Adatvesztési incidensek vizsgálata a Microsoft 365 Defender

Megjegyzés:

Szeretne Microsoft 365 Defender tapasztalni? További információ arról, hogyan értékelheti ki és tesztelheti a Microsoft 365 Defender.

Érintett szolgáltatás:

  • Microsoft 365 Defender

A Microsoft Purview adatveszteség-megelőzés (DLP) incidensei mostantól az Microsoft 365 Defender portálon kezelhetők. A DLP-incidenseket és a biztonsági incidenseket az Incidensek riasztások Incidensek &lehetőséggel kezelheti a Microsoft 365 Defender portál gyors elindításával.> Ezen a lapon a következőt teheti:

  • Tekintse meg az összes DLP-riasztást incidensek alatt csoportosítva az Microsoft 365 Defender incidenssorában.
  • Tekintse meg az intelligens megoldásközi (DLP-MDE, DLP-MDO) és a megoldáson belüli (DLP-DLP) összekapcsolt riasztásokat egyetlen incidens alatt.
  • A Speciális veszélyforrás-keresés területen keresse meg a megfelelőségi naplókat és a biztonságot.
  • Helyszíni rendszergazdai szervizelési műveletek a felhasználón, a fájlon és az eszközön.
  • Egyéni címkéket társíthat DLP-incidensekhez, és szűrheti őket.
  • Szűrjön DLP-szabályzat neve, címke, dátum, szolgáltatásforrás, incidensállapot és felhasználó alapján az egyesített incidenssoron.

A Microsoft Sentinel Microsoft 365 Defender összekötőjével is lekérheti a DLP-incidenseket, valamint az eseményeket és a bizonyítékokat Microsoft Sentinelbe vizsgálat és szervizelés céljából.

Licencelési követelmények

A Microsoft 365 Defender portálon Microsoft Purview adatveszteség-megelőzés incidensek kivizsgálásához a következő előfizetések egyikéből származó licencre van szüksége:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 megfelelőség
  • Microsoft 365 E5/A5 biztonság
  • Microsoft 365 E5/A5 Information Protection és irányítás

Megjegyzés:

Ha rendelkezik licenccel és jogosult erre a funkcióra, a DLP-riasztások automatikusan Microsoft 365 Defender. Nyisson meg egy támogatási esetet, ha le szeretné tiltani ezt a funkciót.

DLP-vizsgálati élmény a Microsoft 365 Defender portálon

Mielőtt hozzákezd, kapcsolja be a riasztásokat az Microsoft Purview megfelelőségi portál összes DLP-házirendjéhez.

  1. Lépjen a Microsoft 365 Defender portálra, és válassza az Incidensek lehetőséget a bal oldali navigációs menüben az incidensek oldalának megnyitásához.

  2. A jobb felső sarokban válassza a Szűrők , majd a Szolgáltatásforrás: Adatveszteség-megelőzés lehetőséget az összes DLP-riasztással rendelkező incidens megtekintéséhez.

  3. Keresse meg az Önt érdeklő riasztások és incidensek DLP-szabályzatnevét.

  4. Az incidens összegzési oldalának megtekintéséhez válassza ki az incidenst az üzenetsorból. Ehhez hasonlóan válassza ki a riasztást a DLP-riasztás oldalának megtekintéséhez.

  5. Tekintse meg a riasztási történetet a szabályzattal és a riasztásban észlelt bizalmas információtípusokkal kapcsolatos részletekért. Válassza ki az eseményt a Kapcsolódó események szakaszban a felhasználói tevékenység részleteinek megtekintéséhez.

  6. Ha rendelkezik a szükséges engedéllyel, tekintse meg az egyező bizalmas tartalmat a Bizalmas adatok típusai lapon, valamint a Fájl tartalmát a Forrás lapon (részletek itt találhatók).

  7. A Speciális veszélyforrás-keresés funkcióval a felhasználó, a fájlok és a webhely helyei auditnaplóiban is kereshet a vizsgálathoz. A CloudAppEvents tábla minden olyan helyen tartalmazza az összes auditnaplót, mint a SharePoint, a OneDrive, az Exchange és az Eszközök.

  8. Az e-mailt a Műveletek>E-mail letöltése lehetőséget választva is letöltheti.

  9. Az SPO- vagy ODB-webhelyeken található fájlok szervizelési műveleteihez a következő műveletek láthatók:

    • Adatmegőrzési címke alkalmazása
    • Bizalmassági címke alkalmazása
    • Fájl megosztásának megszüntetése
    • Törlés

    A szervizelési műveletekhez válassza a felhasználói kártyát a riasztási oldal tetején a felhasználói adatok megnyitásához.

    Az Eszközök DLP-riasztásainál válassza ki a riasztási oldal tetején található eszközkártyát az eszköz részleteinek megtekintéséhez és az eszközön végrehajtandó szervizelési műveletekhez.

  10. Lépjen az incidens összefoglalási oldalára, és válassza az Incidens kezelése lehetőséget incidenscímkék hozzáadásához, incidens hozzárendeléséhez vagy megoldásához.

DLP-vizsgálati tapasztalat Microsoft Sentinelben

Az Microsoft Sentinel Microsoft 365 Defender-összekötőjével az összes DLP-incidenst importálhatja a Sentinelbe, így kiterjesztheti a korrelációt, az észlelést és a vizsgálatot más adatforrásokra, és kiterjesztheti az automatizált vezénylési folyamatokat a Sentinel natív SOAR-képességeivel.

  1. Kövesse az Adatok csatlakoztatása Microsoft 365 Defender-ból Microsoft Sentinelhez című cikk utasításait az összes incidens, köztük a DLP-incidensek és riasztások Sentinelbe való importálásához. Engedélyezze CloudAppEvents az esemény-összekötőt, hogy lekérje az összes O365-naplót a Sentinelbe.

    A fenti összekötő beállítása után látnia kell a DLP-incidenseket a Sentinelben.

  2. Válassza a Riasztások lehetőséget a riasztási oldal megtekintéséhez.

  3. Az AlertType, a startTime és az endTime használatával lekérdezheti a CloudAppEvents táblát a riasztáshoz hozzájáruló összes felhasználói tevékenység lekéréséhez. Ezzel a lekérdezésrel azonosíthatja az alapul szolgáló tevékenységeket:

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime