共用方式為


開始使用數據外洩防護警示儀錶板

Microsoft Purview 資料外洩防護 (DLP) 原則可以採取保護動作來防止意外共用敏感性專案。 您可以藉由設定 DLP 的警示,在敏感性項目上採取動作時收到通知。 本文說明如何在數據外洩防護 (DLP) 原則中設定警示。 您將瞭解如何在 Microsoft Purview 入口網站中使用 DLP 警示管理儀錶板,來檢視 DLP 原則違規的警示、事件和相關聯的元數據。

如果您不熟悉 DLP 警示,您應該 檢閱開始使用數據外洩防護警示

提示

開始使用 Microsoft Security Copilot,以探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot

Microsoft Purview 入口網站 會針對下列工作負載強制執行的 DLP 原則顯示警示:

  • Exchange 電子郵件
  • SharePoint 網站
  • OneDrive 帳戶
  • Teams 聊天和頻道訊息
  • 裝置
  • 執行個體
  • 內部部署存放庫
  • 網狀架構和Power BI

開始之前

開始之前,請確定您有必要的必要條件:

  • DLP 警示管理儀錶板的授權
  • 警示設定選項的授權
  • 所需角色

DLP 警示管理儀錶板的授權

開始使用 DLP 原則之前,請確認您的 Microsoft 365 訂閱 和任何附加元件。

如需授權的相關信息,請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 和 Windows 11 訂閱。

使用符合 Teams DLP 資格的端點 DLP 的客戶,會在 DLP 警示管理儀錶板中看到其端點 DLP 原則警示和 Teams DLP 原則警示。

警示設定選項的授權

開始使用 DLP 原則之前,請確認您的 Microsoft 365 訂閱 和任何附加元件。

如需授權的相關信息,請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 和 Windows 11 訂閱。

角色和角色 群組

如果您想要檢視 DLP 警示管理儀錶板或編輯 DLP 原則中的警示設定選項,您必須是下列其中一個角色群組的成員:

  • 合規性系統管理員
  • 合規性資料系統管理員
  • 安全性系統管理員
  • 安全性操作員
  • 安全性讀取者
  • 資訊保護系統管理員
  • 資訊保護分析員
  • 資訊保護調查人員
  • 資訊保護讀者

若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權

以下是適用的角色群組清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權

  • 資訊保護
  • 資訊保護系統管理員
  • 資訊保護分析員
  • 資訊保護調查人員
  • 資訊保護讀者

若要存取 DLP 警示管理儀錶板,您需要 [管理警示 ] 角色和下列兩個角色之一:

  • DLP 合規性管理
  • 僅限檢視 DLP 合規性管理

若要存取內容預覽功能和相符的敏感性內容和內容功能,您必須是內容 總管內容查看器 角色群組的成員,其中已預先指派 數據分類內容查看器 角色。

DLP 警示設定

若要瞭解如何在 DLP 原則中設定警示,請參閱 建立和部署數據外洩防護原則

重要事項

貴組織的稽核記錄保留原則設定可控制警示在控制台中維持可見的時間長度。 如需詳細資訊,請參閱 管理稽核記錄保留 原則。

匯總事件警示設定

如果您的組織已獲得 匯總警示設定選項的授權,則當您建立或編輯 DLP 原則時,您會看到這些選項。

顯示符合匯總警示組態選項資格之使用者的事件報告選項螢幕快照。

此設定可讓您設定原則,以根據活動數目或根據已外泄的數據量,在每次活動符合原則條件或超過特定閾值時產生警示。

單一事件警示設定

如果您的組織已獲得 單一事件警示設定選項的授權,則您會在建立或編輯 DLP 原則時看到這些選項。 使用此選項可建立每次發生 DLP 規則相符時引發的警示。

此螢幕快照顯示符合單一事件警示設定選項資格之使用者的事件報告選項。

調查 DLP 警示

針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。

若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

若要使用 DLP 警示管理儀錶板:

  1. 登入 Microsoft Purview 入口網站>數據外洩防護
  2. 取 [警示] 以檢視 [DLP 警示] 儀錶板。
  3. 使用 [ 篩選] 欄位來精簡警示清單。
  4. 選擇 [自訂資料行] 以列出您想要查看的屬性。
  5. 若要以遞增或遞減順序排序結果,請按兩下數據行標頭。
  6. 按兩下警示以取得其詳細資訊。
  7. [ 詳細數據] 索 引標籤預設會開啟,並提供警示的相關高階資訊。
  8. 取 [使用 Copilot 摘要]。 這會導致 Security Copilot產生警示的摘要。 警示摘要將包含:
    • 警示嚴重性
    • 警示標題
    • 符合的原則名稱
    • 涉及的名稱檔案和檔案的連結
    • 警示狀態
    • 執行符合原則之動作之使用者的電子郵件位址
  9. 選取 Security Copilot 摘要中的省略號,以:
    • 將摘要複製到剪貼簿
    • 重新產生摘要
    • 在 Security Copilot 獨立體驗中開啟警示。
  10. 取 [檢視詳細數據 ] 以開啟 [ 概觀] 索引 標籤。[ 概觀] 索引標籤提供下列資訊的摘要:
    • 發生了什麼事
    • 誰執行導致原則相符的動作
    • 原則相符專案的其他資訊
  11. [ 事件] 索引標籤會列出與警示相關聯的所有事件。 選取清單中的任何事件,以取得事件的詳細資訊。 針對每個事件,針對您可以對警示採取的動作清單選擇 [動作] 下拉式清單,例如確認警示是否已識別出真相符或誤判。
    1. [用戶活動摘要] 索引標籤要求測試人員風險管理設定中開啟共用一旦啟用,[用戶活動摘要] 索引卷標會提供使用者在過去 120 天) (參與的所有外泄活動。 用戶 必須位於內部風險管理原則的範圍內 ,才能看到 [ 用戶活動摘要] 索引 標籤。
    2. 調查警示之後,返回 [ 概觀 ] 索引標籤,您可以在其中 檢視詳細 數據來分級和管理警示的處置、新增批註,以及指派警示的擁有權。 (查看工作流程管理的歷程記錄。)
    3. 對警示採取必要動作之後,請將警示的 [狀態 ] 設定為 [ 已解決]

其他相符的條件

Microsoft Purview 支援在 DLP 事件中顯示相符的條件,以顯示標幟 DLP 原則的確切原因。 此資訊會顯示於:

在 [ 事件] 索引標籤中,開啟 [詳細 數據] 以查看 其他相符的條件

必要條件

這些條件支援相符的事件資訊

條件 Exchange Sharepoint Teams 端點
寄件者為
寄件者網域為
寄件者位址包含文字
寄件者地址符合模式
寄件者是的成員
寄件者 IP 位址為
已讓寄件人覆寫原則提示
SenderAdAttribute 包含文字
SenderAdAttribute 符合模式
收件者為
收件者網域為
收件者地址包含文字
收件者地址符合模式
收件者為以下的成員
RecipientAdAttribute 包含文字
RecipientAdAttribute 符合模式
檔受到密碼保護
無法掃描檔
檔未完成掃描
檔名稱包含文字
檔名稱符合模式
文件屬性為
檔大小超過
檔案內容包含文字
檔內容符合模式
檔類型為
檔延伸模組為
內容是從 M365 共用
從接收內容
內容字元集包含文字
主旨包含單字
主題符合模式
主旨或本文包含文字
主旨或本文符合模式
標頭包含單字
標頭符合模式
訊息大小超過
訊息類型為
訊息重要性為

從 DLP 警示內下載電子郵件時的限制

一般而言,使用 DLP 警示管理儀錶板時,您可以從警示內下載特定的電子郵件。 不過,無法下載在下列任何案例中刪除的電子郵件。

寄件者 收件者 Email 狀態
內部 外部 由寄件者刪除
外部 內部 由收件者刪除
內部 內部 由雙方刪除

其他警示調查工具