Varslingspolicyer i Microsoft 365
Du kan bruke varslingspolicyer og varselinstrumentbordet i Microsoft Purview-samsvarsportal eller Microsoft 365 Defender-portalen til å opprette varslingspolicyer og deretter vise varslene som genereres når brukere utfører aktiviteter som samsvarer med betingelsene for en varslingspolicy. Det finnes flere standard varslingspolicyer som hjelper deg med å overvåke aktiviteter som å tilordne administratorrettigheter i Exchange Online, angrep fra skadelig programvare, phishing-kampanjer og uvanlige nivåer av filslettinger og ekstern deling.
Tips
Gå til delen Standard varslingspolicyer i denne artikkelen for å få en liste over og beskrivelser av de tilgjengelige varslingspolicyene.
Med varslingspolicyer kan du kategorisere varsler som utløses av en policy, bruke policyen for alle brukere i organisasjonen, angi et terskelnivå for når et varsel utløses, og bestemme om du vil motta e-postvarsler når varsler utløses. Det finnes også en varslingsside der du kan vise og filtrere varsler, angi en varslingsstatus for å hjelpe deg med å behandle varsler, og deretter avvise varsler etter at du har adressert eller løst den underliggende hendelsen.
Obs!
Varslingspolicyer er tilgjengelige for organisasjoner med et abonnement på Microsoft 365 Enterprise, Office 365 Enterprise eller Office 365 US Government E1/F1/G1, E3/F3/G3 eller E5/G5. Avansert funksjonalitet er bare tilgjengelig for organisasjoner med et E5/G5-abonnement, eller for organisasjoner som har et E1/F1/G1- eller E3/F3/G3-abonnement og en Microsoft Defender for Office 365 P2 eller en Microsoft 365 E5 Compliance eller et E5 eDiscovery- og Audit-tilleggsabonnement. Funksjonaliteten som krever et E5/G5- eller tilleggsabonnement, er uthevet i dette emnet. Vær også oppmerksom på at varslingspolicyer er tilgjengelige i Office 365 GCC-, GCC High- og DoD US Government-miljøer.
Tips
Hvis du ikke er en E5-kunde, kan du bruke den 90-dagers prøveversjonen av Microsoft Purview-løsninger til å utforske hvordan flere Purview-funksjoner kan hjelpe organisasjonen med å administrere datasikkerhet og samsvarsbehov. Start nå på Microsoft Purview-samsvarsportal trials hub. Lær mer om registrering og prøveabonnementer.
Slik fungerer varslingspolicyer
Her er en rask oversikt over hvordan varslingspolicyer fungerer og hvilke varsler som utløses når bruker- eller administratoraktivitet samsvarer med betingelsene for en varslingspolicy.
En administrator i organisasjonen oppretter, konfigurerer og aktiverer en varslingspolicy ved hjelp av siden varselpolicyer i samsvarsportalen eller Microsoft 365 Defender-portalen. Du kan også opprette varselpolicyer ved hjelp av cmdleten New-ProtectionAlert i PowerShell for sikkerhetssamsvar & .
Hvis du vil opprette varselpolicyer, må du være tilordnet rollen Behandle varsler eller Organisasjonskonfigurasjon i samsvarsportalen eller Defender-portalen.
Obs!
Det tar opptil 24 timer etter at du har opprettet eller oppdatert en varslingspolicy før varsler kan utløses av policyen. Dette er fordi policyen må synkroniseres til varslingsregistreringsmotoren.
En bruker utfører en aktivitet som samsvarer med betingelsene for en varslingspolicy. Når det gjelder angrep fra skadelig programvare, utløser infiserte e-postmeldinger som sendes til brukere i organisasjonen, et varsel.
Microsoft 365 genererer et varsel som vises på Varsler-siden i samsvarsportalen eller Defender-portalen. Hvis e-postvarsler er aktivert for varslingspolicyen, sender Microsoft også et varsel til en liste over mottakere. Varslene om at en administrator eller andre brukere kan se at på Varsler-siden bestemmes av rollene som er tilordnet brukeren. Hvis du vil ha mer informasjon, kan du se RBAC-tillatelser som kreves for å vise varsler.
En administrator administrerer varsler i Microsoft Purview-samsvarsportal. Behandling av varsler består av å tilordne en varslingsstatus for å hjelpe med å spore og administrere eventuelle undersøkelser.
Innstillinger for varslingspolicy
En varslingspolicy består av et sett med regler og betingelser som definerer bruker- eller administratoraktiviteten som genererer et varsel, en liste over brukere som utløser varselet hvis de utfører aktiviteten, og en terskel som definerer hvor mange ganger aktiviteten må forekomme før et varsel utløses. Du kategoriserer også policyen og tilordner den et alvorlighetsnivå. Disse to innstillingene hjelper deg med å administrere varslingspolicyer (og varslene som utløses når policybetingelsene samsvarer) fordi du kan filtrere etter disse innstillingene når du administrerer policyer og viser varsler i Microsoft Purview-samsvarsportal. Du kan for eksempel vise varsler som samsvarer med betingelsene fra samme kategori, eller vise varsler med samme alvorlighetsgrad.
Slik viser og oppretter du varslingspolicyer:
Microsoft Purview-samsvarsportal:
Gå til samsvarsportalen, og velg policyerfor varselpolicyer> forpolicyer>.
Microsoft 365 Defender portal:
Gå til Microsoft 365 Defender-portalen, og velg policyer &forvarslingspolicy> under E-postsamarbeid&. Alternativt kan du gå direkte til https://security.microsoft.com/alertpolicies.
Obs!
Du må være tilordnet rollen View-Only Behandle varsler for å vise varslingspolicyer i Microsoft Purview-samsvarsportal eller Microsoft 365 Defender-portalen. Du må være tilordnet rollen Behandle varsler for å opprette og redigere varslingspolicyer. Hvis du vil ha mer informasjon, kan du se Tillatelser i Microsoft Purview-samsvarsportal.
En varslingspolicy består av følgende innstillinger og betingelser.
Aktivitet varselet sporer. Du oppretter en policy for å spore en aktivitet eller i noen tilfeller noen relaterte aktiviteter, for eksempel dele en fil med en ekstern bruker ved å dele den, tilordne tilgangstillatelser eller opprette en anonym kobling. Når en bruker utfører aktiviteten som er definert av policyen, utløses et varsel basert på innstillingene for varslingsterskelen.
Obs!
Aktivitetene du kan spore, avhenger av organisasjonens Office 365 Enterprise eller Office 365 US Government-plan. Generelt sett krever aktiviteter relatert til kampanjer for skadelig programvare og phishing-angrep et E5/G5-abonnement eller et E1/F1/G1- eller E3/F3/G3-abonnement med et tilleggsabonnement på Defender for Office 365 Plan 2.
Aktivitetsbetingelser. For de fleste aktiviteter kan du definere flere betingelser som må oppfylles for å utløse et varsel. Vanlige betingelser omfatter IP-adresser (slik at et varsel utløses når brukeren utfører aktiviteten på en datamaskin med en bestemt IP-adresse eller innenfor et IP-adresseområde), om et varsel utløses hvis en bestemt bruker eller brukere utfører denne aktiviteten, og om aktiviteten utføres på et bestemt filnavn eller en nettadresse. Du kan også konfigurere en betingelse som utløser et varsel når aktiviteten utføres av en hvilken som helst bruker i organisasjonen. De tilgjengelige betingelsene er avhengige av den valgte aktiviteten.
Du kan også definere brukerkoder som en betingelse for en varslingspolicy. Dette resulterer i at varslene som utløses av policyen, inkluderer konteksten til den berørte brukeren. Du kan bruke systembrukerkoder eller egendefinerte brukerkoder. Hvis du vil ha mer informasjon, kan du se Brukerkoder i Microsoft Defender for Office 365.
Når varselet utløses. Du kan konfigurere en innstilling som definerer hvor ofte en aktivitet kan forekomme før et varsel utløses. Dette gjør at du kan konfigurere en policy for å generere et varsel hver gang en aktivitet samsvarer med policybetingelsene, når en bestemt terskel overskrides, eller når forekomsten av aktiviteten varselet sporer, blir uvanlig for organisasjonen.
Hvis du velger innstillingen basert på uvanlig aktivitet, etablerer Microsoft en grunnlinjeverdi som definerer normalfrekvensen for den valgte aktiviteten. Det tar opptil sju dager å etablere denne grunnlinjen, der varsler ikke genereres. Når den opprinnelige planen er opprettet, utløses et varsel når frekvensen til aktiviteten som spores av varslingspolicyen, overskrider den opprinnelige verdien betraktelig. Når det gjelder overvåkingsrelaterte aktiviteter (for eksempel fil- og mappeaktiviteter), kan du etablere en opprinnelig plan basert på én enkelt bruker eller basert på alle brukere i organisasjonen. for aktiviteter relatert til skadelig programvare, kan du etablere en grunnlinje basert på én enkelt familie med skadelig programvare, én enkelt mottaker eller alle meldinger i organisasjonen.
Obs!
Muligheten til å konfigurere varslingspolicyer basert på en terskel eller basert på uvanlig aktivitet krever et E5/G5-abonnement eller et E1/F1/G1- eller E3/F3/G3-abonnement med et Microsoft Defender for Office 365 P2-, Microsoft 365 E5 Compliance- eller Microsoft 365 eDiscovery- og Audit-tilleggsabonnement. Organisasjoner med et E1/F1/G1- og E3/F3/G3-abonnement kan bare opprette varslingspolicyer der et varsel utløses hver gang en aktivitet oppstår.
Varslingskategori. Hvis du vil ha hjelp til å spore og administrere varslene som genereres av en policy, kan du tilordne én av følgende kategorier til en policy.
- Hindring av tap av data
- Informasjonsstyring
- E-postflyt
- Tillatelser
- Trusselbehandling
- Andre
Når det oppstår en aktivitet som samsvarer med betingelsene for varslingspolicyen, merkes varselet som genereres, med kategorien som er definert i denne innstillingen. Dette lar deg spore og behandle varsler som har samme kategoriinnstilling på Varsler-siden i Microsoft Purview-portalen, fordi du kan sortere og filtrere varsler basert på kategori.
Alvorsgrad for varsel. I likhet med varslingskategorien tilordner du et alvorsgradattributt (lav, middels, høy eller informasjonsmessig) til varslingspolicyer. I likhet med varslingskategorien, når det oppstår en aktivitet som samsvarer med betingelsene for varslingspolicyen, merkes varselet som genereres, med samme alvorlighetsgrad som er angitt for varslingspolicyen. Dette gjør det mulig å spore og administrere varsler som har samme alvorsgradinnstilling på Varsler-siden . Du kan for eksempel filtrere listen over varsler slik at bare varsler med høy alvorlighetsgrad vises.
Tips
Når du konfigurerer en varslingspolicy, bør du vurdere å tilordne en høyere alvorlighetsgrad til aktiviteter som kan føre til svært negative konsekvenser, for eksempel gjenkjenning av skadelig programvare etter levering til brukere, visning av sensitive eller klassifiserte data, deling av data med eksterne brukere eller andre aktiviteter som kan føre til tap av data eller sikkerhetstrusler. Dette kan hjelpe deg med å prioritere varsler og handlingene du utfører for å undersøke og løse de underliggende årsakene.
Automatiserte undersøkelser. Noen varsler utløser automatiserte undersøkelser for å identifisere potensielle trusler og risikoer som trenger utbedring eller utbedring. I de fleste tilfeller utløses disse varslene ved gjenkjenning av skadelige e-postmeldinger eller aktiviteter, men i noen tilfeller utløses varslene av administratorhandlinger i sikkerhetsportalen. Hvis du vil ha mer informasjon om automatiserte undersøkelser, kan du se Automatisert undersøkelse og respons (AIR) i Microsoft Defender for Office 365.
E-postvarsler. Du kan konfigurere policyen slik at e-postvarsler sendes (eller ikke sendes) til en liste over brukere når et varsel utløses. Du kan også angi en daglig varslingsgrense slik at når maksimalt antall varsler er nådd, sendes det ikke flere varsler for varselet i løpet av denne dagen. I tillegg til e-postvarsler kan du eller andre administratorer vise varslene som utløses av en policy på Varsler-siden . Vurder å aktivere e-postvarsler for varslingspolicyer for en bestemt kategori, eller som har en høyere alvorsgradinnstilling.
Standard varslingspolicyer
Microsoft tilbyr innebygde varslingspolicyer som bidrar til å identifisere misbruk av Exchange-administratortillatelser, skadelig programvareaktivitet, potensielle eksterne og interne trusler og risikoer for informasjonsstyring. Navnene på disse innebygde policyene er i fet skrift på siden Varselpolicyer , og policytypen er definert som System. Disse policyene er aktivert som standard. Du kan slå av disse policyene (eller aktivere på nytt), konfigurere en liste over mottakere du vil sende e-postvarsler til, og angi en daglig varslingsgrense. De andre innstillingene for disse policyene kan ikke redigeres.
Tabellene nedenfor viser og beskriver de tilgjengelige standard varslingspolicyene, og kategorien hver policy er tilordnet til. Kategorien brukes til å bestemme hvilke varsler en bruker kan vise på Varsler-siden. Hvis du vil ha mer informasjon, kan du se RBAC-tillatelser som kreves for å vise varsler.
Tabellene angir også Office 365 Enterprise og Office 365 US Government-planen som kreves for hver av dem. Noen standard varslingspolicyer er tilgjengelige hvis organisasjonen har riktig tilleggsabonnement i tillegg til et E1/F1/G1- eller E3/F3/G3-abonnement.
Obs!
Den uvanlige aktiviteten som overvåkes av noen av de innebygde policyene, er basert på den samme prosessen som innstillingen for varslingsterskelen som tidligere ble beskrevet. Microsoft etablerer en opprinnelig verdi som definerer normalfrekvensen for «vanlig» aktivitet. Varsler utløses deretter når hyppigheten av aktiviteter som spores av den innebygde varslingspolicyen, overskrider den opprinnelige verdien.
