Konfigurieren und Anzeigen von Warnungen für Richtlinien zur Verhinderung von Datenverlust
Microsoft Purview Data Loss Prevention-Richtlinien (DLP) können Schutzmaßnahmen ergreifen, um die unbeabsichtigte Freigabe vertraulicher Elemente zu verhindern. Wenn eine Aktion für ein vertrauliches Element ausgeführt wird, können Sie benachrichtigt werden, indem Sie Warnungen für DLP konfigurieren. In diesem Artikel erfahren Sie, wie Sie umfassende Warnungsrichtlinien definieren, die mit Ihren Dlp-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) verknüpft sind. Sie erfahren, wie Sie die neue DLP-Dashboard für die Warnungsverwaltung im Microsoft Purview-Complianceportal verwenden, um Warnungen, Ereignisse und zugehörige Metadaten für DLP-Richtlinienverstöße anzuzeigen.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.
Features
Dazu gehören die folgenden Features:
DLP-Warnungsverwaltung Dashboard: Dieser Dashboard im Microsoft Purview-Complianceportal zeigt Warnungen für DLP-Richtlinien an, die für die folgenden Workloads erzwungen werden:
- Exchange
- SharePoint
- OneDrive
- Teams
- Geräte
Erweiterte Konfigurationsoptionen für Warnungen: Diese Optionen sind Teil des Dlp-Richtlinienerstellungsflows. Verwenden Sie sie, um umfangreiche Warnungskonfigurationen zu erstellen. Sie können eine Warnung mit einem einzelnen Ereignis oder eine aggregierte Warnung basierend auf der Anzahl der Ereignisse oder der Größe der kompromittierten Daten erstellen.
Bevor Sie beginnen
Bevor Sie beginnen, stellen Sie sicher, dass Sie über die erforderlichen Voraussetzungen verfügen:
- Lizenzierung für die VERWALTUNG von DLP-Warnungen Dashboard
- Lizenzierung für Warnungskonfigurationsoptionen
- Erforderliche Rollen
Lizenzierung für die DLP-warnungsverwaltung Dashboard
Alle berechtigten Mandanten für Office 365 DLP können auf die DLP-Warnungsverwaltungs-Dashboard zugreifen. Zunächst sollten Sie für Office 365 DLP für Exchange, SharePoint und OneDrive berechtigt sein. Weitere Informationen zu den Lizenzierungsanforderungen für Office 365 DLP finden Sie unter Welche Lizenzen bieten einem Benutzer die Rechte, vom Dienst zu profitieren?.
Kunden, die Endpunkt-DLP verwenden und für Teams DLP berechtigt sind, sehen ihre Endpunkt-DLP-Richtlinienwarnungen und Teams DLP-Richtlinienwarnungen im dlp-Dashboard.
Lizenzierung für Warnungskonfigurationsoptionen
- Konfiguration von Warnungen mit einzelnen Ereignissen: Organisationen, die über ein E1-, F1- oder G1-Abonnement oder ein E3- oder G3-Abonnement verfügen, können Warnungsrichtlinien nur dann erstellen, wenn bei jedem Auftreten einer Aktivität eine Warnung ausgelöst wird.
- Aggregierte Warnungskonfiguration: Um aggregierte Warnungsrichtlinien basierend auf einem Schwellenwert zu konfigurieren, müssen Sie über eine der folgenden Konfigurationen verfügen:
- Ein A5-Abonnement
- Ein E5- oder G5-Abonnement
- Ein E1-, F1- oder G1-Abonnement oder ein E3- oder G3-Abonnement, das eines der folgenden Features enthält:
- Office 365 Advanced Threat Protection Plan 2
- Microsoft 365 E5 Compliance
- Add-On-Lizenz für Microsoft 365 eDiscovery und Audit
Rollen
Wenn Sie die DLP-Warnungsverwaltung Dashboard anzeigen oder die Warnungskonfigurationsoptionen in einer DLP-Richtlinie bearbeiten möchten, müssen Sie Mitglied einer der folgenden Rollengruppen sein:
- Complianceadministrator
- Compliancedatenadministrator
- Sicherheitsadministrator
- Sicherheitsoperator
- Sicherheitsleseberechtigter
Für den Zugriff auf die DLP-Warnungsverwaltung Dashboard benötigen Sie die Rolle Warnungen verwalten und eine der folgenden Rollen:
- DLP-Complianceverwaltung
- View-Only DLP Compliance Management
Benutzeroberfläche für die Warnungskonfiguration
Wenn Sie für aggregierte Warnungskonfigurationsoptionen berechtigt sind, werden die folgenden Optionen in der DLP-Richtlinienerstellungsumgebung inline angezeigt.
Mit dieser Konfiguration können Sie eine Richtlinie einrichten, um eine Warnung zu generieren:
- jedes Mal, wenn eine Aktivität den Richtlinienbedingungen entspricht
- wenn der definierte Schwellenwert erreicht oder überschritten wird
- basierend auf der Anzahl der Aktivitäten
- basierend auf der Menge exfiltrierter Daten
Um eine Flut von Benachrichtigungs-E-Mails zu verhindern, werden alle Übereinstimmungen, die innerhalb eines Zeitfensters von einer Minute auftreten und für dieselbe DLP-Regel und am selben Speicherort gelten, in derselben Warnung gruppiert. Das Feature für das Aggregationszeitfenster von einer Minute ist verfügbar in:
- Ein E5- oder G5-Abonnement
- Ein E1-, F1- oder G1-Abonnement oder ein E3- oder G3-Abonnement, das eines der folgenden Features enthält:
- Office 365 Advanced Threat Protection Plan 2
- Microsoft 365 E5 Compliance
- Add-On-Lizenz für Microsoft 365 eDiscovery und Audit
Für Organisationen, die über ein E1-, F1- oder G1-Abonnement oder ein E3- oder G3-Abonnement verfügen, beträgt das Aggregationszeitfenster 15 Minuten.
DLP-Dashboard für die Verwaltung von Warnungen
So arbeiten Sie mit der DLP-Warnungsverwaltung Dashboard:
Wechseln Sie im Microsoft Purview-Complianceportal zu Verhinderung von Datenverlust.
Wählen Sie die Registerkarte Warnungen aus, um die DLP-Warnungen Dashboard anzuzeigen.
Wählen Sie Filter aus, um die Liste der Warnungen zu verfeinern. Wählen Sie Spalten anpassen aus, um die Eigenschaften aufzulisten, die Sie anzeigen möchten. Sie können die Warnungen auch in aufsteigender oder absteigender Reihenfolge in einer beliebigen Spalte sortieren.
Wählen Sie eine Warnung aus, um Details anzuzeigen:
Wählen Sie die Registerkarte Ereignisse aus, um alle Ereignisse anzuzeigen, die der Warnung zugeordnet sind. Sie können ein bestimmtes Ereignis auswählen, um seine Details anzuzeigen. In der folgenden Tabelle sind einige der Ereignisdetails aufgeführt.
Kategorie Eigenschaftenname Beschreibung Anwendbare Ereignistypen Ereignisdetails Id Eindeutige ID, die dem Ereignis zugeordnet ist Alle Ereignisse Standort Workload, bei der das Ereignis erkannt wurde Alle Ereignisse Zeitpunkt der Aktivität Zeitpunkt der Benutzeraktivität, die den DLP-Verstoß verursacht hat Alle Ereignisse Betroffener Entitäten Benutzer Benutzer, der die DLP-Verletzung verursacht hat Alle Ereignisse Hostname Hostname des Computers, auf dem die DLP-Verletzung erkannt wurde Geräteereignisse IP-Adresse IP-Adresse des Computers Geräteereignisse Dateipfad Absoluter Pfad der Datei, die an dem Verstoß beteiligt ist SharePoint-, OneDrive- und Geräteereignisse Email Empfänger Empfänger der E-Mail, die gegen die DLP-Richtlinie verstoßen haben Exchange-Ereignisse E-Mail-Betreff Betreff der E-Mail, die gegen die DLP-Richtlinie verstoßen hat Exchange-Ereignisse E-Mail-Anlagen Namen der Anlagen in der E-Mail, die gegen die DLP-Richtlinie verstoßen haben Exchange-Ereignisse Websitebesitzer Name des Websitebesitzers SharePoint- und OneDrive-Ereignisse Website-URL Vollständige URL der SharePoint- oder OneDrive-Website SharePoint- und OneDrive-Ereignisse Datei erstellt Zeitpunkt der Dateierstellung SharePoint- und OneDrive-Ereignisse Letzte Änderung der Datei Zeitpunkt der letzten Änderung der Datei SharePoint- und OneDrive-Ereignisse Dateigröße Größe der Datei SharePoint- und OneDrive-Ereignisse Dateibesitzer Besitzer der Datei SharePoint- und OneDrive-Ereignisse Richtliniendetails DLP-Richtlinie abgeglichen Name der DLP-Richtlinie, die abgeglichen wurde Alle Ereignisse Regel abgeglichen Name der DLP-Regel in der DLP-Richtlinie, die abgeglichen wurde Alle Ereignisse Typen vertraulicher Informationen erkannt Typen vertraulicher Informationen, die als Teil der DLP-Richtlinie erkannt wurden Alle Ereignisse Durchgeführte Aktionen Im Rahmen der übereinstimmend durchgeführten DLP-Richtlinie ausgeführte Aktionen Alle Ereignisse Benutzerüberrodungsrichtlinie Gibt an, ob der Benutzer die Richtlinie über den Richtlinientipp überschreibt Alle Ereignisse Begründungstext außer Kraft setzen Begründung zum Überschreiben des Richtlinientipps Alle Ereignisse
Nachdem Sie die Warnung untersucht haben, wählen Sie Warnung verwalten aus, um die status (Aktiv, Untersuchend, Verworfen oder Gelöst) zu ändern. Sie können auch Kommentare hinzufügen und die Warnung einer Person in Ihrem organization zuweisen.
- Um den Verlauf der Workflowverwaltung anzuzeigen, wählen Sie Verwaltungsprotokoll aus.
- Nachdem Sie die erforderliche Aktion für die Warnung ausgeführt haben, legen Sie den status der Warnung auf Gelöst fest.
Andere übereinstimmene Bedingungen
Microsoft Purview unterstützt das Anzeigen übereinstimmener Bedingungen in einem DLP-Ereignis, um die genaue Ursache für eine gekennzeichnete DLP-Richtlinie aufzudecken. Diese Informationen werden angezeigt in:
- DLP-Warnungskonsole
- Aktivitäts-Explorer
- Microsoft Defender for Business-Portal
Öffnen Sie auf der Registerkarte Ereignissedie Option Details , um andere übereinstimmende Bedingungen anzuzeigen.
Voraussetzungen
- Es muss Windows 10 x64 Build 1809 oder höher oder Windows 11 ausgeführt werden.
- Die erforderlichen Mindestbuilds des Windows-Betriebssystems finden Sie unter 21. März 2023 – KB5023773 (BS-Builds 19042.2788, 19044.2788 und 19045.2788).
- Daten zu übereinstimmenden Bedingungen sind für gültige E3- und E5-Lizenzinhaber verfügbar.
- Aktivieren Sie die Überwachung.
- Aktivieren Sie erweiterte Klassifizierungsüberprüfung und -schutz.
Übereinstimmene Ereignisinformationen werden für diese Bedingungen unterstützt.
| Bedingung | Exchange | Sharepoint | Teams | Endpunkt |
|---|---|---|---|---|
| Absender ist | Ja | Nein | Ja | Nein |
| Absenderdomäne ist | Ja | Nein | Ja | Nein |
| Absenderadresse enthält Wörter | Ja | Nein | Nein | Nein |
| Absenderadresse stimmt mit Mustern überein | Ja | Nein | Nein | Nein |
| Absender ist Mitglied von | Ja | Nein | Nein | Nein |
| IP-Adresse des Absenders lautet | Ja | Nein | Nein | Nein |
| Hat den Richtlinientipp vom Absender überschrieben | Ja | Nein | Nein | Nein |
| SenderAdAttribute enthält Wörter | Ja | Nein | Nein | Nein |
| SenderAdAttribute vergleicht Muster | Ja | Nein | Nein | Nein |
| Empfänger lautet | Ja | Nein | Ja | Nein |
| Empfängerdomäne lautet | Ja | Nein | Ja | Nein |
| Empfängeradresse enthält Wörter | Ja | Nein | Nein | Nein |
| Empfängeradresse stimmt mit Mustern überein | Ja | Nein | Nein | Nein |
| Empfänger ist Mitglied von | Ja | Nein | Nein | Nein |
| RecipientAdAttribute enthält Wörter | Ja | Nein | Nein | Nein |
| RecipientAdAttribute vergleicht Muster | Ja | Nein | Nein | Nein |
| Das Dokument ist kennwortgeschütztes Dokument. | Ja | Nein | Nein | Nein |
| Dokument konnte nicht gescannt werden | Ja | Nein | Nein | Nein |
| Dokument hat die Überprüfung nicht abgeschlossen | Ja | Nein | Nein | Nein |
| Dokumentname enthält Wörter | Ja | Ja | Nein | Nein |
| Dokumentname entspricht Mustern | Ja | Nein | Nein | Nein |
| Dokumenteigenschaft lautet | Ja | Ja | Nein | Nein |
| Dokumentgröße über | Ja | Ja | Nein | Nein |
| Dokumentinhalt enthält Wörter | Ja | Nein | Nein | Nein |
| Dokumentinhalt stimmt mit Mustern überein | Ja | Nein | Nein | Nein |
| Dokumenttyp ist | Nein | Nein | Nein | Ja |
| Dokumenterweiterung ist | Ja | Ja | Nein | Ja |
| Inhalt wird von M365 freigegeben | Ja | Ja | Ja | Nein |
| Inhalt wird von empfangen | Ja | Nein | Nein | Nein |
| Inhaltszeichensatz enthält Wörter | Ja | Nein | Nein | Nein |
| Betreff enthält Wörter | Ja | Nein | Nein | Nein |
| Betreff stimmt mit Mustern überein | Ja | Nein | Nein | Nein |
| Betreff oder Text enthält Wörter | Ja | Nein | Nein | Nein |
| Betreff oder Text entspricht Mustern | Ja | Nein | Nein | Nein |
| Kopfzeile enthält Wörter | Ja | Nein | Nein | Nein |
| Kopfzeile stimmt mit Mustern überein | Ja | Nein | Nein | Nein |
| Nachrichtengröße über | Ja | Nein | Nein | Nein |
| Nachrichtentyp ist | Ja | Nein | Nein | Nein |
| Nachrichtenpriorität ist | Ja | Nein | Nein | Nein |