Del via

Undersøk varsler om hindring av datatap med Microsoft Defender XDR

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR

Du kan administrere Microsoft Purview hindring av datatap (DLP)-varsler i Microsoft Defender-portalen. Åpne hendelser & varsler hendelser> på hurtigstartlinjen i Microsoft Defender-portalen. Fra denne siden kan du:

  • Vis alle DLP-varslene gruppert etter hendelser i Microsoft Defender XDR hendelseskøen.
  • Vis intelligente interløsningsvarsler (DLP-MDE, DLP-MDO) og intraløsningsvarsler (DLP-DLP) under én enkelt hendelse.
  • Jakt på samsvarslogger sammen med sikkerhet under Avansert jakt.
  • Handlinger for utbedring av administrator på stedet for bruker, fil og enhet.
  • Knytt egendefinerte koder til DLP-hendelser, og filtrer etter dem.
  • Filtrer etter DLP-policynavn, kode, dato, tjenestekilde, hendelsesstatus og bruker på den enhetlige hendelseskøen.

Tips

Du kan også hente DLP-hendelser sammen med hendelser og bevis i Microsoft Sentinel for etterforskning og utbedring med Microsoft Defender XDR-koblingen i Microsoft Sentinel.

Lisensieringskrav

Hvis du vil undersøke Microsoft Purview hindring av datatap hendelser i Microsoft Defender portalen, trenger du en lisens fra ett av følgende abonnementer:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 Samsvar
  • Microsoft 365 E5/A5 Information Protection og styring

Obs!

Når du er lisensiert og kvalifisert for denne funksjonen, flyter DLP-varsler automatisk inn i Microsoft Defender XDR. Hvis du ikke vil at DLP-varsler skal flyte inn i Defender, åpner du en støttesak for å deaktivere denne funksjonen. Hvis du deaktiverer denne funksjonen, vises DLP-varsler i Defender-portalen som Microsoft Defender for Office-varsler.

Roller

Det er anbefalt fremgangsmåte å bare gi minimale tillatelser til varsler i Microsoft Defender-portalen. Du kan opprette en egendefinert rolle med disse rollene og tilordne den til brukere som trenger å undersøke DLP-varsler.

Tillatelse Tilgang til Defender-varsel
Behandle varsler DLP + Sikkerhet
View-Only Behandle varsler DLP + Sikkerhet
Information Protection-analytiker Bare DLP
Behandling av DLP-samsvar Bare DLP
View-Only DLP Compliance Management Bare DLP

Før du begynner

Slå på varsler for alle DLP-policyene i Microsoft Purview-samsvarsportal.

Obs!

Begrensninger for administrative enheter flyter fra hindring av datatap (DLP) til Defender-portalen. Hvis du er en administrativ enhet begrenset administrator, vil du bare se DLP-varslene for den administrative enheten.

Undersøke DLP-varsler i Microsoft Defender-portalen

  1. Gå til Microsoft Defender-portalen, og velg Hendelser i navigasjonsmenyen til venstre for å åpne hendelsessiden.

  2. Velg Filtre øverst til høyre, og velg Tjenestekilde: Hindring av tap av data for å vise alle hendelser med DLP-varsler. Her er noen eksempler på delfiltrene som er tilgjengelige i forhåndsversjon:

    1. etter bruker- og enhetsnavn
    2. (i forhåndsvisning) I enhetsfilteret kan du søke etter filnavn, bruker, enhetsnavn og filbaner.
    3. (i forhåndsvisning) I varselpolicytittelen varselpolicyer> i hendelseskøen>. Du kan søke etter DLP-policynavnet.

  3. Søk for DLP-policynavnet for varslene og hendelsene du er interessert i.

  4. Hvis du vil vise siden for hendelsessammendrag, velger du hendelsen fra køen. På samme måte velger du varselet for å vise DLP-varselsiden.

  5. Vis varselartikkelen for detaljer om policy og sensitive informasjonstyper som oppdages i varselet. Velg hendelsen i delen Relaterte hendelser for å se brukeraktivitetsdetaljene.

  6. Vis det samsvarende sensitive innholdet i fanen Sensitive infotyper og filinnholdet i Kilde-fanen hvis du har den nødvendige tillatelsen (se detaljer her).

Utvid DLP-varselundersøkelse med avansert jakt

Avansert jakt er et spørringsbasert verktøy for trusseljakt som lar deg utforske opptil 30 dager med overvåkingslogger for bruker-, filer- og nettstedsplasseringer for å hjelpe deg med etterforskningen. Du kan proaktivt undersøke hendelser i nettverket for å finne trusselindikatorer og enheter. Den fleksible tilgangen til data muliggjør ubegrenset jakt etter både kjente og potensielle trusler.

Tabellen CloudAppEvents inneholder alle overvåkingslogger på tvers av alle plasseringer som SharePoint, OneDrive, Exchange og enheter.

Før du starter

Hvis du ikke har brukt avansert jakt før, bør du se gjennom Kom i gang med avansert jakt.

Før du kan bruke forhåndsjakt, må du ha tilgang til Tabellen CloudAppEvents som inneholder Microsoft Purview-dataene.

Bruke innebygde spørringer

Viktig

Denne funksjonen er i forhåndsversjon. Evalueringsfunksjoner er ikke ment for produksjonsbruk og kan ha begrenset funksjonalitet. Disse funksjonene er tilgjengelige før en offisiell utgivelse, slik at kunder kan få tidlig tilgang og gi tilbakemelding.

Defender-portalen tilbyr flere innebygde spørringer du kan bruke til å hjelpe deg med DLP-varselundersøkelsen.

  1. Gå til Microsoft Defender-portalen, og velg Hendelser & varsler i navigasjonsmenyen til venstre for å åpne hendelsessiden. Velg hendelser.
  2. Velg Filtre øverst til høyre, og velg Tjenestekilde: Hindring av tap av data for å vise alle hendelser med DLP-varsler.
  3. Åpne en DLP-hendelse.
  4. Velg et varsel for å vise tilknyttede hendelser.
  5. Velg en hendelse.
  6. Velg jakt-kontrollen i detaljruten for hendelsen.
    1. Defender viser deg en liste over innebygde spørringer som er relevante for kildeplasseringen for hendelsen. Hvis for eksempel hendelsen er fra SharePoint, ser du
      1. Fil delt med
      2. Filaktiviteter
      3. Områdeaktivitet
      4. Brudd på bruker-DLP for siste 30 dager
  7. Du kan velge å kjøre spørring umiddelbart, endre tidsintervallet, redigere eller lagre spørringen for senere bruk.
  8. Når du har kjørt spørringen, kan du vise resultatene på Resultater-fanen.

Hvis varselet er for en e-postmelding, kan du laste ned meldingen ved å velge Handlinger>Last ned e-post.

Hvis varselet er for en fil i SharePoint Online eller One Drive for Business, kan du utføre disse handlingene:

For utbedringshandlinger velger du brukerkortet øverst på varselsiden for å åpne brukerdetaljene.

For DLP-varsler for enheter velger du enhetskortet øverst på varselsiden for å vise enhetsdetaljene og utføre utbedringshandlinger på enheten.

Gå til siden for hendelsessammendrag, og velg Administrer hendelse for å legge til hendelseskoder, tilordne eller løse en hendelse.

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.