Varslingspolicyer for informasjonsstyring
Obs!
Varslingspolicyene i denne delen er i ferd med å bli avskrevet basert på tilbakemeldinger fra kunder som falske positiver. Hvis du vil beholde funksjonaliteten til disse varslingspolicyene, kan du opprette egendefinerte varslingspolicyer med de samme innstillingene.
| Navn | Beskrivelse | Alvorlighetsgraden | Automatisert undersøkelse | Abonnement |
|---|---|---|---|---|
| Uvanlig filaktivitet for ekstern bruker | Genererer et varsel når et uvanlig stort antall aktiviteter utføres på filer i SharePoint eller OneDrive av brukere utenfor organisasjonen. Dette omfatter aktiviteter som tilgang til filer, nedlasting av filer og sletting av filer. | Høy | Nei | E5/G5, Microsoft Defender for Office 365 P2 eller Microsoft 365 E5 tilleggsabonnement |
| Uvanlig volum av ekstern fildeling | Genererer et varsel når et uvanlig stort antall filer i SharePoint eller OneDrive deles med brukere utenfor organisasjonen. | Middels | Nei | E5/G5, Defender for Office 365 P2 eller Microsoft 365 E5 tilleggsabonnement |
| Uvanlig volum for sletting av filer | Genererer et varsel når et uvanlig stort antall filer slettes i SharePoint eller OneDrive innen kort tid. | Middels | Nei | E5/G5, Defender for Office 365 P2 eller Microsoft 365 E5 tilleggsabonnement |
Varslingspolicyer for e-postflyt
| Navn | Beskrivelse | Alvorlighetsgraden | Automatisert undersøkelse | Obligatorisk abonnement |
|---|---|---|---|---|
| Meldinger har blitt forsinket | Genererer et varsel når Microsoft ikke kan levere e-postmeldinger til den lokale organisasjonen eller en partnerserver ved hjelp av en kobling. Når dette skjer, legges meldingen i kø i Office 365. Dette varselet utløses når det er 2000 meldinger eller mer som har stått i kø i mer enn en time. | Høy | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
Varslingspolicyer for tillatelser
| Navn | Beskrivelse | Alvorlighetsgraden | Automatisert undersøkelse | Obligatorisk abonnement |
|---|---|---|---|---|
| Heving av exchange-administratorrettigheter | Genererer et varsel når noen er tilordnet administrative tillatelser i Exchange Online organisasjonen. Når for eksempel en bruker legges til i rollegruppen organisasjonsadministrasjon i Exchange Online. | Lav | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
Varslingspolicyer for trusselbehandling
| Navn | Beskrivelse | Alvorlighetsgraden | Automatisert undersøkelse | Obligatorisk abonnement |
|---|---|---|---|---|
| Det ble oppdaget et potensielt skadelig nettadresseklikk | Genererer et varsel når en bruker som er beskyttet av klarerte koblinger i organisasjonen, klikker en ondsinnet kobling. Dette varselet genereres når en bruker klikker på en kobling, og denne hendelsen utløser en endringsidentifikasjon for url-avgjørelse ved Microsoft Defender for Office 365. Den ser også etter eventuelle klikk i løpet av de siste 48 timene fra tidspunktet den ondsinnede url-dommen identifiseres, og genererer varsler for klikkene som skjedde i 48-timers tidsrammen for den ondsinnede koblingen. Dette varselet utløser automatisk automatisert undersøkelse og svar i Office 365. Hvis du vil ha mer informasjon om hendelser som utløser dette varselet, kan du se Konfigurere policyer for klarerte koblinger. | Høy | Ja | E5/G5 eller Defender for Office 365 P2-tilleggsabonnement |
| En bruker klikket gjennom til en potensielt skadelig nettadresse | Genererer et varsel når en bruker som er beskyttet av klarerte koblinger i organisasjonen, klikker en ondsinnet kobling. Denne hendelsen utløses når brukeren klikker på en URL-adresse (som identifiseres som skadelig eller venter på validering) og overstyrer advarselssiden for klarerte koblinger (basert på organisasjonens policy for klarerte koblinger for Microsoft 365 for bedrifter) for å fortsette til url-vertssiden /innholdet. For Defender for Office 365 P2-, E5-, G5-kunder utløser dette varselet automatisk automatisert undersøkelse og respons i Office 365. Hvis du vil ha mer informasjon om hendelser som utløser dette varselet, kan du se Konfigurere policyer for klarerte koblinger. | Høy | Ja | E5/G5 eller Defender for Office 365 P2-tilleggsabonnement |
| Admin innsendingsresultat fullført | Genererer et varsel når en Admin-innsending fullfører skanningen av den innsendte enheten på nytt. Et varsel utløses hver gang et rescan-resultat gjengis fra en Admin innsending. Disse varslene er ment å minne deg på å se gjennom resultatene fra tidligere innsendinger, sende inn rapporterte meldinger fra brukeren for å få den nyeste policykontrollen og få en ny vurdering, og hjelpe deg med å finne ut om filtreringspolicyene i organisasjonen har den tiltenkte innvirkningen. |
Informativ | Nei | E1/F1, E3/F3 eller E5 |
| Admin utløste manuell undersøkelse av e-post | Genererer et varsel når en administrator utløser manuell undersøkelse av en e-postmelding fra Trusselutforsker. Hvis du vil ha mer informasjon, kan du se Eksempel: En sikkerhetsadministrator utløser en undersøkelse fra Trusselutforsker. Dette varselet varsler organisasjonen om at undersøkelsen ble startet. Varselet gir informasjon om hvem som utløste det og inneholder en kobling til undersøkelsen. |
Informativ | Ja | E5/G5 eller Microsoft Defender for Office 365 P2-tilleggsabonnement |
| Admin utløste undersøkelse av brukerkompromisser | Genererer et varsel når en administrator utløser manuell undersøkelse av brukerkompromisser av en e-postavsender eller mottaker fra Trusselutforsker. Hvis du vil ha mer informasjon, kan du se Eksempel: En sikkerhetsadministrator utløser en undersøkelse fra Trusselutforsker, som viser den relaterte manuelle utløsingen av en undersøkelse på en e-post. Dette varselet varsler organisasjonen om at undersøkelsen av brukerkompromisser ble startet. Varselet gir informasjon om hvem som utløste det og inneholder en kobling til undersøkelsen. |
Middels | Ja | E5/G5 eller Microsoft Defender for Office 365 P2-tilleggsabonnement |
| Administrativ handling sendt av en administrator | Administratorer kan utføre manuelle e-posthandlinger på e-postenheter ved hjelp av ulike overflater. For eksempel Trusselutforsker, avansert jakt eller gjennom egendefinert gjenkjenning. Når utbedringen starter, genereres et varsel. Dette varselet vises i varslingskøen med navnet Administrativ handling sendt av en administrator for å angi at en administrator gjorde handlingen for å utbedre en enhet. Varselet inneholder detaljer som handlingstypen, støttekobling for undersøkelse, tid og så videre. Det er nyttig å vite når en sensitiv handling som utbedring utføres på enheter. | Informativ | Ja | E5/G5 eller Defender for Office 365 P2-tilleggsabonnement |
| Opprettelse av videresendings-/omadresseringsregel | Genererer et varsel når noen i organisasjonen oppretter en innboksregel for postboksen som videresender eller omdirigerer meldinger til en annen e-postkonto. Denne policyen sporer bare innboksregler som er opprettet ved hjelp av Outlook på nettet (tidligere kjent som Outlook Web App) eller Exchange Online PowerShell. Hvis du vil ha mer informasjon om hvordan du bruker innboksregler til å videresende og omdirigere e-post i Outlook på nettet, kan du se Bruke regler i Outlook på nettet til å videresende meldinger til en annen konto automatisk. | Informativ | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| eDiscovery-søk startet eller eksportert | Genererer et varsel når noen bruker innholdssøkeverktøyet i Microsoft Purview-portalen. Et varsel utløses når følgende innholdssøkaktiviteter utføres:
Varsler utløses også når de forrige innholdssøkeaktivitetene utføres i tilknytning til en eDiscovery-sak. Hvis du vil ha mer informasjon om aktiviteter for innholdssøk, kan du se Søk etter eDiscovery-aktiviteter i overvåkingsloggen. |
Informativ | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| E-postmeldinger som inneholder skadelig fil fjernet etter levering | Genererer et varsel når meldinger som inneholder en skadelig fil, leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser ved hjelp av nulltimers automatisk tømming. Denne policyen utløser automatisk automatisert undersøkelse og respons i Office 365. Hvis du vil ha mer informasjon om denne nye policyen, kan du se Nye varslingspolicyer i Microsoft Defender for Office 365. | Informativ | Ja | E5/G5 eller Microsoft Defender for Office 365 P2-tilleggsabonnement |
| E-postmeldinger som inneholder skadelig NETTADRESSE fjernet etter levering | Genererer et varsel når meldinger som inneholder en ondsinnet nettadresse, leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser ved hjelp av nulltimers automatisk tømming. Denne policyen utløser automatisk automatisert undersøkelse og respons i Office 365. Hvis du vil ha mer informasjon om denne nye policyen, kan du se Nye varslingspolicyer i Microsoft Defender for Office 365. | Informativ | Ja | E5/G5 eller Defender for Office 365 P2-tilleggsabonnement |
| E-postmeldinger som inneholder skadelig programvare fjernet etter levering | Obs! Denne varslingspolicyen er erstattet av e-postmeldinger som inneholder skadelig fil fjernet etter levering. Denne varslingspolicyen forsvinner etter hvert, så vi anbefaler at du deaktiverer denne varslingspolicyen og bruker e-postmeldinger som inneholder skadelig fil, som fjernes etter levering i stedet. Hvis du vil ha mer informasjon, kan du se Nye varslingspolicyer i Microsoft Defender for Office 365. | Informativ | Ja | E5/G5 eller Microsoft Defender for Office 365 P2-tilleggsabonnement |
| E-postmeldinger som inneholder phish-nettadresser fjernet etter levering | Obs! Denne varslingspolicyen er erstattet av e-postmeldinger som inneholder skadelig URL-adresse fjernet etter levering. Denne varslingspolicyen forsvinner etter hvert, så vi anbefaler at du deaktiverer denne varslingspolicyen og bruker e-postmeldinger som inneholder skadelig URL-adresse fjernet etter levering i stedet. Hvis du vil ha mer informasjon, kan du se Nye varslingspolicyer i Microsoft Defender for Office 365. | Informativ | Ja | E5/G5 eller Defender for Office 365 P2-tilleggsabonnement |
| E-postmeldinger fra en kampanje fjernet etter levering | Genererer et varsel når alle meldinger som er knyttet til en kampanje , leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser ved hjelp av nulltimers automatisk tømming. Denne policyen utløser automatisk automatisert undersøkelse og respons i Office 365. Hvis du vil ha mer informasjon om denne nye policyen, kan du se Nye varslingspolicyer i Microsoft Defender for Office 365. | Informativ | Ja | E5/G5 eller Defender for Office 365 P2-tilleggsabonnement |
| E-postmeldinger fjernet etter levering | Genererer et varsel når skadelige meldinger som ikke inneholder en skadelig enhet (URL eller fil), eller som er knyttet til en kampanje, leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser ved hjelp av nulltimers automatisk tømming. Denne policyen utløser automatisk automatisert undersøkelse og respons i Office 365. Hvis du vil ha mer informasjon om denne nye policyen, kan du se Nye varslingspolicyer i Microsoft Defender for Office 365. | Informativ | Ja | E5/G5 eller Defender for Office 365 P2-tilleggsabonnement |
| E-post rapportert av brukeren som skadelig programvare eller phish | Genererer et varsel når brukere i organisasjonen rapporterer meldinger som phishing ved hjelp av den innebygde rapportknappen i Outlook eller rapportmeldingen eller Phishing-tilleggene for rapporter. Hvis du vil ha mer informasjon om tilleggene, kan du se Bruke rapportmeldingstillegget. For Defender for Office 365 P2-, E5-, G5-kunder utløser dette varselet automatisk automatisert undersøkelse og respons i Office 365. | Lav | Ja | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| E-post rapportert av brukeren som søppelpost | Genererer et varsel når brukere i organisasjonen rapporterer meldinger som søppelpost ved hjelp av den innebygde rapportknappen i Outlook eller rapportmeldingstillegget. Hvis du vil ha mer informasjon om tilleggene, kan du se Bruke rapportmeldingstillegget. | Lav | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| E-post rapportert av brukeren som ikke søppelpost | Genererer et varsel når brukere i organisasjonen rapporterer meldinger som ikke søppelpost den innebygde rapportknappen i Outlook eller rapportmeldingstillegget. Hvis du vil ha mer informasjon om tilleggene, kan du se Bruke rapportmeldingstillegget. | Lav | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Grense for sending av e-post overskredet | Genererer et varsel når noen i organisasjonen har sendt mer e-post enn det som tillates av policyen for utgående søppelpost. Dette er vanligvis en indikasjon på at brukeren sender for mye e-post eller at kontoen kan bli kompromittert. Hvis du får et varsel generert av denne varslingspolicyen, er det lurt å kontrollere om brukerkontoen er kompromittert. | Middels | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Skjema blokkert på grunn av mulig phishing-forsøk | Genererer et varsel når noen i organisasjonen har blitt begrenset fra å dele skjemaer og samle inn svar ved hjelp av Microsoft Forms på grunn av oppdaget gjentatt virkemåte for phishing-forsøk. | Høy | Nei | E1, E3/F3 eller E5 |
| Skjema flagget og bekreftet som phishing | Genererer et varsel når et skjema som er opprettet i Microsoft Forms fra organisasjonen, er identifisert som potensiell phishing gjennom rapportmisbruk og bekreftet som phishing av Microsoft. | Høy | Nei | E1, E3/F3 eller E5 |
| Graderer uenighet med oppføring i leierens tillatelses-/blokkeringsliste | Genererer et varsel når Microsoft bestemmer at administratorinnsendingen som tilsvarer en tillatelsesoppføring i tillatelses-/blokkeringslisten for tenanten, er skadelig. Denne hendelsen utløses så snart innsendingen er analysert av Microsoft. Den tillatte oppføringen vil fortsette å eksistere for sin fastsatte varighet. Hvis du vil ha mer informasjon om hendelser som utløser dette varselet, kan du se Behandle tillatelses-/blokkeringslisten for leieren. |
Informativ | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Skadelig programvare-kampanje oppdaget etter levering¹ | Genererer et varsel når et uvanlig stort antall meldinger som inneholder skadelig programvare, leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser. | Høy | Nei | E5/G5 eller Microsoft Defender for Office 365 P2-tilleggsabonnement |
| Skadelig programvare-kampanje oppdaget og blokkert¹ | Genererer et varsel når noen har forsøkt å sende et uvanlig stort antall e-postmeldinger som inneholder en bestemt type skadelig programvare til brukere i organisasjonen. Hvis denne hendelsen oppstår, blokkeres de infiserte meldingene av Microsoft og leveres ikke til postbokser. | Lav | Nei | E5/G5 eller Defender for Office 365 P2-tilleggsabonnement |
| Skadelig programvare-kampanje oppdaget i SharePoint og OneDrive¹ | Genererer et varsel når et uvanlig høyt volum av skadelig programvare eller virus oppdages i filer som befinner seg på SharePoint-nettsteder eller OneDrive-kontoer i organisasjonen. | Høy | Nei | E5/G5 eller Defender for Office 365 P2-tilleggsabonnement |
| Skadelig programvare ikke zapped fordi ZAP er deaktivert | Genererer et varsel når Microsoft oppdager levering av en melding om skadelig programvare til en postboks fordi Zero-Hour automatisk tømming for phish-meldinger er deaktivert. | Informativ | Nei | E5/G5 eller Defender for Office 365 P2-tilleggsabonnement |
| Meldinger som inneholder skadelig enhet, fjernes ikke etter levering | Genererer et varsel når en melding som inneholder skadelig innhold (fil, nettadresse, kampanje, ingen enhet), leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, forsøkte Microsoft å fjerne de infiserte meldingene fra Exchange Online postbokser ved hjelp av nulltimers automatisk tømming, men meldingen ble ikke fjernet på grunn av en feil. Ytterligere undersøkelser anbefales. Denne policyen utløser automatisk automatisert undersøkelse og respons i Office 365. | Middels | Ja | E5/G5 eller Defender for Office 365 P2-tilleggsabonnement |
| Ny transportregel fjerner antispam-topptekst | Det ble oppdaget en ny e-postflytregel (transportregel) for å fjerne søppelposthodet. Dette varselet kan indikere at en søppelpostkampanje ved hjelp av en postboks i organisasjonen er i gang. | Middels | Nei | E5/G5 eller Defender for Office 365 P2-tilleggsabonnement |
| Phish levert fordi søppelpostmappen til en bruker er deaktivert | Obs! Denne varslingspolicyen er i ferd med å bli avskrevet. Postboksinnstillinger bestemmer ikke lenger om oppdagede meldinger kan flyttes til Søppelpost-mappen. Hvis du vil ha mer informasjon, kan du se Konfigurere innstillinger for søppelpost på Exchange Online postbokser. | Informativ | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Phish levert på grunn av en ETR-overstyring² | Genererer et varsel når Microsoft oppdager en Exchange-transportregel (også kjent som en e-postflytregel) som tillot levering av en phishing-melding med høy visshet til en postboks. Hvis du vil ha mer informasjon om Exchange-transportregler (regler for e-postflyt), kan du se Regler for e-postflyt (transportregler) i Exchange Online. | Informativ | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Phish levert på grunn av en IP-tillatelsespolicy² | Genererer et varsel når Microsoft oppdager en IP-tillatelsespolicy som tillot levering av en phishing-melding med høy visshet til en postboks. Hvis du vil ha mer informasjon om ip-tillatelsespolicyen (tilkoblingsfiltrering), kan du se Konfigurere standard policy for tilkoblingsfilter – Office 365. | Informativ | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Phish ikke zapped fordi ZAP er disabled² | Genererer et varsel når Microsoft oppdager levering av en phishing-melding med høy visshet til en postboks fordi Zero-Hour automatisk tømming for phish-meldinger er deaktivert. | Informativ | Nei | E5/G5 eller Defender for Office 365 P2-tilleggsabonnement |
| Potensiell nasjonsstatsaktivitet | Microsoft Threat Intelligence Center oppdaget et forsøk på å kompromittere kontoer fra leieren. | Høy | Nei | E5/G5 eller Defender for Office 365 P2-tilleggsabonnement |
| Utbedringshandling utført av administrator på e-post eller nettadresse eller avsender | Obs! Denne varslingspolicyen er erstattet av den administrative handlingen som er sendt inn av en policy for administratorvarsel . Denne varslingspolicyen forsvinner etter hvert, så vi anbefaler at du deaktiverer denne varslingspolicyen og bruker administrative handlinger sendt av en administrator i stedet. Dette varselet utløses når en administrator utfører utbedringshandling på den valgte enheten |
Informativ | Ja | E5/G5 eller Defender for Office 365 P2-tilleggsabonnement |
| Fjernet en oppføring i leierens tillatelses-/blokkeringsliste | Genererer et varsel når en tillatelsesoppføring i tillatelses-/blokkeringslisten for leieren læres fra ved å filtrere systemet og fjernes. Denne hendelsen utløses når tillatelsesoppføringen for det berørte domenet eller e-postadressen, filen eller URL-adressen (enheten) fjernes. Du trenger ikke lenger den berørte tillatelsesoppføringen. E-postmeldinger som inneholder de berørte enhetene, vil bli levert til innboksen hvis ingenting annet i meldingen er fastslått å være dårlig. URL-adresser og filer tillates når du klikker. Hvis du vil ha mer informasjon om hendelser som utløser dette varselet, kan du se Behandle tillatelses-/blokkeringslisten for leieren. |
Informativ | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Mistenkelig koblingsaktivitet | Genererer et varsel når en mistenkelig aktivitet oppdages på en innkommende kobling i organisasjonen. E-post er blokkert fra å bruke den inngående koblingen. Administratoren mottar et e-postvarsel og et varsel. Dette varselet gir veiledning om hvordan du undersøker, tilbakestiller endringer og opphever blokkeringen av en begrenset kobling. Hvis du vil lære hvordan du svarer på dette varselet, kan du se Svare på en kompromittert kobling. | Høy | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Mistenkelig videresendingsaktivitet for e-post | Genererer et varsel når noen i organisasjonen har automatisk viderekoblet e-post til en mistenkelig ekstern konto. Dette er en tidlig advarsel for virkemåte som kan indikere at kontoen er kompromittert, men ikke alvorlig nok til å begrense brukeren. Selv om det er sjeldent, kan et varsel generert av denne policyen være et avvik. Det er lurt å sjekke om brukerkontoen er kompromittert. | Høy | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Mistenkelige sendemønstre for e-post oppdaget | Genererer et varsel når noen i organisasjonen har sendt mistenkelig e-post og står i fare for å bli begrenset fra å sende e-post. Dette er en tidlig advarsel for virkemåte som kan indikere at kontoen er kompromittert, men ikke alvorlig nok til å begrense brukeren. Selv om det er sjeldent, kan et varsel generert av denne policyen være et avvik. Det er imidlertid lurt å kontrollere om brukerkontoen er kompromittert. | Middels | Ja | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Mistenkelige leier sender mønstre observert | Genererer et varsel når mistenkelige sendemønstre har blitt observert i organisasjonen, noe som kan føre til at organisasjonen blokkeres fra å sende e-postmeldinger. Undersøk eventuelle potensielt kompromitterte bruker- og administratorkontoer, nye koblinger eller åpne videresendinger for å unngå at leieren overskrider terskelblokker. Hvis du vil ha mer informasjon om hvorfor organisasjoner blokkeres, kan du se Løse problemer med levering av e-post for feilkode 5.7.7xx i Exchange Online. | Høy | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Mistenkelig inngående kobling og transportregel opprettet for å fjerne avsenderens e-posthoder | En mistenkelig inngående kobling og e-postflytregel (transportregel) ble opprettet for å fjerne overskrifter som identifiserer de sanne kildeadressene til avsendere av meldinger. Dette varselet kan indikere at en søppelpostkampanje ved hjelp av en postboks i organisasjonen er i gang. | Middels | Nei | E5/G5 eller Microsoft Defender for Office 365 P2-tilleggsabonnement |
| Mistenkelig e-posttransportregel oppdaget | En mistenkelig e-postflytregel (transportregel) ble opprettet for å videresende e-postmeldinger i organisasjonen til en angripereid postboks. | Middels | Nei | E5/G5 eller Microsoft Defender for Office 365 P2-tilleggsabonnement |
| Mistenkelig mønster for oppretting av inngående kobling | Det ble oppdaget et mistenkelig mønster for oppretting av inngående kobling. Denne virkemåten kan tyde på at en angriper angir skadelige innkommende koblinger for å tillate anonym videresending gjennom organisasjonens Exchange-server. | Middels | Nei | E5/G5 eller Microsoft Defender for Office 365 P2-tilleggsabonnement |
| Mistenkelig mønster for sending av e-post fra den nye Exchange-innkommende koblingen. | Det ble oppdaget et mistenkelig mønster for sending av e-post fra en ny Exchange-innkommende kobling. Denne virkemåten kan tyde på at en angriper angir en ondsinnet inngående kobling for å tillate anonym videresending gjennom organisasjonens Exchange-server. | Middels | Nei | E5/G5 eller Microsoft Defender for Office 365 P2-tilleggsabonnement |
| Tillatelses-/blokkeringslisteoppføring for leier er i ferd med å utløpe | Genererer et varsel når en tillatt oppføring eller blokkoppføring i oppføringen Tillat/blokkeringsliste for leier er i ferd med å bli fjernet. Denne hendelsen utløses 7 dager før utløpsdatoen, som er basert på når oppføringen ble opprettet eller sist oppdatert. Du kan forlenge utløpsdatoen for både å tillate oppføringer og blokkere oppføringer. Hvis du vil ha mer informasjon om hendelser som utløser dette varselet, kan du se Behandle tillatelses-/blokkeringslisten for leieren. |
Informativ | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Leier begrenset fra å sende e-post | Genererer et varsel når mesteparten av e-posttrafikken fra organisasjonen har blitt oppdaget som mistenkelig, og Microsoft har hindret organisasjonen i å sende e-post. Undersøk eventuelle potensielt kompromitterte bruker- og administratorkontoer, nye koblinger eller åpne videresendinger, og kontakt deretter Microsoft Kundestøtte for å oppheve blokkeringen av organisasjonen. Hvis du vil ha mer informasjon om hvorfor organisasjoner blokkeres, kan du se Løse problemer med levering av e-post for feilkode 5.7.7xx i Exchange Online. | Høy | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Leier begrenset fra å sende ikke-klargjøring av e-post | Genererer et varsel når for mye e-post sendes fra uregistrerte domener (også kjent som ikke-klargjøring av domener). Office 365 tillater en rimelig mengde e-post fra uregistrerte domener, men du bør konfigurere hvert domene som du bruker til å sende e-post som et godtatt domene. Dette varselet indikerer at alle brukere i organisasjonen ikke lenger kan sende e-post. Hvis du vil ha mer informasjon om hvorfor organisasjoner blokkeres, kan du se Løse problemer med levering av e-post for feilkode 5.7.7xx i Exchange Online. | Høy | Nei | E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Uvanlig økning i e-post rapportert som phish¹ | Genererer et varsel når det er en betydelig økning i antall personer i organisasjonen som bruker rapportmeldingstillegget i Outlook til å rapportere meldinger som phishing-e-post. Hvis du vil ha mer informasjon om dette tillegget, kan du se Bruke rapportmeldingstillegget. | Middels | Nei | E5/G5 eller Defender for Office 365 P2-tilleggsabonnement |
| Bruker ba om å frigi en karantenemelding | Genererer et varsel når en bruker ber om frigivelse for en melding i karantene. Hvis du vil be om frigivelse av meldinger i karantene, kreves tillatelsen Tillat mottakere å be om at en melding frigis fra karantene (PermissionToRequestRelease) i karantenepolicyen (for eksempel fra tillatelsesgruppen begrenset tilgang ). Hvis du vil ha mer informasjon, kan du se Tillat mottakere å be om at en melding frigis fra karantenetillatelse. | Informativ | Nei | Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Bruker begrenset fra å sende e-post | Genererer et varsel når noen i organisasjonen er begrenset fra å sende utgående e-post. Dette resulterer vanligvis når en konto er kompromittert, og brukeren er oppført på siden Begrensede brukere i samsvarsportalen. (Hvis du vil ha tilgang til denne siden, kan du gå til Gjennomgang av begrensede brukere for trusselbehandling >>. Hvis du vil ha mer informasjon om begrensede brukere, kan du se Fjerne en bruker, et domene eller en IP-adresse fra en blokkeringsliste etter sending av søppelpost. | Høy | Ja | Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 eller E5/G5 |
| Bruker begrenset fra å dele skjemaer og samle inn svar | Genererer et varsel når noen i organisasjonen har blitt begrenset fra å dele skjemaer og samle inn svar ved hjelp av Microsoft Forms på grunn av oppdaget gjentatt virkemåte for phishing-forsøk. | Høy | Nei | E1, E3/F3 eller E5 |
¹ Denne varslingspolicyen er i ferd med å bli avskrevet basert på tilbakemeldinger fra kunder som en falsk positiv. Hvis du vil beholde funksjonaliteten til denne varslingspolicyen, kan du opprette en egendefinert varslingspolicy med de samme innstillingene.
