Udostępnij za pośrednictwem

Badanie alertów dotyczących ochrony przed utratą danych przy użyciu usługi Microsoft Defender XDR

  • Dotyczy: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

W portalu Microsoft Defender można zarządzać alertami i zdarzeniami Ochrona przed utratą danych w Microsoft Purview (DLP) i odpowiadać na nie. Otwórz pozycję Incydenty & alerty>Zdarzenia podczas szybkiego uruchamiania portalu Microsoft Defender. Na tej stronie możesz:

  • Wyświetl wszystkie alerty DLP pogrupowane w ramach zdarzeń w kolejce zdarzeń Microsoft Defender XDR.
  • Wyświetlanie alertów DLP skorelowanych z innymi alertami DLP lub alertami z innych rozwiązań (Defender for Endpoint, Ochrona usługi Office 365 w usłudze Defender, Microsoft Sentinel itd.) w ramach pojedynczego zdarzenia.
  • Wyszukiwanie zagrożeń bezpieczeństwa przy użyciu zapytań łączących dzienniki zgodności z dziennikami zabezpieczeń w obszarze Zaawansowane wyszukiwanie zagrożeń.
  • Wykonaj akcje korygowania w miejscu dla użytkowników, plików i urządzeń.
  • Skojarz tagi niestandardowe ze zdarzeniami DLP i filtruj według nich.
  • Filtruj ujednoliconą kolejkę zdarzeń według nazwy zasad DLP, tagu, daty, źródła usługi, stanu zdarzenia i użytkownika.

Wymagania wstępne

Wymagania dotyczące licencjonowania

Aby zbadać Ochrona przed utratą danych w Microsoft Purview zdarzeń w portalu Microsoft Defender, potrzebujesz licencji z jednej z następujących subskrypcji:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Zgodność Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 Information Protection i ład

Uwaga

Jeśli masz licencję i kwalifikujesz się do tej funkcji, alerty DLP będą automatycznie przepływać do Microsoft Defender XDR. Jeśli nie chcesz, aby alerty DLP przepływały do usługi Defender, otwórz zgłoszenie do pomocy technicznej, aby wyłączyć tę funkcję. Jeśli wyłączysz tę funkcję, alerty DLP będą wyświetlane w portalu usługi Defender jako Microsoft Defender alertów pakietu Office.

Role

Najlepszym rozwiązaniem jest przyznanie tylko minimalnych uprawnień do alertów w portalu Microsoft Defender. Możesz utworzyć rolę niestandardową z tymi rolami i przypisać ją do użytkowników, którzy muszą badać alerty DLP.

Uprawnienie Dostęp do alertów usługi Defender
Zarządzanie alertami DLP + Zabezpieczenia
View-Only zarządzać alertami DLP + Zabezpieczenia
analityk Information Protection Tylko DLP
Zarządzanie zgodnością DLP Tylko DLP
zarządzanie zgodnością View-Only DLP Tylko DLP

Przed rozpoczęciem

Włącz alerty dla wszystkich zasad DLP w portalu Microsoft Purview.

Uwaga

Ograniczenia jednostek administracyjnych przepływają z ochrony przed utratą danych (DLP) do portalu usługi Defender. Jeśli jesteś administratorem jednostki administracyjnej z ograniczeniami, zobaczysz tylko alerty DLP dla jednostki administracyjnej.

Badanie alertów DLP w portalu Microsoft Defender

  1. Przejdź do portalu Microsoft Defender i wybierz pozycję Incydenty w menu nawigacji po lewej stronie, aby otworzyć stronę zdarzeń.

  2. Wybierz pozycję Dodaj filtr na pasku narzędzi i wybierz filtr Źródła usługi/wykrywania . Następnie wybierz ten filtr i wybierz pozycję Microsoft Data Loss Prevention , aby wyświetlić wszystkie zdarzenia z alertami DLP. Kolejkę można również filtrować według nazw użytkowników i urządzeń (przy użyciu filtru Jednostki ) oraz według zasad, używając filtru Zasady/reguły , można wyszukiwać nazwy plików, użytkowników, nazwy urządzeń i ścieżki plików.

    1. (w wersji zapoznawczej) W tytule zasad alertów w> kolejce >zdarzeń zasady alertów. Możesz wyszukać nazwę zasad DLP.

