Microsoft Defender XDR ile veri kaybı önleme uyarılarını araştırma
Şunlar için geçerlidir:
- Microsoft Defender XDR
Microsoft Purview Veri Kaybı Önleme (DLP) uyarılarını Microsoft Defender portalında yönetebilirsiniz. Microsoft Defender portalının hızlı başlatılmasıyla ilgili Olaylar &Uyarılar'ı> açın. Bu sayfadan şunları yapabilirsiniz:
- Microsoft Defender XDR olay kuyruğundaki olaylar altında gruplandırılmış tüm DLP uyarılarınızı görüntüleyin.
- Tek bir olay altında akıllı çözümler arası (DLP-MDE, DLP-MDO) ve çözüm içi (DLP-DLP) ilişkili uyarıları görüntüleyin.
- Gelişmiş Avcılık kapsamında güvenlikle birlikte uyumluluk günlüklerini arayın.
- Kullanıcı, dosya ve cihazda yerinde yönetici düzeltme eylemleri.
- Özel etiketleri DLP olaylarıyla ilişkilendirin ve bunlara göre filtreleyin.
- Birleştirilmiş olay kuyruğundaki DLP ilkesi adına, etiketine, Tarihe, hizmet kaynağına, olay durumuna ve kullanıcıya göre filtreleyin.
İpucu
Ayrıca, Microsoft Sentinel'deki Microsoft Defender XDR bağlayıcısı ile araştırma ve düzeltme için DLP olaylarını ve olayları ve kanıtları Microsoft Sentinel'e çekebilirsiniz.
Lisans gereksinimleri
Microsoft Defender portalında Microsoft Purview Veri Kaybı Önleme olayları araştırmak için aşağıdaki aboneliklerden birinin lisansına sahip olmanız gerekir:
- Microsoft Office 365 E5/A5
- Microsoft 365 E5/A5
- Microsoft 365 E5/A5 Uyumluluğu
- Microsoft 365 E5/A5 Information Protection ve İdare
Not
Bu özellik için lisanslı ve uygun olduğunuzda DLP uyarıları otomatik olarak Microsoft Defender XDR akacaktır. DLP uyarılarının Defender'a akmasını istemiyorsanız bu özelliği devre dışı bırakmak için bir destek olayı açın. Bu özelliği devre dışı bırakırsanız DLP uyarıları, Office uyarıları için Microsoft Defender olarak Defender portalında görünür.
Roller
Microsoft Defender portalında uyarılara yalnızca en az izin vermek en iyi yöntemdir. Bu rollerle özel bir rol oluşturabilir ve bunu DLP uyarılarını incelemesi gereken kullanıcılara atayabilirsiniz.
| İzin | Defender Uyarı Erişimi |
|---|---|
| Uyarıları Yönet | DLP + Güvenlik |
| Uyarıları View-Only Yönetme | DLP + Güvenlik |
| Information Protection Analisti | Yalnızca DLP |
| DLP Uyumluluk Yönetimi | Yalnızca DLP |
| View-Only DLP Uyumluluk Yönetimi | Yalnızca DLP |
Başlamadan önce
Microsoft Purview uyumluluk portalıtüm DLP ilkeleriniz için uyarıları açın.
Not
Yönetim birimleri kısıtlamaları, veri kaybı önlemeden (DLP) Defender portalına akar. Yönetim birimi kısıtlanmış yöneticisiyseniz, yalnızca yönetim biriminizin DLP uyarılarını görürsünüz.
Microsoft Defender portalında DLP uyarılarını araştırma
Microsoft Defender portalına gidin ve sol taraftaki gezinti menüsünde Olaylar'ı seçerek olaylar sayfasını açın.
Sağ üst kısımdaki Filtreler'i seçin ve DLP uyarılarıyla tüm olayları görüntülemek için Hizmet Kaynağı : Veri Kaybı Önleme'yi seçin. Aşağıda, önizlemede kullanılabilen alt filtrelere birkaç örnek verilmiştir:
- kullanıcı ve cihaz adlara göre
- (önizlemede) Varlıklar filtresinde dosya adlarında, kullanıcıda, cihaz adlarında ve dosya yollarında arama yapabilirsiniz.
- (önizlemede) Olaylar kuyruğu >Uyarı ilkeleri> Uyarı ilkesi başlığı altında. DLP ilkesi adında arama yapabilirsiniz.
İlgilendiğiniz uyarıların ve olayların DLP ilke adı için Arama.
Olay özeti sayfasını görüntülemek için kuyruktan olayı seçin. Benzer şekilde, DLP uyarı sayfasını görüntülemek için uyarıyı seçin.
