Undersöka aviseringar om dataförlustskydd med Microsoft Defender XDR
Gäller för:
- Microsoft Defender XDR
Du kan hantera Dataförlustskydd i Microsoft Purview -aviseringar (DLP) i Microsoft Defender-portalen. Öppna Incidenter & aviseringar>Incidenter vid snabbstart av Microsoft Defender-portalen. Från den här sidan kan du:
- Visa alla DLP-aviseringar grupperade under incidenter i Microsoft Defender XDR incidentkö.
- Visa intelligenta inter-solution (DLP-MDE, DLP-MDO) och intra-solution (DLP-DLP) korrelerade aviseringar under en enda incident.
- Jaga efter efterlevnadsloggar tillsammans med säkerhet under Avancerad jakt.
- Administratörsreparationsåtgärder på plats för användare, fil och enhet.
- Associera anpassade taggar till DLP-incidenter och filtrera efter dem.
- Filtrera efter DLP-principnamn, tagg, Datum, tjänstkälla, incidentstatus och användare i den enhetliga incidentkön.
Tips
Du kan också hämta DLP-incidenter tillsammans med händelser och bevis i Microsoft Sentinel för undersökning och reparation med Microsoft Defender XDR-anslutningsappen i Microsoft Sentinel.
Licensieringskrav
Om du vill undersöka Dataförlustskydd i Microsoft Purview incidenter i Microsoft Defender-portalen behöver du en licens från någon av följande prenumerationer:
- Microsoft Office 365 E5/A5
- Microsoft 365 E5/A5
- Microsoft 365 E5/A5 – Efterlevnad
- Microsoft 365 E5/A5 – Skydd och styrning av information
Obs!
När du är licensierad och berättigad till den här funktionen flödar DLP-aviseringar automatiskt till Microsoft Defender XDR. Om du inte vill att DLP-aviseringar ska flöda in i Defender öppnar du ett supportärende för att inaktivera den här funktionen. Om du inaktiverar den här funktionen visas DLP-aviseringar i Defender-portalen som Microsoft Defender för Office-aviseringar.
Roller
Det är bästa praxis att endast bevilja minimal behörighet till aviseringar i Microsoft Defender-portalen. Du kan skapa en anpassad roll med dessa roller och tilldela den till de användare som behöver undersöka DLP-aviseringar.
| Behörighet | Åtkomst till Defender-avisering |
|---|---|
| Hantera aviseringar | DLP + säkerhet |
| View-Only Hantera aviseringar | DLP + säkerhet |
| Information Protection-analytiker | Endast DLP |
| DLP-efterlevnadshantering | Endast DLP |
| View-Only DLP-efterlevnadshantering | Endast DLP |
Innan du börjar
Aktivera aviseringar för alla DLP-principer i efterlevnadsportal i Microsoft Purview.
Obs!
Begränsningar för administrativa enheter flödar från dataförlustskydd (DLP) till Defender-portalen. Om du är en administrativ enhetsbegränsad administratör ser du bara DLP-aviseringarna för din administrativa enhet.
Undersöka DLP-aviseringar i Microsoft Defender-portalen
Gå till Microsoft Defender-portalen och välj Incidenter i den vänstra navigeringsmenyn för att öppna incidentsidan.
Välj Filter längst upp till höger och välj Tjänstkälla: Dataförlustskydd för att visa alla incidenter med DLP-aviseringar. Här är några exempel på de underfilter som är tillgängliga i förhandsversionen:
- efter användar- och enhetsnamn
- (i förhandsversion) I filtret Entiteter kan du söka efter filnamn, användare, enhetsnamn och filsökvägar.
- (i förhandsversion) I rubriken Aviseringsprinciper> för incidentkö > aviseringsprinciper. Du kan söka efter DLP-principnamnet.
Search för DLP-principnamnet för de aviseringar och incidenter som du är intresserad av.
Om du vill visa sidan incidentsammanfattning väljer du incidenten i kön. På samma sätt väljer du aviseringen för att visa DLP-aviseringssidan.
Visa aviseringsartikeln för information om principer och typer av känslig information som identifieras i aviseringen. Välj händelsen i avsnittet Relaterade händelser för att se information om användaraktivitet.
Visa det matchade känsliga innehållet på fliken Typer av känslig information och filinnehållet på fliken Källa om du har den behörighet som krävs (se information här).
Utöka DLP-aviseringsundersökning med avancerad jakt
Avancerad jakt är ett frågebaserat verktyg för hotjakt som gör att du kan utforska upp till 30 dagars granskningsloggar för användare, filer och webbplatsplatser för att underlätta undersökningen. Du kan proaktivt granska händelser i nätverket för att hitta hotindikatorer och entiteter. Den flexibla åtkomsten till data möjliggör obegränsad jakt på både kända och potentiella hot.
Tabellen CloudAppEvents innehåller alla granskningsloggar på alla platser som SharePoint, OneDrive, Exchange och enheter.
Innan du börjar
Om du inte har använt avancerad jakt tidigare bör du läsa Kom igång med avancerad jakt.
Innan du kan använda avancerad jakt måste du ha åtkomst till tabellen CloudAppEvents som innehåller Microsoft Purview-data.
Använda inbyggda frågor
Viktigt
Den här funktionen är i förhandsversion. Förhandsversionsfunktioner är inte avsedda för produktionsanvändning och kan ha begränsade funktioner. Dessa funktioner är tillgängliga före en officiell version så att kunderna kan få tidig åtkomst och ge feedback.
Defender-portalen erbjuder flera inbyggda frågor som du kan använda för att hjälpa till med din DLP-aviseringsundersökning.
- Gå till Microsoft Defender-portalen och välj Incidenter & aviseringar i den vänstra navigeringsmenyn för att öppna incidentsidan. Välj Incidenter.
- Välj Filter längst upp till höger och välj Tjänstkälla: Dataförlustskydd för att visa alla incidenter med DLP-aviseringar.
- Öppna en DLP-incident.
- Välj en avisering för att visa dess associerade händelser.
- Välj en händelse.
- I händelseinformationsfönstret väljer du kontrollen Go Hunt .
- Defender visar en lista över inbyggda frågor som är relevanta för händelsens källplats. Om händelsen till exempel kommer från SharePoint ser du
- Fil som delas med
- Filaktiviteter
- Webbplatsaktivitet
- Överträdelser av användar-DLP för de senaste 30 dagarna
- Defender visar en lista över inbyggda frågor som är relevanta för händelsens källplats. Om händelsen till exempel kommer från SharePoint ser du
- Du kan välja att Köra frågan direkt, ändra tidsintervallet, redigera eller spara frågan för senare användning.
- När du har kört frågan visar du resultatet på fliken Resultat .
Om aviseringen gäller för ett e-postmeddelande kan du ladda ned meddelandet genom att välja Åtgärder>Ladda ned e-post.
Om aviseringen gäller för en fil i SharePoint Online eller One Drive for Business kan du vidta följande åtgärder:
- Använda kvarhållningsetikett
- Ta bort delningen
- Radera
- Använd känslighetsetikett
- Ladda ned (innehållsvisningsrollen för dataklassificering krävs för den här åtgärden)
- Dra tillbaka feedback
För reparationsåtgärder väljer du kortet Användare överst på aviseringssidan för att öppna användarinformationen.
För Enheter DLP-aviseringar väljer du enhetskortet överst på aviseringssidan för att visa enhetsinformationen och vidta åtgärder på enheten.
Gå till sidan incidentsammanfattning och välj Hantera incident för att lägga till incidenttaggar, tilldela eller lösa en incident.
Relaterade artiklar
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för