開始使用數據外洩防護警示
您可以將 Microsoft Purview 資料外洩防護 (DLP) 原則設定為在符合原則中的條件時產生警示。
如需警示的簡短概觀,請參閱:
本文包含使用警示時所需的授權和許可權詳細數據和其他重要資訊。
您可以在 Microsoft Defender 全面偵測回應 儀錶板和 Microsoft Purview 合規性入口網站 中調查和管理 DLP 警示。 Microsoft Defender 全面偵測回應 儀錶板是調查和管理 DLP 警示的建議位置。 Microsoft Purview 合規性入口網站 是建立和編輯 DLP 原則的建議位置。
提示
開始使用 Microsoft Security Copilot,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。
每次活動符合規則時,都可以傳送警示,這可能會產生雜訊,或是根據一段設定期間內的相符項目數目或專案量進行匯總。 有兩種類型的警示可在 DLP 原則中設定。
單一事件警示 通常用於監視低數量之高敏感性事件的原則,例如將10個或更多客戶信用卡號碼傳送到組織外部的單一電子郵件。
匯總事件警示 通常用於監視在較長時間內發生較大磁碟區之事件的原則中。 例如,當組織外部有10封具有一個客戶信用卡號碼的個別電子郵件傳送超過48小時時,就會觸發匯總警示。
開始之前,請確定您有必要的必要條件:
- 單一事件警示設定:具有 E1、F1 或 G1 訂用帳戶或 E3 或 G3 訂用帳戶的組織可以設定原則,以在每次觸發活動發生時產生警示。
-
匯總警示設定:若要根據閾值設定匯總警示原則,您必須具有下列其中一個設定:
- A5 訂用帳戶
- E5 或 G5 訂用帳戶
- E1、F1 或 G1 訂用帳戶,或包含下列其中一項功能的 E3 或 G3 訂用帳戶:
- Office 365 進階威脅防護方案 2
- Microsoft 365 E5 合規性
- Microsoft 365 電子檔探索和稽核附加元件授權
使用 端點 DLP 的客戶以及符合 Teams DLP 資格的客戶,將會在 DLP 警示管理儀錶板中看到其端點 DLP 原則警示和 Teams DLP 原則警示。
如果您想要檢視 DLP 警示管理儀錶板或編輯 DLP 原則中的警示設定選項,您必須是下列其中一個角色群組的成員:
- 合規性系統管理員
- 合規性資料系統管理員
- 安全性系統管理員
- 安全性操作員
- 安全性讀取者
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權
以下是適用的角色群組清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權。
- 資訊保護
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
若要存取 DLP 警示管理儀錶板,您需要 [管理警示 ] 角色和下列兩個角色之一:
- DLP 合規性管理
- 僅限檢視 DLP 合規性管理
若要存取內容預覽功能和相符的敏感性內容和內容功能,您必須是內容 總管內容查看器 角色群組的成員,其中已預先指派 數據分類內容查看器 角色。
提示
如果系統管理員需要存取警示,但不需要內容相關/敏感性資訊,您可以建立並指派不包含數據分類內容查看器許可權的自定義角色。
若要瞭解如何在 DLP 原則中設定警示,請參閱 建立和部署數據外洩防護原則。 視您的授權而定,會有不同的警示設定體驗。
注意
在 DLP 原則中設定或修改現有的警示之後,最多可能需要 3 小時的時間來產生警示。
如果您已獲得 匯總警示設定選項的授權,則當您建立或編輯 DLP 原則時,會看到這些選項。
此設定可讓您設定原則以產生警示:
- 每次活動符合原則條件時
- 當已定義的臨界值達到或超過時
- 根據活動數目
- 根據已外泄的數據量
為了避免大量通知電子郵件,在相同 DLP 規則和相同位置的一分鐘時間範圍內發生的所有相符專案,都會在相同的警示中群組在一起。 您可以在下列專案中使用一分鐘的匯總時間範圍功能:
- E5 或 G5 訂用帳戶
- E1、F1 或 G1 訂用帳戶,或包含下列其中一項功能的 E3 或 G3 訂用帳戶:
- Office 365 進階威脅防護方案 2
- Microsoft 365 E5 合規性
- Microsoft 365 電子檔探索和稽核附加元件授權
對於具有 E1、F1 或 G1 訂用帳戶或 E3 或 G3 訂用帳戶的組織,匯總時間範圍為 15 分鐘。
如果您已獲得 單一事件警示設定選項的授權,則當您建立或編輯 DLP 原則時,會看到這些選項。 使用此選項可建立每次發生 DLP 規則相符時引發的警示。
以下是一些與警示相關聯的事件。 在 [警示] 儀錶板中,您可以選擇特定事件來檢視其詳細數據。
屬性名稱 | 描述 | 事件類型 |
---|---|---|
識別碼 | 與事件相關聯的唯一標識符 | 所有事件 |
位置 | 偵測到事件的工作負載 | 所有事件 |
啟用時間 | 符合 DLP 原則準則的用戶啟用時間 |
屬性名稱 | 描述 | 事件類型 |
---|---|---|
使用者 | 採取導致原則相符動作的使用者 | 所有事件 |
hostname | 發生 DLP 原則相符專案的電腦主機名 | 裝置事件 |
IP 位址 | 發生 DLP 原則相符之電腦的 IP 位址 | 裝置事件 |
sha1 | 檔案的SHA-1哈希 | 裝置事件 |
sha256 | 檔案的SHA-256哈希 | 裝置事件 |
MDATP 裝置標識碼 | 端點裝置 MDATP 識別碼 | |
檔案大小 | 檔案大小 | SharePoint、OneDrive 和裝置事件 |
檔案路徑 | 與 DLP 原則相符專案相關的絕對路徑 | SharePoint、OneDrive 和裝置事件 |
電子郵件收件者 | 如果電子郵件是符合 DLP 原則的敏感性專案,則此欄位會包含該電子郵件的收件者 | Exchange 事件 |
電子郵件主旨 | 符合 DLP 原則的電子郵件主旨 | Exchange 事件 |
電子郵件附件 | 電子郵件中符合 DLP 原則的附件名稱 | Exchange 事件 |
網站擁有者 | 網站擁有者的名稱 | SharePoint 和 OneDrive 事件 |
網站 URL | DLP 原則符合所在 SharePoint 或 OneDrive 網站的完整 URL | SharePoint 和 OneDrive 事件 |
檔案已建立 | 建立符合 DLP 原則之檔案的時間 | SharePoint 和 OneDrive 事件 |
檔案上次修改時間 | 上次變更符合 DLP 原則的檔案 | SharePoint 和 OneDrive 事件 |
檔案大小 | 符合 DLP 原則的檔案大小 | SharePoint 和 OneDrive 事件 |
檔案擁有者 | 符合 DLP 原則之檔案的擁有者 | SharePoint 和 OneDrive 事件 |
屬性名稱 | 描述 | 事件類型 |
---|---|---|
符合的 DLP 原則 | 相符 DLP 原則的名稱 | 所有事件 |
符合規則 | 相符 DLP 原則規則的名稱 | 所有事件 |
偵測到 (SIT) 敏感性資訊類型 | 在 DLP 原則比對中偵測到的 SIT | 所有事件 |
採取的動作 | 導致 DLP 原則相符所採取的動作 | 所有事件 |
違反動作 | 在引發 DLP 警示的端點裝置上執行動作 | 裝置事件 |
用戶過度路由原則 | 使用者是否透過原則提示覆寫原則 | 所有事件 |
use override justification | 用戶為覆寫所提供原因的文字 | 所有事件 |
重要
貴組織的稽核記錄保留原則設定會控制警示在控制台中維持可見的時間長度。 如需詳細資訊,請參閱管理稽核記錄保留原則。
- DLP 原則中的警示:描述 DLP 原則內容中的警示。
- 開始使用數據外洩防護警示:涵蓋 DLP 警示和警示參考詳細數據的必要許可權、許可權和必要條件。
- 建立和部署數據外洩防護原則:在建立 DLP 原則的內容中包含警示設定的指引。
- 瞭解如何調查數據外洩防護警示:涵蓋調查 DLP 警示的各種方法。
- 使用 Microsoft Defender 全面偵測回應 調查數據遺失事件:如何在 Microsoft Defender 入口網站中調查 DLP 警示。