调查 Microsoft Defender for Cloud Apps 中的数据丢失防护警报
使用 DLP 相关配置创建 Defender for Cloud Apps 文件策略时,可以在 Defender for Cloud Apps 的“警报”区域中调查文件策略冲突警报。
管理警报:
在“警报”页面上选择“打开”以获取“解决状态”。
通过仪表板的这一部分,可深入了解任何可疑活动或与已建立策略的冲突。 它可以帮助保护你为自己的云环境定义的安全状况。
对于每个警报,需要调查并确定违规的性质和所需的响应。
可以按“警报类型”或“严重性”来筛选警报,以便首先处理最重要的警报。
选择特定警报。 在解除警报前将看到可以执行的各种操作,具体取决于警报的类型。
可以基于应用进行筛选 - 列出的应用是 Defender for Cloud Apps 检测到活动的应用。
调查警报时需处理三类冲突:
严重冲突 - 严重冲突需要立即响应。
示例:
对于可疑的活动警报,最好挂起该帐户,直至用户更改其密码。
对于数据泄露,最好限制权限或隔离文件。
如果发现了新应用,最好在代理或防火墙上阻止访问该服务。
可疑冲突 - 可疑冲突需要进一步调查。
你可以就活动的性质与用户或用户的管理员取得联系。
保持活动的打开状态,直至你获得更多信息。
授权冲突或异常行为 - 合法使用可能导致授权冲突或异常行为。
- 可以解除警报。
解除警报后,必须提交有关解除警报的反馈。 Defender for Cloud Apps 团队使用此反馈来指示警报的准确性。 然后,此信息用于微调机器学习模型以便在将来发出警报。 在决定如何对警报进行分类时,可以遵循以下准则:
如果合法使用触发了警报且并非安全性问题,则可能是以下某种类型:
良性:警报准确,但活动是合法的。 可以解除警报,并将原因设置为“实际严重性较低”或“不相关”。
误报:此警报不准确。 解除警报,并将原因设置为“警报不准确”。
如果由于存在太多干扰,而无法确定警报的合法性和准确性,请解除警报并将原因设置为“类似的警报过多”。
真警报:如果警报与内部人员或外部人员有意或无意提交的实际风险事件有关,则应在采取所有适当措施修复事件后将事件设置为“解决”。
尽管你对 DLP 的文件策略警报感兴趣,但警报列表还会显示许多不同的警报类型。 了解不同的警报类型很重要,因为这些非 DLP 警报还可以提供对安全事件的见解。
下表提供了可以触发的警报类型的列表,并提供了可以解决这些警报的推荐方法。
| 警报类型 | 描述 | 建议的解决方案 |
|---|---|---|
| 活动策略违规 | 此警报类型是由你创建的策略导致的。 | 若要批量处理此类警报,建议在策略中心进行处理,以减轻问题。 通过添加更多筛选器和更精细的控件来微调此策略,以排除干扰项。 如果策略准确且警报合理,并需要立即停止此冲突,请考虑在策略中添加自动修正。 |
| 文件策略冲突 | 此警报类型是由你创建的策略导致的。 | 若要批量处理此类警报,建议在策略中心进行处理,以减轻问题。 通过添加更多筛选器和更精细的控件来微调此策略,以排除干扰项。 |
| 遭到入侵的帐户 | 当 Defender for Cloud Apps 识别到一个帐户被入侵时,会触发这种类型的警报。 这意味着有很大概率此帐户未经授权使用。 | 建议挂起该帐户,直至你可以与用户取得联系,并确保用户更改了密码。 |
| 非活动帐户 | 如果某个连接的云应用中 60 天内未使用某帐户,则会触发此警报。 | 请与用户和用户的经理联系,以确定帐户是否仍处于活动状态。 如果没有,请暂停用户并终止应用的许可证。 |
| 新管理员用户 | 在已连接的应用的特权帐户更改时触发该警报。 | 确认用户需要新的管理员权限。 如果不是,建议撤销管理员权限以减少公开。 |
| 新管理员位置 | 在已连接的应用的特权帐户更改时触发该警报。 | 确认从此异常位置登录是合法行为。 如果不是,建议撤销管理员权限或挂起该帐户以减少公开。 |
| 新的位置 | 有关从新位置访问已连接应用的信息性警报,并且针对每个国家/地区仅触发一次。 | 调查特定用户的活动。 |
| 新发现的服务 | 此警报是有关影子 IT 的警报。 Cloud Discovery 检测到新的应用。 | 基于应用目录评估服务风险。 |
| 可疑活动 | 通过此警报,你可以知道检测到与组织中的预期活动或用户不一致的异常活动。 | 调查该行为并与用户确认。 可从此类警报开始了解环境,并可使用这些警报创建新策略。 例如,如果有人突然向你已连接的应用之一上传大量的数据,你可以设置规则以控制此类异常行为。 |
| 个人帐户的使用 | 通过此警报,你可以了解新的个人帐户有权访问连接的应用中的资源。 | 在外部帐户中,删除用户的协作。 |