Aracılığıyla paylaş

Microsoft Defender XDR ile veri kaybı önleme uyarılarını araştırma

  • Şunlara uygulanır: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender portalında Microsoft Purview Veri Kaybı Önleme (DLP) uyarılarını ve olaylarını yönetebilir ve yanıtlayabilirsiniz. Microsoft Defender portalının hızlı başlatılmasıyla ilgili Olaylar &Uyarılar'ı> açın. Bu sayfadan şunları yapabilirsiniz:

  • Microsoft Defender XDR olay kuyruğundaki olaylar altında gruplandırılmış tüm DLP uyarılarınızı görüntüleyin.
  • Tek bir olay altında, diğer DLP uyarılarıyla veya diğer çözümlerden gelen uyarılarla (Uç Nokta için Defender, Office 365 için Defender, Microsoft Sentinel vb.) ilişkili DLP uyarılarını görüntüleyin.
  • Gelişmiş Tehdit Avcılığı altında uyumluluk günlüklerini güvenlik günlükleriyle birleştiren sorguları kullanarak güvenlik tehditlerini arayın.
  • Kullanıcılar, dosyalar ve cihazlarda yerinde düzeltme eylemleri gerçekleştirin.
  • Özel etiketleri DLP olaylarıyla ilişkilendirin ve bunlara göre filtreleyin.
  • Birleştirilmiş olay kuyruğuna DLP ilkesi adına, etiketine, tarihine, hizmet kaynağına, olay durumuna ve kullanıcıya göre filtreleyin.

Önkoşullar

Lisans gereksinimleri

Microsoft Defender portalında Microsoft Purview Veri Kaybı Önleme olayları araştırmak için aşağıdaki aboneliklerden birinin lisansına sahip olmanız gerekir:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 Uyumluluğu
  • Microsoft 365 E5/A5 Information Protection ve İdare

Not

Bu özellik için lisanslı ve uygun olduğunuzda DLP uyarıları otomatik olarak Microsoft Defender XDR akacaktır. DLP uyarılarının Defender'a akmasını istemiyorsanız bu özelliği devre dışı bırakmak için bir destek olayı açın. Bu özelliği devre dışı bırakırsanız DLP uyarıları, Office uyarıları için Microsoft Defender olarak Defender portalında görünür.

Roller

Microsoft Defender portalında uyarılara yalnızca en az izin vermek en iyi yöntemdir. Bu rollerle özel bir rol oluşturabilir ve bunu DLP uyarılarını incelemesi gereken kullanıcılara atayabilirsiniz.

İzin Defender Uyarı Erişimi
Uyarıları Yönet DLP + Güvenlik
Uyarıları View-Only Yönetme DLP + Güvenlik
Information Protection Analisti Yalnızca DLP
DLP Uyumluluk Yönetimi Yalnızca DLP
View-Only DLP Uyumluluk Yönetimi Yalnızca DLP

Başlamadan önce

Microsoft Purview portalındatüm DLP ilkeleriniz için uyarıları açın.

Not

Yönetim birimleri kısıtlamaları, veri kaybı önlemeden (DLP) Defender portalına akar. Yönetim birimi kısıtlanmış yöneticisiyseniz, yalnızca yönetim biriminizin DLP uyarılarını görürsünüz.

Microsoft Defender portalında DLP uyarılarını araştırma

  1. Microsoft Defender portalına gidin ve sol taraftaki gezinti menüsünde Olaylar'ı seçerek olaylar sayfasını açın.

  2. Araç çubuğunda Filtre ekle'yi ve ardından Hizmet/algılama kaynakları filtresini seçin. Ardından bu filtreyi seçin ve DLP uyarılarıyla tüm olayları görüntülemek için Microsoft Veri Kaybı Önleme'yi seçin. Ayrıca, kuyruğu kullanıcı ve cihaz adlarına göre filtreleyebilir ( Varlıklar filtresini kullanarak) ve ilkelere göre, İlke/ilke kuralı filtresini kullanarak dosya adlarında, kullanıcı, cihaz adlarında ve dosya yollarında arama yapabilirsiniz.

    1. (önizlemede) Olaylar kuyruğu >Uyarı ilkeleri> Uyarı ilkesi başlığı altında. DLP ilkesi adında arama yapabilirsiniz.

  3. İlgilendiğiniz uyarıların ve olayların DLP ilkesi adını arayın.

  4. Olay özeti sayfasını görüntülemek için kuyruktan olayı seçin. Benzer şekilde, DLP uyarı sayfasını görüntülemek için uyarıyı seçin. Uyarının özetini oluşturmak için Security Copilot için Özetle (önizleme) seçeneğini belirleyin. Uyarı özeti aşağıdakileri içerir:

  • uyarı önem derecesi
  • uyarı başlığı
  • eşleşen ilkenin adı
  • söz konusu ad dosyası ve dosyanın bağlantısı
  • uyarı durumu
  • ilkeyle eşleşen eylemi gerçekleştiren kullanıcının e-posta adresi

  1. İlke ve uyarıda algılanan hassas bilgi türleri hakkındaki ayrıntılar için Uyarı hikayesini görüntüleyin. Kullanıcı etkinliği ayrıntılarını görmek için İlgili Olaylar bölümünde olayı seçin.

  2. Gerekli izne sahipseniz , Hassas bilgi türleri sekmesinde eşleşen hassas içeriği ve Kaynak sekmesindeki dosya içeriğini görüntüleyin ( Ayrıntılara buradan bakın).

Gelişmiş avcılık ile DLP uyarı araştırmasını genişletme

Gelişmiş tehdit avcılığı, araştırmanıza yardımcı olmak için 30 güne kadar kullanıcı, dosya ve site konumlarının denetim günlüklerini keşfetmenizi sağlayan sorgu tabanlı bir tehdit avcılığı aracıdır. Tehdit göstergelerini ve varlıkları bulmak için ağınızdaki olayları proaktif olarak inceleyebilirsiniz. Verilere esnek erişim, hem bilinen hem de olası tehditler için kısıtlanmamış avcılık sağlar.

CloudAppEvents tablosu SharePoint, OneDrive, Exchange ve Cihazlar gibi tüm konumlardaki tüm denetim günlüklerini içerir.

Başlamadan önce

Gelişmiş avcılığı kullanmaya yeni başladıysanız Gelişmiş avcılığı kullanmaya başlama bölümünü gözden geçirmelisiniz.

Gelişmiş avcılığı kullanabilmeniz için önce Microsoft Purview verilerini içeren CloudAppEvents tablosuna erişiminiz olmalıdır.

Yerleşik sorguları kullanma

Önemli

Bu özellik önizleme aşamasındadır. Önizleme özellikleri üretim kullanımına yönelik değildir ve sınırlı işlevlere sahip olabilir. Bu özellikler, müşterilerin erken erişim elde edebilmesi ve geri bildirim sağlayabilmesi için resmi bir sürümden önce kullanılabilir.

Defender portalı, DLP uyarı araştırmanıza yardımcı olmak için kullanabileceğiniz birden çok yerleşik sorgu sunar.

  1. Microsoft Defender portalına gidin ve sol taraftaki gezinti menüsünden Olaylar & uyarılar'ı seçerek olaylar sayfasını açın. Olaylar'ı seçin.
  2. Sağ üst kısımdaki Filtreler'i seçin ve DLP uyarılarıyla tüm olayları görüntülemek için Hizmet Kaynağı : Veri Kaybı Önleme'yi seçin.
  3. Bir DLP olayı açın.
  4. İlişkili olaylarını görüntülemek için uyarıda öğesini seçin.
  5. Bir olay seçin.
  6. Olay ayrıntıları bölmesinde Go Hunt denetimini seçin.
    1. Defender, olayın kaynak konumuyla ilgili yerleşik sorguların listesini gösterir. Örneğin, olay SharePoint'ten geliyorsa
      1. Dosya ile paylaşıldı
      2. Dosya etkinlikleri
      3. Site etkinliği
      4. Son 30 gün için kullanıcı DLP ihlalleri
  7. Sorguyu hemen çalıştırmayı, zaman aralığını değiştirmeyi, sorguyu daha sonra kullanmak üzere düzenlemeyi veya kaydetmeyi seçebilirsiniz.
  8. Sorguyu çalıştırdıktan sonra sonuçları Sonuçlar sekmesinde görüntüleyin.

Uyarı bir e-posta iletisine yönelikse, Eylemler>E-postayı indir'i seçerek iletiyi indirebilirsiniz.

Uyarı SharePoint Online veya One Drive for Business'daki bir dosyaya yönelikse şu eylemleri gerçekleştirebilirsiniz:

Düzeltme eylemleri için uyarı sayfasının üst kısmındaki Kullanıcı kartını seçerek kullanıcı ayrıntılarını açın.

Cihazlar DLP uyarıları için uyarı sayfasının üst kısmındaki cihaz kartını seçerek cihaz ayrıntılarını görüntüleyin ve cihazda düzeltme eylemleri gerçekleştirin.

Olay etiketleri eklemek, olayı atamak veya çözmek için olay özeti sayfasına gidin ve Olayı Yönet'i seçin.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.