数据丢失防护警报入门仪表板
Microsoft Purview 数据丢失防护 (DLP) 策略可以采取保护措施,防止意外共享敏感项目。 通过为 DLP 配置警报,可以在对敏感项执行操作时收到通知。 本文介绍如何在数据丢失防护 (DLP) 策略中配置警报。 你将了解如何使用 Microsoft Purview 门户中的 DLP 警报管理仪表板来查看 DLP 策略冲突的警报、事件和关联的元数据。
如果不熟悉 DLP 警报,应查看 数据丢失防护警报入门。
提示
开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot。
Microsoft Purview 门户 显示针对以下工作负载强制实施的 DLP 策略的警报:
- Exchange 电子邮件
- SharePoint 网站
- OneDrive 账户
- Teams 聊天和通道消息
- 设备
- 实例
- 本地存储库
- 构造和 Power BI
开始之前
在开始之前,请确保具备必要的先决条件:
- DLP 警报管理仪表板许可
- 警报配置选项的许可
- 所需角色
DLP 警报管理仪表板许可
在开始使用 DLP 策略之前,请确认 Microsoft 365 订阅 和任何加载项。
有关许可的信息,请参阅 Microsoft 365、Office 365、企业移动性 + 安全性 和 Windows 11 企业订阅。
使用符合 Teams DLP 条件的终结点 DLP 的客户会在 DLP 警报管理仪表板中看到其终结点 DLP 策略警报和 Teams DLP 策略警报。
警报配置选项的许可
在开始使用 DLP 策略之前,请确认 Microsoft 365 订阅 和任何加载项。
有关许可的信息,请参阅 Microsoft 365、Office 365、企业移动性 + 安全性 和 Windows 11 企业订阅。
角色和角色组
如果要查看 DLP 警报管理仪表板或编辑 DLP 策略中的警报配置选项,则必须是以下角色组之一的成员:
- 合规管理员
- 合规数据管理员
- 安全管理员
- 安全操作员
- 安全信息读取者
- 信息保护管理员
- 信息保护分析师
- 信息保护调查员
- 信息保护读者
若要详细了解这些权限,请参阅 Microsoft Purview 合规门户
下面是适用角色组的列表。 若要详细了解它们,请参阅Microsoft Purview 合规门户中的权限。
- 信息保护
- 信息保护管理员
- 信息保护分析师
- 信息保护调查员
- 信息保护读者
若要访问 DLP 警报管理仪表板,需要“管理警报”角色和以下两个角色之一:
- DLP 合规性管理
- View-Only DLP 合规性管理
若要访问内容预览功能以及匹配的敏感内容和上下文功能,你必须是 内容资源管理器内容查看器 角色组的成员,该角色组已预先分配了 数据分类内容查看者 角色。
DLP 警报配置
若要了解如何在 DLP 策略中配置警报,请参阅 创建和部署数据丢失防护策略。
重要
组织的审核日志保留策略配置控制警报在控制台中保持可见的时间。 有关详细信息,请参阅 管理审核日志保留策略 。
聚合事件警报配置
如果你的组织已获得 聚合警报配置选项的许可,则在创建或编辑 DLP 策略时会看到这些选项。
此配置允许你设置策略,以在每次活动与策略条件匹配时或当超出特定阈值时,根据活动数或外泄数据量生成警报。
单事件警报配置
如果你的组织已获得 单事件警报配置选项的许可,则在创建或编辑 DLP 策略时会看到这些选项。 使用此选项可创建每次发生 DLP 规则匹配时引发的警报。
调查 DLP 警报
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
若要使用 DLP 警报管理仪表板:
- 登录到 Microsoft Purview 门户>数据丢失防护。
- 选择“警报”以查看 DLP 警报仪表板。
- 使用 “筛选器” 字段可优化警报列表。
- 选择 “自定义列 ”以列出要查看的属性。
- 若要按升序或降序对结果进行排序,请双击列标题。
- 双击警报以获取有关该警报的详细信息。
- 默认情况下,“ 详细信息 ”选项卡将打开,并提供有关警报的高级信息。
- 选择“ 使用 Copilot 汇总”。 这会导致Security Copilot生成警报的摘要。 警报摘要将包含:
- 警报严重性
- 警报标题
- 匹配的策略的名称
- 涉及的名称文件和文件的链接
- 警报状态
- 执行与策略匹配的操作的用户的电子邮件地址
- 选择Security Copilot摘要中的省略号以:
- 将摘要复制到剪贴板
- 重新生成摘要
- 在独立体验中打开Security Copilot警报。
- 选择“ 查看详细信息 ”以打开“ 概述 ”选项卡。“ 概述 ”选项卡提供以下信息的摘要:
