Tutki tietojen menetyksen estämisen ilmoituksia Microsoft Defender XDR:n avulla
Koskee seuraavia:
- Microsoft Defender XDR
Voit hallita Microsoft Purview -tuotteen tietojen menetyksen esto (DLP) ilmoituksia Microsoft Defender portaalissa. Avoimet tapaukset & hälytyksiä>TapauksetMicrosoft Defender portaalin pikakäynnistyksessä. Tältä sivulta voit tehdä seuraavaa:
- Tarkastele kaikkia DLP-ilmoituksiasi tapahtumien ryhmiteltynä Microsoft Defender XDR tapausjonossa.
- Näytä älykkäät ratkaisujen väliset (DLP-MDE, DLP-MDO) ja ratkaisun sisäiset (DLP-DLP) korreloidut hälytykset yksittäisessä tapauksessa.
- Metsästää yhteensopivuuslokeja sekä turvallisuutta Advanced Huntingin alla.
- Käyttäjän, tiedoston ja laitteen järjestelmänvalvojan korjaustoiminnot.
- Liitä mukautetut tunnisteet DLP-tapauksiin ja suodata niiden mukaan.
- Suodata DLP-käytännön nimen, tunnisteen, päivämäärän, palvelulähteen, tapahtuman tilan ja käyttäjän mukaan yhdistetyssä tapausjonossa.
Vihje
Voit myös tuoda DLP-tapauksia sekä tapahtumia ja todisteita Microsoft Sentineliin tutkimusta ja korjausta varten Microsoft Sentinelin Microsoft Defender XDR-liittimellä.
Käyttöoikeusvaatimukset
Microsoft Defender-portaalin Microsoft Purview -tuotteen tietojen menetyksen esto tapahtumien tutkimista varten tarvitset käyttöoikeuden jostakin seuraavista tilauksista:
- Microsoft Office 365 E5/A5
- Microsoft 365 E5/A5
- Microsoft 365 E5/A5-yhteensopivuus
- Microsoft 365 E5/A5 Information Protection ja hallinto
Huomautus
Kun sinulla on käyttöoikeus ja olet oikeutettu tähän ominaisuuteen, DLP-ilmoitukset siirtyvät automaattisesti Microsoft Defender XDR. Jos et halua DLP-ilmoitusten virtaavan Defenderiin, avaa tukipyyntö, jos haluat poistaa tämän ominaisuuden käytöstä. Jos poistat tämän ominaisuuden käytöstä, DLP-ilmoitukset tulevat näkyviin Defender-portaalissa Office-ilmoitusten Microsoft Defender.
Roolit
Suosittelemme, että myönnät vain minimaaliset käyttöoikeudet hälytyksiin Microsoft Defender portaalissa. Voit luoda mukautetun roolin näillä rooleilla ja määrittää sen käyttäjille, joiden on tutkittava DLP-hälytykset.
Lupaa | Defender Alert -käyttöoikeus |
---|---|
Ilmoitusten hallinta | DLP + Suojaus |
View-Only ilmoitusten hallinta | DLP + Suojaus |
Information Protection analyytikko | Vain DLP |
DLP-yhteensopivuuden hallinta | Vain DLP |
View-Only DLP-vaatimustenmukaisuuden hallinta | Vain DLP |
Ennen aloittamista
Ota ilmoitukset käyttöön kaikille Microsoft Purview -yhteensopivuusportaali DLP-käytännöillesi.
Huomautus
Hallintayksiköiden rajoitukset kulkevat tietojen menetyksen estämisestä (DLP) Defender-portaaliin. Jos olet hallintayksikön rajoitettu järjestelmänvalvoja, näet vain hallintayksikkösi DLP-ilmoitukset.
DLP-ilmoitusten tutkiminen Microsoft Defender portaalissa
Avaa tapahtumat-sivu siirtymällä Microsoft Defender portaaliin ja valitsemalla vasemmanpuoleisessa siirtymisvalikossa Tapaukset.
Valitse Suodattimet oikeasta yläkulmasta ja valitse Palvelulähde: Tietojen menetyksen estäminen , jos haluat tarkastella kaikkia tapauksia, joissa on DLP-ilmoituksia. Tässä on muutamia esimerkkejä alisuodattimista, jotka ovat käytettävissä esikatselussa:
- käyttäjien ja laitteiden nimien mukaan
- (esikatselussa) Entiteetit-suodattimessa voit hakea tiedostonimiä, käyttäjänimiä, laitenimiä ja tiedostopolkuja.
- (esikatselussa) Tapahtumat-jonon >Hälytyskäytännöt> Hälytyskäytännön otsikko. Voit hakea DLP-käytännön nimeä.
Haku sinua kiinnostavien hälytysten ja tapausten DLP-käytännön nimeen.
Jos haluat tarkastella tapahtuman yhteenvetosivua, valitse tapaus jonosta. Vastaavasti voit tarkastella DLP-ilmoitussivua valitsemalla ilmoituksen.
Lisätietoja käytännöstä ja hälytyksessä havaituista luottamuksellisista tietotyypeistä on Ilmoitus-ruudussa. Valitse tapahtuma Liittyvät tapahtumat - osiosta, jotta näet käyttäjän toiminnan tiedot.
Tarkastele luottamuksellista sisältöä Luottamukselliset tietotyypit -välilehdessä ja tiedoston sisällössä Lähde-välilehdessä , jos sinulla on tarvittavat oikeudet (Katso lisätietoja täältä).
DLP-hälytystutkinnan laajentaminen kehittyneellä metsästyksellä
Kehittynyt metsästys on kyselypohjainen uhkien metsästystyökalu, jonka avulla voit tutkia jopa 30 päivän valvontalokeja käyttäjien, tiedostojen ja sijaintien tueksi tutkinnassasi. Voit ennakoivasti tarkastaa verkon tapahtumat, jotta voit paikantaa uhkailmaisimet ja entiteetit. Tietojen joustava käyttö mahdollistaa sekä tunnettujen että mahdollisten uhkien rajoittamattoman metsästyksen.
CloudAppEvents-taulukko sisältää kaikki valvontalokit kaikissa sijainneissa, kuten SharePoint, OneDrive, Exchange ja Laitteet.
Alkuvalmistelut
Jos olet uusi kehittynyt metsästys, sinun pitäisi tarkistaa Aloita kehittynyt metsästys.
Ennen kuin voit käyttää ennakkometsästystä, sinulla on oltava pääsy CloudAppEvents-taulukkoon, joka sisältää Microsoft Purview -tiedot.
Sisäänrakennettujen kyselyiden käyttäminen
Tärkeää
Tämä ominaisuus on esikatseluvaiheessa. Esiversio-ominaisuuksia ei ole tarkoitettu tuotantokäyttöön, ja niiden toimintoja on ehkä rajoitettu. Nämä ominaisuudet ovat käytettävissä ennen virallista julkaisua, jotta asiakkaat voivat käyttää niitä ennen virallista julkaisua ja antaa palautetta.
Defender-portaali tarjoaa useita sisäisiä kyselyitä, joiden avulla voit auttaa DLP-hälytystutkinnassa.
- Avaa tapahtumat-sivu siirtymällä Microsoft Defender portaaliin ja valitsemalla Tapaukset & hälytykset vasemmanpuoleisessa siirtymisvalikossa. Valitse Tapaukset.
- Valitse Suodattimet oikeasta yläkulmasta ja valitse Palvelulähde: Tietojen menetyksen estäminen , jos haluat tarkastella kaikkia tapauksia, joissa on DLP-ilmoituksia.
- Avaa DLP-tapaus.
- Valitse ilmoitus, jos haluat tarkastella siihen liittyviä tapahtumia.
- Valitse tapahtuma.
- Valitse tapahtuman tietoruudussa Go Hunt - ohjausobjekti.
- Defender näyttää luettelon sisäisistä kyselyistä, jotka liittyvät tapahtuman lähdesijaintiin. Jos tapahtuma on esimerkiksi SharePointista, näet
- Tiedosto, joka on jaettu
- Tiedostotoiminnot
- Sivuston toiminta
- Käyttäjän DLP-rikkomukset viimeisten 30 päivän aikana
- Defender näyttää luettelon sisäisistä kyselyistä, jotka liittyvät tapahtuman lähdesijaintiin. Jos tapahtuma on esimerkiksi SharePointista, näet
- Voit suorittaa kyselyn heti, muuttaa aika-aluetta, muokata kyselyä tai tallentaa sen myöhempää käyttöä varten.
- Kun suoritat kyselyn, tarkastele tuloksia Tulokset-välilehdellä.
Jos ilmoitus on sähköpostiviestiä varten, voit ladata viestin valitsemalla Toiminnot>Lataa sähköpostiviesti.
Jos ilmoitus koskee SharePoint Onlinessa tai One Drive for Businessissa olevaa tiedostoa, voit tehdä seuraavat toimet:
- Käytä säilytysotsikkoa
- Jaon poistaminen
- Poista
- Luottamuksellisuustunnisteen käyttäminen
- Lataa (tietojen luokituksen sisällön katseluohjelmarooli vaaditaan tätä toimintoa varten)
- Peruuta palaute
Valitse korjaustoimia varten Käyttäjä-kortti ilmoitussivun yläreunasta käyttäjätietojen avaamiseksi.
Jos kyseessä on Laitteiden DLP-ilmoitukset, valitse laitteen kortti hälytyssivun yläreunasta, jotta voit tarkastella laitteen tietoja ja suorittaa korjaustoimia laitteessa.
Siirry tapauksen yhteenvetosivulle ja valitse Tapahtuman hallinta , jos haluat lisätä tapahtumatunnisteita, määrittää tapahtuman tai ratkaista sen.
Aiheeseen liittyviä artikkeleita
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.