Начало работы с панелью мониторинга оповещений о защите от потери данных
политики Защита от потери данных Microsoft Purview (DLP) могут принимать защитные меры, чтобы предотвратить непреднамеренный общий доступ к конфиденциальным элементам. Вы можете получать уведомления о выполнении действия с конфиденциальным элементом, настроив оповещения для защиты от потери данных. В этой статье показано, как настроить оповещения в политиках защиты от потери данных (DLP). Вы узнаете, как использовать панель мониторинга управления оповещениями DLP на портале Microsoft Purview для просмотра оповещений, событий и связанных метаданных о нарушениях политики защиты от потери данных.
Если вы не знакомы с оповещениями защиты от потери данных, ознакомьтесь с разделом Начало работы с оповещениями о защите от потери данных.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
На портале Microsoft Purview отображаются оповещения для политик защиты от потери данных, которые применяются для следующих рабочих нагрузок:
- Электронная почта Exchange
- Сайты SharePoint
- Учетные записи OneDrive
- сообщения в чатах и каналах Teams
- Устройства
- Экземпляров
- Локальные репозитории
- Fabric и Power BI
Подготовка к работе
Перед началом работы убедитесь, что у вас есть необходимые предварительные требования.
- Лицензирование панели мониторинга управления оповещениями защиты от потери данных
- Лицензирование параметров конфигурации оповещений
- Необходимые роли
Лицензирование панели мониторинга управления оповещениями О DLP
Прежде чем приступить к использованию политик защиты от потери данных, подтвердите подписку На Microsoft 365 и все надстройки.
Сведения о лицензировании см. в статье Подписки Microsoft 365, Office 365, Enterprise Mobility + Security и Windows 11 для предприятий.
Клиенты, использующие защиту от потери данных в конечной точке , которые имеют право на защиту от потери данных в Teams , видят оповещения политики защиты от потери данных в конечной точке и оповещения политики защиты от потери данных Teams на панели мониторинга управления оповещениями о защите от потери данных.
Лицензирование параметров конфигурации оповещений
Прежде чем приступить к использованию политик защиты от потери данных, подтвердите подписку На Microsoft 365 и все надстройки.
Сведения о лицензировании см. в статье Подписки Microsoft 365, Office 365, Enterprise Mobility + Security и Windows 11 для предприятий.
Роли и Группы ролей
Если вы хотите просмотреть панель мониторинга управления оповещениями О DLP или изменить параметры конфигурации оповещений в политике защиты от потери данных, необходимо быть членом одной из следующих групп ролей:
- Администратор соответствия требованиям
- Администратор данных соответствия требованиям
- Администратор безопасности
- Оператор безопасности
- Читатель сведений о безопасности
- Администратор Information Protection
- Аналитик Information Protection
- Исследователь Information Protection
- Читатель Information Protection
Дополнительные сведения о них см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview
Ниже приведен список применимых групп ролей. Дополнительные сведения о них см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.
- Защита информации
- Администраторы Information Protection
- Аналитики Information Protection
- Исследователи Information Protection
- Читатели Information Protection
Чтобы получить доступ к панели мониторинга управления оповещениями О DLP, вам потребуется роль Управление оповещениями и любая из этих двух ролей:
- Управление соответствием требованиям DLP
- Управление соответствием требованиям защиты от потери данных View-Only
Чтобы получить доступ к функции предварительного просмотра содержимого и сопоставлению конфиденциального содержимого и контекста, необходимо быть членом группы ролей "Просмотр содержимого Обозреватель содержимого", в которой предварительно назначена роль "Средство просмотра содержимого классификации данных".
Настройка оповещений защиты от потери данных
Сведения о настройке оповещения в политике защиты от потери данных см. в статье Создание и развертывание политик защиты от потери данных.
Важно!
Конфигурация политики хранения журнала аудита вашей организации определяет, как долго оповещение остается видимым в консоли. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита .
Настройка статистических оповещений о событиях
Если ваша организация имеет лицензию на агрегированные параметры конфигурации оповещений, эти параметры отображаются при создании или изменении политики защиты от потери данных.
Эта конфигурация позволяет настроить политику для создания оповещений каждый раз, когда действие соответствует условиям политики или при превышении определенного порогового значения на основе количества действий или объема эксфильтрированных данных.
Настройка оповещений об одном событии
Если ваша организация лицензирована для параметров конфигурации оповещений с одним событием, эти параметры отображаются при создании или изменении политики защиты от потери данных. Используйте этот параметр, чтобы создать оповещение, которое создается при каждом совпадении правила защиты от потери данных.
Изучение оповещений защиты от потери данных
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.
Чтобы работать с панелью мониторинга управления оповещениями защиты от потери данных, выполните следующие действия.
- Войдите на портал >Microsoft PurviewЗащита от потери данных.
- Выберите Оповещения , чтобы просмотреть панель мониторинга оповещений DLP .
- Используйте поля фильтра для уточнения списка оповещений.
- Выберите Настроить столбцы , чтобы получить список свойств, которые вы хотите просмотреть.
- Чтобы отсортировать результаты по возрастанию или убыванию, дважды щелкните заголовок столбца.
- Дважды щелкните оповещение, чтобы получить дополнительные сведения о нем.
- Вкладка Сведения открывается по умолчанию и предоставляет общие сведения об оповещении.
- Выберите Суммировать с помощью copilot. Это приводит к тому, что Security Copilot создает сводку оповещения. Сводка оповещений будет содержать:
- Серьезность оповещений
- Заголовок оповещения
- имя политики, которая была сопоставлена;
- используемый файл имени и ссылка на файл
- Состояние оповещения
- адрес электронной почты пользователя, выполнившего действие, соответствующее политике.
- Выберите многоточие в сводке Security Copilot, чтобы:
- Скопируйте сводку в буфер обмена
- Повторное создание сводки
- откройте оповещение в автономном интерфейсе Security Copilot.
- Выберите Просмотреть сведения , чтобы открыть вкладку Обзор . На вкладке Обзор содержится сводка следующих сведений:
- Что случилось
- Кто выполнил действия, вызвавшие совпадение политики
- Дополнительные сведения о соответствии политике
- На вкладке События перечислены все события, связанные с оповещением. Выберите любое событие в списке, чтобы получить подробные сведения о событии. Для каждого события выберите раскрывающийся список Действия , чтобы получить список действий, которые можно выполнить с оповещением, например проверить, было ли в оповещении обнаружено истинное соответствие или ложное срабатывание.
- На вкладке Сводка действий пользователянеобходимо включить общий доступ в параметрах управления внутренними рисками После включения вкладка Сводка действий пользователя содержит все действия кражи, которые пользователь занимался (за последние 120 дней). Пользователи должны находиться в область политики управления внутренними рисками, чтобы просмотреть вкладку Сводка по действиям пользователей.
- Изучив оповещение, вернитесь на вкладку Обзор , где можно просмотреть сведения для рассмотрения и управления ликвидацией оповещения, добавить комментарии и назначить владельца оповещения. (Просмотр журнала управления рабочими процессами.)
- После выполнения необходимых действий для оповещения задайте для параметра Состояние оповещения значение Разрешено.
Другие соответствующие условия
Microsoft Purview поддерживает отображение соответствующих условий в событии защиты от потери данных, чтобы выявить точную причину помеченной политики защиты от потери данных. Эти сведения отображаются в:
- Консоль оповещений о защите от потери данных
- Обозреватель действий
- портал Microsoft Defender для бизнеса
На вкладке События откройте раздел Сведения , чтобы просмотреть другие соответствующие условия.
Предварительные условия
- Должен работать Windows 10 x64 (сборка 1809 или более поздней версии) или Windows 11.
- Сведения о минимальных сборках операционной системы Windows см. в статье 21 марта 2023 г. по KB5023773 (сборки ОС 19042.2788, 19044.2788 и 19045.2788).
- Соответствующие условия доступны для действительных владельцев лицензий E3 и E5.
- Включите аудит.
- Включите расширенную проверку и защиту классификации.
Для этих условий поддерживаются сведения о совпадаемых событиях
Условие | Exchange | Sharepoint | Teams | Конечная точка |
---|---|---|---|---|
Отправитель — | Да | Нет | Да | Нет |
Домен отправителя — | Да | Нет | Да | Нет |
Адрес отправителя содержит слова | Да | Нет | Нет | Нет |
Адрес отправителя соответствует шаблонам | Да | Нет | Нет | Нет |
Отправитель является членом | Да | Нет | Нет | Нет |
IP-адрес отправителя | Да | Нет | Нет | Нет |
Если отправитель переопределил подсказку политики | Да | Нет | Нет | Нет |
SenderAdAttribute содержит слова | Да | Нет | Нет | Нет |
Шаблоны Соответствия SenderAdAttribute | Да | Нет | Нет | Нет |
Получатель | Да | Нет | Да | Нет |
Домен получателя | Да | Нет | Да | Нет |
Адрес получателя содержит слова | Да | Нет | Нет | Нет |
Адрес получателя соответствует шаблонам | Да | Нет | Нет | Нет |
Получатель входит в группу | Да | Нет | Нет | Нет |
RecipientAdAttribute содержит слова | Да | Нет | Нет | Нет |
Шаблоны RecipientAdAttribute Соответствует | Да | Нет | Нет | Нет |
Документ защищен паролем | Да | Нет | Нет | Нет |
Не удалось проверить документ | Да | Нет | Нет | Нет |
Проверка документа не завершена | Да | Нет | Нет | Нет |
Имя документа содержит слова | Да | Да | Нет | Нет |
Имя документа соответствует шаблонам | Да | Нет | Нет | Нет |
Свойство документа | Да | Да | Нет | Нет |
Размер документа | Да | Да | Нет | Нет |
Содержимое документа содержит слова | Да | Нет | Нет | Нет |
Содержимое документа соответствует шаблонам | Да | Нет | Нет | Нет |
Тип документа : | Нет | Нет | Нет | Да |
Расширение документа — | Да | Да | Нет | Да |
Общий доступ к содержимому осуществляется из M365 | Да | Да | Да | Нет |
Содержимое получено от | Да | Нет | Нет | Нет |
Набор символов содержимого содержит слова | Да | Нет | Нет | Нет |
Тема содержит слова | Да | Нет | Нет | Нет |
Тема соответствует шаблонам | Да | Нет | Нет | Нет |
Тема или текст содержит слова | Да | Нет | Нет | Нет |
Тема или текст соответствует шаблонам | Да | Нет | Нет | Нет |
Заголовок содержит слова | Да | Нет | Нет | Нет |
Заголовок соответствует шаблонам | Да | Нет | Нет | Нет |
Размер сообщения больше | Да | Нет | Нет | Нет |
Тип сообщения — | Да | Нет | Нет | Нет |
Важность сообщения : | Да | Нет | Нет | Нет |
Ограничение при скачивании сообщений электронной почты из оповещений защиты от потери данных
Как правило, при использовании панели мониторинга управления оповещениями защиты от потери данных можно скачивать определенные сообщения электронной почты из оповещения. Однако сообщения электронной почты, удаленные в любом из следующих сценариев, нельзя скачать.
Sender | Recipient | Состояние Email |
---|---|---|
Внутренний | Внешний | Удалено отправителем |
Внешний | Внутренний | Удалено получателем |
Внутренний | Внутренний | Удалено обеими сторонами |