Meer informatie over het Waarschuwingen-dashboard voor preventie van gegevensverlies
Wanneer de criteria in een DLP-beleid (Microsoft Purview-preventie van gegevensverlies) overeenkomen met de acties die een gebruiker uitvoert voor een gevoelig item, kan het beleid een waarschuwing genereren. Deze situatie kan leiden tot een groot aantal waarschuwingen. DLP-waarschuwingen worden verzameld in het waarschuwingendashboard. Het waarschuwingendashboard biedt u één plek om een grondig onderzoek uit te voeren naar alle details over de beleidsovereenkomst.
Tip
Als u geen E5-klant bent, gebruikt u de 90-daagse proefversie van Microsoft Purview-oplossingen om te verkennen hoe aanvullende Purview-mogelijkheden uw organisatie kunnen helpen bij het beheren van gegevensbeveiliging en nalevingsbehoeften. Begin nu bij de hub Microsoft Purview-nalevingsportal proefversies. Meer informatie over registratie- en proefvoorwaarden.
Werkbelastingen
Het dashboard DLP-waarschuwingsbeheer in de Microsoft Purview-nalevingsportal toont waarschuwingen voor DLP-beleid voor deze workloads:
- Exchange
- SharePoint
- OneDrive
- Teams
- Windows 10-apparaten
Tip
Klanten die eindpunt-DLP gebruiken en die in aanmerking komen voor DLP van Teams , zien hun DLP-beleidswaarschuwingen voor eindpunten en DLP-beleidswaarschuwingen van Teams in het dashboard voor DLP-waarschuwingen.
Enkele waarschuwing en aggregatiewaarschuwing
Er zijn twee typen waarschuwingen die kunnen worden geconfigureerd in DLP-beleid.
Waarschuwingen voor één gebeurtenis worden doorgaans gebruikt in beleidsregels die controleren op zeer gevoelige gebeurtenissen die plaatsvinden op een laag volume, zoals één e-mail met 10 of meer creditcardnummers van klanten die buiten uw organisatie worden verzonden.
Waarschuwingen voor aggregatiegebeurtenissen worden doorgaans gebruikt in beleidsregels die controleren op gebeurtenissen die zich gedurende een bepaalde periode in een hoger volume voordoen. Een geaggregeerde waarschuwing kan bijvoorbeeld worden geactiveerd wanneer gedurende 48 uur 10 afzonderlijke e-mailberichten met één creditcardnummer van een klant buiten uw organisatie worden verzonden.
Typen gebeurtenissen
Hier volgen enkele gebeurtenissen die zijn gekoppeld aan een waarschuwing. In de gebruikersinterface kunt u een bepaalde gebeurtenis kiezen om de details ervan weer te geven.
Details van de gebeurtenis
| Eigenschapsnaam | Omschrijving | Gebeurtenistypen |
|---|---|---|
| ID | unieke id die is gekoppeld aan de gebeurtenis | alle gebeurtenissen |
| Locatie | workload waarin de gebeurtenis is gedetecteerd | alle gebeurtenissen |
| tijdstip van activiteit | tijd van de gebruikersactiviteit die voldoet aan de criteria van het DLP-beleid |
Betrokken entiteiten
| Eigenschapsnaam | Omschrijving | Gebeurtenistypen |
|---|---|---|
| gebruiker | gebruiker die de actie heeft uitgevoerd die de overeenkomst met het beleid heeft veroorzaakt | alle gebeurtenissen |
| Hostname | hostnaam van de computer waarop de overeenkomst met het DLP-beleid is opgetreden | apparaat gebeurtenissen |
| IP-adres | IP-adres van de computer waarop de overeenkomst met het DLP-beleid is opgetreden | apparaat gebeurtenissen |
| sha1 | SHA-1-hash van het bestand | apparaat gebeurtenissen |
| sha256 | SHA-256-hash van het bestand | apparaat gebeurtenissen |
| MDATP-apparaat-id | MDATP-id van eindpuntapparaat | |
| bestandsgrootte | grootte van het bestand | SharePoint-, OneDrive- en apparaatevenementen |
| bestandspad | het absolute pad van het item dat is betrokken bij de overeenkomst met het DLP-beleid | SharePoint-, OneDrive- en apparaten-gebeurtenissen |
| e-mailontvangers | als een e-mailbericht het gevoelige item was dat overeenkomt met het DLP-beleid, bevat dit veld de geadresseerden van die e-mail | Exchange-gebeurtenissen |
| e-mailonderwerp | onderwerp van het e-mailbericht dat overeenkomt met het DLP-beleid | Exchange-gebeurtenissen |
| e-mailbijlagen | namen van de bijlagen in het e-mailbericht die overeenkomen met het DLP-beleid | Exchange-gebeurtenissen |
| site-eigenaar | naam van de site-eigenaar | SharePoint- en OneDrive-gebeurtenissen |
| site-URL | vol met de URL van de SharePoint- of OneDrive-site waar de overeenkomst met het DLP-beleid is opgetreden | SharePoint- en OneDrive-gebeurtenissen |
| bestand gemaakt | tijdstip waarop het bestand is gemaakt dat overeenkomt met het DLP-beleid | SharePoint- en OneDrive-gebeurtenissen |
| bestand laatst gewijzigd | de laatste keer dat het bestand dat overeenkomt met het DLP-beleid is gewijzigd | SharePoint- en OneDrive-gebeurtenissen |
| bestandsgrootte | grootte van het bestand dat overeenkomt met het DLP-beleid | SharePoint- en OneDrive-gebeurtenissen |
| bestandseigenaar | eigenaar van het bestand dat overeenkomt met het DLP-beleid | SharePoint- en OneDrive-gebeurtenissen |
Beleidsdetails
| Eigenschapsnaam | Omschrijving | Gebeurtenistypen |
|---|---|---|
| DLP-beleid komt overeen | naam van het overeenkomende DLP-beleid | alle gebeurtenissen |
| regel komt overeen | naam van de overeenkomende DLP-beleidsregel | alle gebeurtenissen |
| typen gevoelige informatie (SIT) gedetecteerd | SID's die zijn gedetecteerd als onderdeel van de DLP-beleidsovereenkomst | alle gebeurtenissen |
| acties uitgevoerd | acties die zijn uitgevoerd die de overeenkomst met het DLP-beleid hebben veroorzaakt | alle gebeurtenissen |
| schending van de actie | actie op het eindpuntapparaat dat de DLP-waarschuwing heeft gegenereerd | apparaat gebeurtenissen |
| gebruiker overroed beleid | heeft de gebruiker het beleid overschreven via een beleidstip | alle gebeurtenissen |
| reden voor onderdrukking gebruiken | de tekst van de reden die door de gebruiker is opgegeven voor de onderdrukking | alle gebeurtenissen |
DLP-incidenten onderzoeken in Microsoft 365 Defender portal
Incidenten voor Microsoft Purview-preventie van gegevensverlies (DLP) kunnen worden beheerd in de Microsoft 365 Defender portal. Zie Incidenten met gegevensverlies onderzoeken met Microsoft 365 Defender voor meer informatie. U kunt DLP-incidenten samen met beveiligingsincidenten beheren vanuit Incidentenwaarschuwingen &>Incidenten bij het snel starten van de Microsoft 365 Defender-portal.
Op deze pagina kunt u het volgende doen:
- Bekijk al uw DLP-waarschuwingen die zijn gegroepeerd onder incidenten in de Microsoft 365 Defender incidentwachtrij.
- Bekijk intelligente inter-solution(DLP-MDE, DLP-MDO) en intra-solution (DLP-DLP) gecorreleerde waarschuwingen onder één incident.
- Zoek naar nalevingslogboeken en beveiliging onder Geavanceerde opsporing.
- Herstelacties voor in-place beheerders op gebruiker, bestand en apparaat.
- Koppel aangepaste tags aan DLP-incidenten en filter erop.
- Filter op DLP-beleidsnaam, tag, datum, servicebron, incidentstatus en gebruiker op de uniforme incidentwachtrij.