Adatveszteség-megelőzési riasztások vizsgálata a Microsoft Defender XDR-rel
Érintett szolgáltatás:
- Microsoft Defender XDR
A Microsoft Purview adatveszteség-megelőzés (DLP) riasztásokat a Microsoft Defender portálon kezelheti. Nyissa meg az Incidensek & riasztásokat>Incidensek a Microsoft Defender portál gyors üzembe helyezéséhez. Ezen a lapon a következőt teheti:
- Tekintse meg az összes DLP-riasztást az incidensek alatt csoportosítva az Microsoft Defender XDR incidenssorban.
- Az intelligens megoldásközi (DLP-MDE, DLP-MDO) és a megoldáson belüli (DLP-DLP) megoldások közötti riasztások megtekintése egyetlen incidens alatt.
- A Speciális veszélyforrás-keresés területen keresse meg a megfelelőségi naplókat és a biztonságot.
- Helyszíni rendszergazdai szervizelési műveletek a felhasználón, a fájlon és az eszközön.
- Egyéni címkéket társíthat DLP-incidensekhez, és szűrheti őket.
- Szűrjön DLP-szabályzat neve, címke, dátum, szolgáltatásforrás, incidensállapot és felhasználó alapján az egyesített incidenssoron.
Tipp
DLP-incidenseket, valamint eseményeket és bizonyítékokat is lekérhet a Microsoft Sentinelbe vizsgálat és szervizelés céljából a Microsoft Sentinel Microsoft Defender XDR összekötőjével.
Licencelési követelmények
A Microsoft Defender portálon Microsoft Purview adatveszteség-megelőzés incidensek kivizsgálásához a következő előfizetések egyikének licencére van szüksége:
- Microsoft Office 365 E5/A5
- Microsoft 365 E5/A5
- Microsoft 365 E5/A5 megfelelőség
- Microsoft 365 E5/A5 Information Protection és irányítás
Megjegyzés:
Ha rendelkezik licenccel és jogosult erre a funkcióra, a DLP-riasztások automatikusan Microsoft Defender XDR. Ha nem szeretné, hogy a DLP-riasztások bekerüljenek a Defenderbe, nyisson egy támogatási esetet a funkció letiltásához. Ha letiltja ezt a funkciót, a DLP-riasztások az Office-riasztások Microsoft Defender jelennek meg a Defender portálon.
Szerepkörök
Az ajánlott eljárás, hogy csak minimális engedélyeket adjon a riasztásokhoz a Microsoft Defender portálon. Létrehozhat egy egyéni szerepkört ezekkel a szerepkörökkel, és hozzárendelheti azokhoz a felhasználókhoz, akiknek ki kell vizsgálniuk a DLP-riasztásokat.
Engedély | Defender-riasztások elérése |
---|---|
Riasztások kezelése | DLP + biztonság |
riasztások View-Only kezelése | DLP + biztonság |
Information Protection analyst | Csak DLP |
DLP-megfelelőség kezelése | Csak DLP |
View-Only DLP megfelelőségkezelése | Csak DLP |
Mielőtt elkezdené
Kapcsolja be a riasztásokat az Microsoft Purview megfelelőségi portál összes DLP-házirendjéhez.
Megjegyzés:
A felügyeleti egységek korlátozásai az adatveszteség-megelőzésből (DLP) a Defender portálra kerülnek. Ha Ön korlátozott rendszergazda a felügyeleti egységben, akkor csak a felügyeleti egység DLP-riasztásai jelennek meg.
DLP-riasztások vizsgálata a Microsoft Defender portálon
Lépjen a Microsoft Defender portálra, és válassza az Incidensek lehetőséget a bal oldali navigációs menüben az incidensek oldalának megnyitásához.
A jobb felső sarokban válassza a Szűrők , majd a Szolgáltatásforrás: Adatveszteség-megelőzés lehetőséget az összes DLP-riasztással rendelkező incidens megtekintéséhez. Íme néhány példa az előzetes verzióban elérhető alszűrőkre:
- felhasználó- és eszköznevek szerint
- (előzetes verzió) Az Entitások szűrőben kereshet fájlnevekben, felhasználónevekben, eszköznevekben és fájlelérési utakban.
- (előzetes verzió) Az Incidensek várólistán> riasztási szabályzatok> Riasztási szabályzat címe. A DLP-szabályzat nevére kereshet.
Keresés az Önt érdeklő riasztások és incidensek DLP-szabályzatnevét.
Az incidens összegzési oldalának megtekintéséhez válassza ki az incidenst az üzenetsorból. Ehhez hasonlóan válassza ki a riasztást a DLP-riasztás oldalának megtekintéséhez.
Tekintse meg a riasztási történetet a szabályzattal és a riasztásban észlelt bizalmas információtípusokkal kapcsolatos részletekért. Válassza ki az eseményt a Kapcsolódó események szakaszban a felhasználói tevékenység részleteinek megtekintéséhez.
Ha rendelkezik a szükséges engedéllyel, tekintse meg az egyező bizalmas tartalmat a Bizalmas adatok típusai lapon, valamint a Fájl tartalmát a Forrás lapon (részletek itt találhatók).
DLP-riasztás vizsgálatának kiterjesztése speciális veszélyforrás-kereséssel
A speciális veszélyforrás-keresés egy lekérdezésalapú veszélyforrás-keresési eszköz, amellyel akár 30 napnyi naplót is megvizsgálhat a felhasználókról, fájlokról és helyekről, hogy segítséget nyújtson a vizsgálathoz. Proaktívan megvizsgálhatja a hálózat eseményeit a fenyegetésjelzők és entitások megkereséséhez. Az adatokhoz való rugalmas hozzáférés lehetővé teszi az ismert és a potenciális fenyegetések korlátozás nélküli keresését.
A CloudAppEvents tábla minden olyan helyen tartalmazza az összes auditnaplót, mint a SharePoint, a OneDrive, az Exchange és az Eszközök.
Az első lépések
Ha még csak most ismerkedik a speciális veszélyforrás-kereséssel, tekintse át az Ismerkedés a speciális veszélyforrás-kereséssel című témakört.
Az előzetes veszélyforrás-keresés használatához hozzáféréssel kell rendelkeznie a Microsoft Purview-adatokat tartalmazó CloudAppEvents táblához .
Beépített lekérdezések használata
Fontos
Ez a funkció előzetes verzióban érhető el. Az előzetes verziójú funkciók nem éles használatra szolgálnak, és korlátozott funkciókkal rendelkezhetnek. Ezek a funkciók a hivatalos kiadás előtt érhetők el, így az ügyfelek korai hozzáférést kaphatnak, és visszajelzést küldhetnek.
A Defender portál több beépített lekérdezést is kínál, amelyekkel segíthet a DLP-riasztások vizsgálatában.
- Lépjen a Microsoft Defender portálra, és válassza az Incidensek & riasztások lehetőséget a bal oldali navigációs menüben az incidensek oldalának megnyitásához. Válassza az Incidensek lehetőséget.
- A jobb felső sarokban válassza a Szűrők , majd a Szolgáltatásforrás: Adatveszteség-megelőzés lehetőséget az összes DLP-riasztással rendelkező incidens megtekintéséhez.
- Nyisson meg egy DLP-incidenst.
- Válassza ki a riasztást a kapcsolódó események megtekintéséhez.
- Válasszon ki egy eseményt.
- Az esemény részleteit tartalmazó panelen válassza a Go Hunt vezérlőt.
- A Defender megjeleníti az esemény forráshelyéhez kapcsolódó beépített lekérdezések listáját. Ha például az esemény a SharePointból származik, a következőt látja:
- A fájl megosztva ezzel:
- Fájltevékenységek
- Webhelytevékenység
- Felhasználói DLP-szabálysértések az elmúlt 30 napban
- A Defender megjeleníti az esemény forráshelyéhez kapcsolódó beépített lekérdezések listáját. Ha például az esemény a SharePointból származik, a következőt látja:
- Választhatja a Lekérdezés azonnali futtatása lehetőséget, módosíthatja az időtartományt, szerkesztheti vagy mentheti a lekérdezést későbbi használatra.
- A lekérdezés futtatása után tekintse meg az eredményeket az Eredmények lapon.
Ha a riasztás egy e-mailhez tartozik, az e-mail letöltéséhez válassza a Műveletek>E-mail letöltése lehetőséget.
Ha a riasztás a SharePoint Online-ban vagy a OneDrive Vállalati verzióban lévő fájlra vonatkozó, az alábbi műveleteket hajthatja végre:
- Adatmegőrzési címke alkalmazása
- Osztatlan
- Törlés
- Bizalmassági címke alkalmazása
- Letöltés (ehhez a művelethez adatbesorolási tartalommegjelenítő szerepkör szükséges)
- Visszajelzés visszavonása
A szervizelési műveletekhez válassza a felhasználói kártyát a riasztási oldal tetején a felhasználói adatok megnyitásához.
Az Eszközök DLP-riasztásainál válassza ki a riasztási oldal tetején található eszközkártyát az eszköz részleteinek megtekintéséhez és az eszközön végrehajtandó szervizelési műveletekhez.
Lépjen az incidens összefoglalási oldalára, és válassza az Incidens kezelése lehetőséget incidenscímkék hozzáadásához, incidens hozzárendeléséhez vagy megoldásához.
Kapcsolódó cikkek
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.