Analizzare gli avvisi di prevenzione della perdita dei dati con Microsoft Defender XDR
Nota
Vuoi provare Microsoft Defender XDR? Altre informazioni su come valutare e pilotare Microsoft Defender XDR.
Si applica a:
- Microsoft Defender XDR
È possibile gestire gli avvisi Prevenzione della perdita dei dati Microsoft Purview (DLP) nel portale di Microsoft Defender. Aprire Eventi imprevisti & avvisiEventi imprevisti> all'avvio rapido del portale di Microsoft Defender. Da questa pagina è possibile:
- Visualizzare tutti gli avvisi DLP raggruppati in eventi imprevisti nella coda degli eventi imprevisti Microsoft Defender XDR.
- Visualizzare gli avvisi correlati tra soluzioni intelligenti (DLP-MDE, DLP-MDO) e intra-solution (DLP-DLP) in un singolo evento imprevisto.
- Cercare i log di conformità insieme alla sicurezza in Ricerca avanzata.
- Azioni di correzione dell'amministratore sul posto su utente, file e dispositivo.
- Associare tag personalizzati agli eventi imprevisti DLP e filtrarli in base a essi.
- Filtrare in base al nome del criterio DLP, al tag, alla data, all'origine del servizio, allo stato dell'evento imprevisto e all'utente nella coda unificata degli eventi imprevisti.
Consiglio
È anche possibile eseguire il pull di eventi imprevisti DLP insieme a eventi ed evidenze in Microsoft Sentinel per l'analisi e la correzione con il connettore Microsoft Defender XDR in Microsoft Sentinel.
Requisiti di licenza
Per analizzare Prevenzione della perdita dei dati Microsoft Purview eventi imprevisti nel portale di Microsoft Defender, è necessaria una licenza da una delle sottoscrizioni seguenti:
- Microsoft Office 365 E5/A5
- Microsoft 365 (E5/A5)
- Conformità di Microsoft 365 E5/A5
- Microsoft 365 E5/A5 Information Protection and Governance
Nota
Quando si ha una licenza e si è idonei per questa funzionalità, gli avvisi DLP verranno automaticamente visualizzati in Microsoft Defender XDR. Se non si vuole che gli avvisi DLP vengano inviati a Defender, aprire un caso di supporto per disabilitare questa funzionalità. Se si disabilita questa funzionalità, gli avvisi DLP verranno visualizzati nel portale di Defender come Microsoft Defender per gli avvisi di Office.
Ruoli
È consigliabile concedere solo autorizzazioni minime agli avvisi nel portale di Microsoft Defender. È possibile creare un ruolo personalizzato con questi ruoli e assegnarlo agli utenti che devono analizzare gli avvisi DLP.
| Autorizzazione | Accesso agli avvisi di Defender |
|---|---|
| Gestione avvisi | Prevenzione della perdita dei dati e sicurezza |
| View-Only Gestire gli avvisi | Prevenzione della perdita dei dati e sicurezza |
| Analista di Information Protection | Solo DLP |
| Gestione della conformità DLP | Solo DLP |
| View-Only gestione della conformità DLP | Solo DLP |
Prima di iniziare
Attivare gli avvisi per tutti i criteri di prevenzione della perdita dei dati nel Portale di conformità di Microsoft Purview.
Nota
Le restrizioni relative alle unità amministrative passano dalla prevenzione della perdita dei dati (DLP) al portale di Defender. Se si è un amministratore con restrizioni dell'unità amministrativa, verranno visualizzati solo gli avvisi DLP per l'unità amministrativa.
Analizzare gli avvisi DLP nel portale di Microsoft Defender
Passare al portale di Microsoft Defender e selezionare Eventi imprevisti nel menu di spostamento a sinistra per aprire la pagina eventi imprevisti.
Selezionare Filtri in alto a destra e scegliere Origine servizio : Prevenzione della perdita dei dati per visualizzare tutti gli eventi imprevisti con avvisi DLP. Ecco alcuni esempi dei filtri secondari disponibili in anteprima:
- in base ai nomi degli utenti e dei dispositivi
- (in anteprima) Nel filtro Entità è possibile cercare nomi di file, utenti, nomi di dispositivo e percorsi di file.
- (in anteprima) Nel titolo Criteri di avviso> della coda >Eventi imprevisti Criteri di avviso. È possibile eseguire ricerche nel nome dei criteri DLP.
Search per il nome dei criteri DLP degli avvisi e degli eventi imprevisti a cui si è interessati.
Per visualizzare la pagina di riepilogo degli eventi imprevisti, selezionare l'evento imprevisto dalla coda. Analogamente, selezionare l'avviso per visualizzare la pagina dell'avviso DLP.
Per informazioni dettagliate sui criteri e sui tipi di informazioni sensibili rilevati nell'avviso, vedere la storia Avviso . Selezionare l'evento nella sezione Eventi correlati per visualizzare i dettagli dell'attività utente.
Visualizzare il contenuto sensibile corrispondente nella scheda Tipi di informazioni sensibili e il contenuto del file nella scheda Origine se si dispone dell'autorizzazione necessaria (vedere i dettagli qui).
Estendere l'analisi degli avvisi DLP con la ricerca avanzata
La ricerca avanzata è uno strumento di ricerca delle minacce basato su query che consente di esplorare fino a 30 giorni di log di controllo di utenti, file e posizioni del sito per facilitare l'analisi. È possibile controllare in modo proattivo eventi nella rete per localizzare indicatori ed entità di minaccia. L'accesso flessibile ai dati consente la ricerca senza vincoli di minacce sia note che potenziali.
La tabella CloudAppEvents contiene tutti i log di controllo in tutte le posizioni, ad esempio SharePoint, OneDrive, Exchange e Dispositivi.
Prima di iniziare
Se non si ha familiarita' con la ricerca avanzata, è consigliabile consultare Introduzione alla ricerca avanzata.
Prima di poter usare la ricerca avanzata, è necessario avere accesso alla tabella CloudAppEvents che contiene i dati di Microsoft Purview.
Uso di query predefinite
Importante
Questa funzionalità è disponibile in anteprima. Le funzionalità di anteprima non sono destinate all'uso in produzione e possono avere funzionalità limitate. Queste funzionalità sono disponibili prima di una versione ufficiale, in modo che i clienti possano ottenere l'accesso anticipato e fornire commenti e suggerimenti.
Il portale di Defender offre più query predefinite che è possibile usare per facilitare l'analisi degli avvisi DLP.
- Passare al portale di Microsoft Defender e selezionare Eventi imprevisti & avvisi nel menu di spostamento a sinistra per aprire la pagina degli eventi imprevisti. Selezionare Eventi imprevisti.
- Selezionare Filtri in alto a destra e scegliere Origine servizio : Prevenzione della perdita dei dati per visualizzare tutti gli eventi imprevisti con avvisi DLP.
- Aprire un evento imprevisto DLP.
- Selezionare un avviso per visualizzare gli eventi associati.
- Selezionare un evento.
- Nel riquadro dei dettagli dell'evento selezionare il controllo Go Hunt .
- Defender mostra un elenco di query predefinite rilevanti per la posizione di origine dell'evento. Ad esempio, se l'evento proviene da SharePoint, viene visualizzato
- File condiviso con
- Attività di file
- Attività del sito
- Violazioni della prevenzione della perdita dei dati degli utenti negli ultimi 30 giorni
- Defender mostra un elenco di query predefinite rilevanti per la posizione di origine dell'evento. Ad esempio, se l'evento proviene da SharePoint, viene visualizzato
- È possibile scegliere di eseguire immediatamente la query, modificare l'intervallo di tempo, modificare o salvare la query per usarla in un secondo momento.
- Dopo aver eseguito la query, visualizzare i risultati nella scheda Risultati .
Se l'avviso è relativo a un messaggio di posta elettronica, è possibile scaricare il messaggio selezionando Azioni>Scarica messaggio di posta elettronica.
Se l'avviso è relativo a un file in SharePoint Online o One Drive for Business, è possibile eseguire queste azioni:
- Applicare l'etichetta di conservazione
- Annulla condivisione
- Elimina
- Applicare l'etichetta di riservatezza
- Download (per questa azione è necessario il ruolo visualizzatore del contenuto di classificazione dei dati )
- Ritirare i commenti e suggerimenti
Per le azioni di correzione, selezionare la scheda Utente nella parte superiore della pagina di avviso per aprire i dettagli dell'utente.
Per Avvisi DLP dispositivi, selezionare la scheda del dispositivo nella parte superiore della pagina di avviso per visualizzare i dettagli del dispositivo ed eseguire azioni correttive nel dispositivo.
Passare alla pagina di riepilogo degli eventi imprevisti e selezionare Gestisci evento imprevisto per aggiungere tag, assegnare o risolvere un evento imprevisto.
Articoli correlati
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per