße anzuzeigen.
Wenn Sie noch nicht mit DLP-Warnungen vertraut sind, sollten Sie Erste Schritte mit den Warnungen zur Verhinderung von Datenverlust lesen.
Tipp
Beginnen Sie mit Microsoft Copilot for Security, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot for Security in Microsoft Purview.
Das Microsoft Purview-Complianceportal zeigt Warnungen für DLP-Richtlinien an, die für die folgenden Workloads erzwungen werden:
- Exchange-E-Mail
- SharePoint-Websites
- OneDrive-Konten
- Teams-Chat- und Teams-Kanalnachrichten
- Geräte
- Instanzen
- Lokale Repositorys
- Fabric und Power BI
Bevor Sie beginnen
Bevor Sie beginnen, stellen Sie sicher, dass Sie über die erforderlichen Voraussetzungen verfügen:
- Lizenzierung für das Dashboard zur Verwaltung von DLP-Warnungen
- Lizenzierung für Warnungskonfigurationsoptionen
- Erforderliche Rollen
Lizenzierung für das Dashboard für die DLP-Warnungsverwaltung
Bevor Sie mit der Verwendung von DLP-Richtlinien beginnen, bestätigen Sie Ihr Microsoft 365-Abonnement und alle Add-Ons.
Informationen zur Lizenzierung finden Sie unter Microsoft 365, Office 365, Enterprise Mobility + Security und Windows 11-Abonnements für Unternehmen.
Kunden, die Endpunkt-DLP verwenden, die für Teams DLP berechtigt sind, sehen ihre Endpunkt-DLP-Richtlinienwarnungen und Teams DLP-Richtlinienwarnungen im Dlp-Warnungsverwaltungsdashboard.
Lizenzierung für Warnungskonfigurationsoptionen
Bevor Sie mit der Verwendung von DLP-Richtlinien beginnen, bestätigen Sie Ihr Microsoft 365-Abonnement und alle Add-Ons.
Informationen zur Lizenzierung finden Sie unter Microsoft 365, Office 365, Enterprise Mobility + Security und Windows 11-Abonnements für Unternehmen.
Rollen und Rollengruppen
Wenn Sie das Dashboard für die DLP-Warnungsverwaltung anzeigen oder die Warnungskonfigurationsoptionen in einer DLP-Richtlinie bearbeiten möchten, müssen Sie Mitglied einer der folgenden Rollengruppen sein:
- Complianceadministrator
- Compliancedatenadministrator
- Sicherheitsadministrator
- Sicherheitsoperator
- Sicherheitsleseberechtigter
- Information Protection-Administrator
- Information Protection-Analyst
- Information Protection-Ermittler
- Information Protection-Leser
Weitere Informationen dazu finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.
Hier finden Sie eine Liste der anwendbaren Rollengruppen. Weitere Informationen hierzu finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.
- Informationsschutz
- Information Protection-Administratoren
- Information Protection-Analysten
- Information Protection-Ermittler
- Information Protection-Leser
Für den Zugriff auf das Dashboard für die DLP-Warnungsverwaltung benötigen Sie die Rolle Warnungen verwalten und eine der beiden folgenden Rollen:
- DLP-Complianceverwaltung
- View-Only DLP Compliance Management
Um auf die Inhaltsvorschaufunktion und die Features Übereinstimmende sensible Inhalte und Kontexte zugreifen zu können, müssen Sie Mitglied der Rollengruppe Inhalts-Explorer-Inhaltsanzeige sein, der die Rolle Datenklassifizierungsinhalts-Viewer vorab zugewiesen ist.
DLP-Warnungskonfiguration
Informationen zum Konfigurieren einer Warnung in Ihrer DLP-Richtlinie finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust.
Wichtig
Die Konfiguration der Aufbewahrungsrichtlinie für Überwachungsprotokolle Ihrer Organisation steuert, wie lange eine Warnung in der Konsole sichtbar bleibt. Weitere Informationen finden Sie unter Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle .
Konfiguration von Aggregieren von Ereigniswarnungen
Wenn Ihre Organisation für aggregierte Warnungskonfigurationsoptionen lizenziert ist, werden diese Optionen beim Erstellen oder Bearbeiten einer DLP-Richtlinie angezeigt.
Mit dieser Konfiguration können Sie eine Richtlinie einrichten, um eine Warnung zu generieren, wenn eine Aktivität den Richtlinienbedingungen entspricht oder wenn ein bestimmter Schwellenwert überschritten wird, basierend auf der Anzahl der Aktivitäten oder basierend auf der Menge exfiltrierter Daten.
Konfiguration einzelner Ereigniswarnungen
Wenn Ihre Organisation für Konfigurationsoptionen für Warnungen mit nur einem Ereignis lizenziert ist, werden diese Optionen beim Erstellen oder Bearbeiten einer DLP-Richtlinie angezeigt. Verwenden Sie diese Option, um eine Warnung zu erstellen, die bei jeder Übereinstimmung mit einer DLP-Regel ausgelöst wird.
Untersuchen einer DLP-Warnung
Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie im Microsoft Purview-Complianceportal.
So arbeiten Sie mit dem Dashboard für die DLP-Warnungsverwaltung:
- Melden Sie sich beim Microsoft Purview-Portal>vor Datenverlust an.
- Wählen Sie Warnungen aus, um das Dashboard für DLP-Warnungen anzuzeigen.
- Verwenden Sie die Filterfelder , um die Liste der Warnungen zu verfeinern.
- Wählen Sie Spalten anpassen aus, um die Eigenschaften aufzulisten, die Sie anzeigen möchten.
- Um die Ergebnisse in aufsteigender oder absteigender Reihenfolge zu sortieren, doppelklicken Sie auf die Spaltenüberschrift.
- Doppelklicken Sie auf eine Warnung, um weitere Informationen dazu zu erhalten.
- Die Registerkarte Details wird standardmäßig geöffnet und enthält allgemeine Informationen zur Warnung.
- Wählen Sie Mit Copilot zusammenfassen aus. Dies bewirkt, dass der Security Copilot eine Zusammenfassung der Warnung generiert. Die Warnungszusammenfassung enthält Folgendes:
- Warnungsschweregrad
- Warnungstitel
- der Name der Richtlinie, die abgeglichen wurde
- die beteiligte Namensdatei und ein Link zur Datei
- Warnungsstatus
- die E-Mail-Adresse des Benutzers, der die Aktion ausgeführt hat, die der Richtlinie entspricht
- Wählen Sie die Auslassungspunkte in der Security Copilot-Zusammenfassung aus, um Folgendes zu ermöglichen:
- Kopieren der Zusammenfassung in die Zwischenablage
- Erneutes Generieren der Zusammenfassung
- Öffnen Sie die Warnung in der eigenständigen Benutzeroberfläche von Security Copilot.
- Wählen Sie Details anzeigen aus, um die Registerkarte Übersicht zu öffnen. Die Registerkarte Übersicht enthält eine Zusammenfassung der folgenden Informationen:
- Was ist passiert
- Wer hat die Aktionen ausgeführt, die die Richtlinienentsprechung verursacht haben?
- Zusätzliche Informationen zur Richtlinienüberstimmung
- Auf der Registerkarte Ereignisse werden alle Ereignisse aufgelistet, die der Warnung zugeordnet sind. Wählen Sie ein beliebiges Ereignis in der Liste aus, um ausführliche Informationen zum Ereignis zu erhalten. Wählen Sie für jedes Ereignis die Dropdownliste Aktionen aus, um eine Liste der Aktionen anzuzeigen, die Sie für die Warnung ausführen können, z. B. um zu überprüfen, ob die Warnung eine echte Übereinstimmung oder ein falsch positives Ergebnis identifiziert hat.
- Die Registerkarte Benutzeraktivitätszusammenfassung erfordert, dass die Freigabe in den Einstellungen für das Insider-Risikomanagement aktiviert ist. Sobald die Registerkarte Benutzeraktivitätszusammenfassung aktiviert ist, werden alle Exfiltrationsaktivitäten angezeigt, an denen der Benutzer beteiligt ist (bis zu den letzten 120 Tagen). Benutzer müssen sich im Bereich einer Insider-Risikomanagementrichtlinie befinden , um die Registerkarte Zusammenfassung der Benutzeraktivität anzuzeigen.
- Nachdem Sie die Warnung untersucht haben, kehren Sie zur Registerkarte Übersicht zurück, auf der Sie Details anzeigen können, um die Löschung der Warnung zu selektieren und zu verwalten, Kommentare hinzuzufügen und den Besitz der Warnung zuzuweisen. (So zeigen Sie den Verlauf der Workflowverwaltung an.)
- Nachdem Sie die erforderliche Aktion für die Warnung ausgeführt haben, legen Sie den Status der Warnung auf Gelöst fest.
Andere übereinstimmene Bedingungen
Microsoft Purview unterstützt das Anzeigen übereinstimmener Bedingungen in einem DLP-Ereignis, um die genaue Ursache für eine gekennzeichnete DLP-Richtlinie aufzudecken. Diese Informationen werden angezeigt in:
- DLP-Warnungskonsole
- Aktivitätenexplorer
- Microsoft Defender for Business-Portal
Öffnen Sie auf der Registerkarte Ereignissedie Option Details , um andere übereinstimmende Bedingungen anzuzeigen.
Voraussetzungen
- Muss Windows 10 x64 (Build 1809 oder höher) oder Windows 11 ausführen.
- Siehe 21. März 2023 – KB5023773 (BS-Builds 19042.2788, 19044.2788 und 19045.2788) Vorschau für erforderliche Windows-Betriebssystembuilds.
- Daten zu übereinstimmenden Bedingungen sind für gültige E3- und E5-Lizenzinhaber verfügbar.
- Aktivieren Sie die Überwachung.
- Aktivieren Sie erweiterte Klassifizierungsüberprüfung und -schutz.
Übereinstimmene Ereignisinformationen werden für diese Bedingungen unterstützt.
Bedingung | Exchange | SharePoint | Teams | Endpunkt |
---|---|---|---|---|
Absender ist | Ja | Nein | Ja | Nein |
Absenderdomäne ist | Ja | Nein | Ja | Nein |
Absenderadresse enthält Wörter | Ja | Nein | Nein | Nein |
Absenderadresse stimmt mit Mustern überein | Ja | Nein | Nein | Nein |
Absender ist Mitglied von | Ja | Nein | Nein | Nein |
IP-Adresse des Absenders lautet | Ja | Nein | Nein | Nein |
Hat den Richtlinientipp vom Absender überschrieben | Ja | Nein | Nein | Nein |
SenderAdAttribute enthält Wörter | Ja | Nein | Nein | Nein |
SenderAdAttribute vergleicht Muster | Ja | Nein | Nein | Nein |
Empfänger lautet | Ja | Nein | Ja | Nein |
Empfängerdomäne lautet | Ja | Nein | Ja | Nein |
Empfängeradresse enthält Wörter | Ja | Nein | Nein | Nein |
Empfängeradresse stimmt mit Mustern überein | Ja | Nein | Nein | Nein |
Empfänger ist Mitglied von | Ja | Nein | Nein | Nein |
RecipientAdAttribute enthält Wörter | Ja | Nein | Nein | Nein |
RecipientAdAttribute vergleicht Muster | Ja | Nein | Nein | Nein |
Das Dokument ist kennwortgeschütztes Dokument. | Ja | Nein | Nein | Nein |
Dokument konnte nicht gescannt werden | Ja | Nein | Nein | Nein |
Dokument hat die Überprüfung nicht abgeschlossen | Ja | Nein | Nein | Nein |
Dokumentname enthält Wörter | Ja | Ja | Nein | Nein |
Dokumentname entspricht Mustern | Ja | Nein | Nein | Nein |
Dokumenteigenschaft lautet | Ja | Ja | Nein | Nein |
Dokumentgröße über | Ja | Ja | Nein | Nein |
Dokumentinhalt enthält Wörter | Ja | Nein | Nein | Nein |
Dokumentinhalt stimmt mit Mustern überein | Ja | Nein | Nein | Nein |
Dokumenttyp ist | Nein | Nein | Nein | Ja |
Dokumenterweiterung ist | Ja | Ja | Nein | Ja |
Inhalt wird von M365 freigegeben | Ja | Ja | Ja | Nein |
Inhalt wird von empfangen | Ja | Nein | Nein | Nein |
Inhaltszeichensatz enthält Wörter | Ja | Nein | Nein | Nein |
Betreff enthält Wörter | Ja | Nein | Nein | Nein |
Betreff stimmt mit Mustern überein | Ja | Nein | Nein | Nein |
Betreff oder Text enthält Wörter | Ja | Nein | Nein | Nein |
Betreff oder Text entspricht Mustern | Ja | Nein | Nein | Nein |
Kopfzeile enthält Wörter | Ja | Nein | Nein | Nein |
Kopfzeile stimmt mit Mustern überein | Ja | Nein | Nein | Nein |
Nachrichtengröße über | Ja | Nein | Nein | Nein |
Nachrichtentyp ist | Ja | Nein | Nein | Nein |
Nachrichtenpriorität ist | Ja | Nein | Nein | Nein |
Einschränkung beim Herunterladen von E-Mails aus einer DLP-Warnung
Im Allgemeinen können Sie bei Verwendung des Dashboards für die DLP-Warnungsverwaltung bestimmte E-Mails aus einer Warnung herunterladen. E-Mails, die in einem der folgenden Szenarien gelöscht wurden, können jedoch nicht heruntergeladen werden.
Absender | Empfänger | E-Mail-Status |
---|---|---|
Intern | Extern | Vom Absender gelöscht |
Extern | Intern | Vom Empfänger gelöscht |
Intern | Intern | Von beiden Parteien gelöscht |