Начало работы с панелью мониторинга оповещений о защите от потери данных
Политики защиты от потери данных (DLP) Microsoft Purview могут принимать защитные меры, чтобы предотвратить непреднамеренный общий доступ к конфиденциальным элементам. Вы можете получать уведомления о выполнении действия с конфиденциальным элементом, настроив оповещения для защиты от потери данных. В этой статье показано, как настроить оповещения в политиках защиты от потери данных (DLP). Вы узнаете, как использовать панель мониторинга управления оповещениями DLP на портале соответствия требованиям Microsoft Purview для просмотра оповещений, событий и связанных метаданных о нарушениях политики защиты от потери данных.
Если вы не знакомы с оповещениями защиты от потери данных, ознакомьтесь с разделом Начало работы с оповещениями о защите от потери данных.
Совет
Начните работу с Microsoft Copilot for Security, чтобы изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Copilot for Security в Microsoft Purview.
На портале соответствия требованиям Microsoft Purview отображаются оповещения о политиках защиты от потери данных, которые применяются для следующих рабочих нагрузок:
- Электронная почта Exchange
- Сайты SharePoint
- Учетные записи OneDrive
- сообщения в чатах и каналах Teams
- Устройства
- Экземпляров
- Локальные репозитории
- Fabric и Power BI
Подготовка к работе
Перед началом работы убедитесь, что у вас есть необходимые предварительные требования.
- Лицензирование панели мониторинга управления оповещениями защиты от потери данных
- Лицензирование параметров конфигурации оповещений
- Необходимые роли
Лицензирование панели мониторинга управления оповещениями О DLP
Прежде чем приступить к использованию политик защиты от потери данных, подтвердите подписку На Microsoft 365 и все надстройки.
Сведения о лицензировании см. в статье Подписки На Microsoft 365, Office 365, Enterprise Mobility + Security и Windows 11 для предприятий.
Клиенты, использующие защиту от потери данных в конечной точке , которые имеют право на защиту от потери данных в Teams , видят оповещения политики защиты от потери данных в конечной точке и оповещения политики защиты от потери данных Teams на панели мониторинга управления оповещениями о защите от потери данных.
Лицензирование параметров конфигурации оповещений
Прежде чем приступить к использованию политик защиты от потери данных, подтвердите подписку На Microsoft 365 и все надстройки.
Сведения о лицензировании см. в статье Подписки На Microsoft 365, Office 365, Enterprise Mobility + Security и Windows 11 для предприятий.
Роли и группы ролей
Если вы хотите просмотреть панель мониторинга управления оповещениями О DLP или изменить параметры конфигурации оповещений в политике защиты от потери данных, необходимо быть членом одной из следующих групп ролей:
- Администратор соответствия требованиям
- Администратор данных соответствия требованиям
- Администратор безопасности
- Оператор безопасности
- Читатель сведений о безопасности
- Администратор Information Protection
- Аналитик Information Protection
- Исследователь Information Protection
- Читатель Information Protection
Дополнительные сведения о них см. в разделе Разрешения на портале соответствия требованиям Microsoft Purview.
Ниже приведен список применимых групп ролей. Дополнительные сведения о них см. в разделе Разрешения на портале соответствия требованиям Microsoft Purview.
- Защита информации
- Администраторы Information Protection
- Аналитики Information Protection
- Исследователи Information Protection
- Читатели Information Protection
Чтобы получить доступ к панели мониторинга управления оповещениями О DLP, вам потребуется роль Управление оповещениями и любая из этих двух ролей:
- Управление соответствием требованиям DLP
- Управление соответствием требованиям защиты от потери данных View-Only
Чтобы получить доступ к функции предварительного просмотра содержимого и сопоставлению конфиденциального содержимого и контекста, необходимо быть членом группы ролей просмотра содержимого Обозревателя содержимого , в которой предварительно назначена роль просмотра содержимого классификации данных .
Настройка оповещений защиты от потери данных
Сведения о настройке оповещения в политике защиты от потери данных см. в статье Создание и развертывание политик защиты от потери данных.
Важно!
Конфигурация политики хранения журнала аудита вашей организации определяет, как долго оповещение остается видимым в консоли. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита .
Настройка статистических оповещений о событиях
Если ваша организация имеет лицензию на агрегированные параметры конфигурации оповещений, эти параметры отображаются при создании или изменении политики защиты от потери данных.
Эта конфигурация позволяет настроить политику для создания оповещений каждый раз, когда действие соответствует условиям политики или при превышении определенного порогового значения на основе количества действий или объема эксфильтрированных данных.
Настройка оповещений об одном событии
Если ваша организация лицензирована для параметров конфигурации оповещений с одним событием, эти параметры отображаются при создании или изменении политики защиты от потери данных. Используйте этот параметр, чтобы создать оповещение, которое создается при каждом совпадении правила защиты от потери данных.
Изучение оповещений защиты от потери данных
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. на портале соответствия требованиям Microsoft Purview.
Чтобы работать с панелью мониторинга управления оповещениями защиты от потери данных, выполните следующие действия.
- Войдите на портал >Microsoft PurviewЗащита от потери данных.
- Выберите Оповещения , чтобы просмотреть панель мониторинга оповещений DLP .
- Используйте поля фильтра для уточнения списка оповещений.
- Выберите Настроить столбцы , чтобы получить список свойств, которые вы хотите просмотреть.
- Чтобы отсортировать результаты по возрастанию или убыванию, дважды щелкните заголовок столбца.
- Дважды щелкните оповещение, чтобы получить дополнительные сведения о нем.
- Вкладка Сведения открывается по умолчанию и предоставляет общие сведения об оповещении.
- Выберите Суммировать с помощью copilot. Это приводит к созданию сводки оповещений в copilot безопасности. Сводка оповещений будет содержать:
- Серьезность оповещений
- Заголовок оповещения
- имя политики, которая была сопоставлена;
- используемый файл имени и ссылка на файл
- Состояние оповещения
- адрес электронной почты пользователя, выполнившего действие, соответствующее политике.
- Выберите многоточие в сводке По безопасности Copilot , чтобы:
- Скопируйте сводку в буфер обмена
- Повторное создание сводки
- откройте оповещение в автономном интерфейсе Security Copilot.
- Выберите Просмотреть сведения , чтобы открыть вкладку Обзор . На вкладке Обзор содержится сводка следующих сведений:
- Что случилось
- Кто выполнил действия, вызвавшие совпадение политики
- Дополнительные сведения о соответствии политике
- На вкладке События перечислены все события, связанные с оповещением. Выберите любое событие в списке, чтобы получить подробные сведения о событии. Для каждого события выберите раскрывающийся список Действия , чтобы получить список действий, которые можно выполнить с оповещением, например проверить, было ли в оповещении обнаружено истинное соответствие или ложное срабатывание.
- На вкладке Сводка действий пользователянеобходимо включить общий доступ в параметрах управления внутренними рисками После включения вкладка Сводка действий пользователя содержит все действия кражи, которые пользователь занимался (за последние 120 дней). Чтобы открыть вкладку Сводка действий пользователей, пользователи должны находиться в области политики управления внутренними рисками.
- Изучив оповещение, вернитесь на вкладку Обзор , где можно просмотреть сведения для рассмотрения и управления ликвидацией оповещения, добавить комментарии и назначить владельца оповещения. (Просмотр журнала управления рабочими процессами.)
- После выполнения необходимых действий для оповещения задайте для параметра Состояние оповещения значение Разрешено.
Другие соответствующие условия
Microsoft Purview поддерживает отображение соответствующих условий в событии защиты от потери данных, чтобы выявить точную причину помеченной политики защиты от потери данных. Эти сведения отображаются в:
- Консоль оповещений о защите от потери данных
- Обозреватель действий
- Портал Microsoft Defender для бизнеса
На вкладке События откройте раздел Сведения , чтобы просмотреть другие соответствующие условия.
Предварительные условия
- Должен работать под управлением Windows 10 x64 (сборка 1809 или более поздняя версия) или Windows 11.
- Сведения о минимальных сборках операционной системы Windows см. в статье 21 марта 2023 г. по KB5023773 (сборки ОС 19042.2788, 19044.2788 и 19045.2788).
- Соответствующие условия доступны для действительных владельцев лицензий E3 и E5.
- Включите аудит.
- Включите расширенную проверку и защиту классификации.
Для этих условий поддерживаются сведения о совпадаемых событиях
Условие | Exchange | Sharepoint | Teams | Конечная точка |
---|---|---|---|---|
Отправитель — | Да | Нет | Да | Нет |
Домен отправителя — | Да | Нет | Да | Нет |
Адрес отправителя содержит слова | Да | Нет | Нет | Нет |
Адрес отправителя соответствует шаблонам | Да | Нет | Нет | Нет |
Отправитель является членом | Да | Нет | Нет | Нет |
IP-адрес отправителя | Да | Нет | Нет | Нет |
Если отправитель переопределил подсказку политики | Да | Нет | Нет | Нет |
SenderAdAttribute содержит слова | Да | Нет | Нет | Нет |
Шаблоны Соответствия SenderAdAttribute | Да | Нет | Нет | Нет |
Получатель | Да | Нет | Да | Нет |
Домен получателя | Да | Нет | Да | Нет |
Адрес получателя содержит слова | Да | Нет | Нет | Нет |
Адрес получателя соответствует шаблонам | Да | Нет | Нет | Нет |
Получатель входит в группу | Да | Нет | Нет | Нет |
RecipientAdAttribute содержит слова | Да | Нет | Нет | Нет |
Шаблоны RecipientAdAttribute Соответствует | Да | Нет | Нет | Нет |
Документ защищен паролем | Да | Нет | Нет | Нет |
Не удалось проверить документ | Да | Нет | Нет | Нет |
Проверка документа не завершена | Да | Нет | Нет | Нет |
Имя документа содержит слова | Да | Да | Нет | Нет |
Имя документа соответствует шаблонам | Да | Нет | Нет | Нет |
Свойство документа | Да | Да | Нет | Нет |
Размер документа | Да | Да | Нет | Нет |
Содержимое документа содержит слова | Да | Нет | Нет | Нет |
Содержимое документа соответствует шаблонам | Да | Нет | Нет | Нет |
Тип документа : | Нет | Нет | Нет | Да |
Расширение документа — | Да | Да | Нет | Да |
Общий доступ к содержимому осуществляется из M365 | Да | Да | Да | Нет |
Содержимое получено от | Да | Нет | Нет | Нет |
Набор символов содержимого содержит слова | Да | Нет | Нет | Нет |
Тема содержит слова | Да | Нет | Нет | Нет |
Тема соответствует шаблонам | Да | Нет | Нет | Нет |
Тема или текст содержит слова | Да | Нет | Нет | Нет |
Тема или текст соответствует шаблонам | Да | Нет | Нет | Нет |
Заголовок содержит слова | Да | Нет | Нет | Нет |
Заголовок соответствует шаблонам | Да | Нет | Нет | Нет |
Размер сообщения больше | Да | Нет | Нет | Нет |
Тип сообщения — | Да | Нет | Нет | Нет |
Важность сообщения : | Да | Нет | Нет | Нет |
Ограничение при скачивании сообщений электронной почты из оповещений защиты от потери данных
Как правило, при использовании панели мониторинга управления оповещениями защиты от потери данных можно скачивать определенные сообщения электронной почты из оповещения. Однако сообщения электронной почты, удаленные в любом из следующих сценариев, нельзя скачать.
Sender | Recipient | Состояние электронной почты |
---|---|---|
Внутренний | Внешний | Удалено отправителем |
Внешний | Внутренний | Удалено получателем |
Внутренний | Внутренний | Удалено обеими сторонами |