- 发生了什么事
- 谁执行了导致策略匹配的操作
- 有关策略匹配的其他信息
- “ 事件 ”选项卡列出与警报关联的所有事件。 选择列表中的任意事件以获取有关该事件的详细信息。 对于每个事件,选择 “操作” 下拉列表以获取可对警报执行的操作列表,例如验证警报是否标识了真实匹配或误报。
- “用户活动摘要”选项卡要求在内部风险管理设置中启用共享 一旦启用,“用户活动摘要”选项卡将提供用户在过去 120 天内 (的所有外泄活动) 。 用户 必须在内部风险管理策略的范围内 才能查看 “用户活动摘要 ”选项卡。
- 调查警报后,返回到“ 概述 ”选项卡,可在其中 查看详细信息 以会审和管理警报的处置、添加注释并分配警报的所有权。 (查看工作流管理的历史记录。)
- 对警报执行所需的操作后,将警报 的“状态 ”设置为 “已解决”。
其他匹配条件
Microsoft Purview 支持在 DLP 事件中显示匹配的条件,以显示已标记 DLP 策略的确切原因。 此信息显示在:
- DLP 警报控制台
- 活动资源管理器
- Microsoft Defender 商业版门户
在“ 事件 ”选项卡中,打开 “详细信息” 以查看 其他匹配条件。
先决条件
- 必须运行Windows 10 x64 (内部版本 1809 或更高版本) 或Windows 11。
- 请参阅 2023 年 3 月 21 日 - KB5023773 (OS 内部版本 19042.2788、19044.2788 和 19045.2788) 预览版 ,了解所需的最低 Windows 操作系统版本。
- 匹配的条件数据适用于有效的 E3 和 E5 许可证持有者。
- 启用 审核。
- 启用 高级分类扫描和保护。
这些条件支持匹配的事件信息
条件 | Exchange | Sharepoint | Teams | 端点 |
---|---|---|---|---|
发件人为 | 是 | 否 | 是 | 否 |
发件人域为 | 是 | 否 | 是 | 否 |
发件人地址包含字词 | 是 | 否 | 否 | 否 |
发件人地址与模式匹配 | 是 | 否 | 否 | 否 |
发件人是 | 是 | 否 | 否 | 否 |
发件人 IP 地址为 | 是 | 否 | 否 | 否 |
发件人是否重写了策略提示 | 是 | 否 | 否 | 否 |
SenderAdAttribute 包含字词 | 是 | 否 | 否 | 否 |
SenderAdAttribute 匹配模式 | 是 | 否 | 否 | 否 |
收件人为 | 是 | 否 | 是 | 否 |
收件人域为 | 是 | 否 | 是 | 否 |
收件人地址包含字词 | 是 | 否 | 否 | 否 |
收件人地址与模式匹配 | 是 | 否 | 否 | 否 |
收件人所在组为 | 是 | 否 | 否 | 否 |
RecipientAdAttribute 包含字词 | 是 | 否 | 否 | 否 |
RecipientAdAttribute 匹配模式 | 是 | 否 | 否 | 否 |
文档受密码保护 | 是 | 否 | 否 | 否 |
无法扫描文档 | 是 | 否 | 否 | 否 |
文档未完成扫描 | 是 | 否 | 否 | 否 |
文档名称包含字词 | 是 | 是 | 否 | 否 |
文档名称与模式匹配 | 是 | 否 | 否 | 否 |
文档属性为 | 是 | 是 | 否 | 否 |
文档大小超过 | 是 | 是 | 否 | 否 |
文档内容包含字词 | 是 | 否 | 否 | 否 |
文档内容匹配模式 | 是 | 否 | 否 | 否 |
文档类型为 | 否 | 否 | 否 | 是 |
文档扩展为 | 是 | 是 | 否 | 是 |
内容从 M365 共享 | 是 | 是 | 是 | 否 |
从 接收内容 | 是 | 否 | 否 | 否 |
内容字符集包含字词 | 是 | 否 | 否 | 否 |
主题包含字词 | 是 | 否 | 否 | 否 |
主题与模式匹配 | 是 | 否 | 否 | 否 |
主题或正文包含字词 | 是 | 否 | 否 | 否 |
主题或正文匹配模式 | 是 | 否 | 否 | 否 |
标头包含字词 | 是 | 否 | 否 | 否 |
标题与模式匹配 | 是 | 否 | 否 | 否 |
消息大小超过 | 是 | 否 | 否 | 否 |
消息类型为 | 是 | 否 | 否 | 否 |
消息重要性为 | 是 | 否 | 否 | 否 |
从 DLP 警报中下载电子邮件时的限制
通常,使用 DLP 警报管理仪表板时,可以从警报中下载特定电子邮件。 但是,无法下载在以下任一方案中删除的电子邮件。
发件人 | 收件人 | Email状态 |
---|---|---|
内部 | 外部 | 发件人删除 |
外部 | 内部 | 收件人删除 |
内部 | 内部 | 被双方删除 |