שתף באמצעות

חקור התראות של מניעת אובדן נתונים באמצעות Microsoft Defender XDR

  • מאמר

חל על:

  • Microsoft Defender XDR

באפשרותך לנהל מניעת אובדן נתונים ב- Microsoft Purview (DLP) בפורטל Microsoft Defender שלך. פתח את & התראות>אירועים בהפעלה המהירה של Microsoft Defender הפורטל. בדף זה, באפשרותך:

  • הצג את כל התראות DLP המ מקובצות תחת אירועים Microsoft Defender XDR האירועים.
  • הצג התראות מתאם בין-פתרון חכם (DLP-MDE, DLP-MDO) ואינטרא-פתרון (DLP-DLP) תחת מקרה יחיד.
  • חפש יומני תאימות יחד עם אבטחה תחת 'ציד מתקדם'.
  • פעולות תיקון מנהל מערכת במקום במשתמש, בקובץ ובמכשיר.
  • שייך תגיות מותאמות אישית למקרי DLP וסנן לפיהם.
  • סנן לפי שם מדיניות DLP, תג, תאריך, מקור שירות, מצב אירוע ומשתמש בתור האירועים המאוחד.

עצה

באפשרותך גם למשוך מקרי DLP יחד עם אירועים וראיות לתוך Microsoft Sentinel לבדיקה ותיקון עם Microsoft Defender XDR המחבר ב- Microsoft Sentinel.

דרישות רישוי

כדי לבדוק מניעת אובדן נתונים ב- Microsoft Purview האירועים בפורטל Microsoft Defender, דרוש לך רשיון באחד המנויים הבאים:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 תאימות
  • Microsoft 365 E5/A5 Information Protection ופיקוח

הערה

כאשר אתה ברשיון וזכאי לתכונה זו, התראות DLP יזרום באופן אוטומטי אל Microsoft Defender XDR. אם אינך מעוניין שהתראות DLP יזרום אל Defender, פתח מקרה תמיכה כדי להפוך תכונה זו ללא זמינה. אם תהפוך תכונה זו ללא זמינה, התראות DLP יופיעו בפורטל Defender Microsoft Defender עבור התראות Office.

תפקידי

מומלץ להעניק הרשאות מינימליות רק להתראות בפורטל Microsoft Defender. באפשרותך ליצור תפקיד מותאם אישית עם תפקידים אלה ולהקצות אותו למשתמשים שצריכים לחקור התראות DLP.

הרשאה גישה להתראה של Defender
ניהול התראות DLP + אבטחה
View-Only ניהול התראות DLP + אבטחה
Information Protection אנליסט DLP בלבד
ניהול תאימות DLP DLP בלבד
View-Only תאימות DLP של View-Only DLP בלבד

לפני שתתחיל

הפעל התראות עבור כל פריטי המדיניות של DLPפורטל התאימות של Microsoft Purview.

הערה

הגבלות יחידות ניהוליות זורמות ממניעת אובדן נתונים (DLP) לפורטל Defender. אם אתה מנהל מערכת מוגבל ליחידה מנהלית, תראה רק את התראות DLP עבור היחידה הניהולית שלך.

בדוק התראות DLP בפורטל Microsoft Defender שלך

  1. עבור אל Microsoft Defender ובחר אירועים בתפריט הניווט הימני כדי לפתוח את דף האירועים.

  2. בחר מסננים בחלק השמאלי העליון ובחר מקור שירות : מניעת אובדן נתונים כדי להציג את כל האירועים עם התראות DLP. להלן כמה דוגמאות של מסננים המשנה הזמינים בתצוגה מקדימה:

    1. לפי שמות משתמשים ומכשירים
    2. (בתצוגה מקדימה) במסנן ישויות , באפשרותך לחפש לפי שמות קבצים, שמות משתמשים, שמות מכשירים נתייבי קבצים.
    3. (בתצוגה מקדימה) בכותרת מדיניות התראה של >התראות בתור> אירועים. באפשרותך לחפש בשם מדיניות DLP.

  3. חיפוש עבור שם מדיניות DLP של ההתראות ותקריות שמעניינים אותך.

  4. כדי להציג את דף סיכום האירוע, בחר את האירוע מהתור. באופן דומה, בחר את ההתראה כדי להציג את דף ההתראה של DLP.

  5. הצג את הכתבה התראה לקבלת פרטים אודות מדיניות וסוגי המידע הרגיש שזוהו בהתראה. בחר את האירוע במקטע אירועים קשורים כדי לראות את פרטי פעילות המשתמש.

  6. הצג את התוכן הרגיש התואם בכרטיסיה סוגי מידע רגיש ואת תוכן הקובץ בכרטיסיה מקור אם יש לך הרשאה נדרשת (ראה פרטים כאן).

הארך את חקירת התראת DLP באמצעות ציד מתקדם

ציד מתקדם הוא כלי מבוסס שאילתות לציד איומים המאפשר לך לחקור עד 30 יום של יומני ביקורת של משתמשים, קבצים ואת מיקומי אתרים כדי לסייע בחקירה שלך. באפשרותך לבדוק באופן יזום אירועים ברשת שלך כדי לאתר מחווני איומים וישויות. הגישה הגמישה לנתונים מאפשרת ציד לא מוגבל הן עבור איומים ידועים והן עבור איומים פוטנציאליים.

הטבלה CloudAppEvents מכילה את כל יומני הביקורת בכל המיקומים, כגון SharePoint, OneDrive, Exchange והתקנים.

לפני שתתחיל

אם אתה חדש בחיפוש מתקדם, עיין בנושא תחילת העבודה עם ציד מתקדם.

כדי שתוכל להשתמש בחיפוש מראש, דרושה לך גישה לטבלה CloudAppEvents המכילה את נתוני Microsoft Purview.

שימוש בשאילתות מוכללות

חשוב

תכונה זו נמצאת בתצוגה מקדימה. תכונות תצוגה מקדימה אינן מיועדות לשימוש בייצור וייתכן שיש בהן פונקציונליות מוגבלת. תכונות אלה זמינות לפני ההפצה הרשמית כדי שלקוחות יוכלו לקבל גישה מוקדמת ולספק משוב.

הפורטל של Defender מציע שאילתות מוכללות מרובות שניתן להשתמש בהן כדי לסייע בחקירה של התראת DLP.

  1. עבור לפורטל Microsoft Defender ובחר מקרים & בתפריט הניווט הימני כדי לפתוח את דף האירועים. בחר אירועים.
  2. בחר מסננים בחלק השמאלי העליון ובחר מקור שירות : מניעת אובדן נתונים כדי להציג את כל האירועים עם התראות DLP.
  3. פתח מקרה DLP.
  4. בחר בהתראה כדי להציג את האירועים המשויכים לה.
  5. בחר אירוע.
  6. בחלונית פרטי האירוע, בחר את הפקד Go Hunt .
    1. Defender מציג רשימה של שאילתות מוכללות הרלוונטיות למיקום המקור של האירוע. לדוגמה, אם האירוע הוא מ- SharePoint, תראה
      1. קובץ משותף עם
      2. פעילויות קובץ
      3. פעילות אתר
      4. הפרות DLP של משתמש עבור 30 הימים האחרונים
  7. באפשרותך לבחור להפעיל שאילתה באופן מיידי , לשנות את טווח הזמן, לערוך או לשמור את השאילתה לשימוש עתידי.
  8. לאחר הפעלת השאילתה, הצג את התוצאות בכרטיסיה תוצאות.

אם ההתראה היא עבור הודעת דואר אלקטרוני, באפשרותך להוריד את ההודעה על-ידי בחירת פעולות הורד דואר>אלקטרוני.

אם ההתראה מיועדת לקובץ ב- SharePoint Online או ב- One Drive for Business, באפשרותך לבצע פעולות אלה:

  • החלת תווית שמירה
  • השיתוף
  • למחוק
  • החלת תווית רגישות
  • הורדה (נדרש תפקיד מציג תוכן של סיווג נתונים עבור פעולה זו)
  • משיכת משוב

לפעולות תיקון, בחר את כרטיס המשתמש בחלק העליון של דף ההתראה כדי לפתוח את פרטי המשתמש.

עבור התראות DLP של מכשירים, בחר את כרטיס המכשיר בחלק העליון של דף ההתראה כדי להציג את פרטי המכשיר ולבצע פעולות תיקון במכשיר.

עבור אל דף סיכום האירוע ובחר נהל אירוע כדי להוסיף תגיות מקרה, להקצות או לפתור מקרה.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.