Analizzare gli eventi imprevisti di perdita di dati con Microsoft 365 Defender

  • Articolo
  • 4 minuti per la lettura

Nota

Vuoi provare Microsoft 365 Defender? Altre informazioni su come valutare e pilotare Microsoft 365 Defender.

Si applica a:

  • Microsoft 365 Defender

Gli eventi imprevisti per Prevenzione della perdita dei dati Microsoft Purview (DLP) possono ora essere gestiti nel portale di Microsoft 365 Defender. È possibile gestire gli eventi imprevisti DLP insieme agli eventi imprevisti di sicurezza da Eventi imprevisti &Eventi imprevisti> all'avvio rapido del portale di Microsoft 365 Defender. Da questa pagina è possibile:

  • Visualizzare tutti gli avvisi DLP raggruppati in eventi imprevisti nella coda degli eventi imprevisti Microsoft 365 Defender.
  • Visualizzare avvisi correlati tra soluzioni intelligenti (DLP-MDE, DLP-MDO) e all'interno della soluzione (DLP-DLP) in un singolo evento imprevisto.
  • Cercare i log di conformità insieme alla sicurezza in Ricerca avanzata.
  • Azioni di correzione dell'amministratore sul posto su utente, file e dispositivo.
  • Associare tag personalizzati agli eventi imprevisti DLP e filtrarli in base a essi.
  • Filtrare in base al nome del criterio DLP, al tag, alla data, all'origine del servizio, allo stato dell'evento imprevisto e all'utente nella coda unificata degli eventi imprevisti.

È anche possibile usare il connettore Microsoft 365 Defender in Microsoft Sentinel per eseguire il pull di eventi imprevisti DLP insieme a eventi e prove in Microsoft Sentinel per l'analisi e la correzione.

Requisiti di licenza

Per analizzare Prevenzione della perdita dei dati Microsoft Purview eventi imprevisti nel portale di Microsoft 365 Defender, è necessaria una licenza da una delle sottoscrizioni seguenti:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 (E5/A5)
  • Conformità di Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 Security
  • Microsoft 365 E5/A5 Information Protection and Governance

Nota

Quando si ha una licenza e si è idonei per questa funzionalità, gli avvisi DLP verranno automaticamente visualizzati in Microsoft 365 Defender. Aprire un caso di supporto se si vuole disabilitare questa funzionalità.

Esperienza di analisi DLP nel portale di Microsoft 365 Defender

Prima di iniziare, attivare gli avvisi per tutti i criteri DLP nel Portale di conformità di Microsoft Purview.

  1. Passare al portale di Microsoft 365 Defender e selezionare Eventi imprevisti nel menu di spostamento a sinistra per aprire la pagina eventi imprevisti.

  2. Selezionare Filtri in alto a destra e scegliere Origine servizio : Prevenzione della perdita dei dati per visualizzare tutti gli eventi imprevisti con avvisi DLP.

  3. Cercare il nome dei criteri DLP degli avvisi e degli eventi imprevisti a cui si è interessati.

  4. Per visualizzare la pagina di riepilogo degli eventi imprevisti, selezionare l'evento imprevisto dalla coda. Analogamente, selezionare l'avviso per visualizzare la pagina dell'avviso DLP.

  5. Visualizzare la storia Avviso per informazioni dettagliate sui criteri e sui tipi di informazioni sensibili rilevati nell'avviso. Selezionare l'evento nella sezione Eventi correlati per visualizzare i dettagli dell'attività utente.

  6. Visualizzare il contenuto sensibile corrispondente nella scheda Tipi di informazioni sensibili e il contenuto del file nella scheda Origine se si dispone dell'autorizzazione necessaria (vedere i dettagli qui).

  7. È anche possibile usare Ricerca avanzata per eseguire ricerche nei log di controllo di utenti, file e posizioni del sito per l'analisi. La tabella CloudAppEvents contiene tutti i log di controllo in tutte le posizioni, ad esempio SharePoint, OneDrive, Exchange e Dispositivi.

  8. È anche possibile scaricare il messaggio di posta elettronica selezionando Azioni>Scarica messaggio di posta elettronica.

  9. Per azioni di correzione sui file nei siti SPO o ODB, è possibile visualizzare azioni come:

    • Applicare l'etichetta di conservazione
    • Applicare l'etichetta di riservatezza
    • Annullare la condivisione del file
    • Elimina

    Per le azioni di correzione, selezionare la scheda Utente nella parte superiore della pagina di avviso per aprire i dettagli dell'utente.

    Per Avvisi DLP dei dispositivi, selezionare la scheda del dispositivo nella parte superiore della pagina di avviso per visualizzare i dettagli del dispositivo ed eseguire azioni correttive nel dispositivo.

  10. Passare alla pagina di riepilogo degli eventi imprevisti e selezionare Gestisci evento imprevisto per aggiungere tag, assegnare o risolvere un evento imprevisto.

Importante

La prevenzione della perdita dei dati supporta l'associazione di criteri DLP e la gestione degli avvisi alle unità amministrative nel Portale di conformità di Microsoft Purview (anteprima). Gli avvisi DLP sono disponibili solo per gli amministratori DLP senza restrizioni nel portale di Microsoft 365 Defender. L'amministratore DLP con restrizioni dell'unità amministrativa non visualizzerà gli avvisi DLP. Per informazioni dettagliate sull'implementazione, vedere Unità amministrative . Per informazioni dettagliate sull'ambito delle unità amministrative, vedere Ambito dei criteri.

Esperienza di indagine DLP in Microsoft Sentinel

È possibile usare il connettore Microsoft 365 Defender in Microsoft Sentinel per importare tutti gli eventi imprevisti DLP in Sentinel per estendere la correlazione, il rilevamento e l'analisi tra altre origini dati ed estendere i flussi di orchestrazione automatizzati usando le funzionalità soar native di Sentinel.

  1. Seguire le istruzioni su Connettere i dati da Microsoft 365 Defender a Microsoft Sentinel per importare tutti gli eventi imprevisti, inclusi gli eventi imprevisti E gli avvisi DLP in Sentinel. Abilitare CloudAppEvents il connettore eventi per eseguire il pull di tutti i log di controllo di O365 in Sentinel.

    Dovrebbe essere possibile visualizzare gli eventi imprevisti di prevenzione della perdita dei dati in Sentinel dopo aver configurato il connettore precedente.

  2. Selezionare Avvisi per visualizzare la pagina dell'avviso.

  3. È possibile usare AlertType, startTime e endTime per eseguire query sulla tabella CloudAppEvents per ottenere tutte le attività utente che hanno contribuito all'avviso. Usare questa query per identificare le attività sottostanti:

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime