Поделиться через

Сведения об исследовании предупреждений для защиты от потери данных

  • Статья

В этой статье рассказывается о потоке исследования оповещений и средствах, которые можно использовать для изучения оповещений защиты от потери данных.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Подготовка к работе

Если вы не знакомы с Microsoft Purview DLP, вот список основных статей, с которыми вы должны быть знакомы при реализации практики защиты от потери данных:

  1. Административные единицы
  2. Сведения о Защита от потери данных Microsoft Purview. В этой статье вы узнаете о дисциплине защиты от потери данных и реализации DLP корпорацией Майкрософт.
  3. Планирование защиты от потери данных (DLP). В этой статье вы выполните следующие действия:
    1. Определение заинтересованных лиц
    2. Описание категорий конфиденциальной информации для защиты
    3. Установка целей и стратегии
  4. Справочник по политике защиты от потери данных. В этой статье рассматриваются все компоненты политики защиты от потери данных и влияние каждого из них на поведение политики.
  5. Разработка политики защиты от потери данных. В этой статье описано, как создать инструкцию намерения политики и сопоставить ее с определенной конфигурацией политики.
  6. Создание и развертывание политик защиты от потери данных. Представлены некоторые распространенные сценарии намерения политики, которые сопоставляются с параметрами конфигурации. Затем в нем описывается настройка этих параметров и приводятся рекомендации по развертыванию политики.
  7. Сведения об исследовании оповещений защиты от потери данных. В этой статье, которую вы читаете, вы узнаете о жизненном цикле оповещений от создания до окончательного исправления и настройки политики. Он также знакомит вас с инструментами, используемыми для исследования оповещений.

Жизненный цикл оповещения защиты от потери данных

Для всех оповещений и взаимодействия с ними необходимо выполнить следующие шесть шагов:

Триггер

Жизненный цикл оповещения Защита от потери данных Microsoft Purview (DLP) начинается при совпадении условий, определенных в политике. При совпадении политики активируются действия, определенные в политике, которые могут включать создание оповещения, если политика настроена на это.

Политики защиты от потери данных обычно настраиваются для отслеживания и создания оповещений при следующих случаях:

  • Конфиденциальная информация, например персональные данные или интеллектуальная собственность, вымогается из вашей организации.
  • Конфиденциальная информация неуместно передается пользователям за пределами организации или внутри нее.
  • Пользователи участвуют в рискованных действиях, таких как скачивание конфиденциальной информации на съемный носитель.

Уведомить

При создании оповещения оно отправляется на портал Microsoft Defender в виде инцидента и панели мониторинга управления оповещениями о защите от потери данных. Политики защиты от потери данных можно настроить для отправки уведомлений пользователям, администраторам и другим заинтересованным лицам по электронной почте.

На этапе уведомления Microsoft Purview:

  • Отчеты о совпадениях политики защиты от потери данных и переопределениях пользователей.
  • Обозреватель действий можно использовать для просмотра действий, связанных с защитой от потери данных, и фильтрации для создания отчетов.

Для экспорта данных о действиях для создания отчетов используйте Export-ActivityExplorerData (ExchangePowerShell) | Документация Майкрософт с помощью API действий управления O365 или API инцидентов.

Примечание.

Портал Microsoft Defender хранит инциденты в течение шести месяцев. Панель мониторинга управления оповещениями защиты от потери данных хранит оповещения в течение 30 дней.

Сортировка

На этом шаге вы проанализируете оповещение и все связанные с ним журналы и решите, является ли оповещение истинным положительным или ложноположительным. Если это действительно положительный результат, вы устанавливаете приоритет оповещения в зависимости от серьезности проблемы и ее влияния на вашу организацию и назначаете владельца. Если это ложноположительный результат, вы можете разблокировать пользователя и перейти к следующему оповещению.

Портал Defender группирует события защиты от потери данных в инциденты. Инциденты — это набор связанных оповещений, которые группируются на основе всех других сигналов, которые получает Defender. Например, если у вас есть политика защиты от потери данных, настроенная для мониторинга конфиденциальных файлов на сайтах SharePoint и оповещения о них, а пользователь скачивает файл с сайта SharePoint, а затем передает его в личный oneDrive, а затем предоставляет к нему доступ внешнему пользователю, Defender группирует все эти оповещения в один инцидент. Это мощная функция, которая позволяет в первую очередь сосредоточиться на наиболее важных оповещениях.

На портале Defender можно сразу же приступить к рассмотрению инцидентов и использовать теги, примечания и другие функции для структурирования управления инцидентами. Для управления оповещениями защиты от потери данных необходимо использовать страницу Инциденты на портале Microsoft Defender. Вы можете отфильтровать очередь инцидентов, чтобы просмотреть все инциденты с помощью оповещений DLP Microsoft Purview, выбрав Фильтры и выбрав Источник службы: Защита от потери данных.

Если вы включили общий доступ к данным управления внутренними рисками с Microsoft Defender XDR (предварительная версия) — уровень серьезности политики управления внутренними рисками, связанной с пользователем, будет отображаться на странице оповещений о защите от потери данных. Уровни серьезности управления внутренними рисками: Низкий, Средний, Высокий и Нет. Эти сведения можно использовать для определения приоритетов в исследованиях и исправлении. Эта информация также будет доступна на портале Microsoft 365 Defender в подробной информации об инциденте.

