Поделиться через


Начало работы с панелью мониторинга оповещений о защите от потери данных

политики Защита от потери данных Microsoft Purview (DLP) могут принимать защитные меры, чтобы предотвратить непреднамеренный общий доступ к конфиденциальным элементам. Вы можете получать уведомления о выполнении действия с конфиденциальным элементом, настроив оповещения для защиты от потери данных. В этой статье показано, как настроить оповещения в политиках защиты от потери данных (DLP). Вы узнаете, как использовать панель мониторинга управления оповещениями DLP на портале Microsoft Purview для просмотра оповещений, событий и связанных метаданных о нарушениях политики защиты от потери данных.

Если вы не знакомы с оповещениями защиты от потери данных, ознакомьтесь с разделом Начало работы с оповещениями о защите от потери данных.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

На портале Microsoft Purview отображаются оповещения для политик защиты от потери данных, которые применяются для следующих рабочих нагрузок:

  • Электронная почта Exchange
  • Сайты SharePoint
  • Учетные записи OneDrive
  • сообщения в чатах и каналах Teams
  • Устройства
  • Экземпляров
  • Локальные репозитории
  • Fabric и Power BI

Подготовка к работе

Перед началом работы убедитесь, что у вас есть необходимые предварительные требования.

  • Лицензирование панели мониторинга управления оповещениями защиты от потери данных
  • Лицензирование параметров конфигурации оповещений
  • Необходимые роли

Лицензирование панели мониторинга управления оповещениями О DLP

Прежде чем приступить к использованию политик защиты от потери данных, подтвердите подписку На Microsoft 365 и все надстройки.

Сведения о лицензировании см. в статье Подписки Microsoft 365, Office 365, Enterprise Mobility + Security и Windows 11 для предприятий.

Клиенты, использующие защиту от потери данных в конечной точке , которые имеют право на защиту от потери данных в Teams , видят оповещения политики защиты от потери данных в конечной точке и оповещения политики защиты от потери данных Teams на панели мониторинга управления оповещениями о защите от потери данных.

Лицензирование параметров конфигурации оповещений

Прежде чем приступить к использованию политик защиты от потери данных, подтвердите подписку На Microsoft 365 и все надстройки.

Сведения о лицензировании см. в статье Подписки Microsoft 365, Office 365, Enterprise Mobility + Security и Windows 11 для предприятий.

Роли и Группы ролей

Если вы хотите просмотреть панель мониторинга управления оповещениями О DLP или изменить параметры конфигурации оповещений в политике защиты от потери данных, необходимо быть членом одной из следующих групп ролей:

  • Администратор соответствия требованиям
  • Администратор данных соответствия требованиям
  • Администратор безопасности
  • Оператор безопасности
  • Читатель сведений о безопасности
  • Администратор Information Protection
  • Аналитик Information Protection
  • Исследователь Information Protection
  • Читатель Information Protection

Дополнительные сведения о них см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview

Ниже приведен список применимых групп ролей. Дополнительные сведения о них см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.

  • Защита информации
  • Администраторы Information Protection
  • Аналитики Information Protection
  • Исследователи Information Protection
  • Читатели Information Protection

Чтобы получить доступ к панели мониторинга управления оповещениями О DLP, вам потребуется роль Управление оповещениями и любая из этих двух ролей:

  • Управление соответствием требованиям DLP
  • Управление соответствием требованиям защиты от потери данных View-Only

Чтобы получить доступ к функции предварительного просмотра содержимого и сопоставлению конфиденциального содержимого и контекста, необходимо быть членом группы ролей "Просмотр содержимого Обозреватель содержимого", в которой предварительно назначена роль "Средство просмотра содержимого классификации данных".

Настройка оповещений защиты от потери данных

Сведения о настройке оповещения в политике защиты от потери данных см. в статье Создание и развертывание политик защиты от потери данных.

Важно!

Конфигурация политики хранения журнала аудита вашей организации определяет, как долго оповещение остается видимым в консоли. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита .

Настройка статистических оповещений о событиях

Если ваша организация имеет лицензию на агрегированные параметры конфигурации оповещений, эти параметры отображаются при создании или изменении политики защиты от потери данных.

Снимок экрана: параметры отчетов об инцидентах для пользователей, которые имеют право на использование параметров конфигурации агрегированных оповещений.

Эта конфигурация позволяет настроить политику для создания оповещений каждый раз, когда действие соответствует условиям политики или при превышении определенного порогового значения на основе количества действий или объема эксфильтрированных данных.

Настройка оповещений об одном событии

Если ваша организация лицензирована для параметров конфигурации оповещений с одним событием, эти параметры отображаются при создании или изменении политики защиты от потери данных. Используйте этот параметр, чтобы создать оповещение, которое создается при каждом совпадении правила защиты от потери данных.

Снимок экрана: параметры отчетов об инцидентах для пользователей, которые имеют право на параметры конфигурации оповещений о одном событии.

Изучение оповещений защиты от потери данных

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Чтобы работать с панелью мониторинга управления оповещениями защиты от потери данных, выполните следующие действия.

  1. Войдите на портал >Microsoft PurviewЗащита от потери данных.
  2. Выберите Оповещения , чтобы просмотреть панель мониторинга оповещений DLP .
  3. Используйте поля фильтра для уточнения списка оповещений.
  4. Выберите Настроить столбцы , чтобы получить список свойств, которые вы хотите просмотреть.
  5. Чтобы отсортировать результаты по возрастанию или убыванию, дважды щелкните заголовок столбца.
  6. Дважды щелкните оповещение, чтобы получить дополнительные сведения о нем.
  7. Вкладка Сведения открывается по умолчанию и предоставляет общие сведения об оповещении.
  8. Выберите Суммировать с помощью copilot. Это приводит к тому, что Security Copilot создает сводку оповещения. Сводка оповещений будет содержать:
    • Серьезность оповещений
    • Заголовок оповещения
    • имя политики, которая была сопоставлена;
    • используемый файл имени и ссылка на файл
    • Состояние оповещения
    • адрес электронной почты пользователя, выполнившего действие, соответствующее политике.
  9. Выберите многоточие в сводке Security Copilot, чтобы:
    • Скопируйте сводку в буфер обмена
    • Повторное создание сводки
    • откройте оповещение в автономном интерфейсе Security Copilot.
  10. Выберите Просмотреть сведения , чтобы открыть вкладку Обзор . На вкладке Обзор содержится сводка следующих сведений:
    • Что случилось
    • Кто выполнил действия, вызвавшие совпадение политики
    • Дополнительные сведения о соответствии политике
  11. На вкладке События перечислены все события, связанные с оповещением. Выберите любое событие в списке, чтобы получить подробные сведения о событии. Для каждого события выберите раскрывающийся список Действия , чтобы получить список действий, которые можно выполнить с оповещением, например проверить, было ли в оповещении обнаружено истинное соответствие или ложное срабатывание.
    1. На вкладке Сводка действий пользователянеобходимо включить общий доступ в параметрах управления внутренними рисками После включения вкладка Сводка действий пользователя содержит все действия кражи, которые пользователь занимался (за последние 120 дней). Пользователи должны находиться в область политики управления внутренними рисками, чтобы просмотреть вкладку Сводка по действиям пользователей.
    2. Изучив оповещение, вернитесь на вкладку Обзор , где можно просмотреть сведения для рассмотрения и управления ликвидацией оповещения, добавить комментарии и назначить владельца оповещения. (Просмотр журнала управления рабочими процессами.)
    3. После выполнения необходимых действий для оповещения задайте для параметра Состояние оповещения значение Разрешено.

Другие соответствующие условия

Microsoft Purview поддерживает отображение соответствующих условий в событии защиты от потери данных, чтобы выявить точную причину помеченной политики защиты от потери данных. Эти сведения отображаются в:

На вкладке События откройте раздел Сведения , чтобы просмотреть другие соответствующие условия.

Предварительные условия

Для этих условий поддерживаются сведения о совпадаемых событиях

Условие Exchange Sharepoint Teams Конечная точка
Отправитель — Да Нет Да Нет
Домен отправителя — Да Нет Да Нет
Адрес отправителя содержит слова Да Нет Нет Нет
Адрес отправителя соответствует шаблонам Да Нет Нет Нет
Отправитель является членом Да Нет Нет Нет
IP-адрес отправителя Да Нет Нет Нет
Если отправитель переопределил подсказку политики Да Нет Нет Нет
SenderAdAttribute содержит слова Да Нет Нет Нет
Шаблоны Соответствия SenderAdAttribute Да Нет Нет Нет
Получатель Да Нет Да Нет
Домен получателя Да Нет Да Нет
Адрес получателя содержит слова Да Нет Нет Нет
Адрес получателя соответствует шаблонам Да Нет Нет Нет
Получатель входит в группу Да Нет Нет Нет
RecipientAdAttribute содержит слова Да Нет Нет Нет
Шаблоны RecipientAdAttribute Соответствует Да Нет Нет Нет
Документ защищен паролем Да Нет Нет Нет
Не удалось проверить документ Да Нет Нет Нет
Проверка документа не завершена Да Нет Нет Нет
Имя документа содержит слова Да Да Нет Нет
Имя документа соответствует шаблонам Да Нет Нет Нет
Свойство документа Да Да Нет Нет
Размер документа Да Да Нет Нет
Содержимое документа содержит слова Да Нет Нет Нет
Содержимое документа соответствует шаблонам Да Нет Нет Нет
Тип документа : Нет Нет Нет Да
Расширение документа — Да Да Нет Да
Общий доступ к содержимому осуществляется из M365 Да Да Да Нет
Содержимое получено от Да Нет Нет Нет
Набор символов содержимого содержит слова Да Нет Нет Нет
Тема содержит слова Да Нет Нет Нет
Тема соответствует шаблонам Да Нет Нет Нет
Тема или текст содержит слова Да Нет Нет Нет
Тема или текст соответствует шаблонам Да Нет Нет Нет
Заголовок содержит слова Да Нет Нет Нет
Заголовок соответствует шаблонам Да Нет Нет Нет
Размер сообщения больше Да Нет Нет Нет
Тип сообщения — Да Нет Нет Нет
Важность сообщения : Да Нет Нет Нет

Ограничение при скачивании сообщений электронной почты из оповещений защиты от потери данных

Как правило, при использовании панели мониторинга управления оповещениями защиты от потери данных можно скачивать определенные сообщения электронной почты из оповещения. Однако сообщения электронной почты, удаленные в любом из следующих сценариев, нельзя скачать.

Sender Recipient Состояние Email
Внутренний Внешний Удалено отправителем
Внешний Внутренний Удалено получателем
Внутренний Внутренний Удалено обеими сторонами

Дополнительные средства исследования оповещений