Badanie alertów dotyczących ochrony przed utratą danych przy użyciu usługi Microsoft Defender XDR
Dotyczy:
- Microsoft Defender XDR
Alertami Ochrona przed utratą danych w Microsoft Purview (DLP) można zarządzać w portalu Microsoft Defender. Otwórz pozycję Incydenty & alerty>Zdarzenia podczas szybkiego uruchamiania portalu Microsoft Defender. Na tej stronie możesz:
- Wyświetl wszystkie alerty DLP pogrupowane w ramach zdarzeń w kolejce zdarzeń Microsoft Defender XDR.
- Wyświetl alerty inteligentne między rozwiązaniami (DLP-MDE, DLP-MDO) i intra-solution (DLP-DLP) skorelowane w ramach jednego zdarzenia.
- Wyszukiwanie dzienników zgodności wraz z zabezpieczeniami w obszarze Zaawansowane wyszukiwanie zagrożeń.
- Akcje korygowania administratora w miejscu dotyczące użytkownika, pliku i urządzenia.
- Skojarz tagi niestandardowe ze zdarzeniami DLP i filtruj według nich.
- Filtruj według nazwy zasad DLP, tagu, daty, źródła usługi, stanu zdarzenia i użytkownika w ujednoliconej kolejce zdarzeń.
Porada
Możesz również ściągać zdarzenia DLP wraz ze zdarzeniami i dowodami do usługi Microsoft Sentinel w celu zbadania i skorygowania za pomocą łącznika Microsoft Defender XDR w usłudze Microsoft Sentinel.
Wymagania dotyczące licencjonowania
Aby zbadać Ochrona przed utratą danych w Microsoft Purview zdarzeń w portalu Microsoft Defender, potrzebujesz licencji z jednej z następujących subskrypcji:
- Microsoft Office 365 E5/A5
- Microsoft 365 E5/A5
- Zgodność Microsoft 365 E5/A5
- Microsoft 365 E5/A5 Information Protection i ład
Uwaga
Jeśli masz licencję i kwalifikujesz się do tej funkcji, alerty DLP będą automatycznie przepływać do Microsoft Defender XDR. Jeśli nie chcesz, aby alerty DLP przepływały do usługi Defender, otwórz zgłoszenie do pomocy technicznej, aby wyłączyć tę funkcję. Jeśli wyłączysz tę funkcję, alerty DLP będą wyświetlane w portalu usługi Defender jako Microsoft Defender alertów pakietu Office.
Role
Najlepszym rozwiązaniem jest przyznanie tylko minimalnych uprawnień do alertów w portalu Microsoft Defender. Możesz utworzyć rolę niestandardową z tymi rolami i przypisać ją do użytkowników, którzy muszą badać alerty DLP.
| Uprawnienie | Dostęp do alertów usługi Defender |
|---|---|
| Zarządzanie alertami | DLP + Zabezpieczenia |
| View-Only zarządzać alertami | DLP + Zabezpieczenia |
| analityk Information Protection | Tylko DLP |
| Zarządzanie zgodnością DLP | Tylko DLP |
| zarządzanie zgodnością View-Only DLP | Tylko DLP |
Przed rozpoczęciem
Włącz alerty dla wszystkich zasad DLP w portal zgodności Microsoft Purview.
Uwaga
Ograniczenia jednostek administracyjnych przepływają z ochrony przed utratą danych (DLP) do portalu usługi Defender. Jeśli jesteś administratorem jednostki administracyjnej z ograniczeniami, zobaczysz tylko alerty DLP dla jednostki administracyjnej.
Badanie alertów DLP w portalu Microsoft Defender
Przejdź do portalu Microsoft Defender i wybierz pozycję Incydenty w menu nawigacji po lewej stronie, aby otworzyć stronę zdarzeń.
Wybierz pozycję Filtry w prawym górnym rogu, a następnie wybierz pozycję Źródło usługi: Zapobieganie utracie danych , aby wyświetlić wszystkie zdarzenia z alertami DLP. Oto kilka przykładów podfiltrów dostępnych w wersji zapoznawczej:
- według nazw użytkowników i urządzeń
- (w wersji zapoznawczej) W filtrze Jednostki możesz wyszukiwać nazwy plików, użytkowników, nazwy urządzeń i ścieżki plików.
- (w wersji zapoznawczej) W tytule zasad alertów w> kolejce >zdarzeń zasady alertów. Możesz wyszukać nazwę zasad DLP.
Search dla nazwy zasad DLP alertów i zdarzeń, które Cię interesują.
Aby wyświetlić stronę podsumowania zdarzenia, wybierz zdarzenie z kolejki. Podobnie wybierz alert, aby wyświetlić stronę alertu DLP.
Wyświetl historię alertu , aby uzyskać szczegółowe informacje o zasadach i typach informacji poufnych wykrytych w alercie. Wybierz zdarzenie w sekcji Zdarzenia pokrewne , aby wyświetlić szczegóły działania użytkownika.
Wyświetl dopasowaną zawartość poufną na karcie Typy informacji poufnych i zawartość pliku na karcie Źródło , jeśli masz wymagane uprawnienie (zobacz szczegóły tutaj).
Rozszerzanie badania alertów DLP za pomocą zaawansowanego wyszukiwania zagrożeń
Zaawansowane wyszukiwanie zagrożeń to narzędzie do wyszukiwania zagrożeń oparte na zapytaniach, które umożliwia eksplorowanie do 30 dni dzienników inspekcji użytkowników, plików i lokalizacji witryn, które ułatwiają badanie. Możesz proaktywnie sprawdzać zdarzenia w sieci, aby zlokalizować wskaźniki zagrożeń i jednostki. Elastyczny dostęp do danych umożliwia nieograniczone wyszukiwanie zagrożeń zarówno znanych, jak i potencjalnych.
Tabela CloudAppEvents zawiera wszystkie dzienniki inspekcji we wszystkich lokalizacjach, takich jak SharePoint, OneDrive, Exchange i Urządzenia.
Przed rozpoczęciem
Jeśli dopiero zaczynasz korzystać z zaawansowanego wyszukiwania zagrożeń, zapoznaj się z artykułem Wprowadzenie do zaawansowanego wyszukiwania zagrożeń.
Przed rozpoczęciem wyszukiwania zagrożeń z wyprzedzeniem musisz mieć dostęp do tabeli CloudAppEvents zawierającej dane usługi Microsoft Purview.
Używanie wbudowanych zapytań
Ważna
Ta funkcja jest dostępna w wersji zapoznawczej. Funkcje w wersji zapoznawczej nie są przeznaczone do użytku produkcyjnego i mogą mieć ograniczone funkcje. Te funkcje są dostępne przed oficjalną wersją, dzięki czemu klienci mogą uzyskać wczesny dostęp i przekazać opinię.
Portal usługi Defender oferuje wiele wbudowanych zapytań, których można użyć, aby ułatwić badanie alertów DLP.
- Przejdź do portalu Microsoft Defender i wybierz pozycję Zdarzenia & alerty w menu nawigacji po lewej stronie, aby otworzyć stronę zdarzeń. Wybierz pozycję Zdarzenia.
- Wybierz pozycję Filtry w prawym górnym rogu, a następnie wybierz pozycję Źródło usługi: Zapobieganie utracie danych , aby wyświetlić wszystkie zdarzenia z alertami DLP.
- Otwórz zdarzenie DLP.
- Wybierz alert, aby wyświetlić skojarzone z nim zdarzenia.
- Wybierz zdarzenie.
- W okienku szczegółów zdarzenia wybierz kontrolkę Go Hunt .
- Usługa Defender wyświetla listę wbudowanych zapytań, które są istotne dla lokalizacji źródłowej zdarzenia. Jeśli na przykład zdarzenie pochodzi z programu SharePoint, zobaczysz
- Plik udostępniony
- Działania dotyczące plików
- Działanie witryny
- Naruszenia DLP użytkowników w ciągu ostatnich 30 dni
- Usługa Defender wyświetla listę wbudowanych zapytań, które są istotne dla lokalizacji źródłowej zdarzenia. Jeśli na przykład zdarzenie pochodzi z programu SharePoint, zobaczysz
- Możesz natychmiast uruchomić zapytanie , zmienić zakres czasu, edytować lub zapisać zapytanie do późniejszego użycia.
- Po uruchomieniu zapytania wyświetl wyniki na karcie Wyniki .
Jeśli alert dotyczy wiadomości e-mail, możesz pobrać wiadomość, wybierając pozycję Akcje>Pobierz wiadomość e-mail.
Jeśli alert dotyczy pliku w usłudze SharePoint Online lub One Drive dla firm, możesz wykonać następujące akcje:
- Stosowanie etykiety przechowywania
- Anulowanie udostępniania
- Usuń
- Stosowanie etykiety poufności
- Pobierz (rola przeglądarki zawartości klasyfikacji danych jest wymagana dla tej akcji)
- Wycofaj opinię
W przypadku akcji korygowania wybierz kartę Użytkownik w górnej części strony alertu, aby otworzyć szczegóły użytkownika.
W obszarze Alerty DLP urządzeń wybierz kartę urządzenia w górnej części strony alertu, aby wyświetlić szczegóły urządzenia i podjąć akcje korygowania na urządzeniu.
Przejdź do strony podsumowania zdarzenia i wybierz pozycję Zarządzaj incydentem , aby dodać tagi zdarzeń, przypisać lub rozwiązać zdarzenie.
Artykuły pokrewne
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla