通过

了解如何调查数据丢失防护警报

  • 项目

本文介绍警报调查流以及可用于调查 DLP 警报的工具。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从 Microsoft Purview 合规性门户试用中心开始。 了解有关 注册和试用条款的详细信息。

开始之前

如果你不熟悉Microsoft Purview DLP,下面是在实施数据丢失防护实践时应熟悉的核心文章列表:

  1. 管理单元
  2. 了解 Microsoft Purview 数据丢失防护:本文介绍了数据丢失防护规则和 DLP 的实现Microsoft。
  3. (DLP) 规划数据丢失防护 :通过本文,你将:
    1. 确定利益干系人
    2. 描述要保护的敏感信息类别
    3. 设置目标和策略
  4. 数据丢失防护策略参考:本文介绍 DLP 策略的所有组件以及每个组件如何影响策略的行为。
  5. 设计 DLP 策略:本文将指导你创建策略意向语句并将其映射到特定策略配置。
  6. 创建和部署数据丢失防护策略:提供映射到配置选项的一些常见策略意向方案。 然后,它将指导你配置这些选项,并提供有关部署策略的指导。
  7. 了解如何调查数据丢失防护警报:你正在阅读的本文介绍了从创建到最终修正和策略优化的警报生命周期。 它还介绍了用于调查警报的工具。

DLP 警报的生命周期

所有警报及其交互都经过以下六个步骤:

Trigger

策略中定义的条件匹配时,Microsoft Purview 数据丢失防护 (DLP) 警报的生命周期开始。 发生策略匹配时,将触发策略中定义的操作,这可能包括在 策略配置为执行此操作时 生成警报。

DLP 策略通常配置为在以下情况下监视并生成警报:

  • 敏感信息(如个人身份数据或知识产权)将从组织外泄。
  • 敏感信息不恰当地与组织外部或组织内部的人员共享。
  • 用户参与风险活动,例如将敏感信息下载到可移动媒体。

通知

生成警报后,该警报将作为事件和 DLP 警报管理仪表板发送到 Microsoft Defender 门户。 DLP 策略可以配置为通过电子邮件向用户、管理员和其他利益干系人发送通知。

在通知阶段Microsoft Purview:

  • 报告 DLP 策略匹配和用户替代。
  • 可以使用 活动资源管理器 查看与 DLP 相关的活动,并筛选报表生成目的。

若要导出活动数据以用于报告,请使用 Export-ActivityExplorerData (ExchangePowerShell) |使用 O365 管理活动 API 或事件 API Microsoft Doc。

注意

Microsoft Defender 门户将事件保留 6 个月。 DLP 警报管理仪表板将警报保留 30 天。

分流

在此步骤中,将分析警报和任何关联的日志,并确定警报是真正还是误报。 如果为真阳性,则根据问题的严重性及其对组织的影响设置警报的优先级,并分配所有者。 如果是误报,可以取消阻止用户并转到下一个警报。

Defender 门户将 DLP 事件分组为事件。 事件是相关警报的集合,这些警报根据 Defender 接收的所有其他信号分组在一起。 例如,如果将 DLP 策略配置为监视 SharePoint 网站上的敏感文件并发出警报,并且用户从 SharePoint 网站下载文件,然后将其上传到个人 OneDrive,然后与外部用户共享,Defender 会将所有这些警报分组到单个事件中。 这是一项功能强大的功能,可让你首先专注于最重要的警报。

在 Defender 门户中,可以立即开始对事件进行会审,并使用标记、注释和其他功能来构建事件管理。 应利用 Microsoft Defender 门户中的“事件”页来管理 DLP 警报。 可以通过选择“ 筛选器 ”并选择“ 服务源:数据丢失防护”,筛选事件队列以查看所有事件,Microsoft Purview DLP 警报。

如果已启用 与 Microsoft Defender XDR (预览版) 共享预览 版风险管理数据,则会在 DLP 警报页中看到与用户关联的内部风险管理策略的严重性级别。 内部风险管理严重性级别为: 。 可以使用此信息确定调查和修正工作的优先级。 在事件详细信息中,Microsoft 365 Defender 门户中也会提供此信息。

