開始使用數據外洩防護警示儀錶板
Microsoft Purview 數據外洩防護 (DLP) 原則可以採取保護動作,以防止意外共用敏感性專案。 您可以藉由設定 DLP 的警示,在敏感性項目上採取動作時收到通知。 本文說明如何在數據外洩防護 (DLP) 原則中設定警示。 您將瞭解如何在 Microsoft Purview 合規性入口網站中使用 DLP 警示管理儀錶板,來檢視 DLP 原則違規的警示、事件和相關聯的元數據。
如果您不熟悉 DLP 警示,您應該 檢閱開始使用數據外洩防護警示。
提示
開始使用 Microsoft Copilot for Security,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Copilot for Security。
Microsoft Purview 合規性入口網站 會顯示在下列工作負載上強制執行之 DLP 原則的警示:
- Exchange 電子郵件
- SharePoint 網站
- OneDrive 帳戶
- Teams 聊天和頻道訊息
- 裝置
- 執行個體
- 內部部署存放庫
- 網狀架構和Power BI
開始之前
開始之前,請確定您有必要的必要條件:
- DLP 警示管理儀錶板的授權
- 警示設定選項的授權
- 所需角色
DLP 警示管理儀錶板的授權
開始使用 DLP 原則之前,請確認您的 Microsoft 365 訂閱 和任何附加元件。
如需授權的相關信息, 請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 和 Windows 11 Subscriptions for Enterprise。
使用符合 Teams DLP 資格的端點 DLP 的客戶,會在 DLP 警示管理儀錶板中看到其端點 DLP 原則警示和 Teams DLP 原則警示。
警示設定選項的授權
開始使用 DLP 原則之前,請確認您的 Microsoft 365 訂閱 和任何附加元件。
如需授權的相關信息, 請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 和 Windows 11 Subscriptions for Enterprise。
角色和角色群組
如果您想要檢視 DLP 警示管理儀錶板或編輯 DLP 原則中的警示設定選項,您必須是下列其中一個角色群組的成員:
- 合規性系統管理員
- 合規性資料系統管理員
- 安全性系統管理員
- 安全性操作員
- 安全性讀取者
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站中的許可權
以下是適用的角色群組清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站中的許可權。
- 資訊保護
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
若要存取 DLP 警示管理儀錶板,您需要 [管理警示 ] 角色和下列兩個角色之一:
- DLP 合規性管理
- 僅限檢視 DLP 合規性管理
若要存取內容預覽功能和相符的敏感性內容和內容功能,您必須是內容 總管內容查看器 角色群組的成員,其中已預先指派 數據分類內容查看器 角色。
DLP 警示設定
若要瞭解如何在 DLP 原則中設定警示,請參閱 建立和部署數據外洩防護原則。
重要事項
貴組織的稽核記錄保留原則設定可控制警示在控制台中維持可見的時間長度。 如需詳細資訊,請參閱 管理稽核記錄保留 原則。
匯總事件警示設定
如果您的組織已獲得 匯總警示設定選項的授權,則當您建立或編輯 DLP 原則時,您會看到這些選項。
此設定可讓您設定原則,以根據活動數目或根據已外泄的數據量,在每次活動符合原則條件或超過特定閾值時產生警示。
單一事件警示設定
如果您的組織已獲得 單一事件警示設定選項的授權,則您會在建立或編輯 DLP 原則時看到這些選項。 使用此選項可建立每次發生 DLP 規則相符時引發的警示。
調查 DLP 警示
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
若要使用 DLP 警示管理儀錶板:
- 登入 Microsoft Purview 入口網站>數據外洩防護。
- 選 取 [警示] 以檢視 [DLP 警示] 儀錶板。
- 使用 [ 篩選] 欄位來精簡警示清單。
- 選擇 [自訂資料行] 以列出您想要查看的屬性。
- 若要以遞增或遞減順序排序結果,請按兩下數據行標頭。
- 按兩下警示以取得其詳細資訊。
- [ 詳細數據] 索 引標籤預設會開啟,並提供警示的相關高階資訊。
- 選 取 [使用 Copilot 摘要]。 這會導致 Security Copilot 產生警示的摘要。 警示摘要將包含:
- 警示嚴重性
- 警示標題
- 符合的原則名稱
- 涉及的名稱檔案和檔案的連結
- 警示狀態
- 執行符合原則之動作之使用者的電子郵件位址
- 選取 安全性 Copilot 摘要中的省略號,以:
- 將摘要複製到剪貼簿
- 重新產生摘要
- 在安全性 Copilot 獨立體驗中開啟警示。
- 選 取 [檢視詳細數據 ] 以開啟 [ 概觀] 索引 標籤。[ 概觀] 索引標籤提供下列資訊的摘要:
- 發生了什麼事
- 誰執行導致原則相符的動作
- 原則相符專案的其他資訊
- [ 事件] 索引標籤會列出與警示相關聯的所有事件。 選取清單中的任何事件,以取得事件的詳細資訊。 針對每個事件,針對您可以對警示採取的動作清單選擇 [動作] 下拉式清單,例如確認警示是否已識別出真相符或誤判。
- [用戶活動摘要] 索引標籤要求在測試人員風險管理設定中開啟共用一旦啟用,[用戶活動摘要] 索引卷標會提供使用者在過去 120 天) (參與的所有外泄活動。 用戶 必須位於內部風險管理原則的範圍內 ,才能看到 [ 用戶活動摘要] 索引 標籤。
- 調查警示之後,返回 [ 概觀 ] 索引標籤,您可以在其中 檢視詳細 數據來分級和管理警示的處置、新增批註,以及指派警示的擁有權。 (查看工作流程管理的歷程記錄。)
- 對警示採取必要動作之後,請將警示的 [狀態 ] 設定為 [ 已解決]。
其他相符的條件
Microsoft Purview 支援在 DLP 事件中顯示相符的條件,以顯示標幟 DLP 原則的確切原因。 此資訊會顯示於:
- DLP警示主控台
- 活動總管
- Microsoft商務用Defender入口網站
在 [ 事件] 索引標籤中,開啟 [詳細 數據] 以查看 其他相符的條件。
必要條件
- 必須執行 Windows 10 x64 (組建 1809 或更新版本) 或 Windows 11。
- 請參閱 2023 年 3 月 21 日 — KB5023773 (OS 組建 19042.2788、19044.2788 和 19045.2788) 預覽 ,以取得所需的最低 Windows 操作系統組建。
- 符合的條件數據適用於有效的 E3 和 E5 授權持有者。
- 啟用 稽核。
- 啟用 進階分類掃描和保護。
這些條件支援相符的事件資訊
條件 | Exchange | Sharepoint | Teams | 端點 |
---|---|---|---|---|
寄件者為 | 是 | 否 | 是 | 否 |
寄件者網域為 | 是 | 否 | 是 | 否 |
寄件者位址包含文字 | 是 | 否 | 否 | 否 |
寄件者地址符合模式 | 是 | 否 | 否 | 否 |
寄件者是的成員 | 是 | 否 | 否 | 否 |
寄件者 IP 位址為 | 是 | 否 | 否 | 否 |
已讓寄件人覆寫原則提示 | 是 | 否 | 否 | 否 |
SenderAdAttribute 包含文字 | 是 | 否 | 否 | 否 |
SenderAdAttribute 符合模式 | 是 | 否 | 否 | 否 |
收件者為 | 是 | 否 | 是 | 否 |
收件者網域為 | 是 | 否 | 是 | 否 |
收件者地址包含文字 | 是 | 否 | 否 | 否 |
收件者地址符合模式 | 是 | 否 | 否 | 否 |
收件者為以下的成員 | 是 | 否 | 否 | 否 |
RecipientAdAttribute 包含文字 | 是 | 否 | 否 | 否 |
RecipientAdAttribute 符合模式 | 是 | 否 | 否 | 否 |
檔受到密碼保護 | 是 | 否 | 否 | 否 |
無法掃描檔 | 是 | 否 | 否 | 否 |
檔未完成掃描 | 是 | 否 | 否 | 否 |
檔名稱包含文字 | 是 | 是 | 否 | 否 |
檔名稱符合模式 | 是 | 否 | 否 | 否 |
文件屬性為 | 是 | 是 | 否 | 否 |
檔大小超過 | 是 | 是 | 否 | 否 |
檔案內容包含文字 | 是 | 否 | 否 | 否 |
檔內容符合模式 | 是 | 否 | 否 | 否 |
檔類型為 | 否 | 否 | 否 | 是 |
檔延伸模組為 | 是 | 是 | 否 | 是 |
內容是從 M365 共用 | 是 | 是 | 是 | 否 |
從接收內容 | 是 | 否 | 否 | 否 |
內容字元集包含文字 | 是 | 否 | 否 | 否 |
主旨包含單字 | 是 | 否 | 否 | 否 |
主題符合模式 | 是 | 否 | 否 | 否 |
主旨或本文包含文字 | 是 | 否 | 否 | 否 |
主旨或本文符合模式 | 是 | 否 | 否 | 否 |
標頭包含單字 | 是 | 否 | 否 | 否 |
標頭符合模式 | 是 | 否 | 否 | 否 |
訊息大小超過 | 是 | 否 | 否 | 否 |
訊息類型為 | 是 | 否 | 否 | 否 |
訊息重要性為 | 是 | 否 | 否 | 否 |
從 DLP 警示內下載電子郵件時的限制
一般而言,使用 DLP 警示管理儀錶板時,您可以從警示內下載特定的電子郵件。 不過,無法下載在下列任何案例中刪除的電子郵件。
寄件者 | 收件者 | 電子郵件狀態 |
---|---|---|
內部 | 外部 | 由寄件者刪除 |
外部 | 內部 | 由收件者刪除 |
內部 | 內部 | 由雙方刪除 |