  3. Wyszukaj nazwę zasad DLP alertów i zdarzeń, które Cię interesują.

  4. Aby wyświetlić stronę podsumowania zdarzenia, wybierz zdarzenie z kolejki. Podobnie wybierz alert, aby wyświetlić stronę alertu DLP. Wybierz pozycję Podsumowanie (wersja zapoznawcza) dla Security Copilot, aby wygenerować podsumowanie alertu. Podsumowanie alertu będzie zawierać następujące elementy:

  • ważność alertu
  • tytuł alertu
  • nazwa dopasowanych zasad
  • plik nazwy i link do pliku
  • stan alertu
  • adres e-mail użytkownika, który wykonał akcję zgodną z zasadami

  1. Wyświetl historię alertu , aby uzyskać szczegółowe informacje o zasadach i typach informacji poufnych wykrytych w alercie. Wybierz zdarzenie w sekcji Zdarzenia pokrewne , aby wyświetlić szczegóły działania użytkownika.

  2. Wyświetl dopasowaną zawartość poufną na karcie Typy informacji poufnych i zawartość pliku na karcie Źródło , jeśli masz wymagane uprawnienie (zobacz szczegóły tutaj).

Rozszerzanie badania alertów DLP za pomocą zaawansowanego wyszukiwania zagrożeń

Zaawansowane wyszukiwanie zagrożeń to narzędzie do wyszukiwania zagrożeń oparte na zapytaniach, które umożliwia eksplorowanie do 30 dni dzienników inspekcji użytkowników, plików i lokalizacji witryn, które ułatwiają badanie. Możesz proaktywnie sprawdzać zdarzenia w sieci, aby zlokalizować wskaźniki zagrożeń i jednostki. Elastyczny dostęp do danych umożliwia nieograniczone wyszukiwanie zagrożeń zarówno znanych, jak i potencjalnych.

Tabela CloudAppEvents zawiera wszystkie dzienniki inspekcji we wszystkich lokalizacjach, takich jak SharePoint, OneDrive, Exchange i Urządzenia.

Przed rozpoczęciem

Jeśli dopiero zaczynasz korzystać z zaawansowanego wyszukiwania zagrożeń, zapoznaj się z artykułem Wprowadzenie do zaawansowanego wyszukiwania zagrożeń.

Przed rozpoczęciem korzystania z zaawansowanego wyszukiwania zagrożeń musisz mieć dostęp do tabeli CloudAppEvents zawierającej dane usługi Microsoft Purview.

Używanie wbudowanych zapytań

Ważna

Ta funkcja jest dostępna w wersji zapoznawczej. Funkcje w wersji zapoznawczej nie są przeznaczone do użytku produkcyjnego i mogą mieć ograniczone funkcje. Te funkcje są dostępne przed oficjalną wersją, dzięki czemu klienci mogą uzyskać wczesny dostęp i przekazać opinię.

Portal usługi Defender oferuje wiele wbudowanych zapytań, których można użyć, aby ułatwić badanie alertów DLP.

  1. Przejdź do portalu Microsoft Defender i wybierz pozycję Zdarzenia & alerty w menu nawigacji po lewej stronie, aby otworzyć stronę zdarzeń. Wybierz pozycję Zdarzenia.
  2. Wybierz pozycję Filtry w prawym górnym rogu, a następnie wybierz pozycję Źródło usługi: Zapobieganie utracie danych , aby wyświetlić wszystkie zdarzenia z alertami DLP.
  3. Otwórz zdarzenie DLP.
  4. Wybierz alert, aby wyświetlić skojarzone z nim zdarzenia.
  5. Wybierz zdarzenie.
  6. W okienku szczegółów zdarzenia wybierz kontrolkę Go Hunt .
    1. Usługa Defender wyświetla listę wbudowanych zapytań, które są istotne dla lokalizacji źródłowej zdarzenia. Jeśli na przykład zdarzenie pochodzi z programu SharePoint, zobaczysz
      1. Plik udostępniony
      2. Działania dotyczące plików
      3. Działanie witryny
      4. Naruszenia DLP użytkowników w ciągu ostatnich 30 dni
  7. Możesz natychmiast uruchomić zapytanie , zmienić zakres czasu, edytować lub zapisać zapytanie do późniejszego użycia.
  8. Po uruchomieniu zapytania wyświetl wyniki na karcie Wyniki .

Jeśli alert dotyczy wiadomości e-mail, możesz pobrać wiadomość, wybierając pozycję Akcje>Pobierz wiadomość e-mail.

Jeśli alert dotyczy pliku w usłudze SharePoint Online lub One Drive dla firm, możesz wykonać następujące akcje:

W przypadku akcji korygowania wybierz kartę Użytkownik w górnej części strony alertu, aby otworzyć szczegóły użytkownika.

W obszarze Alerty DLP urządzeń wybierz kartę urządzenia w górnej części strony alertu, aby wyświetlić szczegóły urządzenia i podjąć akcje korygowania na urządzeniu.

Przejdź do strony podsumowania zdarzenia i wybierz pozycję Zarządzaj incydentem , aby dodać tagi zdarzeń, przypisać lub rozwiązać zdarzenie.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.