Начало работы с оповещениями защиты от потери данных
Политики Защита от потери данных Microsoft Purview (DLP) можно настроить для создания оповещений при совпадении условий в политике.
Краткий обзор оповещений см. в разделе:
Эта статья содержит сведения о лицензировании и разрешениях, а также другую важную информацию, необходимую при работе с оповещениями.
Оповещения защиты от потери данных можно исследовать и управлять ими на панели мониторинга Microsoft Defender XDR и в Портал соответствия требованиям Microsoft Purview. Информационная панель Microsoft Defender XDR — это рекомендуемое место для изучения оповещений защиты от потери данных и управления ими. Рекомендуется Портал соответствия требованиям Microsoft Purview для создания и редактирования политик защиты от потери данных.
Совет
Начните работу с Microsoft Copilot для безопасности, чтобы изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Copilot для безопасности в Microsoft Purview.
Типы оповещений
Оповещения можно отправлять каждый раз, когда действие соответствует правилу, которое может быть шумным, или их можно агрегировать на основе количества совпадений или объема элементов за заданный период времени. Существует два типа оповещений, которые можно настроить в политиках защиты от потери данных.
Оповещения об одном событии обычно используются в политиках, которые отслеживают события с высокой степенью конфиденциальности, которые происходят в малом объеме, например в одном сообщении электронной почты с 10 или более кредитом клиента карта номерах, отправляемых за пределы вашей организации.
Оповещения об агрегатных событиях обычно используются в политиках, которые отслеживают события, происходящие в большем объеме в течение определенного периода времени. Например, совокупное оповещение может быть активировано, когда 10 отдельных сообщений электронной почты с одним номером кредита клиента карта отправляется за пределы вашей организации в течение 48 часов.
Подготовка к работе
Перед началом работы убедитесь, что у вас есть необходимые предварительные требования.
Лицензирование параметров конфигурации оповещений
- Конфигурация оповещений о одном событии. Организации с подпиской E1, F1 или G1 или подпиской E3 или G3 могут настроить политики для создания оповещений при каждом запуске действия.
-
Агрегированная конфигурация оповещений. Чтобы настроить политики агрегирования оповещений на основе порогового значения, необходимо иметь следующие конфигурации:
- Подписка A5
- Подписка E5 или G5
- Подписка E1, F1 или G1 или подписка E3 или G3, которая включает одну из следующих функций:
- Office 365 Advanced Threat Protection (план 2)
- Соответствие требованиям Microsoft 365 E5
- Лицензия на надстройку microsoft 365 eDiscovery и audit
Клиенты, использующие защиту от потери данных в конечной точке и имеющие право на защиту от потери данных в Teams , увидят оповещения политики защиты от потери данных в конечной точке и оповещения политики защиты от потери данных Teams на панели мониторинга управления оповещениями О DLP.
Роли и Группы ролей
Если вы хотите просмотреть панель мониторинга управления оповещениями О DLP или изменить параметры конфигурации оповещений в политике защиты от потери данных, необходимо быть членом одной из следующих групп ролей:
- Администратор соответствия требованиям
- Администратор данных соответствия требованиям
- Администратор безопасности
- Оператор безопасности
- Читатель сведений о безопасности
- Администратор Information Protection
- Аналитик Information Protection
- Исследователь Information Protection
- Читатель Information Protection
Дополнительные сведения о них см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview
Ниже приведен список применимых групп ролей. Дополнительные сведения о них см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.
- Защита информации
- Администраторы Information Protection
- Аналитики Information Protection
- Исследователи Information Protection
- Читатели Information Protection
Чтобы получить доступ к панели мониторинга управления оповещениями О DLP, вам потребуется роль Управление оповещениями и любая из этих двух ролей:
- Управление соответствием требованиям DLP
- Управление соответствием требованиям защиты от потери данных View-Only
Чтобы получить доступ к функции предварительного просмотра содержимого и сопоставлению конфиденциального содержимого и контекста, необходимо быть членом группы ролей "Просмотр содержимого Обозреватель содержимого", в которой предварительно назначена роль "Средство просмотра содержимого классификации данных".
Совет
Если администратору требуется доступ к оповещениям, но не к контекстной или конфиденциальной информации, можно создать и назначить пользовательскую роль, не включающую разрешение на просмотр содержимого классификации данных.
Настройка оповещений защиты от потери данных
Сведения о настройке оповещения в политике защиты от потери данных см. в статье Создание и развертывание политик защиты от потери данных. В зависимости от лицензирования существуют различные возможности настройки оповещений.
Примечание.
После настройки или изменения существующих оповещений в политике защиты от потери данных может потребоваться до 3 часов.
Настройка статистических оповещений о событиях
Если у вас есть лицензия на параметры конфигурации агрегированных оповещений, эти параметры будут отображаться при создании или изменении политики защиты от потери данных.
Эта конфигурация позволяет настроить политику для создания оповещений:
- каждый раз, когда действие соответствует условиям политики
- при достижении или превышении заданного порогового значения
- на основе количества действий
- на основе объема эксфильтрированных данных
Чтобы предотвратить поток сообщений электронной почты с уведомлениями, все совпадения, которые происходят в течение одной минуты времени для одного правила защиты от потери данных и в одном расположении, группируются в одном оповещении. Функция временного периода агрегирования в течение одной минуты доступна в следующих версиях:
- Подписка E5 или G5
- Подписка E1, F1 или G1 или подписка E3 или G3, которая включает одну из следующих функций:
- Office 365 Advanced Threat Protection (план 2)
- Соответствие требованиям Microsoft 365 E5
- Лицензия на надстройку microsoft 365 eDiscovery и audit
Для организаций с подпиской E1, F1 или G1, а также подпиской E3 или G3 период времени агрегирования составляет 15 минут.
Настройка оповещений об одном событии
Если у вас есть лицензия на параметры конфигурации оповещений о одном событии, эти параметры будут отображаться при создании или изменении политики защиты от потери данных. Используйте этот параметр, чтобы создать оповещение, которое создается при каждом совпадении правила защиты от потери данных.
Типы событий
Ниже приведены некоторые события, связанные с оповещением. На панели мониторинга оповещений можно выбрать определенное событие для просмотра сведений о нем.
Сведения о событиях
Имя свойства | Описание | Типы событий |
---|---|---|
ИД | уникальный идентификатор, связанный с событием | все события |
Расположение | рабочая нагрузка, в которой обнаружено событие | все события |
время действия | время действия пользователя, соответствующего критериям политики защиты от потери данных |
Затронутые сущности
Имя свойства | Описание | Типы событий |
---|---|---|
пользователь | пользователь, который выполнил действие, вызвавшее совпадение политики | все события |
имя узла | имя узла компьютера, на котором произошло совпадение политики защиты от потери данных | события устройства |
IP-адрес | IP-адрес компьютера, на котором произошло совпадение политики защиты от потери данных | события устройства |
sha1 | Хэш SHA-1 файла | события устройства |
sha256 | Хэш SHA-256 файла | события устройства |
Идентификатор устройства MDATP | Идентификатор MDATP устройства конечной точки | |
размер файла | размер файла | События SharePoint, OneDrive и устройств |
путь к файлу | абсолютный путь к элементу, связанному с соответствием политики защиты от потери данных. | События SharePoint, OneDrive и устройств |
получатели электронной почты | Если сообщение электронной почты было конфиденциальным элементом, соответствующим политике защиты от потери данных, в этом поле содержатся получатели этого сообщения. | События Exchange |
тема электронной почты | тема сообщения электронной почты, соответствующего политике защиты от потери данных | События Exchange |
вложения электронной почты | имена вложений в сообщении электронной почты, которые соответствуют политике защиты от потери данных | События Exchange |
владелец сайта | имя владельца сайта | События SharePoint и OneDrive |
URL-адрес сайта | полный URL-адрес сайта SharePoint или OneDrive, где произошло совпадение политики защиты от потери данных | События SharePoint и OneDrive |
файл создан | время создания файла, соответствующего политике защиты от потери данных | События SharePoint и OneDrive |
файл последнего изменения | время последнего изменения файла, соответствующего политике защиты от потери данных; | События SharePoint и OneDrive |
размер файла | размер файла, соответствующего политике защиты от потери данных | События SharePoint и OneDrive |
владелец файла | владелец файла, соответствующего политике защиты от потери данных | События SharePoint и OneDrive |
Сведения о политике
Имя свойства | Описание | Типы событий |
---|---|---|
Политика защиты от потери данных соответствует | имя соответствующей политики защиты от потери данных | все события |
соответствие правилу | имя соответствующего правила политики защиты от потери данных | все события |
Обнаружены типы конфиденциальной информации (SIT) | SiT, обнаруженные как часть соответствия политики защиты от потери данных | все события |
предпринятые действия; | выполненные действия, которые вызвали совпадение политики защиты от потери данных | все события |
нарушение действия | действие на устройстве конечной точки, которое вызвало оповещение о защите от потери данных | события устройства |
политика перебора пользователей | переопределил ли пользователь политику с помощью подсказки политики | все события |
использовать обоснование переопределения | текст причины, предоставленной пользователем для переопределения | все события |
Важно!
Конфигурация политики хранения журнала аудита вашей организации определяет, как долго оповещение будет отображаться в консоли. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.
См. также
- Оповещения в политиках защиты от потери данных. Описание оповещений в контексте политики защиты от потери данных.
- Начало работы с оповещениями защиты от потери данных. Сведения о необходимых разрешениях, разрешениях и предварительных требованиях для оповещений защиты от потери данных и справочных сведений об оповещениях.
- Создание и развертывание политик защиты от потери данных. Содержит рекомендации по настройке оповещений в контексте создания политики защиты от потери данных.
- Сведения об изучении оповещений защиты от потери данных. В этой статье рассматриваются различные методы изучения оповещений защиты от потери данных.
- Изучение инцидентов потери данных с помощью Microsoft Defender XDR. Как исследовать оповещения защиты от потери данных на портале Microsoft Defender.