调查

调查阶段的主要目标是让分配的所有者关联证据,确定警报的原因和完全影响,并决定修正计划。 分配的所有者负责对警报进行更深入的调查和修正。 主要警报调查工具是 Microsoft Defender 门户DLP 警报管理仪表板。 还可以使用 活动资源管理器 来调查警报。 还可以与组织中的其他用户 共享警报

可以利用 DLP 功能,例如:

可以使用 Microsoft Defender 门户和 Purview 工具对警报进行会审和调查,但 Microsoft Defender 门户提供了用于管理警报和事件的更多功能,例如:

  • 在 Microsoft Defender XDR 事件队列中查看按事件分组的所有 DLP 警报。
  • 在单个事件下查看智能解决方案间 (DLP-MDE、DLP-MDO) 和解决方案内部 (DLP-DLP) 相关警报。
  • 在“高级搜寻”下搜寻合规性日志和安全性。
  • 在用户、文件和设备上执行就地管理员修正操作。
  • 将自定义标记关联到 DLP 事件并按它们进行筛选。
  • 在统一事件队列上按 DLP 策略名称、标记、日期、服务源、事件状态和用户进行筛选。

如果要 与 Defender (预览版) 共享内部风险管理数据 ,可以查看用户在过去 120 天内从事的所有外泄活动的用户 活动摘要

修正

你的修正计划是组织策略、行业、它必须遵守的地缘政治法规以及业务实践所特有的。 组织如何选择响应警报围绕警报的准确性 (真正、误报、假负) 、问题的严重性和对组织的影响。

修正操作可能包括:

  • 仅监视,无需执行进一步操作。
  • 不需要进一步的操作,因为策略执行的操作足以降低风险。
  • 通过自动策略操作缓解了风险,但需要用户培训。
  • 策略并未完全缓解此问题,因此需要进一步清理和风险缓解,同时进行更多的用户培训。
  • 通过 数据丢失防护中的自适应保护 (预览版) DLP 与内部风险管理集成,你可以向用户分配风险级别,以便进一步监视和操作。

使用 Defender 门户,可以立即对警报和事件执行修正操作。 例如:

  • 重置密码
  • 禁用帐户
  • 查看用户活动
  • DLP 检测操作
  • 删除文档
  • 应用敏感度标签
  • 取消共享
  • 下载电子邮件
  • 高级搜寻
  • 隔离设备
  • 从设备收集调查包
  • 运行 AV 扫描
  • 隔离
  • 禁用用户
  • 重置 pwd
  • 删除电子邮件
  • 将邮件移动到其他邮箱文件夹
  • 下载文件

调整

根据策略的准确性和有效性,可能需要对其进行更新,使其保持有效。 已在策略 创建和部署过程中优化了策略,但随着数据资产和业务需求的更改,必须更新策略才能继续有效。 最好在 策略意向语句策略配置中跟踪这些更改。

你优化的项目:

  • 策略的范围。
  • 策略匹配所需的条件。
  • 发生策略匹配时执行的操作。
  • 发送给用户和管理员的通知。

有关将业务需求映射到策略设计和测试策略的详细信息,请参阅:

工具集

可以使用多种工具来调查和管理Microsoft Purview 数据丢失防护 (DLP) 警报。 有:

Microsoft建议使用 Microsoft Defender 门户中的统一事件队列来管理 DLP 警报。 但是,除了使用 Microsoft Defender 门户外,组织可能还需要使用 DLP 警报管理仪表板来满足这些需求。

Microsoft Defender 门户

Microsoft Purview 合规性门户

  • 警报仪表板、活动资源管理器和内容资源管理器都在 Microsoft Purview 合规性门户中提供。 可以使用 Microsoft Copilot for Security 来汇总警报调查 DLP 警报
  • 可以将警报状态设置为 “正在调查”。
  • 可以与组织中的其他用户 共享警报
  • 此操作需要从 OneDrive 和 SharePoint 下载文件 (数据分类内容查看者角色)

如果不熟悉 DLP 警报仪表板,应通读这些文章以帮助你入门。

后续步骤