² Denne varslingspolicyen er en del av erstatningsfunksjonaliteten for Phish levert på grunn av leier- eller brukeroverstyring og brukerrepresentasjonsfish levert til innboks-/ mappevarslingspolicyer som ble fjernet basert på tilbakemeldinger fra brukere. Hvis du vil ha mer informasjon om anti-phishing i Office 365, kan du se Policyer for anti-phishing.
Vis varsler
Når en aktivitet utført av brukere i organisasjonen samsvarer med innstillingene for en varslingspolicy, genereres et varsel og vises på Varsler-siden i Microsoft Purview-portalen eller Defender-portalen. Avhengig av innstillingene for en varslingspolicy, sendes også et e-postvarsel til en liste over angitte brukere når et varsel utløses. For hvert varsel viser instrumentbordet på Varsler-siden navnet på den tilsvarende varslingspolicyen, alvorsgraden og kategorien for varselet (definert i varslingspolicyen), og antall ganger det har oppstått en aktivitet som resulterte i at varselet ble generert. Denne verdien er basert på terskelinnstillingen for varslingspolicyen. Instrumentbordet viser også statusen for hvert varsel. Hvis du vil ha mer informasjon om hvordan du bruker statusegenskapen til å behandle varsler, kan du se Administrere varsler.
Slik viser du varsler:
Microsoft Purview-samsvarsportal
Gå til https://compliance.microsoft.com , og velg deretter Varsler. Alternativt kan du gå direkte til https://compliance.microsoft.com/compliancealerts.
Microsoft 365 Defender portal
Gå til Microsoft 365 Defender-portalen, og velg deretter Varsler om hendelsesvarsler&>. Alternativt kan du gå direkte til https://security.microsoft.com/alerts.
Du kan bruke følgende filtre til å vise et delsett av alle varslene på Varsler-siden :
- Status: Vis varsler som er tilordnet en bestemt status. Standardstatusen er Aktiv. Du eller andre administratorer kan endre statusverdien.
- Policy: Vis varsler som samsvarer med innstillingen for én eller flere varselpolicyer. Eller du kan vise alle varsler for alle varslingspolicyer.
- Tidsintervall: Vis varsler som ble generert innenfor et bestemt dato- og tidsintervall.
- Alvorsgrad: Vis varsler som er tilordnet en bestemt alvorlighetsgrad.
- Kategori: Vis varsler fra én eller flere varselkategorier.
- Merker:Vis varsler fra én eller flere brukerkoder. Koder gjenspeiles basert på kodede postbokser eller brukere som vises i varslene. Se brukerkoder i Defender for Office 365 for å finne ut mer.
- Kilde: Bruk dette filteret til å vise varsler som utløses av varslingspolicyer i Microsoft Purview-portalen, eller varsler som utløses av Microsoft Defender for Cloud Apps policyer, eller begge deler. Hvis du vil ha mer informasjon om Varsler for Defender for Skyapper, kan du se delen Vis Varsler for Cloud Apps i denne artikkelen.
Viktig
Filtrering og sortering etter brukerkoder er for øyeblikket i offentlig forhåndsversjon, og kan endres betraktelig før det er generelt tilgjengelig. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som gis om den.
Varselaggregasjon
Når flere hendelser som samsvarer med betingelsene for en varslingspolicy forekommer med en kort tidsperiode, legges de til i et eksisterende varsel av en prosess som kalles varselaggregasjon. Når en hendelse utløser et varsel, genereres varselet og vises på Varsler-siden, og et varsel sendes. Hvis den samme hendelsen forekommer innenfor aggregasjonsintervallet, legger Microsoft 365 til detaljer om den nye hendelsen i det eksisterende varselet i stedet for å utløse et nytt varsel. Målet med varslingsaggregasjon er å bidra til å redusere varselets tretthet og la deg fokusere og utføre handlinger på færre varsler for samme hendelse.
Lengden på aggregasjonsintervallet avhenger av Office 365- eller Microsoft 365-abonnementet.
| Abonnement | Aggregering Intervall |
|---|---|
| Office 365 eller Microsoft 365 E5/G5 | 1 minutt |
| Defender for Office 365 plan 2 | 1 minutt |
| Tillegg for E5-samsvar eller E5 Discovery og overvåkingstillegg | 1 minutt |
| Office 365 eller Microsoft 365 E1/F1/G1 eller E3/F3/G3 | 15 minutter |
| Defender for Office 365 plan 1 eller Exchange Online Protection | 15 minutter |
Når hendelser som samsvarer med samme varslingspolicy forekommer innenfor aggregasjonsintervallet, legges detaljer om den påfølgende hendelsen til det opprinnelige varselet. For alle hendelser vises informasjon om aggregerte hendelser i detaljfeltet, og antall ganger en hendelse oppstod med aggregasjonsintervallet, vises i feltet for aktivitets-/treffantall. Du kan vise mer informasjon om alle aggregerte hendelsesforekomster ved å vise aktivitetslisten.
Skjermbildet nedenfor viser et varsel med fire aggregerte hendelser. Aktivitetslisten inneholder informasjon om de fire e-postmeldingene som er relevante for varselet.
Husk følgende ting om varslingsaggregasjon:
Varsler som utløses av et potensielt skadelig nettadresseklikk, ble oppdagetat standard varslingspolicy ikke aggregeres. Dette er fordi varsler som utløses av denne policyen, er unike for hver bruker og e-postmelding.
På dette tidspunktet angir ikke varslingsegenskapen for treffantall antall aggregerte hendelser for alle varslingspolicyer. For varsler som utløses av disse varslingspolicyene, kan du vise de aggregerte hendelsene ved å klikke Vis meldingsliste eller Vis aktivitet i varselet. Vi jobber med å gjøre antall aggregerte hendelser oppført i egenskapen Hit count alert tilgjengelig for alle varslingspolicyer.
RBAC-tillatelser som kreves for å vise varsler
Tillatelsene rollebasert Access Control (RBAC) som er tilordnet til brukere i organisasjonen, bestemmer hvilke varsler en bruker kan se på Varsler-siden. Hvordan oppnås dette? Administrasjonsrollene som er tilordnet brukere (basert på medlemskap i rollegrupper i samsvarsportalen eller Microsoft 365 Defender-portalen), bestemmer hvilke varselkategorier en bruker kan se på Varsler-siden. Her er noen eksempler:
- Medlemmer av rollegruppen for postbehandling kan bare vise varslene som genereres av varslingspolicyer som er tilordnet kategorien Informasjonsstyring .
- Medlemmer av rollegruppen for samsvarsadministrator kan ikke vise varsler som genereres av varslingspolicyer som er tilordnet kategorien Trusselbehandling .
- Medlemmer av rollegruppen for eDiscovery-ansvarlig kan ikke vise noen varsler fordi ingen av de tilordnede rollene gir tillatelse til å vise varsler fra noen varslingskategorier.
Denne utformingen (basert på RBAC-tillatelser) lar deg bestemme hvilke varsler som kan vises (og administreres) av brukere i bestemte jobbroller i organisasjonen.
Tabellen nedenfor viser rollene som kreves for å vise varsler fra de seks forskjellige varslingskategoriene. En hake angir at en bruker som er tilordnet denne rollen, kan vise varsler fra den tilsvarende varslingskategorien som er oppført i tittelraden.
Hvis du vil se hvilken kategori en standard varslingspolicy er tilordnet til, kan du se tabellene i standard varslingspolicyer.
| Rolle | Informasjon Styring |
Tap av data Forebygging |
E Flyt |
Tillatelser | Trusselen Management |
Andre |
|---|---|---|---|---|---|---|
| Samsvarsadministrator | ✔ | ✔ | ✔ | ✔ | ||
| Behandling av DLP-samsvar | ✔ | |||||
| Information Protection Admin | ✔ | |||||
| Information Protection-analytiker | ✔ | |||||
| Information Protection Etterforsker | ✔ | |||||
| Behandle varsler | ✔ | |||||
| Organisasjonskonfigurasjon | ✔ | |||||
| Personvernadministrasjon | ||||||
| Karantene | ||||||
| Postbehandling | ✔ | |||||
| Oppbevaringsbehandling | ✔ | |||||
| Rollebehandling | ✔ | |||||
| Sikkerhetsadministrator | ✔ | ✔ | ✔ | ✔ | ||
| Sikkerhetsleser | ✔ | ✔ | ✔ | ✔ | ||
| Transporthygiene | ||||||
| View-Only DLP Compliance Management | ✔ | |||||
| View-Only-konfigurasjon | ||||||
| View-Only Behandle varsler | ✔ | |||||
| View-Only mottakere | ✔ | |||||
| View-Only Postbehandling | ✔ | |||||
| View-Only oppbevaringsbehandling | ✔ |
Tips
Hvis du vil vise rollene som er tilordnet til hver av standardrollegruppene, kjører du følgende kommandoer i PowerShell for sikkerhetssamsvar & :
$RoleGroups = Get-RoleGroup
$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,("-"*25); Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}
Du kan også vise rollene som er tilordnet en rollegruppe i samsvarsportalen eller Microsoft 365 Defender-portalen. Gå til Tillatelser-siden , og velg en rollegruppe. De tilordnede rollene er oppført på undermenyen.
Behandle varsler
Når varsler er generert og vist på Varsler-siden i Microsoft Purview-portalen, kan du triage, undersøke og løse dem. De samme RBAC-tillatelsene som gir brukere tilgang til varsler, gir dem også muligheten til å administrere varsler.
Her er noen oppgaver du kan utføre for å behandle varsler.
Tilordne en status til varsler: Du kan tilordne én av følgende statuser til varsler: Aktiv (standardverdien), Undersøker, Løst eller Avvist. Deretter kan du filtrere etter denne innstillingen for å vise varsler med samme statusinnstilling. Denne statusinnstillingen kan hjelpe deg med å spore prosessen med å administrere varsler.
Vis varseldetaljer: Du kan velge et varsel for å vise en undermenyside med detaljer om varselet. Den detaljerte informasjonen avhenger av den tilsvarende varslingspolicyen, men den inneholder vanligvis følgende informasjon:
- Navnet på den faktiske operasjonen som utløste varselet, for eksempel en cmdlet eller en operasjon i overvåkingsloggen.
- En beskrivelse av aktiviteten som utløste varselet.
- Brukeren (eller listen over brukere) som utløste varselet. Dette er bare inkludert for varslingspolicyer som er konfigurert til å spore én enkelt bruker eller én enkelt aktivitet.
- Antall ganger aktiviteten som spores av varselet, ble utført. Dette tallet samsvarer kanskje ikke med det faktiske antallet relaterte varsler som er oppført på Varsler-siden, fordi flere varsler kan ha blitt utløst.
- En kobling til en aktivitetsliste som inneholder et element for hver aktivitet som ble utført, som utløste varselet. Hver oppføring i denne listen identifiserer når aktiviteten oppstod, navnet på den faktiske operasjonen (for eksempel «FileDeleted»), brukeren som utførte aktiviteten, objektet (for eksempel en fil, en eDiscovery-sak eller en postboks) som aktiviteten ble utført på, og IP-adressen til brukerens datamaskin. For varsler relatert til skadelig programvare kobler dette til en meldingsliste.
- Navnet (og koblingen) til den tilsvarende varslingspolicyen.
Undertrykk e-postvarsler: Du kan slå av (eller undertrykke) e-postvarsler fra undermenyen for et varsel. Når du undertrykker e-postvarsler, sender ikke Microsoft varsler når aktiviteter eller hendelser som samsvarer med betingelsene for varslingspolicyen oppstår. Men varsler utløses når aktiviteter som utføres av brukere, samsvarer med betingelsene for varslingspolicyen. Du kan også deaktivere e-postvarsler ved å redigere varslingspolicyen.
Løse varsler: Du kan merke et varsel som løst på undermenyen for et varsel (som angir statusen for varselet til Løst). Med mindre du endrer filteret, vises ikke løste varsler på Varsler-siden .
Vis varsler for Defender for skyapper
Varsler som utløses av Defender for Cloud Apps-policyer, vises nå på Varsler-siden i Microsoft Purview-portalen. Dette inkluderer varsler som utløses av aktivitetspolicyer og varsler som utløses av policyer for avviksregistrering i Defender for Cloud Apps. Dette betyr at du kan vise alle varsler i Microsoft Purview-portalen. Defender for Cloud Apps er bare tilgjengelig for organisasjoner med et Office 365 Enterprise E5- eller Office 365 US Government G5-abonnement. Hvis du vil ha mer informasjon, kan du se Oversikt over Defender for Skyapper.
Organisasjoner som har Microsoft Defender for Cloud Apps som en del av et Enterprise Mobility + Security E5-abonnement eller som en frittstående tjeneste, kan også vise Varsler for Defender for Cloud Apps som er relatert til Microsoft 365-apper og -tjenester i samsvarsportalen eller Microsoft 365 Defender portal.
Hvis du bare vil vise Defender for Cloud Apps-varsler i Microsoft Purview-portalen eller Defender-portalen, bruker du kildefilteret og velger Defender for Cloud Apps.
På samme måte som et varsel som utløses av en varslingspolicy i Microsoft Purview-portalen, kan du velge et Varsel for Defender for Cloud Apps for å vise en undermeny med detaljer om varselet. Varselet inneholder en kobling for å vise detaljene og administrere varselet i portalen Defender for Cloud Apps og en kobling til den tilsvarende Policyen for Defender for Cloud Apps som utløste varselet. Se Overvåke varsler i Defender for Skyapper.
Viktig
Hvis du endrer statusen for et Defender for Cloud Apps-varsel i Microsoft Purview-portalen, oppdateres ikke løsningsstatusen for det samme varselet i Portalen Defender for Cloud Apps. Hvis du for eksempel merker statusen for varselet som Løst i Microsoft Purview-portalen, endres statusen for varselet i portalen Defender for Cloud Apps uendret. Hvis du vil løse eller lukke et Varsel for Defender for Cloud Apps, kan du administrere varselet i Portalen for Defender for Cloud Apps.