Erste Schritte mit den Warnungen zur Verhinderung von Datenverlust
Ihre Microsoft Purview Data Loss Prevention(DLP)-Richtlinien können so konfiguriert werden, dass Warnungen generiert werden, wenn die Bedingungen in einer Richtlinie übereinstimmen.
Eine kurze Übersicht über Warnungen finden Sie unter:
Dieser Artikel enthält die Lizenzierungs- und Berechtigungsdetails sowie andere wichtige Informationen, die Sie für die Arbeit mit Warnungen benötigen.
DLP-Warnungen können im Microsoft Defender XDR Dashboard und im Microsoft Purview-Complianceportal untersucht und verwaltet werden. Der Microsoft Defender XDR Dashboard ist der empfohlene Speicherort für die Untersuchung und Verwaltung von DLP-Warnungen. Der Microsoft Purview-Complianceportal ist der empfohlene Speicherort zum Erstellen und Bearbeiten von DLP-Richtlinien.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Alarmtypen
Warnungen können jedes Mal gesendet werden, wenn eine Aktivität einer Regel entspricht. Dies kann laut sein, oder sie können basierend auf der Anzahl der Übereinstimmungen oder der Menge von Elementen über einen bestimmten Zeitraum aggregiert werden. Es gibt zwei Arten von Warnungen, die in DLP-Richtlinien konfiguriert werden können.
Warnungen mit nur einem Ereignis werden in der Regel in Richtlinien verwendet, die auf hoch vertrauliche Ereignisse überwachen, die in einem geringen Volumen auftreten, z. B. eine einzelne E-Mail mit 10 oder mehr Kundenguthaben Karte Nummern, die außerhalb Ihres organization gesendet werden.
Aggregatereigniswarnungen werden in der Regel in Richtlinien verwendet, die auf Ereignisse überwachen, die über einen bestimmten Zeitraum in einem höheren Volumen auftreten. Beispielsweise kann eine aggregierte Warnung ausgelöst werden, wenn innerhalb von 48 Stunden 10 einzelne E-Mails mit jeweils einem Kundenguthaben Karte Nummer außerhalb Ihrer Organisation gesendet werden.
Bevor Sie beginnen
Bevor Sie beginnen, stellen Sie sicher, dass Sie über die erforderlichen Voraussetzungen verfügen:
Lizenzierung für Warnungskonfigurationsoptionen
- Konfiguration von Warnungen mit einzelnen Ereignissen: Organisationen, die über ein E1-, F1- oder G1-Abonnement oder ein E3- oder G3-Abonnement verfügen, können Richtlinien so konfigurieren, dass bei jedem Auslösen einer Aktivität eine Warnung generiert wird.
- Aggregierte Warnungskonfiguration: Um aggregierte Warnungsrichtlinien basierend auf einem Schwellenwert zu konfigurieren, müssen Sie über eine der folgenden Konfigurationen verfügen:
- Ein A5-Abonnement
- Ein E5- oder G5-Abonnement
- Ein E1-, F1- oder G1-Abonnement oder ein E3- oder G3-Abonnement, das eines der folgenden Features enthält:
- Office 365 Advanced Threat Protection Plan 2
- Microsoft 365 E5 Compliance
- Add-On-Lizenz für Microsoft 365 eDiscovery und Audit
Kunden, die Endpunkt-DLP verwenden und für Teams DLP berechtigt sind, sehen ihre Endpunkt-DLP-Richtlinienwarnungen und Teams DLP-Richtlinienwarnungen im dlp-Dashboard.
Rollen und Rollengruppen
Wenn Sie die DLP-Warnungsverwaltung Dashboard anzeigen oder die Warnungskonfigurationsoptionen in einer DLP-Richtlinie bearbeiten möchten, müssen Sie Mitglied einer der folgenden Rollengruppen sein:
- Complianceadministrator
- Compliancedatenadministrator
- Sicherheitsadministrator
- Sicherheitsoperator
- Sicherheitsleseberechtigter
- Information Protection-Administrator
- Information Protection-Analyst
- Information Protection-Ermittler
- Information Protection-Leser
Weitere Informationen dazu finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal
Hier finden Sie eine Liste der anwendbaren Rollengruppen. Weitere Informationen hierzu finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.
- Informationsschutz
- Information Protection-Administratoren
- Information Protection-Analysten
- Information Protection-Ermittler
- Information Protection-Leser
Für den Zugriff auf die DLP-Warnungsverwaltung Dashboard benötigen Sie die Rolle Warnungen verwalten und eine der beiden folgenden Rollen:
- DLP-Complianceverwaltung
- View-Only DLP Compliance Management
Um auf die Inhaltsvorschaufunktion und die Features Übereinstimmende sensible Inhalte und Kontexte zugreifen zu können, müssen Sie Mitglied der Rollengruppe Inhalts-Explorer Inhalts-Viewer sein, der die Rolle Datenklassifizierungsinhalts-Viewer vorab zugewiesen ist.
Tipp
Wenn der Administrator Zugriff auf Warnungen, aber keine kontextbezogenen/vertraulichen Informationen benötigt, können Sie eine benutzerdefinierte Rolle erstellen und zuweisen, die keine Berechtigung zum Anzeigen von Datenklassifizierungsinhalten enthält.
DLP-Warnungskonfiguration
Informationen zum Konfigurieren einer Warnung in Ihrer DLP-Richtlinie finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust. Je nach Lizenzierung gibt es unterschiedliche Funktionen für die Warnungskonfiguration.
Konfiguration von Aggregieren von Ereigniswarnungen
Wenn Sie für aggregierte Warnungskonfigurationsoptionen lizenziert sind, werden diese Optionen beim Erstellen oder Bearbeiten einer DLP-Richtlinie angezeigt.
Mit dieser Konfiguration können Sie eine Richtlinie einrichten, um eine Warnung zu generieren:
- jedes Mal, wenn eine Aktivität den Richtlinienbedingungen entspricht
- wenn der definierte Schwellenwert erreicht oder überschritten wird
- basierend auf der Anzahl der Aktivitäten
- basierend auf der Menge exfiltrierter Daten
Um eine Flut von Benachrichtigungs-E-Mails zu verhindern, werden alle Übereinstimmungen, die innerhalb eines Zeitfensters von einer Minute auftreten und für dieselbe DLP-Regel und am selben Speicherort gelten, in derselben Warnung gruppiert. Das Feature für das Aggregationszeitfenster von einer Minute ist verfügbar in:
- Ein E5- oder G5-Abonnement
- Ein E1-, F1- oder G1-Abonnement oder ein E3- oder G3-Abonnement, das eines der folgenden Features enthält:
- Office 365 Advanced Threat Protection Plan 2
- Microsoft 365 E5 Compliance
- Add-On-Lizenz für Microsoft 365 eDiscovery und Audit
Für Organisationen, die über ein E1-, F1- oder G1-Abonnement oder ein E3- oder G3-Abonnement verfügen, beträgt das Aggregationszeitfenster 15 Minuten.
Konfiguration einzelner Ereigniswarnungen
Wenn Sie für Konfigurationsoptionen für Warnungen mit nur einem Ereignis lizenziert sind, werden diese Optionen beim Erstellen oder Bearbeiten einer DLP-Richtlinie angezeigt. Verwenden Sie diese Option, um eine Warnung zu erstellen, die bei jeder Übereinstimmung mit einer DLP-Regel ausgelöst wird.
Typen von Ereignissen
Im Folgenden finden Sie einige der Ereignisse, die einer Warnung zugeordnet sind. