Начало работы с оповещениями защиты от потери данных
Политики защиты от потери данных (DLP) Microsoft Purview можно настроить для создания оповещений при совпадении условий в политике.
Краткий обзор оповещений см. в разделе:
Эта статья содержит сведения о лицензировании и разрешениях, а также другую важную информацию, необходимую при работе с оповещениями.
Оповещения защиты от потери данных можно исследовать и управлять ими на панели мониторинга XDR в Microsoft Defender и на портале соответствия требованиям Microsoft Purview. Панель мониторинга XDR в Microsoft Defender — это рекомендуемое место для изучения оповещений защиты от потери данных и управления ими. Портал соответствия требованиям Microsoft Purview — это рекомендуемое расположение для создания и редактирования политик защиты от потери данных.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Типы оповещений
Оповещения можно отправлять каждый раз, когда действие соответствует правилу, которое может быть шумным, или их можно агрегировать на основе количества совпадений или объема элементов за заданный период времени. Существует два типа оповещений, которые можно настроить в политиках защиты от потери данных.
Оповещения об отдельных событиях обычно используются в политиках, которые отслеживают события с высокой степенью конфиденциальности, которые происходят в малом объеме, например в одном сообщении электронной почты с 10 или более номерами кредитных карт клиентов, отправленными за пределы вашей организации.
Оповещения об агрегатных событиях обычно используются в политиках, которые отслеживают события, происходящие в большем объеме в течение определенного периода времени. Например, агрегатное оповещение может быть активировано, когда 10 отдельных сообщений электронной почты с одним номером кредитной карты клиента отправляются за пределы вашей организации в течение 48 часов.
Подготовка к работе
Перед началом работы убедитесь, что у вас есть необходимые предварительные требования.
Лицензирование параметров конфигурации оповещений
- Конфигурация оповещений о одном событии. Организации с подпиской E1, F1 или G1 или подпиской E3 или G3 могут настроить политики для создания оповещений при каждом запуске действия.
- Агрегированная конфигурация оповещений. Чтобы настроить политики агрегирования оповещений на основе порогового значения, необходимо иметь следующие конфигурации:
- Подписка A5
- Подписка E5 или G5
- Подписка E1, F1 или G1 или подписка E3 или G3, которая включает одну из следующих функций:
- Office 365 Advanced Threat Protection (план 2)
- Соответствие требованиям Microsoft 365 E5
- Лицензия на надстройку microsoft 365 eDiscovery и audit
Клиенты, использующие защиту от потери данных в конечной точке и имеющие право на защиту от потери данных в Teams , увидят оповещения политики защиты от потери данных в конечной точке и оповещения политики защиты от потери данных Teams на панели мониторинга управления оповещениями О DLP.
Роли и группы ролей
Если вы хотите просмотреть панель мониторинга управления оповещениями О DLP или изменить параметры конфигурации оповещений в политике защиты от потери данных, необходимо быть членом одной из следующих групп ролей:
- Администратор соответствия требованиям
- Администратор данных соответствия требованиям
- Администратор безопасности
- Оператор безопасности
- Читатель сведений о безопасности
- Администратор Information Protection
- Аналитик Information Protection
- Исследователь Information Protection
- Читатель Information Protection
Дополнительные сведения о них см. в разделе Разрешения на портале соответствия требованиям Microsoft Purview.
Ниже приведен список применимых групп ролей. Дополнительные сведения о них см. в разделе Разрешения на портале соответствия требованиям Microsoft Purview.
- Защита информации
- Администраторы Information Protection
- Аналитики Information Protection
- Исследователи Information Protection
- Читатели Information Protection
Чтобы получить доступ к панели мониторинга управления оповещениями О DLP, вам потребуется роль Управление оповещениями и любая из этих двух ролей:
- Управление соответствием требованиям DLP
- Управление соответствием требованиям защиты от потери данных View-Only
Чтобы получить доступ к функции предварительного просмотра содержимого и сопоставлению конфиденциального содержимого и контекста, необходимо быть членом группы ролей просмотра содержимого Обозревателя содержимого , в которой предварительно назначена роль просмотра содержимого классификации данных .
Совет
Если администратору требуется доступ к оповещениям, но не к контекстной или конфиденциальной информации, можно создать и назначить пользовательскую роль, не включающую разрешение на просмотр содержимого классификации данных.
Настройка оповещений защиты от потери данных
Сведения о настройке оповещения в политике защиты от потери данных см. в статье Создание и развертывание политик защиты от потери данных. В зависимости от лицензирования существуют различные возможности настройки оповещений.
Настройка статистических оповещений о событиях
Если у вас есть лицензия на параметры конфигурации агрегированных оповещений, эти параметры будут отображаться при создании или изменении политики защиты от потери данных.
Эта конфигурация позволяет настроить политику для создания оповещений:
- каждый раз, когда действие соответствует условиям политики
- при достижении или превышении заданного порогового значения
- на основе количества действий
- на основе объема эксфильтрированных данных
Чтобы предотвратить поток сообщений электронной почты с уведомлениями, все совпадения, которые происходят в течение одной минуты времени для одного правила защиты от потери данных и в одном расположении, группируются в одном оповещении. Функция временного периода агрегирования в течение одной минуты доступна в следующих версиях:
- Подписка E5 или G5
- Подписка E1, F1 или G1 или подписка E3 или G3, которая включает одну из следующих функций:
- Office 365 Advanced Threat Protection (план 2)
- Соответствие требованиям Microsoft 365 E5
- Лицензия на надстройку microsoft 365 eDiscovery и audit
Для организаций с подпиской E1, F1 или G1, а также подпиской E3 или G3 период времени агрегирования составляет 15 минут.
Настройка оповещений об одном событии
Если у вас есть лицензия на параметры конфигурации оповещений о одном событии, эти параметры будут отображаться при создании или изменении политики защиты от потери данных. Используйте этот параметр, чтобы создать оповещение, которое создается при каждом совпадении правила защиты от потери данных.
Типы событий
Ниже приведены некоторые события, связанные с оповещением. На панели мониторинга оповещений можно выбрать определенное событие для просмотра сведений о нем.
Сведения о событиях
| Имя свойства | Описание | Типы событий |
|---|---|---|
| ИД | уникальный идентификатор, связанный с событием | все события |
| Расположение | рабочая нагрузка, в которой обнаружено событие | все события |
| время действия | время действия пользователя, соответствующего критериям политики защиты от потери данных |
Затронутые сущности
| Имя свойства | Описание | Типы событий |
|---|---|---|
| пользователь | пользователь, который выполнил действие, вызвавшее совпадение политики | все события |
| имя узла | имя узла компьютера, на котором произошло совпадение политики защиты от потери данных | события устройства |
| IP-адрес | IP-адрес компьютера, на котором произошло совпадение политики защиты от потери данных | события устройства |
| sha1 | Хэш SHA-1 файла | события устройства |
| sha256 | Хэш SHA-256 файла | события устройства |
| Идентификатор устройства MDATP | Идентификатор MDATP устройства конечной точки | |
| размер файла | размер файла | События SharePoint, OneDrive и устройств |
| путь к файлу | абсолютный путь к элементу, связанному с соответствием политики защиты от потери данных. | События SharePoint, OneDrive и устройств |
| получатели электронной почты | Если сообщение электронной почты было конфиденциальным элементом, соответствующим политике защиты от потери данных, в этом поле содержатся получатели этого сообщения. | События Exchange |
| тема электронной почты | тема сообщения электронной почты, соответствующего политике защиты от потери данных | События Exchange |
| вложения электронной почты | имена вложений в сообщении электронной почты, которые соответствуют политике защиты от потери данных | События Exchange |
| владелец сайта | имя владельца сайта | События SharePoint и OneDrive |
| URL-адрес сайта | полный URL-адрес сайта SharePoint или OneDrive, где произошло совпадение политики защиты от потери данных | События SharePoint и OneDrive |
| файл создан | время создания файла, соответствующего политике защиты от потери данных | События SharePoint и OneDrive |
| файл последнего изменения | время последнего изменения файла, соответствующего политике защиты от потери данных; | События SharePoint и OneDrive |
| размер файла | размер файла, соответствующего политике защиты от потери данных | События SharePoint и OneDrive |
| владелец файла | владелец файла, соответствующего политике защиты от потери данных | События SharePoint и OneDrive |
Сведения о политике
| Имя свойства | Описание | Типы событий |
|---|---|---|
| Политика защиты от потери данных соответствует | имя соответствующей политики защиты от потери данных | все события |
| соответствие правилу | имя соответствующего правила политики защиты от потери данных | все события |
| Обнаружены типы конфиденциальной информации (SIT) | SiT, обнаруженные как часть соответствия политики защиты от потери данных | все события |
| предпринятые действия; | выполненные действия, которые вызвали совпадение политики защиты от потери данных | все события |
| нарушение действия | действие на устройстве конечной точки, которое вызвало оповещение о защите от потери данных | события устройства |
| политика перебора пользователей | переопределил ли пользователь политику с помощью подсказки политики | все события |
| использовать обоснование переопределения | текст причины, предоставленной пользователем для переопределения | все события |
Важно!
Конфигурация политики хранения журнала аудита вашей организации определяет, как долго оповещение будет отображаться в консоли. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.
См. также
- Оповещения в политиках защиты от потери данных. Описание оповещений в контексте политики защиты от потери данных.
- Начало работы с оповещениями защиты от потери данных. Сведения о необходимых разрешениях, разрешениях и предварительных требованиях для оповещений защиты от потери данных и справочных сведений об оповещениях.
- Создание и развертывание политик защиты от потери данных. Содержит рекомендации по настройке оповещений в контексте создания политики защиты от потери данных.
- Сведения об изучении оповещений защиты от потери данных. В этой статье рассматриваются различные методы изучения оповещений защиты от потери данных.
- Изучение инцидентов потери данных с помощью XDR в Microsoft Defender. Как исследовать оповещения защиты от потери данных на портале Microsoft Defender.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по