İlke ve uyarıda algılanan hassas bilgi türleri hakkındaki ayrıntılar için Uyarı hikayesini görüntüleyin. Kullanıcı etkinliği ayrıntılarını görmek için İlgili Olaylar bölümünde olayı seçin.
Gerekli izne sahipseniz , Hassas bilgi türleri sekmesinde eşleşen hassas içeriği ve Kaynak sekmesindeki dosya içeriğini görüntüleyin ( Ayrıntılara buradan bakın).
Gelişmiş avcılık ile DLP uyarı araştırmasını genişletme
Gelişmiş tehdit avcılığı, araştırmanıza yardımcı olmak için 30 güne kadar kullanıcı, dosya ve site konumlarının denetim günlüklerini keşfetmenizi sağlayan sorgu tabanlı bir tehdit avcılığı aracıdır. Tehdit göstergelerini ve varlıkları bulmak için ağınızdaki olayları proaktif olarak inceleyebilirsiniz. Verilere esnek erişim, hem bilinen hem de olası tehditler için kısıtlanmamış avcılık sağlar.
CloudAppEvents tablosu SharePoint, OneDrive, Exchange ve Cihazlar gibi tüm konumlardaki tüm denetim günlüklerini içerir.
Başlamadan önce
Gelişmiş avcılığı kullanmaya yeni başladıysanız Gelişmiş avcılığı kullanmaya başlama bölümünü gözden geçirmelisiniz.
Önceden avcılığı kullanabilmeniz için önce Microsoft Purview verilerini içeren CloudAppEvents tablosuna erişiminiz olmalıdır.
Yerleşik sorguları kullanma
Önemli
Bu özellik önizleme aşamasındadır. Önizleme özellikleri üretim kullanımına yönelik değildir ve sınırlı işlevlere sahip olabilir. Bu özellikler, müşterilerin erken erişim elde edebilmesi ve geri bildirim sağlayabilmesi için resmi bir sürümden önce kullanılabilir.
Defender portalı, DLP uyarı araştırmanıza yardımcı olmak için kullanabileceğiniz birden çok yerleşik sorgu sunar.
- Microsoft Defender portalına gidin ve sol taraftaki gezinti menüsünden Olaylar & uyarılar'ı seçerek olaylar sayfasını açın. Olaylar'ı seçin.
- Sağ üst kısımdaki Filtreler'i seçin ve DLP uyarılarıyla tüm olayları görüntülemek için Hizmet Kaynağı : Veri Kaybı Önleme'yi seçin.
- Bir DLP olayı açın.
- İlişkili olaylarını görüntülemek için uyarıda öğesini seçin.
- Bir olay seçin.
- Olay ayrıntıları bölmesinde Go Hunt denetimini seçin.
- Defender, olayın kaynak konumuyla ilgili yerleşik sorguların listesini gösterir. Örneğin, olay SharePoint'ten geliyorsa
- Dosya ile paylaşıldı
- Dosya etkinlikleri
- Site etkinliği
- Son 30 gün için kullanıcı DLP ihlalleri
- Defender, olayın kaynak konumuyla ilgili yerleşik sorguların listesini gösterir. Örneğin, olay SharePoint'ten geliyorsa
- Sorguyu hemen çalıştırmayı, zaman aralığını değiştirmeyi, sorguyu daha sonra kullanmak üzere düzenlemeyi veya kaydetmeyi seçebilirsiniz.
- Sorguyu çalıştırdıktan sonra sonuçları Sonuçlar sekmesinde görüntüleyin.
Uyarı bir e-posta iletisine yönelikse, Eylemler>E-postayı indir'i seçerek iletiyi indirebilirsiniz.
Uyarı SharePoint Online veya One Drive for Business'daki bir dosyaya yönelikse şu eylemleri gerçekleştirebilirsiniz:
- Bekletme etiketi uygulama
- Paylaşımı kaldır
- Silme
- Duyarlılık etiketi uygulama
- İndirme (bu eylem için veri sınıflandırması içerik görüntüleyici rolü gereklidir)
- Geri bildirimi geri çekme
Düzeltme eylemleri için uyarı sayfasının üst kısmındaki Kullanıcı kartını seçerek kullanıcı ayrıntılarını açın.
Cihazlar DLP uyarıları için uyarı sayfasının üst kısmındaki cihaz kartını seçerek cihaz ayrıntılarını görüntüleyin ve cihazda düzeltme eylemleri gerçekleştirin.
Olay etiketleri eklemek, olayı atamak veya çözmek için olay özeti sayfasına gidin ve Olayı Yönet'i seçin.
İlgili makaleler
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin