Share via


Waarschuwingen voor preventie van gegevensverlies onderzoeken met Microsoft Defender XDR

Van toepassing op:

  • Microsoft Defender XDR

U kunt Microsoft Purview-preventie van gegevensverlies-waarschuwingen (DLP) beheren in de Microsoft Defender-portal. Open Incidenten & waarschuwingen>Incidenten bij het snel starten van de Microsoft Defender-portal. Op deze pagina kunt u het volgende doen:

  • Bekijk al uw DLP-waarschuwingen die zijn gegroepeerd onder incidenten in de Microsoft Defender XDR incidentwachtrij.
  • Bekijk intelligente inter-solution(DLP-MDE, DLP-MDO) en intra-solution (DLP-DLP) gecorreleerde waarschuwingen onder één incident.
  • Zoeken naar nalevingslogboeken samen met beveiliging onder Geavanceerde opsporing.
  • Herstelacties voor in-place beheerders op gebruiker, bestand en apparaat.
  • Koppel aangepaste tags aan DLP-incidenten en filter erop.
  • Filter op DLP-beleidsnaam, tag, datum, servicebron, incidentstatus en gebruiker op de uniforme incidentwachtrij.

Tip

U kunt ook DLP-incidenten samen met gebeurtenissen en bewijsmateriaal naar Microsoft Sentinel halen voor onderzoek en herstel met de Microsoft Defender XDR-connector in Microsoft Sentinel.

Licentievereisten

Als u Microsoft Purview-preventie van gegevensverlies incidenten in de Microsoft Defender-portal wilt onderzoeken, hebt u een licentie van een van de volgende abonnementen nodig:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 Compliance
  • Microsoft 365 E5/A5 Gegevensbeveiliging en -beheer

Opmerking

Wanneer u een licentie hebt en in aanmerking komt voor deze functie, stromen DLP-waarschuwingen automatisch naar Microsoft Defender XDR. Als u niet wilt dat DLP-waarschuwingen naar Defender stromen, opent u een ondersteuningsaanvraag om deze functie uit te schakelen. Als u deze functie uitschakelt, worden DLP-waarschuwingen weergegeven in de Defender-portal als Microsoft Defender voor Office-waarschuwingen.

Rollen

Het is raadzaam om slechts minimale machtigingen toe te kennen aan waarschuwingen in de Microsoft Defender-portal. U kunt een aangepaste rol maken met deze rollen en deze toewijzen aan de gebruikers die DLP-waarschuwingen moeten onderzoeken.

Machtiging Toegang tot Defender-waarschuwingen
Waarschuwingen beheren DLP + beveiliging
View-Only Waarschuwingen beheren DLP + beveiliging
Informatiebeveiligingsanalist Alleen DLP
DLP-nalevingsbeheer Alleen DLP
View-Only DLP-compliancebeheer Alleen DLP

Voordat u van start gaat

Schakel waarschuwingen in voor al uw DLP-beleidsregels in de Microsoft Purview-nalevingsportal.

Opmerking

Beperkingen voor beheereenheden stromen van preventie van gegevensverlies (DLP) naar de Defender-portal. Als u een beheerder bent met beperkte beheereenheden, ziet u alleen de DLP-waarschuwingen voor uw beheereenheid.

DLP-waarschuwingen onderzoeken in de Microsoft Defender-portal

  1. Ga naar de Microsoft Defender portal en selecteer Incidenten in het navigatiemenu aan de linkerkant om de pagina incidenten te openen.

  2. Selecteer Filters in de rechterbovenhoek en kies Servicebron : Preventie van gegevensverlies om alle incidenten met DLP-waarschuwingen weer te geven. Hier volgen enkele voorbeelden van de subfilters die beschikbaar zijn in preview:

    1. op gebruikers- en apparaatnamen
    2. (in preview) In het filter Entiteiten kunt u zoeken op bestandsnamen, gebruikers-, apparaatnamen en bestandspaden.
    3. (in preview) In de titel Waarschuwingsbeleid waarschuwingsbeleid> in de wachtrij >Incidenten. U kunt zoeken op de naam van het DLP-beleid.
  3. Search voor de naam van het DLP-beleid van de waarschuwingen en incidenten waarin u geïnteresseerd bent.

  4. Als u de overzichtspagina van het incident wilt weergeven, selecteert u het incident in de wachtrij. Selecteer op dezelfde manier de waarschuwing om de DLP-waarschuwingspagina weer te geven.

  5. Bekijk het waarschuwingsverhaal voor meer informatie over beleid en de typen gevoelige informatie die in de waarschuwing zijn gedetecteerd. Selecteer de gebeurtenis in de sectie Gerelateerde gebeurtenissen om de details van de gebruikersactiviteit weer te geven.

  6. Bekijk de overeenkomende gevoelige inhoud op het tabblad Typen gevoelige informatie en de bestandsinhoud op het tabblad Bron als u de vereiste machtiging hebt (zie hier details).

DLP-waarschuwingsonderzoek uitbreiden met geavanceerde opsporing

Geavanceerde opsporing is een hulpprogramma voor het opsporen van bedreigingen op basis van query's waarmee u maximaal 30 dagen aan auditlogboeken van gebruikers, bestanden en sitelocaties kunt verkennen om u te helpen bij uw onderzoek. U kunt proactief gebeurtenissen in uw netwerk inspecteren om bedreigingsindicatoren en entiteiten te vinden. De flexibele toegang tot gegevens maakt een onbeperkte opsporing van zowel bekende als potentiële bedreigingen mogelijk.

De tabel CloudAppEvents bevat alle auditlogboeken op alle locaties, zoals SharePoint, OneDrive, Exchange en Apparaten.

Voordat u begint

Als u nog geen geavanceerde opsporing hebt, raadpleegt u Aan de slag met geavanceerde opsporing.

Voordat u geavanceerde opsporing kunt gebruiken, moet u toegang hebben tot de tabel CloudAppEvents die de Microsoft Purview-gegevens bevat.

Ingebouwde query's gebruiken

Belangrijk

Deze functie is in preview. Preview-functies zijn niet bedoeld voor productiegebruik en hebben mogelijk beperkte functionaliteit. Deze functies zijn beschikbaar vóór een officiële release, zodat klanten vroegtijdige toegang kunnen krijgen en feedback kunnen geven.

De Defender-portal biedt meerdere ingebouwde query's die u kunt gebruiken om te helpen bij uw DLP-waarschuwingsonderzoek.

  1. Ga naar de Microsoft Defender-portal en selecteer Incidenten & waarschuwingen in het navigatiemenu aan de linkerkant om de pagina incidenten te openen. Selecteer Incidenten.
  2. Selecteer Filters in de rechterbovenhoek en kies Servicebron : Preventie van gegevensverlies om alle incidenten met DLP-waarschuwingen weer te geven.
  3. Open een DLP-incident.
  4. Selecteer een waarschuwing om de bijbehorende gebeurtenissen weer te geven.
  5. Selecteer een gebeurtenis.
  6. Selecteer in het deelvenster met gebeurtenisdetails het besturingselement Go Hunt .
    1. Defender toont een lijst met ingebouwde query's die relevant zijn voor de bronlocatie van de gebeurtenis. Als de gebeurtenis bijvoorbeeld afkomstig is van SharePoint, ziet u
      1. Bestand gedeeld met
      2. Bestandsactiviteiten
      3. Site-activiteit
      4. DLP-schendingen van gebruikers gedurende de afgelopen 30 dagen
  7. U kunt ervoor kiezen om query onmiddellijk uit te voeren , het tijdsbereik te wijzigen, de query te bewerken of op te slaan voor later gebruik.
  8. Zodra u de query hebt uitgevoerd, bekijkt u de resultaten op het tabblad Resultaten .

Als de waarschuwing betrekking heeft op een e-mailbericht, kunt u het bericht downloaden door Acties>e-mail downloaden te selecteren.

Als de waarschuwing betrekking heeft op een bestand in SharePoint Online of One Drive voor Bedrijven, kunt u deze acties uitvoeren:

Voor herstelacties selecteert u de kaart Gebruiker boven aan de waarschuwingspagina om de gebruikersgegevens te openen.

Voor DLP-waarschuwingen voor apparaten selecteert u de apparaatkaart bovenaan de waarschuwingspagina om de apparaatdetails weer te geven en herstelacties op het apparaat uit te voeren.

Ga naar de overzichtspagina van het incident en selecteer Incident beheren om incidenttags toe te voegen, een incident toe te wijzen of op te lossen.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.