Рассмотрение с помощью Microsoft Security Copilot

Еще один инструмент, который можно использовать для рассмотрения оповещений, Microsoft Security Copilot. Security Copilot — это облачная платформа ИИ, которая может помочь специалистам по безопасности и соответствию требованиям в защите данных своей организации. Он доступен на панели мониторинга оповещений защиты от потери данных и в Управление состоянием безопасности данных (предварительная версия).

Исследование

Цель main этапа исследования заключается в том, чтобы назначенный владелец сопоставил доказательства, определить причину и полное влияние оповещения и принять решение о плане исправления. Назначенный владелец отвечает за более глубокое исследование и исправление оповещения. Основными средствами исследования оповещений являются портал Microsoft Defender и панель мониторинга управления оповещениями О DLP. Вы также можете использовать обозреватель действий для изучения оповещений. Вы также можете делиться оповещениями с другими пользователями в вашей организации.

Вы можете воспользоваться следующими функциями защиты от потери данных:

Вы можете использовать портал Microsoft Defender и средства Purview для рассмотрения и исследования оповещений, но портал Microsoft Defender предоставляет дополнительные возможности для управления оповещениями и инцидентами, например:

  • Просмотрите все оповещения защиты от потери данных, сгруппированные по инцидентам в очереди инцидентов Microsoft Defender XDR.
  • Просмотр интеллектуальных оповещений между решениями (DLP-MDE, DLP-MDO) и оповещений внутри решения (DLP-DLP) в рамках одного инцидента.
  • Поиск журналов соответствия наряду с безопасностью в разделе Расширенная охота.
  • Действия администратора по исправлению на месте для пользователя, файла и устройства.
  • Связывание пользовательских тегов с инцидентами защиты от потери данных и фильтрация по ним.
  • Фильтрация по имени политики защиты от потери данных, тегу, дате, источнику службы, состоянию инцидента и пользователю в единой очереди инцидентов.

Если вы предоставляете общий доступ к данным управления внутренними рисками в Defender (предварительная версия), вы можете просмотреть сводку действий пользователя по всем действиям кражи, которые пользователь занимался за последние 120 дней.

Исследование с помощью Microsoft Security Copilot

Еще один инструмент, который можно использовать для рассмотрения оповещений, Microsoft Security Copilot. Security Copilot — это облачная платформа ИИ, которая может помочь специалистам по безопасности и соответствию требованиям в защите данных своей организации. Его можно использовать для формирования сводки оповещений Microsoft Purview и детализации данных Microsoft Puview. Он доступен на панели мониторинга оповещений защиты от потери данных и в Управление состоянием безопасности данных (предварительная версия).

Исправление

Ваш план исправления является уникальным для политик вашей организации, отрасли, геополитических правил, которым она должна соответствовать, и деловой практики. Способ реагирования вашей организации на оповещение зависит от точности оповещения (истинно положительный, ложноположительный, ложноотрицательный), серьезности проблемы и влияния на организацию.

Действия по исправлению могут включать:

  • Только мониторинг, дальнейшие действия не требуются.
  • Никаких дополнительных действий не требуется, так как действия, выполняемые политикой, в достаточной мере смягчили риск.
  • Риск снижается автоматическими действиями политики, но необходимо обучение пользователей.
  • Эта проблема не была полностью устранена политикой, поэтому требуется дополнительная очистка и устранение рисков наряду с дополнительным обучением пользователей.
  • С помощью адаптивной защиты от потери данных (предварительная версия), где защита от потери данных интегрируется с управлением внутренними рисками, вы можете назначить уровень риска пользователю для дальнейшего мониторинга и действий.

С помощью портала Defender можно немедленно выполнять действия по исправлению оповещений и инцидентов. Например:

  • Сброс пароля
  • Отключение учетной записи
  • Просмотр действий пользователей
  • Действия при обнаружении защиты от потери данных
  • Удаление документа
  • Применение метки конфиденциальности
  • Отменить общий доступ
  • Скачать электронную почту
  • Расширенная охота
  • Изоляция устройства
  • Сбор пакета исследования с устройства
  • Запуск проверки AV
  • Файл карантина
  • Отключить пользователя
  • Сброс pwd
  • Удаление электронной почты
  • Перемещение почты в другую папку почтового ящика
  • Скачивание файла

Настраивать

В зависимости от точности и эффективности политики может потребоваться обновить ее, чтобы она оставалась эффективной. Вы уже настроили свою политику в процессе создания и развертывания политики, но по мере изменения ресурсов данных и бизнес-потребностей политики необходимо обновить, чтобы продолжать действовать. Эти изменения лучше всего отслеживать в инструкции намерения политики и конфигурации политики.

Элементы, которые вы настраиваете:

  • Область политики.
  • Условия, необходимые для соответствия политике.
  • Действия, выполняемые при совпадении политики.
  • Уведомления, отправляемые пользователям и администраторам.

Дополнительные сведения о сопоставлении бизнес-потребностей в разработке и тестировании политик см. в следующих разделах:

Наборы инструментов

Существует несколько средств, которые можно использовать для изучения оповещений Защита от потери данных Microsoft Purview (DLP) и управления ими. Возможные сценарии:

Корпорация Майкрософт рекомендует использовать единую очередь инцидентов на портале Microsoft Defender для управления оповещениями защиты от потери данных. Однако у вашей организации могут быть потребности, которые можно удовлетворить с помощью панели мониторинга управления оповещениями О DLP в дополнение к порталу Microsoft Defender.

Портал Microsoft Defender

Портал соответствия требованиям Microsoft Purview

Если вы не знакомы с панелью мониторинга оповещений О DLP, ознакомьтесь с этими статьями, которые помогут вам приступить к работе.

Дальнейшие действия