Badanie zdarzeń utraty danych za pomocą Microsoft 365 Defender

Uwaga

Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.

Dotyczy:

  • Microsoft 365 Defender

Zdarzenia dotyczące Ochrona przed utratą danych w Microsoft Purview (DLP) można teraz zarządzać w portalu Microsoft 365 Defender. Zdarzeniami DLP można zarządzać wraz ze zdarzeniami zabezpieczeń z poziomu zdarzeń & alertów>zdarzenia na szybkie uruchomienie portalu Microsoft 365 Defender. Na tej stronie możesz:

  • Wyświetl wszystkie alerty DLP pogrupowane w ramach zdarzeń w kolejce zdarzeń Microsoft 365 Defender.
  • Wyświetl alerty inteligentne między rozwiązaniami (DLP-MDE, DLP-MDO) i intra-solution (DLP-DLP) skorelowane w ramach pojedynczego zdarzenia.
  • Wyszukiwanie dzienników zgodności wraz z zabezpieczeniami w obszarze Zaawansowane wyszukiwanie zagrożeń.
  • Akcje korygowania administratora w miejscu dotyczące użytkownika, pliku i urządzenia.
  • Skojarz tagi niestandardowe ze zdarzeniami DLP i filtruj według nich.
  • Filtruj według nazwy zasad DLP, tagu, daty, źródła usługi, stanu zdarzenia i użytkownika w ujednoliconej kolejce zdarzeń.

Możesz również użyć łącznika Microsoft 365 Defender w usłudze Microsoft Sentinel, aby ściągnąć zdarzenia DLP wraz ze zdarzeniami i dowodami do usługi Microsoft Sentinel w celu zbadania i skorygowania.

Wymagania dotyczące licencjonowania

Aby zbadać Ochrona przed utratą danych w Microsoft Purview zdarzeń w portalu Microsoft 365 Defender, potrzebujesz licencji z jednej z następujących subskrypcji:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Zgodność Microsoft 365 E5/A5
  • zabezpieczenia Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 Information Protection i ład

Uwaga

Jeśli masz licencję i kwalifikujesz się do tej funkcji, alerty DLP będą automatycznie przepływać do Microsoft 365 Defender. Otwórz przypadek pomocy technicznej, jeśli chcesz wyłączyć tę funkcję.

Środowisko badania DLP w portalu Microsoft 365 Defender

Przed rozpoczęciem włącz alerty dla wszystkich zasad DLP w portal zgodności Microsoft Purview.

  1. Przejdź do portalu Microsoft 365 Defender i wybierz pozycję Incydenty w menu nawigacji po lewej stronie, aby otworzyć stronę zdarzeń.

  2. Wybierz pozycję Filtry w prawym górnym rogu, a następnie wybierz pozycję Źródło usługi: Zapobieganie utracie danych , aby wyświetlić wszystkie zdarzenia z alertami DLP.

  3. Wyszukaj nazwę zasad DLP alertów i zdarzeń, które Cię interesują.

  4. Aby wyświetlić stronę podsumowania zdarzenia, wybierz zdarzenie z kolejki. Podobnie wybierz alert, aby wyświetlić stronę alertu DLP.

  5. Wyświetl historię alertu , aby uzyskać szczegółowe informacje o zasadach i typach informacji poufnych wykrytych w alercie. Wybierz zdarzenie w sekcji Zdarzenia pokrewne , aby wyświetlić szczegóły działania użytkownika.

  6. Wyświetl dopasowaną zawartość poufną na karcie Typy informacji poufnych i zawartość pliku na karcie Źródło , jeśli masz wymagane uprawnienie (zobacz szczegóły tutaj).

  7. Zaawansowane wyszukiwanie zagrożeń umożliwia również przeszukiwanie dzienników inspekcji użytkowników, plików i lokalizacji lokacji na potrzeby badania. Tabela CloudAppEvents zawiera wszystkie dzienniki inspekcji we wszystkich lokalizacjach, takich jak SharePoint, OneDrive, Exchange i Urządzenia.

  8. Możesz również pobrać wiadomość e-mail, wybierając pozycję Akcje>Pobierz wiadomość e-mail.

  9. W przypadku akcji korygowania plików w witrynach SPO lub ODB można zobaczyć akcje, takie jak:

    • Stosowanie etykiety przechowywania
    • Stosowanie etykiety poufności
    • Usuń udostępnianie pliku
    • Usuń

    W przypadku akcji korygowania wybierz kartę Użytkownik w górnej części strony alertu, aby otworzyć szczegóły użytkownika.

    W obszarze Alerty DLP urządzeń wybierz kartę urządzenia w górnej części strony alertu, aby wyświetlić szczegóły urządzenia i podjąć akcje korygowania na urządzeniu.

  10. Przejdź do strony podsumowania zdarzenia i wybierz pozycję Zarządzaj incydentem , aby dodać tagi zdarzeń, przypisać lub rozwiązać zdarzenie.

Doświadczenie w badaniu DLP w usłudze Microsoft Sentinel

Łącznik Microsoft 365 Defender w usłudze Microsoft Sentinel umożliwia zaimportowanie wszystkich zdarzeń DLP do usługi Sentinel w celu rozszerzenia korelacji, wykrywania i badania w innych źródłach danych oraz rozszerzenia zautomatyzowanych przepływów orkiestracji przy użyciu natywnych funkcji SOAR usługi Sentinel.

  1. Postępuj zgodnie z instrukcjami dotyczącymi łączenia danych z Microsoft 365 Defender z usługą Microsoft Sentinel, aby zaimportować wszystkie zdarzenia, w tym zdarzenia DLP i alerty do usługi Sentinel. Włącz CloudAppEvents łącznik zdarzeń, aby ściągnąć wszystkie dzienniki inspekcji usługi O365 do usługi Sentinel.

    Po skonfigurowaniu powyższego łącznika powinno być możliwe wyświetlanie zdarzeń DLP w usłudze Sentinel.

  2. Wybierz pozycję Alerty, aby wyświetlić stronę alertu.

  3. Możesz użyć alertType, startTime i endTime , aby wykonać zapytanie dotyczące tabeli CloudAppEvents , aby uzyskać wszystkie działania użytkownika, które przyczyniły się do alertu. Użyj tego zapytania, aby zidentyfikować podstawowe działania:

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime