Udostępnij za pośrednictwem


Badanie alertów dotyczących ochrony przed utratą danych przy użyciu usługi Microsoft Defender XDR

Dotyczy:

  • Microsoft Defender XDR

Alertami Ochrona przed utratą danych w Microsoft Purview (DLP) można zarządzać w portalu Microsoft Defender. Otwórz pozycję Incydenty & alerty>Zdarzenia podczas szybkiego uruchamiania portalu Microsoft Defender. Na tej stronie możesz:

  • Wyświetl wszystkie alerty DLP pogrupowane w ramach zdarzeń w kolejce zdarzeń Microsoft Defender XDR.
  • Wyświetl alerty inteligentne między rozwiązaniami (DLP-MDE, DLP-MDO) i intra-solution (DLP-DLP) skorelowane w ramach jednego zdarzenia.
  • Wyszukiwanie dzienników zgodności wraz z zabezpieczeniami w obszarze Zaawansowane wyszukiwanie zagrożeń.
  • Akcje korygowania administratora w miejscu dotyczące użytkownika, pliku i urządzenia.
  • Skojarz tagi niestandardowe ze zdarzeniami DLP i filtruj według nich.
  • Filtruj według nazwy zasad DLP, tagu, daty, źródła usługi, stanu zdarzenia i użytkownika w ujednoliconej kolejce zdarzeń.

Porada

Możesz również ściągać zdarzenia DLP wraz ze zdarzeniami i dowodami do usługi Microsoft Sentinel w celu zbadania i skorygowania za pomocą łącznika Microsoft Defender XDR w usłudze Microsoft Sentinel.

Wymagania dotyczące licencjonowania

Aby zbadać Ochrona przed utratą danych w Microsoft Purview zdarzeń w portalu Microsoft Defender, potrzebujesz licencji z jednej z następujących subskrypcji:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Zgodność Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 Information Protection i ład

Uwaga

Jeśli masz licencję i kwalifikujesz się do tej funkcji, alerty DLP będą automatycznie przepływać do Microsoft Defender XDR. Jeśli nie chcesz, aby alerty DLP przepływały do usługi Defender, otwórz zgłoszenie do pomocy technicznej, aby wyłączyć tę funkcję. Jeśli wyłączysz tę funkcję, alerty DLP będą wyświetlane w portalu usługi Defender jako Microsoft Defender alertów pakietu Office.

Role

Najlepszym rozwiązaniem jest przyznanie tylko minimalnych uprawnień do alertów w portalu Microsoft Defender. Możesz utworzyć rolę niestandardową z tymi rolami i przypisać ją do użytkowników, którzy muszą badać alerty DLP.

Uprawnienie Dostęp do alertów usługi Defender
Zarządzanie alertami DLP + Zabezpieczenia
View-Only zarządzać alertami DLP + Zabezpieczenia
analityk Information Protection Tylko DLP
Zarządzanie zgodnością DLP Tylko DLP
zarządzanie zgodnością View-Only DLP Tylko DLP

Przed rozpoczęciem

Włącz alerty dla wszystkich zasad DLP w portal zgodności Microsoft Purview.

Uwaga

Ograniczenia jednostek administracyjnych przepływają z ochrony przed utratą danych (DLP) do portalu usługi Defender. Jeśli jesteś administratorem jednostki administracyjnej z ograniczeniami, zobaczysz tylko alerty DLP dla jednostki administracyjnej.

Badanie alertów DLP w portalu Microsoft Defender

  1. Przejdź do portalu Microsoft Defender i wybierz pozycję Incydenty w menu nawigacji po lewej stronie, aby otworzyć stronę zdarzeń.

  2. Wybierz pozycję Filtry w prawym górnym rogu, a następnie wybierz pozycję Źródło usługi: Zapobieganie utracie danych , aby wyświetlić wszystkie zdarzenia z alertami DLP. Oto kilka przykładów podfiltrów dostępnych w wersji zapoznawczej:

    1. według nazw użytkowników i urządzeń
    2. (w wersji zapoznawczej) W filtrze Jednostki możesz wyszukiwać nazwy plików, użytkowników, nazwy urządzeń i ścieżki plików.
    3. (w wersji zapoznawczej) W tytule zasad alertów w> kolejce >zdarzeń zasady alertów. Możesz wyszukać nazwę zasad DLP.
  3. Search dla nazwy zasad DLP alertów i zdarzeń, które Cię interesują.

  4. Aby wyświetlić stronę podsumowania zdarzenia, wybierz zdarzenie z kolejki. Podobnie wybierz alert, aby wyświetlić stronę alertu DLP.

  5. Wyświetl historię alertu , aby uzyskać szczegółowe informacje o zasadach i typach informacji poufnych wykrytych w alercie. Wybierz zdarzenie w sekcji Zdarzenia pokrewne , aby wyświetlić szczegóły działania użytkownika.

  6. Wyświetl dopasowaną zawartość poufną na karcie Typy informacji poufnych i zawartość pliku na karcie Źródło , jeśli masz wymagane uprawnienie (zobacz szczegóły tutaj).

Rozszerzanie badania alertów DLP za pomocą zaawansowanego wyszukiwania zagrożeń

Zaawansowane wyszukiwanie zagrożeń to narzędzie do wyszukiwania zagrożeń oparte na zapytaniach, które umożliwia eksplorowanie do 30 dni dzienników inspekcji użytkowników, plików i lokalizacji witryn, które ułatwiają badanie. Możesz proaktywnie sprawdzać zdarzenia w sieci, aby zlokalizować wskaźniki zagrożeń i jednostki. Elastyczny dostęp do danych umożliwia nieograniczone wyszukiwanie zagrożeń zarówno znanych, jak i potencjalnych.

Tabela CloudAppEvents zawiera wszystkie dzienniki inspekcji we wszystkich lokalizacjach, takich jak SharePoint, OneDrive, Exchange i Urządzenia.

Przed rozpoczęciem

Jeśli dopiero zaczynasz korzystać z zaawansowanego wyszukiwania zagrożeń, zapoznaj się z artykułem Wprowadzenie do zaawansowanego wyszukiwania zagrożeń.

Przed rozpoczęciem wyszukiwania zagrożeń z wyprzedzeniem musisz mieć dostęp do tabeli CloudAppEvents zawierającej dane usługi Microsoft Purview.

Używanie wbudowanych zapytań

Ważna

Ta funkcja jest dostępna w wersji zapoznawczej. Funkcje w wersji zapoznawczej nie są przeznaczone do użytku produkcyjnego i mogą mieć ograniczone funkcje. Te funkcje są dostępne przed oficjalną wersją, dzięki czemu klienci mogą uzyskać wczesny dostęp i przekazać opinię.

Portal usługi Defender oferuje wiele wbudowanych zapytań, których można użyć, aby ułatwić badanie alertów DLP.

  1. Przejdź do portalu Microsoft Defender i wybierz pozycję Zdarzenia & alerty w menu nawigacji po lewej stronie, aby otworzyć stronę zdarzeń. Wybierz pozycję Zdarzenia.
  2. Wybierz pozycję Filtry w prawym górnym rogu, a następnie wybierz pozycję Źródło usługi: Zapobieganie utracie danych , aby wyświetlić wszystkie zdarzenia z alertami DLP.
  3. Otwórz zdarzenie DLP.
  4. Wybierz alert, aby wyświetlić skojarzone z nim zdarzenia.
  5. Wybierz zdarzenie.
  6. W okienku szczegółów zdarzenia wybierz kontrolkę Go Hunt .
    1. Usługa Defender wyświetla listę wbudowanych zapytań, które są istotne dla lokalizacji źródłowej zdarzenia. Jeśli na przykład zdarzenie pochodzi z programu SharePoint, zobaczysz
      1. Plik udostępniony
      2. Działania dotyczące plików
      3. Działanie witryny
      4. Naruszenia DLP użytkowników w ciągu ostatnich 30 dni
  7. Możesz natychmiast uruchomić zapytanie , zmienić zakres czasu, edytować lub zapisać zapytanie do późniejszego użycia.
  8. Po uruchomieniu zapytania wyświetl wyniki na karcie Wyniki .

Jeśli alert dotyczy wiadomości e-mail, możesz pobrać wiadomość, wybierając pozycję Akcje>Pobierz wiadomość e-mail.

Jeśli alert dotyczy pliku w usłudze SharePoint Online lub One Drive dla firm, możesz wykonać następujące akcje:

W przypadku akcji korygowania wybierz kartę Użytkownik w górnej części strony alertu, aby otworzyć szczegóły użytkownika.

W obszarze Alerty DLP urządzeń wybierz kartę urządzenia w górnej części strony alertu, aby wyświetlić szczegóły urządzenia i podjąć akcje korygowania na urządzeniu.

Przejdź do strony podsumowania zdarzenia i wybierz pozycję Zarządzaj incydentem , aby dodać tagi zdarzeń, przypisać lub rozwiązać zdarzenie.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.