Undersøke datatapshendelser med Microsoft 365 Defender

Obs!

Vil du prøve Microsoft 365 Defender? Finn ut mer om hvordan du kan evaluere og prøve ut Microsoft 365 Defender.

Gjelder for:

  • Microsoft 365 Defender

Hendelser for Microsoft Purview hindring av datatap (DLP) kan nå behandles i Microsoft 365 Defender-portalen. Du kan administrere DLP-hendelser sammen med sikkerhetshendelser fra hendelsesvarsler & Hendelser> på hurtigstartlinjen i Microsoft 365 Defender-portalen. Fra denne siden kan du:

  • Vis alle DLP-varslene gruppert etter hendelser i Microsoft 365 Defender hendelseskøen.
  • Vis intelligente interløsningsvarsler (DLP-MDE, DLP-MDO) og intraløsningsvarsler (DLP-DLP) under én enkelt hendelse.
  • Jakt på samsvarslogger sammen med sikkerhet under Avansert jakt.
  • Handlinger for utbedring av administrator på stedet for bruker, fil og enhet.
  • Knytt egendefinerte koder til DLP-hendelser, og filtrer etter dem.
  • Filtrer etter DLP-policynavn, kode, dato, tjenestekilde, hendelsesstatus og bruker på den enhetlige hendelseskøen.

Du kan også bruke Microsoft 365 Defender-koblingen i Microsoft Sentinel til å trekke DLP-hendelser sammen med hendelser og bevis i Microsoft Sentinel for etterforskning og utbedring.

Lisensieringskrav

Hvis du vil undersøke Microsoft Purview hindring av datatap hendelser i Microsoft 365 Defender-portalen, trenger du en lisens fra ett av følgende abonnementer:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 Samsvar
  • Microsoft 365 E5/A5 Sikkerhet
  • Microsoft 365 E5/A5 Information Protection og styring

Obs!

Når du er lisensiert og kvalifisert for denne funksjonen, flyter DLP-varsler automatisk inn i Microsoft 365 Defender. Åpne en kundestøttesak hvis du vil deaktivere denne funksjonen.

DLP-undersøkelsesopplevelse i Microsoft 365 Defender-portalen

Før du begynner, må du aktivere varsler for alle DLP-policyene i Microsoft Purview-samsvarsportal.

  1. Gå til Microsoft 365 Defender-portalen, og velg Hendelser i navigasjonsmenyen til venstre for å åpne hendelsessiden.

  2. Velg Filtre øverst til høyre, og velg Tjenestekilde: Hindring av tap av data for å vise alle hendelser med DLP-varsler.

  3. Søk etter DLP-policynavnet for varslene og hendelsene du er interessert i.

  4. Hvis du vil vise siden for hendelsessammendrag, velger du hendelsen fra køen. På samme måte velger du varselet for å vise DLP-varselsiden.

  5. Vis varselartikkelen for detaljer om policy og sensitive informasjonstyper som oppdages i varselet. Velg hendelsen i delen Relaterte hendelser for å se brukeraktivitetsdetaljene.

  6. Vis det samsvarende sensitive innholdet i fanen Sensitive infotyper og filinnholdet i Kilde-fanen hvis du har den nødvendige tillatelsen (se detaljer her).

  7. Du kan også bruke Avansert jakt til å søke gjennom overvåkingslogger for bruker, filer og områdeplasseringer for undersøkelsen. Tabellen CloudAppEvents inneholder alle overvåkingslogger på tvers av alle plasseringer som SharePoint, OneDrive, Exchange og enheter.

  8. Du kan også laste ned e-postmeldingen ved å velge Handlinger>Last ned e-post.

  9. For utbedringshandlinger på filer på SPO- eller ODB-nettsteder kan du se handlinger som:

    • Bruk oppbevaringsetikett
    • Bruk følsomhetsetikett
    • Oppheve deling av fil
    • Slett

    For utbedringshandlinger velger du brukerkortet øverst på varselsiden for å åpne brukerdetaljene.

    For DLP-varsler for enheter velger du enhetskortet øverst på varselsiden for å vise enhetsdetaljene og utføre utbedringshandlinger på enheten.

  10. Gå til siden for hendelsessammendrag, og velg Administrer hendelse for å legge til hendelseskoder, tilordne eller løse en hendelse.

DLP-undersøkelseserfaring i Microsoft Sentinel

Du kan bruke Microsoft 365 Defender-koblingen i Microsoft Sentinel til å importere alle DLP-hendelser til Sentinel for å utvide korrelasjon, gjenkjenning og undersøkelse på tvers av andre datakilder og utvide automatiserte orkestreringsflyter ved hjelp av Sentinels opprinnelige SOAR-funksjoner.

  1. Følg instruksjonene på Koble data fra Microsoft 365 Defender til Microsoft Sentinel for å importere alle hendelser, inkludert DLP-hendelser og varsler til Sentinel. Aktiver CloudAppEvents hendelseskobling for å hente alle O365-overvåkingslogger til Sentinel.

    Du skal kunne se DLP-hendelsene i Sentinel når koblingen ovenfor er konfigurert.

  2. Velg Varsler for å vise varselsiden.

  3. Du kan bruke AlertType, startTime og endTime til å spørre Tabellen CloudAppEvents for å få alle brukeraktivitetene som bidro til varselet. Bruk denne spørringen til å identifisere de underliggende aktivitetene:

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime