共用方式為


使用 Microsoft Defender XDR 調查資料外洩防護警示

適用於:

  • Microsoft Defender XDR

您可以在 Microsoft Defender 入口網站中管理 Microsoft Purview 資料外洩防護 (DLP) 警示。 在 Microsoft Defender 入口網站快速啟動時開啟事件 &警示>事件。 您可以從此頁面:

  • 檢視您在事件佇列中根據事件分組的所有 DLP 警示 Microsoft Defender 全面偵測回應。
  • 在單一事件下檢視智慧型手機解決方案間 (DLP-MDE、DLP-MDO) 和解決方案內部 (DLP-DLP) 相互關聯的警示。
  • 在 [進階搜捕] 下搜尋合規性記錄以及安全性。
  • 在使用者、檔案和裝置上就地管理補救動作。
  • 建立自定義標籤與 DLP 事件的關聯,並依事件進行篩選。
  • 依整合事件佇列上的 DLP 原則名稱、標籤、日期、服務來源、事件狀態和使用者進行篩選。

提示

您也可以將 DLP 事件連同事件和辨識項一起提取到 Microsoft Sentinel,以使用 Microsoft Sentinel 中的 Microsoft Defender 全面偵測回應 連接器進行調查和補救。

授權需求

若要在 Microsoft Defender 入口網站中調查 Microsoft Purview 資料外洩防護 事件,您需要下列其中一個訂用帳戶的授權:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 合規性
  • Microsoft 365 E5/A5 資訊保護和控管

注意事項

當您獲得授權並符合這項功能的資格時,DLP 警示會自動流入 Microsoft Defender 全面偵測回應。 如果您不想讓 DLP 警示流入 Defender,請開啟支援案例以停用此功能。 如果您停用此功能,則會在 Defender 入口網站中顯示為 Office 警示的 Microsoft Defender。

角色

最佳做法是只授與 Microsoft Defender 入口網站中警示的最低許可權。 您可以使用這些角色建立自定義角色,並將它指派給需要調查 DLP 警示的使用者。

權限 Defender 警示存取
管理提醒 DLP + 安全性
僅限檢視管理警示 DLP + 安全性
資訊保護分析員 僅限 DLP
DLP 合規性管理 僅限 DLP
僅限檢視 DLP 合規性管理 僅限 DLP

開始之前

開啟 Microsoft Purview 合規性入口網站 中所有 DLP原則的警示。

注意事項

系統管理單位 限制會從數據外洩防護 (DLP) 流至Defender入口網站。 如果您是受管理單位限制的系統管理員,您只會看到管理單位的 DLP 警示。

在 Microsoft Defender 入口網站中調查 DLP 警示

  1. 移至 Microsoft Defender 入口網站,然後選取左側導覽功能表中的 [事件] 以開啟事件頁面。

  2. 選取右上方 的 [篩選 ],然後選擇 [ 服務來源:數據外泄防護 ] 以檢視具有 DLP 警示的所有事件。 以下是一些預覽版中可用的子篩選範例:

    1. 依使用者和裝置名稱
    2. (預覽) 在 [實體 ] 篩選中,您可以搜尋檔名、使用者、裝置名稱和檔案路徑。
    3. (預覽) 在 事件 佇列 >警示原則> 警示原則標題中。 您可以搜尋 DLP 原則名稱。
  3. 搜尋 您感興趣之警示和事件的 DLP 原則名稱。

  4. 若要檢視事件摘要頁面,請從佇列中選取事件。 同樣地,選取警示以檢視 DLP 警示頁面。

  5. 如需警示中偵測到的原則和敏感性資訊類型的詳細數據,請檢視警示 劇本 。 在 [相關事件] 區段中選取 事件 ,以查看使用者活動詳細數據。

  6. 如果您有必要的許可權,請在 [ 敏感性資訊類型 ] 索引卷標中檢視相符的敏感性內容,以及 [ 來源 ] 索引卷標的檔案內容 (請參閱 處的詳細數據) 。

使用進階搜捕擴充 DLP 警示調查

進階搜捕是以查詢為基礎的威脅搜捕工具,可讓您探索最多 30 天的使用者、檔案和網站位置稽核記錄,以協助調查。 您可以主動檢查網路中的事件,以找出威脅指標和實體。 對資料的靈活存取可讓您不受限制地同時搜捕已知和潛在的威脅。

CloudAppEvents 數據表包含所有位置的所有稽核記錄,例如 SharePoint、OneDrive、Exchange 和裝置。

開始之前

如果您不熟悉進階搜捕,您應該檢閱 開始使用進階搜捕

您必須能夠存取包含 Microsoft Purview 數據 CloudAppEvents 資料表 ,才能使用預先搜捕。

使用內建查詢

重要事項

這項功能目前為預覽狀態。 預覽功能並非用於生產環境,而且可能具有受限制的功能。 這些功能可在正式發行之前取得,讓客戶可以及早存取並提供意見反應。

Defender 入口網站提供多個內建查詢,可用來協助進行 DLP 警示調查。

  1. 移至 Microsoft Defender 入口網站,然後選取左側導覽功能表中的 [事件 & 警示],以開啟事件頁面。 選 取 [事件]
  2. 選取右上方 的 [篩選 ],然後選擇 [ 服務來源:數據外泄防護 ] 以檢視具有 DLP 警示的所有事件。
  3. 開啟 DLP 事件。
  4. 在警示上選取以檢視其相關聯的事件。
  5. 選取事件。
  6. 在 [事件詳細數據] 窗格中,選取 [Go Hunt ] 控件。
    1. Defender 會顯示與事件來源位置相關的內建查詢清單。 例如,如果事件來自 SharePoint,您會看到
      1. 與 共用的檔案
      2. 檔案活動
      3. 網站活動
      4. 過去 30 天的使用者 DLP 違規
  7. 您可以選擇立即執行 查詢 、變更時間範圍、編輯或儲存查詢以供稍後使用。
  8. 執行查詢之後,請在 [結果] 索引 標籤上 檢視結果。

如果警示是針對電子郵件訊息,您可以選取 [動作>下載電子郵件] 來下載訊息

如果警示是針對 SharePoint Online 或商務用 One Drive 中的檔案,您可以採取下列動作:

針對補救動作,請選取警示頁面頂端的 [使用者] 卡 片,以開啟使用者詳細數據。

針對 [裝置 DLP 警示],選取警示頁面頂端的裝置卡片,以檢視裝置詳細數據,並在裝置上採取補救動作。

移至事件摘要頁面,然後選取 [管理事件 ] 以新增事件卷標、指派或解決事件。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。