Undersøk varsler om hindring av datatap med Microsoft Defender XDR
Obs!
Vil du oppleve Microsoft Defender for XDR? Mer informasjon om hvordan du kan evaluere og prøve ut Microsoft Defender XDR.
Gjelder for:
- Microsoft Defender XDR
Du kan administrere Microsoft Purview hindring av datatap (DLP)-varsler i Microsoft Defender-portalen. Åpne hendelser & varsler hendelser> på hurtigstartlinjen i Microsoft Defender-portalen. Fra denne siden kan du:
- Vis alle DLP-varslene gruppert etter hendelser i Microsoft Defender XDR hendelseskøen.
- Vis intelligente interløsningsvarsler (DLP-MDE, DLP-MDO) og intraløsningsvarsler (DLP-DLP) under én enkelt hendelse.
- Jakt på samsvarslogger sammen med sikkerhet under Avansert jakt.
- Handlinger for utbedring av administrator på stedet for bruker, fil og enhet.
- Knytt egendefinerte koder til DLP-hendelser, og filtrer etter dem.
- Filtrer etter DLP-policynavn, kode, dato, tjenestekilde, hendelsesstatus og bruker på den enhetlige hendelseskøen.
Tips
Du kan også hente DLP-hendelser sammen med hendelser og bevis i Microsoft Sentinel for etterforskning og utbedring med Microsoft Defender XDR-koblingen i Microsoft Sentinel.
Lisensieringskrav
Hvis du vil undersøke Microsoft Purview hindring av datatap hendelser i Microsoft Defender portalen, trenger du en lisens fra ett av følgende abonnementer:
- Microsoft Office 365 E5/A5
- Microsoft 365 E5/A5
- Microsoft 365 E5/A5 Samsvar
- Microsoft 365 E5/A5 Information Protection og styring
Obs!
Når du er lisensiert og kvalifisert for denne funksjonen, flyter DLP-varsler automatisk inn i Microsoft Defender XDR. Hvis du ikke vil at DLP-varsler skal flyte inn i Defender, åpner du en støttesak for å deaktivere denne funksjonen. Hvis du deaktiverer denne funksjonen, vises DLP-varsler i Defender-portalen som Microsoft Defender for Office-varsler.
Roller
Det er anbefalt fremgangsmåte å bare gi minimale tillatelser til varsler i Microsoft Defender-portalen. Du kan opprette en egendefinert rolle med disse rollene og tilordne den til brukere som trenger å undersøke DLP-varsler.
| Tillatelse | Tilgang til Defender-varsel |
|---|---|
| Behandle varsler | DLP + Sikkerhet |
| View-Only Behandle varsler | DLP + Sikkerhet |
| Information Protection-analytiker | Bare DLP |
| Behandling av DLP-samsvar | Bare DLP |
| View-Only DLP Compliance Management | Bare DLP |
Før du begynner
Slå på varsler for alle DLP-policyene i Microsoft Purview-samsvarsportal.
Obs!
Begrensninger for administrative enheter flyter fra hindring av datatap (DLP) til Defender-portalen. Hvis du er en administrativ enhet begrenset administrator, vil du bare se DLP-varslene for den administrative enheten.
Undersøke DLP-varsler i Microsoft Defender-portalen
Gå til Microsoft Defender-portalen, og velg Hendelser i navigasjonsmenyen til venstre for å åpne hendelsessiden.
Velg Filtre øverst til høyre, og velg Tjenestekilde: Hindring av tap av data for å vise alle hendelser med DLP-varsler. Her er noen eksempler på delfiltrene som er tilgjengelige i forhåndsversjon:
- etter bruker- og enhetsnavn
- (i forhåndsvisning) I enhetsfilteret kan du søke etter filnavn, bruker, enhetsnavn og filbaner.
- (i forhåndsvisning) I varselpolicytittelen varselpolicyer> i hendelseskøen>. Du kan søke etter DLP-policynavnet.
Søk for DLP-policynavnet for varslene og hendelsene du er interessert i.
Hvis du vil vise siden for hendelsessammendrag, velger du hendelsen fra køen. På samme måte velger du varselet for å vise DLP-varselsiden.
Vis varselartikkelen for detaljer om policy og sensitive informasjonstyper som oppdages i varselet. Velg hendelsen i delen Relaterte hendelser for å se brukeraktivitetsdetaljene.
Vis det samsvarende sensitive innholdet i fanen Sensitive infotyper og filinnholdet i Kilde-fanen hvis du har den nødvendige tillatelsen (se detaljer her).
Utvid DLP-varselundersøkelse med avansert jakt
Avansert jakt er et spørringsbasert verktøy for trusseljakt som lar deg utforske opptil 30 dager med overvåkingslogger for bruker-, filer- og nettstedsplasseringer for å hjelpe deg med etterforskningen. Du kan proaktivt undersøke hendelser i nettverket for å finne trusselindikatorer og enheter. Den fleksible tilgangen til data muliggjør ubegrenset jakt etter både kjente og potensielle trusler.
Tabellen CloudAppEvents inneholder alle overvåkingslogger på tvers av alle plasseringer som SharePoint, OneDrive, Exchange og enheter.
Før du starter
Hvis du ikke har brukt avansert jakt før, bør du se gjennom Kom i gang med avansert jakt.
Før du kan bruke forhåndsjakt, må du ha tilgang til Tabellen CloudAppEvents som inneholder Microsoft Purview-dataene.
Bruke innebygde spørringer
Viktig
Denne funksjonen er i forhåndsversjon. Evalueringsfunksjoner er ikke ment for produksjonsbruk og kan ha begrenset funksjonalitet. Disse funksjonene er tilgjengelige før en offisiell utgivelse, slik at kunder kan få tidlig tilgang og gi tilbakemelding.
Defender-portalen tilbyr flere innebygde spørringer du kan bruke til å hjelpe deg med DLP-varselundersøkelsen.
- Gå til Microsoft Defender-portalen, og velg Hendelser & varsler i navigasjonsmenyen til venstre for å åpne hendelsessiden. Velg hendelser.
- Velg Filtre øverst til høyre, og velg Tjenestekilde: Hindring av tap av data for å vise alle hendelser med DLP-varsler.
- Åpne en DLP-hendelse.
- Velg et varsel for å vise tilknyttede hendelser.
- Velg en hendelse.
- Velg Gå jakt-kontrollen i detaljruten for hendelsen.
- Defender viser deg en liste over innebygde spørringer som er relevante for kildeplasseringen for hendelsen. Hvis for eksempel hendelsen er fra SharePoint, ser du
- Fil delt med
- Filaktiviteter
- Områdeaktivitet
- Brudd på bruker-DLP for siste 30 dager
- Defender viser deg en liste over innebygde spørringer som er relevante for kildeplasseringen for hendelsen. Hvis for eksempel hendelsen er fra SharePoint, ser du
- Du kan velge å kjøre spørring umiddelbart, endre tidsintervallet, redigere eller lagre spørringen for senere bruk.
- Når du har kjørt spørringen, kan du vise resultatene på Resultater-fanen.
Hvis varselet er for en e-postmelding, kan du laste ned meldingen ved å velge Handlinger>Last ned e-post.
Hvis varselet er for en fil i SharePoint Online eller One Drive for Business, kan du utføre disse handlingene:
- Bruk oppbevaringsetikett
- Oppheve deling
- Slett
- Bruk følsomhetsetikett
- Last ned (innholdsvisningsrolle for dataklassifisering kreves for denne handlingen)
- Trekke tilbake tilbakemelding
For utbedringshandlinger velger du brukerkortet øverst på varselsiden for å åpne brukerdetaljene.
For DLP-varsler for enheter velger du enhetskortet øverst på varselsiden for å vise enhetsdetaljene og utføre utbedringshandlinger på enheten.
Gå til siden for hendelsessammendrag, og velg Administrer hendelse for å legge til hendelseskoder, tilordne eller løse en hendelse.
Relaterte artikler
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for