共享数据丢失防护警报 (预览版)

具有适当权限的用户可以在 DLP 警报控制台中查看Microsoft Purview 数据丢失防护 (DLP) 警报。 但是,由于对警报进行会审和调查,因此可能需要与不具有 DLP 和警报控制台完全权限的其他用户共享它们。

可以与授予使用本文中所述过程的有限权限的用户共享警报。

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

开始之前

如果不熟悉 DLP 警报,请参阅 配置和查看数据丢失防护策略的警报

在此过程中,需要为 Microsoft Purview 创建自定义角色组。 如果尚未在 Microsoft Purview 中使用权限、角色和角色组,请参阅Microsoft Purview 合规门户中的权限

配置 DLP 警报 URL 以供审阅

  1. 使用具有全局管理员权限的帐户打开Microsoft Purview 合规门户。

  2. 为要与之共享警报的用户 创建自定义角色组 。 例如 DLPAlertInvestigator。 将这些角色添加到组:

    1. 仅查看 DLP 合规性管理 - 必需。
    2. 数据分类内容查看器 - 必需。
    3. 预览 - 此角色是可选的,如果审阅者需要查看源内容,请分配此角色。
  3. 在此示例中 DLPAlertInvestigator,添加刚刚创建的自定义角色组的用户。

  4. 打开“ DLP 警报 ”选项卡,然后选择要共享的警报。 这会打开浮出控件窗格。

  5. 获取 警报的“警报 ID ”和“ 检测到时间 ”值。

显示 DLP 警报详细信息的图像

  1. 检测到时间” 字段中的值是本地时间。 需要将该值转换为 UTC 时间,以便在 参数中使用 creationtime 。 可通过 Internet 搜索使用许多本地到 UTC 时间转换器。

  2. 采用以下格式构造可共享 URL:

<compliance-portal-domain>/datalossprevention/alerts/eventdeeplink?eventid={eventId}&creationtime={creationTime}

例如:

compliance.microsoft.com/datalossprevention/alerts/eventdeeplink?eventid=1eae3e53-c045-1c9b-ee00-08da7a6751dc&creationtime=2022-08-10T12:30:00Z

在此示例中, 检测到的时间 值为 2022 年 8 月 9 日下午 5:30 太平洋夏令时。 这将转换为 8 月 10 日上午 12:30 UTC 或 2022-08-10T12:30:00Z

  1. 可以与创建的组中的人员共享此链接。 他们将能够访问警报进行评审和调查。