開始使用數據外洩防護警示儀錶板

發行項
04/03/2024

Microsoft Purview 資料外洩防護 (DLP) 原則可以採取保護動作，以防止意外共用敏感性專案。您可以藉由設定 DLP 的警示，在敏感性項目上採取動作時收到通知。本文說明如何在數據外洩防護 (DLP) 原則中設定警示。您將瞭解如何使用 Microsoft Purview 合規性入口網站中的 DLP 警示管理儀錶板來檢視 DLP 原則違規的警示、事件和相關聯的元數據。

如果您不熟悉 DLP 警示，您應該檢閱開始使用數據外洩防護警示。

提示

如果您不是 E5 客戶，請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。立即從 Microsoft Purview 合規性入口網站試用中樞開始。瞭解有關註冊和試用版條款的詳細數據。

Microsoft Purview 合規性入口網站顯示在下列工作負載上強制執行之 DLP 原則的警示：

Exchange 電子郵件
SharePoint 網站
OneDrive 帳戶
Teams 聊天和頻道訊息
裝置
執行個體
內部部署存放庫
Power BI

開始之前

開始之前，請確定您有必要的必要條件：

DLP 警示管理儀錶板的授權
警示設定選項的授權
所需角色

DLP 警示管理儀錶板的授權

開始使用 DLP 原則之前，請確認您的 Microsoft 365 訂閱和任何附加元件。

使用符合 Teams DLP 資格的端點 DLP 的客戶，會在 DLP 警示管理儀錶板中看到其端點 DLP 原則警示和 Teams DLP 原則警示。

警示設定選項的授權

開始使用 DLP 原則之前，請確認您的 Microsoft 365 訂閱和任何附加元件。

角色和角色群組

如果您想要檢視 DLP 警示管理儀錶板或編輯 DLP 原則中的警示設定選項，您必須是下列其中一個角色群組的成員：

合規性系統管理員
合規性資料系統管理員
安全性系統管理員
安全性操作員
安全性讀取者
資訊保護系統管理員
資訊保護分析員
資訊保護調查人員
資訊保護讀者

若要深入瞭解，請參閱 Microsoft Purview 合規性入口網站中的許可權

以下是適用的角色群組清單。若要深入瞭解，請參閱 Microsoft Purview 合規性入口網站中的許可權。

資訊保護
資訊保護系統管理員
資訊保護分析員
資訊保護調查人員
資訊保護讀者

若要存取 DLP 警示管理儀錶板，您需要 [管理警示 ] 角色和下列兩個角色之一：

DLP 合規性管理
僅限檢視 DLP 合規性管理

若要存取內容預覽功能和相符的敏感性內容和內容功能，您必須是內容 總管內容查看器 角色群組的成員，其中已預先指派 數據分類內容查看器 角色。

DLP 警示設定

若要瞭解如何在 DLP 原則中設定警示，請參閱 Create 和部署數據外洩防護原則。

重要事項

貴組織的稽核記錄保留原則設定可控制警示在控制台中維持可見的時間長度。如需詳細資訊，請參閱管理稽核記錄保留原則。

匯總事件警示設定

如果您的組織已獲得匯總警示設定選項的授權，則當您建立或編輯 DLP 原則時，您會看到這些選項。

顯示符合匯總警示組態選項資格之使用者的事件報告選項螢幕快照。

此設定可讓您設定原則，以根據活動數目或根據已外泄的數據量，在每次活動符合原則條件或超過特定閾值時產生警示。

單一事件警示設定

如果您的組織已獲得單一事件警示設定選項的授權，則您會在建立或編輯 DLP 原則時看到這些選項。使用此選項可建立每次發生 DLP 規則相符時引發的警示。

此螢幕快照顯示符合單一事件警示設定選項資格之使用者的事件報告選項。

調查 DLP 警示

針對您使用的入口網站選取適當的索引標籤。若要深入瞭解 Microsoft Purview 入口網站，請參閱 Microsoft Purview 入口網站。若要深入瞭解合規性入口網站，請參閱 Microsoft Purview 合規性入口網站。

Microsoft Purview 入口網站
合規性入口網站

若要使用 DLP 警示管理儀錶板：

登入 Microsoft Purview 入口網站>數據外洩防護。
選 取 [警示] 以檢視 [DLP 警示] 儀錶板。
使用 [ 篩選] 欄位來精簡警示清單。
選擇 [自訂資料行] 以列出您想要查看的屬性。
若要以遞增或遞減順序排序結果，請按兩下數據行標頭。
按兩下警示以取得其詳細資訊。
[ 詳細數據] 索 引標籤預設會開啟，並提供警示的相關高階資訊。
選 取 [檢視詳細數據 ] 以開啟 [ 概觀 ] 索引標籤，提供下列資訊的摘要：
- 發生了什麼事
- 誰執行導致原則相符的動作
- 原則相符專案的其他資訊
1. [ 事件] 索引標籤會列出與警示相關聯的所有事件。選取清單中的任何事件，以取得事件的詳細資訊。針對每個事件，針對您可以對警示採取的動作清單選擇 [動作] 下拉式清單，例如確認警示是否已識別出真相符或誤判。 1. [使用者活動摘要] 索引標籤要求在測試人員風險管理設定中開啟共用一旦啟用，[用戶活動摘要] 索引卷標會提供使用者在過去 120 天內 (執行的所有外泄活動) 。用戶必須位於內部風險管理原則的範圍內，才能看到 [ 用戶活動摘要] 索引 標籤。
2. 調查警示之後，返回 [ 概觀 ] 索引標籤，您可以在其中 檢視詳細 數據來分級和管理警示的處置、新增批註，以及指派警示的擁有權。 (查看工作流程管理的歷程記錄。)
3. 對警示採取必要動作之後，請將警示的 [狀態 ] 設定為 [ 已解決]。

其他相符的條件

Microsoft Purview 支援在 DLP 事件中顯示相符的條件，以顯示標幟 DLP 原則的確切原因。此資訊會顯示於：

在 [ 事件] 索引標籤中，開啟 [詳細 數據] 以查看 其他相符的條件。

必要條件

必須執行 Windows 10 x64 (組建 1809 或更新版本) 或 Windows 11。
- 請參閱 2023 年 3 月 21 日 — KB5023773 (OS 組建 19042.2788、19044.2788 和 19045.2788) 預覽，以取得所需的最低 Windows 操作系統組建。
符合的條件數據適用於有效的 E3 和 E5 授權持有者。
啟用稽核。
啟用進階分類掃描和保護。

這些條件支援相符的事件資訊

條件	Exchange	Sharepoint	Teams	端點
寄件者為	是	否	是	否
寄件者網域為	是	否	是	否
寄件者位址包含文字	是	否	否	否
寄件者地址符合模式	是	否	否	否
寄件者是的成員	是	否	否	否
寄件者 IP 位址為	是	否	否	否
已讓寄件人覆寫原則提示	是	否	否	否
SenderAdAttribute 包含文字	是	否	否	否
SenderAdAttribute 符合模式	是	否	否	否
收件者為	是	否	是	否
收件者網域為	是	否	是	否
收件者地址包含文字	是	否	否	否
收件者地址符合模式	是	否	否	否
收件者為以下的成員	是	否	否	否
RecipientAdAttribute 包含文字	是	否	否	否
RecipientAdAttribute 符合模式	是	否	否	否
檔受到密碼保護	是	否	否	否
無法掃描檔	是	否	否	否
檔未完成掃描	是	否	否	否
檔名稱包含文字	是	是	否	否
檔名稱符合模式	是	否	否	否
文件屬性為	是	是	否	否
檔大小超過	是	是	否	否
檔案內容包含文字	是	否	否	否
檔內容符合模式	是	否	否	否
檔類型為	否	否	否	是
檔延伸模組為	是	是	否	是
內容是從 M365 共用	是	是	是	否
從接收內容	是	否	否	否
內容字元集包含文字	是	否	否	否
主旨包含單字	是	否	否	否
主題符合模式	是	否	否	否
主旨或本文包含文字	是	否	否	否
主旨或本文符合模式	是	否	否	否
標頭包含單字	是	否	否	否
標頭符合模式	是	否	否	否
訊息大小超過	是	否	否	否
訊息類型為	是	否	否	否
訊息重要性為	是	否	否	否

從 DLP 警示內下載電子郵件時的限制

一般而言，使用 DLP 警示管理儀錶板時，您可以從警示內下載特定的電子郵件。不過，無法下載在下列任何案例中刪除的電子郵件。

寄件者	收件者	Email 狀態
內部	外部	由寄件者刪除
外部	內部	由收件者刪除
內部	內部	由雙方刪除