适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
典型的高级持久性威胁生命周期 (或 APT) 涉及一些数据外泄,即从组织 获取 数据的点。 在这些情况下,敏感度标签可以通过拼写出要保护的最高优先级数据来告知安全作从何处开始。
Defender for Endpoint 也有助于通过使用敏感度标签来简化安全事件的优先级。 例如,敏感度标签可快速识别可能涉及具有敏感信息 (设备的事件,例如机密信息) 。
下面介绍如何在 Defender for Endpoint 中使用敏感度标签。
使用 Defender for Endpoint 调查设备上涉及敏感数据的事件
了解如何使用数据敏感度标签来确定事件调查的优先级。
注意
检测到Windows 10 版本 1809或更高版本的标签,并Windows 11。
在Microsoft Defender门户中,选择“事件 & 警报>事件”。
滚动以查看 “数据敏感度” 列。 此列反映与事件相关的设备上观察到的敏感度标签,提供敏感文件是否受事件影响的指示。
还可以根据数据敏感度进行筛选
打开事件页以进一步调查。
选择“ 设备 ”选项卡以标识存储具有敏感度标签的文件的设备。
选择存储敏感数据的设备,并在时间线中搜索以确定哪些文件可能受到影响,然后采取适当的措施确保数据受到保护。
可以通过搜索数据敏感度标签来缩小时间线设备上显示的事件范围。 执行此作仅显示与标签名称的文件关联的事件。
提示
这些数据点还通过高级搜寻中的“DeviceFileEvents”公开,允许高级查询和计划检测将敏感度标签和文件保护状态考虑在内。
有关敏感度标签的信息
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。