使用 Microsoft Defender XDR 調查資料外洩防護警示
適用於:
- Microsoft Defender XDR
您可以在 Microsoft Defender 入口網站中管理 Microsoft Purview 資料外洩防護 (DLP) 警示。 在 Microsoft Defender 入口網站快速啟動時開啟事件 &警示>事件。 您可以從此頁面:
- 檢視您在事件佇列中根據事件分組的所有 DLP 警示 Microsoft Defender 全面偵測回應。
- 在單一事件下檢視智慧型手機解決方案間 (DLP-MDE、DLP-MDO) 和解決方案內部 (DLP-DLP) 相互關聯的警示。
- 在 [進階搜捕] 下搜尋合規性記錄以及安全性。
- 在使用者、檔案和裝置上就地管理補救動作。
- 建立自定義標籤與 DLP 事件的關聯,並依事件進行篩選。
- 依整合事件佇列上的 DLP 原則名稱、標籤、日期、服務來源、事件狀態和使用者進行篩選。
提示
您也可以將 DLP 事件連同事件和辨識項一起提取到 Microsoft Sentinel,以使用 Microsoft Sentinel 中的 Microsoft Defender 全面偵測回應 連接器進行調查和補救。
授權需求
若要在 Microsoft Defender 入口網站中調查 Microsoft Purview 資料外洩防護 事件,您需要下列其中一個訂用帳戶的授權:
- Microsoft Office 365 E5/A5
- Microsoft 365 E5/A5
- Microsoft 365 E5/A5 合規性
- Microsoft 365 E5/A5 資訊保護和控管
注意事項
當您獲得授權並符合這項功能的資格時,DLP 警示會自動流入 Microsoft Defender 全面偵測回應。 如果您不想讓 DLP 警示流入 Defender,請開啟支援案例以停用此功能。 如果您停用此功能,則會在 Defender 入口網站中顯示為 Office 警示的 Microsoft Defender。
角色
最佳做法是只授與 Microsoft Defender 入口網站中警示的最低許可權。 您可以使用這些角色建立自定義角色,並將它指派給需要調查 DLP 警示的使用者。
| 權限 | Defender 警示存取 |
|---|---|
| 管理提醒 | DLP + 安全性 |
| 僅限檢視管理警示 | DLP + 安全性 |
| 資訊保護分析員 | 僅限 DLP |
| DLP 合規性管理 | 僅限 DLP |
| 僅限檢視 DLP 合規性管理 | 僅限 DLP |
開始之前
開啟 Microsoft Purview 合規性入口網站 中所有 DLP原則的警示。
注意事項
系統管理單位 限制會從數據外洩防護 (DLP) 流至Defender入口網站。 如果您是受管理單位限制的系統管理員,您只會看到管理單位的 DLP 警示。
在 Microsoft Defender 入口網站中調查 DLP 警示
移至 Microsoft Defender 入口網站,然後選取左側導覽功能表中的 [事件] 以開啟事件頁面。
選取右上方 的 [篩選 ],然後選擇 [ 服務來源:數據外泄防護 ] 以檢視具有 DLP 警示的所有事件。 以下是一些預覽版中可用的子篩選範例:
- 依使用者和裝置名稱
- (預覽) 在 [實體 ] 篩選中,您可以搜尋檔名、使用者、裝置名稱和檔案路徑。
- (預覽) 在 事件 佇列 >警示原則> 警示原則標題中。 您可以搜尋 DLP 原則名稱。
搜尋 您感興趣之警示和事件的 DLP 原則名稱。
若要檢視事件摘要頁面,請從佇列中選取事件。 同樣地,選取警示以檢視 DLP 警示頁面。
如需警示中偵測到的原則和敏感性資訊類型的詳細數據,請檢視警示 劇本 。 在 [相關事件] 區段中選取 事件 ,以查看使用者活動詳細數據。
如果您有必要的許可權,請在 [ 敏感性資訊類型 ] 索引卷標中檢視相符的敏感性內容,以及 [ 來源 ] 索引卷標的檔案內容 (請參閱 此 處的詳細數據) 。
使用進階搜捕擴充 DLP 警示調查
進階搜捕是以查詢為基礎的威脅搜捕工具,可讓您探索最多 30 天的使用者、檔案和網站位置稽核記錄,以協助調查。 您可以主動檢查網路中的事件,以找出威脅指標和實體。 對資料的靈活存取可讓您不受限制地同時搜捕已知和潛在的威脅。
CloudAppEvents 數據表包含所有位置的所有稽核記錄,例如 SharePoint、OneDrive、Exchange 和裝置。
開始之前
如果您不熟悉進階搜捕,您應該檢閱 開始使用進階搜捕。
您必須能夠存取包含 Microsoft Purview 數據 的 CloudAppEvents 資料表 ,才能使用預先搜捕。
使用內建查詢
重要事項
這項功能目前為預覽狀態。 預覽功能並非用於生產環境,而且可能具有受限制的功能。 這些功能可在正式發行之前取得,讓客戶可以及早存取並提供意見反應。
Defender 入口網站提供多個內建查詢,可用來協助進行 DLP 警示調查。
- 移至 Microsoft Defender 入口網站,然後選取左側導覽功能表中的 [事件 & 警示],以開啟事件頁面。 選 取 [事件]。
- 選取右上方 的 [篩選 ],然後選擇 [ 服務來源:數據外泄防護 ] 以檢視具有 DLP 警示的所有事件。
- 開啟 DLP 事件。
- 在警示上選取以檢視其相關聯的事件。
- 選取事件。
- 在 [事件詳細數據] 窗格中,選取 [Go Hunt ] 控件。
- Defender 會顯示與事件來源位置相關的內建查詢清單。 例如,如果事件來自 SharePoint,您會看到
- 與 共用的檔案
- 檔案活動
- 網站活動
- 過去 30 天的使用者 DLP 違規
- Defender 會顯示與事件來源位置相關的內建查詢清單。 例如,如果事件來自 SharePoint,您會看到
- 您可以選擇立即執行 查詢 、變更時間範圍、編輯或儲存查詢以供稍後使用。
- 執行查詢之後,請在 [結果] 索引 標籤上 檢視結果。
如果警示是針對電子郵件訊息,您可以選取 [動作>下載電子郵件] 來下載訊息。
如果警示是針對 SharePoint Online 或商務用 One Drive 中的檔案,您可以採取下列動作:
- 套用保留標籤
- 取消共用
- 刪除
- 套用敏感度標籤
- 此動作需要下載 (數據分類內容查看器角色)
- 提款意見反應
針對補救動作,請選取警示頁面頂端的 [使用者] 卡 片,以開啟使用者詳細數據。
針對 [裝置 DLP 警示],選取警示頁面頂端的裝置卡片,以檢視裝置詳細數據,並在裝置上採取補救動作。
移至事件摘要頁面,然後選取 [管理事件 ] 以新增事件卷標、指派或解決事件。
相關文章
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。