Waarschuwingen voor preventie van gegevensverlies onderzoeken met Microsoft Defender XDR
Van toepassing op:
- Microsoft Defender XDR
U kunt Microsoft Purview-preventie van gegevensverlies-waarschuwingen (DLP) beheren in de Microsoft Defender-portal. Open Incidenten & waarschuwingen>Incidenten bij het snel starten van de Microsoft Defender-portal. Op deze pagina kunt u het volgende doen:
- Bekijk al uw DLP-waarschuwingen die zijn gegroepeerd onder incidenten in de Microsoft Defender XDR incidentwachtrij.
- Bekijk intelligente inter-solution(DLP-MDE, DLP-MDO) en intra-solution (DLP-DLP) gecorreleerde waarschuwingen onder één incident.
- Zoeken naar nalevingslogboeken samen met beveiliging onder Geavanceerde opsporing.
- Herstelacties voor in-place beheerders op gebruiker, bestand en apparaat.
- Koppel aangepaste tags aan DLP-incidenten en filter erop.
- Filter op DLP-beleidsnaam, tag, datum, servicebron, incidentstatus en gebruiker op de uniforme incidentwachtrij.
Tip
U kunt ook DLP-incidenten samen met gebeurtenissen en bewijsmateriaal naar Microsoft Sentinel halen voor onderzoek en herstel met de Microsoft Defender XDR-connector in Microsoft Sentinel.
Licentievereisten
Als u Microsoft Purview-preventie van gegevensverlies incidenten in de Microsoft Defender-portal wilt onderzoeken, hebt u een licentie van een van de volgende abonnementen nodig:
- Microsoft Office 365 E5/A5
- Microsoft 365 E5/A5
- Microsoft 365 E5/A5 Compliance
- Microsoft 365 E5/A5 Gegevensbeveiliging en -beheer
Opmerking
Wanneer u een licentie hebt en in aanmerking komt voor deze functie, stromen DLP-waarschuwingen automatisch naar Microsoft Defender XDR. Als u niet wilt dat DLP-waarschuwingen naar Defender stromen, opent u een ondersteuningsaanvraag om deze functie uit te schakelen. Als u deze functie uitschakelt, worden DLP-waarschuwingen weergegeven in de Defender-portal als Microsoft Defender voor Office-waarschuwingen.
Rollen
Het is raadzaam om slechts minimale machtigingen toe te kennen aan waarschuwingen in de Microsoft Defender-portal. U kunt een aangepaste rol maken met deze rollen en deze toewijzen aan de gebruikers die DLP-waarschuwingen moeten onderzoeken.
| Machtiging | Toegang tot Defender-waarschuwingen |
|---|---|
| Waarschuwingen beheren | DLP + beveiliging |
| View-Only Waarschuwingen beheren | DLP + beveiliging |
| Informatiebeveiligingsanalist | Alleen DLP |
| DLP-nalevingsbeheer | Alleen DLP |
| View-Only DLP-compliancebeheer | Alleen DLP |
Voordat u van start gaat
Schakel waarschuwingen in voor al uw DLP-beleidsregels in de Microsoft Purview-nalevingsportal.
Opmerking
Beperkingen voor beheereenheden stromen van preventie van gegevensverlies (DLP) naar de Defender-portal. Als u een beheerder bent met beperkte beheereenheden, ziet u alleen de DLP-waarschuwingen voor uw beheereenheid.
DLP-waarschuwingen onderzoeken in de Microsoft Defender-portal
Ga naar de Microsoft Defender portal en selecteer Incidenten in het navigatiemenu aan de linkerkant om de pagina incidenten te openen.
Selecteer Filters in de rechterbovenhoek en kies Servicebron : Preventie van gegevensverlies om alle incidenten met DLP-waarschuwingen weer te geven. Hier volgen enkele voorbeelden van de subfilters die beschikbaar zijn in preview:
- op gebruikers- en apparaatnamen
- (in preview) In het filter Entiteiten kunt u zoeken op bestandsnamen, gebruikers-, apparaatnamen en bestandspaden.
- (in preview) In de titel Waarschuwingsbeleid waarschuwingsbeleid> in de wachtrij >Incidenten. U kunt zoeken op de naam van het DLP-beleid.
Search voor de naam van het DLP-beleid van de waarschuwingen en incidenten waarin u geïnteresseerd bent.
Als u de overzichtspagina van het incident wilt weergeven, selecteert u het incident in de wachtrij. Selecteer op dezelfde manier de waarschuwing om de DLP-waarschuwingspagina weer te geven.
Bekijk het waarschuwingsverhaal voor meer informatie over beleid en de typen gevoelige informatie die in de waarschuwing zijn gedetecteerd. Selecteer de gebeurtenis in de sectie Gerelateerde gebeurtenissen om de details van de gebruikersactiviteit weer te geven.
Bekijk de overeenkomende gevoelige inhoud op het tabblad Typen gevoelige informatie en de bestandsinhoud op het tabblad Bron als u de vereiste machtiging hebt (zie hier details).
DLP-waarschuwingsonderzoek uitbreiden met geavanceerde opsporing
Geavanceerde opsporing is een hulpprogramma voor het opsporen van bedreigingen op basis van query's waarmee u maximaal 30 dagen aan auditlogboeken van gebruikers, bestanden en sitelocaties kunt verkennen om u te helpen bij uw onderzoek. U kunt proactief gebeurtenissen in uw netwerk inspecteren om bedreigingsindicatoren en entiteiten te vinden. De flexibele toegang tot gegevens maakt een onbeperkte opsporing van zowel bekende als potentiële bedreigingen mogelijk.
De tabel CloudAppEvents bevat alle auditlogboeken op alle locaties, zoals SharePoint, OneDrive, Exchange en Apparaten.
Voordat u begint
Als u nog geen geavanceerde opsporing hebt, raadpleegt u Aan de slag met geavanceerde opsporing.
Voordat u geavanceerde opsporing kunt gebruiken, moet u toegang hebben tot de tabel CloudAppEvents die de Microsoft Purview-gegevens bevat.
Ingebouwde query's gebruiken
Belangrijk
Deze functie is in preview. Preview-functies zijn niet bedoeld voor productiegebruik en hebben mogelijk beperkte functionaliteit. Deze functies zijn beschikbaar vóór een officiële release, zodat klanten vroegtijdige toegang kunnen krijgen en feedback kunnen geven.
De Defender-portal biedt meerdere ingebouwde query's die u kunt gebruiken om te helpen bij uw DLP-waarschuwingsonderzoek.
- Ga naar de Microsoft Defender-portal en selecteer Incidenten & waarschuwingen in het navigatiemenu aan de linkerkant om de pagina incidenten te openen. Selecteer Incidenten.
- Selecteer Filters in de rechterbovenhoek en kies Servicebron : Preventie van gegevensverlies om alle incidenten met DLP-waarschuwingen weer te geven.
- Open een DLP-incident.
- Selecteer een waarschuwing om de bijbehorende gebeurtenissen weer te geven.
- Selecteer een gebeurtenis.
- Selecteer in het deelvenster met gebeurtenisdetails het besturingselement Go Hunt .
- Defender toont een lijst met ingebouwde query's die relevant zijn voor de bronlocatie van de gebeurtenis. Als de gebeurtenis bijvoorbeeld afkomstig is van SharePoint, ziet u
- Bestand gedeeld met
- Bestandsactiviteiten
- Site-activiteit
- DLP-schendingen van gebruikers gedurende de afgelopen 30 dagen
- Defender toont een lijst met ingebouwde query's die relevant zijn voor de bronlocatie van de gebeurtenis. Als de gebeurtenis bijvoorbeeld afkomstig is van SharePoint, ziet u
- U kunt ervoor kiezen om query onmiddellijk uit te voeren , het tijdsbereik te wijzigen, de query te bewerken of op te slaan voor later gebruik.
- Zodra u de query hebt uitgevoerd, bekijkt u de resultaten op het tabblad Resultaten .
Als de waarschuwing betrekking heeft op een e-mailbericht, kunt u het bericht downloaden door Acties>e-mail downloaden te selecteren.
Als de waarschuwing betrekking heeft op een bestand in SharePoint Online of One Drive voor Bedrijven, kunt u deze acties uitvoeren:
- Retentielabel toepassen
- Delen opheffen
- Verwijderen
- Vertrouwelijkheidslabel toepassen
- Downloaden (de rol van de inhoudsviewer voor gegevensclassificatie is vereist voor deze actie)
- Feedback intrekken
Voor herstelacties selecteert u de kaart Gebruiker boven aan de waarschuwingspagina om de gebruikersgegevens te openen.
Voor DLP-waarschuwingen voor apparaten selecteert u de apparaatkaart bovenaan de waarschuwingspagina om de apparaatdetails weer te geven en herstelacties op het apparaat uit te voeren.
Ga naar de overzichtspagina van het incident en selecteer Incident beheren om incidenttags toe te voegen, een incident toe te wijzen of op te lossen.
Verwante artikelen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor