Freigeben über


Erste Schritte mit dem Dashboard "Warnungen zur Verhinderung von Datenverlust"

Microsoft Purview DLP-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) können Schutzmaßnahmen ergreifen, um die unbeabsichtigte Freigabe vertraulicher Elemente zu verhindern. Sie können benachrichtigt werden, wenn eine Aktion für ein vertrauliches Element ausgeführt wird, indem Sie Warnungen für DLP konfigurieren. In diesem Artikel erfahren Sie, wie Sie Warnungen in Ihren Dlp-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) konfigurieren. Sie erfahren, wie Sie das Dashboard für die DLP-Warnungsverwaltung im Microsoft Purview-Complianceportal verwenden, um Warnungen, Ereignisse und zugehörige Metadaten für DLP-Richtlinienverstöße anzuzeigen.

Wenn Sie noch nicht mit DLP-Warnungen vertraut sind, sollten Sie Erste Schritte mit den Warnungen zur Verhinderung von Datenverlust lesen.

Tipp

Beginnen Sie mit Microsoft Copilot for Security, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot for Security in Microsoft Purview.

Das Microsoft Purview-Complianceportal zeigt Warnungen für DLP-Richtlinien an, die für die folgenden Workloads erzwungen werden:

  • Exchange-E-Mail
  • SharePoint-Websites
  • OneDrive-Konten
  • Teams-Chat- und Teams-Kanalnachrichten
  • Geräte
  • Instanzen
  • Lokale Repositorys
  • Fabric und Power BI

Bevor Sie beginnen

Bevor Sie beginnen, stellen Sie sicher, dass Sie über die erforderlichen Voraussetzungen verfügen:

  • Lizenzierung für das Dashboard zur Verwaltung von DLP-Warnungen
  • Lizenzierung für Warnungskonfigurationsoptionen
  • Erforderliche Rollen

Lizenzierung für das Dashboard für die DLP-Warnungsverwaltung

Bevor Sie mit der Verwendung von DLP-Richtlinien beginnen, bestätigen Sie Ihr Microsoft 365-Abonnement und alle Add-Ons.

Informationen zur Lizenzierung finden Sie unter Microsoft 365, Office 365, Enterprise Mobility + Security und Windows 11-Abonnements für Unternehmen.

Kunden, die Endpunkt-DLP verwenden, die für Teams DLP berechtigt sind, sehen ihre Endpunkt-DLP-Richtlinienwarnungen und Teams DLP-Richtlinienwarnungen im Dlp-Warnungsverwaltungsdashboard.

Lizenzierung für Warnungskonfigurationsoptionen

Bevor Sie mit der Verwendung von DLP-Richtlinien beginnen, bestätigen Sie Ihr Microsoft 365-Abonnement und alle Add-Ons.

Informationen zur Lizenzierung finden Sie unter Microsoft 365, Office 365, Enterprise Mobility + Security und Windows 11-Abonnements für Unternehmen.

Rollen und Rollengruppen

Wenn Sie das Dashboard für die DLP-Warnungsverwaltung anzeigen oder die Warnungskonfigurationsoptionen in einer DLP-Richtlinie bearbeiten möchten, müssen Sie Mitglied einer der folgenden Rollengruppen sein:

  • Complianceadministrator
  • Compliancedatenadministrator
  • Sicherheitsadministrator
  • Sicherheitsoperator
  • Sicherheitsleseberechtigter
  • Information Protection-Administrator
  • Information Protection-Analyst
  • Information Protection-Ermittler
  • Information Protection-Leser

Weitere Informationen dazu finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

Hier finden Sie eine Liste der anwendbaren Rollengruppen. Weitere Informationen hierzu finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

  • Informationsschutz
  • Information Protection-Administratoren
  • Information Protection-Analysten
  • Information Protection-Ermittler
  • Information Protection-Leser

Für den Zugriff auf das Dashboard für die DLP-Warnungsverwaltung benötigen Sie die Rolle Warnungen verwalten und eine der beiden folgenden Rollen:

  • DLP-Complianceverwaltung
  • View-Only DLP Compliance Management

Um auf die Inhaltsvorschaufunktion und die Features Übereinstimmende sensible Inhalte und Kontexte zugreifen zu können, müssen Sie Mitglied der Rollengruppe Inhalts-Explorer-Inhaltsanzeige sein, der die Rolle Datenklassifizierungsinhalts-Viewer vorab zugewiesen ist.

DLP-Warnungskonfiguration

Informationen zum Konfigurieren einer Warnung in Ihrer DLP-Richtlinie finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust.

Wichtig

Die Konfiguration der Aufbewahrungsrichtlinie für Überwachungsprotokolle Ihrer Organisation steuert, wie lange eine Warnung in der Konsole sichtbar bleibt. Weitere Informationen finden Sie unter Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle .

Konfiguration von Aggregieren von Ereigniswarnungen

Wenn Ihre Organisation für aggregierte Warnungskonfigurationsoptionen lizenziert ist, werden diese Optionen beim Erstellen oder Bearbeiten einer DLP-Richtlinie angezeigt.

Screenshot: Optionen für Incidentberichte für Benutzer, die für aggregierte Warnungskonfigurationsoptionen berechtigt sind

Mit dieser Konfiguration können Sie eine Richtlinie einrichten, um eine Warnung zu generieren, wenn eine Aktivität den Richtlinienbedingungen entspricht oder wenn ein bestimmter Schwellenwert überschritten wird, basierend auf der Anzahl der Aktivitäten oder basierend auf der Menge exfiltrierter Daten.

Konfiguration einzelner Ereigniswarnungen

Wenn Ihre Organisation für Konfigurationsoptionen für Warnungen mit nur einem Ereignis lizenziert ist, werden diese Optionen beim Erstellen oder Bearbeiten einer DLP-Richtlinie angezeigt. Verwenden Sie diese Option, um eine Warnung zu erstellen, die bei jeder Übereinstimmung mit einer DLP-Regel ausgelöst wird.

Screenshot: Optionen für Incidentberichte für Benutzer, die für Konfigurationsoptionen für Warnungen mit nur einem Ereignis berechtigt sind

Untersuchen einer DLP-Warnung

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie im Microsoft Purview-Complianceportal.

So arbeiten Sie mit dem Dashboard für die DLP-Warnungsverwaltung:

  1. Melden Sie sich beim Microsoft Purview-Portal>vor Datenverlust an.
  2. Wählen Sie Warnungen aus, um das Dashboard für DLP-Warnungen anzuzeigen.
  3. Verwenden Sie die Filterfelder , um die Liste der Warnungen zu verfeinern.
  4. Wählen Sie Spalten anpassen aus, um die Eigenschaften aufzulisten, die Sie anzeigen möchten.
  5. Um die Ergebnisse in aufsteigender oder absteigender Reihenfolge zu sortieren, doppelklicken Sie auf die Spaltenüberschrift.
  6. Doppelklicken Sie auf eine Warnung, um weitere Informationen dazu zu erhalten.
  7. Die Registerkarte Details wird standardmäßig geöffnet und enthält allgemeine Informationen zur Warnung.
  8. Wählen Sie Mit Copilot zusammenfassen aus. Dies bewirkt, dass der Security Copilot eine Zusammenfassung der Warnung generiert. Die Warnungszusammenfassung enthält Folgendes:
    • Warnungsschweregrad
    • Warnungstitel
    • der Name der Richtlinie, die abgeglichen wurde
    • die beteiligte Namensdatei und ein Link zur Datei
    • Warnungsstatus
    • die E-Mail-Adresse des Benutzers, der die Aktion ausgeführt hat, die der Richtlinie entspricht
  9. Wählen Sie die Auslassungspunkte in der Security Copilot-Zusammenfassung aus, um Folgendes zu ermöglichen:
    • Kopieren der Zusammenfassung in die Zwischenablage
    • Erneutes Generieren der Zusammenfassung
    • Öffnen Sie die Warnung in der eigenständigen Benutzeroberfläche von Security Copilot.
  10. Wählen Sie Details anzeigen aus, um die Registerkarte Übersicht zu öffnen. Die Registerkarte Übersicht enthält eine Zusammenfassung der folgenden Informationen:
    • Was ist passiert
    • Wer hat die Aktionen ausgeführt, die die Richtlinienentsprechung verursacht haben?
    • Zusätzliche Informationen zur Richtlinienüberstimmung
  11. Auf der Registerkarte Ereignisse werden alle Ereignisse aufgelistet, die der Warnung zugeordnet sind. Wählen Sie ein beliebiges Ereignis in der Liste aus, um ausführliche Informationen zum Ereignis zu erhalten. Wählen Sie für jedes Ereignis die Dropdownliste Aktionen aus, um eine Liste der Aktionen anzuzeigen, die Sie für die Warnung ausführen können, z. B. um zu überprüfen, ob die Warnung eine echte Übereinstimmung oder ein falsch positives Ergebnis identifiziert hat.
    1. Die Registerkarte Benutzeraktivitätszusammenfassung erfordert, dass die Freigabe in den Einstellungen für das Insider-Risikomanagement aktiviert ist. Sobald die Registerkarte Benutzeraktivitätszusammenfassung aktiviert ist, werden alle Exfiltrationsaktivitäten angezeigt, an denen der Benutzer beteiligt ist (bis zu den letzten 120 Tagen). Benutzer müssen sich im Bereich einer Insider-Risikomanagementrichtlinie befinden , um die Registerkarte Zusammenfassung der Benutzeraktivität anzuzeigen.
    2. Nachdem Sie die Warnung untersucht haben, kehren Sie zur Registerkarte Übersicht zurück, auf der Sie Details anzeigen können, um die Löschung der Warnung zu selektieren und zu verwalten, Kommentare hinzuzufügen und den Besitz der Warnung zuzuweisen. (So zeigen Sie den Verlauf der Workflowverwaltung an.)
    3. Nachdem Sie die erforderliche Aktion für die Warnung ausgeführt haben, legen Sie den Status der Warnung auf Gelöst fest.

Andere übereinstimmene Bedingungen

Microsoft Purview unterstützt das Anzeigen übereinstimmener Bedingungen in einem DLP-Ereignis, um die genaue Ursache für eine gekennzeichnete DLP-Richtlinie aufzudecken. Diese Informationen werden angezeigt in:

Öffnen Sie auf der Registerkarte Ereignissedie Option Details , um andere übereinstimmende Bedingungen anzuzeigen.

Voraussetzungen

Übereinstimmene Ereignisinformationen werden für diese Bedingungen unterstützt.

Bedingung Exchange SharePoint Teams Endpunkt
Absender ist Ja Nein Ja Nein
Absenderdomäne ist Ja Nein Ja Nein
Absenderadresse enthält Wörter Ja Nein Nein Nein
Absenderadresse stimmt mit Mustern überein Ja Nein Nein Nein
Absender ist Mitglied von Ja Nein Nein Nein
IP-Adresse des Absenders lautet Ja Nein Nein Nein
Hat den Richtlinientipp vom Absender überschrieben Ja Nein Nein Nein
SenderAdAttribute enthält Wörter Ja Nein Nein Nein
SenderAdAttribute vergleicht Muster Ja Nein Nein Nein
Empfänger lautet Ja Nein Ja Nein
Empfängerdomäne lautet Ja Nein Ja Nein
Empfängeradresse enthält Wörter Ja Nein Nein Nein
Empfängeradresse stimmt mit Mustern überein Ja Nein Nein Nein
Empfänger ist Mitglied von Ja Nein Nein Nein
RecipientAdAttribute enthält Wörter Ja Nein Nein Nein
RecipientAdAttribute vergleicht Muster Ja Nein Nein Nein
Das Dokument ist kennwortgeschütztes Dokument. Ja Nein Nein Nein
Dokument konnte nicht gescannt werden Ja Nein Nein Nein
Dokument hat die Überprüfung nicht abgeschlossen Ja Nein Nein Nein
Dokumentname enthält Wörter Ja Ja Nein Nein
Dokumentname entspricht Mustern Ja Nein Nein Nein
Dokumenteigenschaft lautet Ja Ja Nein Nein
Dokumentgröße über Ja Ja Nein Nein
Dokumentinhalt enthält Wörter Ja Nein Nein Nein
Dokumentinhalt stimmt mit Mustern überein Ja Nein Nein Nein
Dokumenttyp ist Nein Nein Nein Ja
Dokumenterweiterung ist Ja Ja Nein Ja
Inhalt wird von M365 freigegeben Ja Ja Ja Nein
Inhalt wird von empfangen Ja Nein Nein Nein
Inhaltszeichensatz enthält Wörter Ja Nein Nein Nein
Betreff enthält Wörter Ja Nein Nein Nein
Betreff stimmt mit Mustern überein Ja Nein Nein Nein
Betreff oder Text enthält Wörter Ja Nein Nein Nein
Betreff oder Text entspricht Mustern Ja Nein Nein Nein
Kopfzeile enthält Wörter Ja Nein Nein Nein
Kopfzeile stimmt mit Mustern überein Ja Nein Nein Nein
Nachrichtengröße über Ja Nein Nein Nein
Nachrichtentyp ist Ja Nein Nein Nein
Nachrichtenpriorität ist Ja Nein Nein Nein

Einschränkung beim Herunterladen von E-Mails aus einer DLP-Warnung

Im Allgemeinen können Sie bei Verwendung des Dashboards für die DLP-Warnungsverwaltung bestimmte E-Mails aus einer Warnung herunterladen. E-Mails, die in einem der folgenden Szenarien gelöscht wurden, können jedoch nicht heruntergeladen werden.

Absender Empfänger E-Mail-Status
Intern Extern Vom Absender gelöscht
Extern Intern Vom Empfänger gelöscht
Intern Intern Von beiden Parteien gelöscht

Zusätzliche Tools zur Untersuchung von Warnungen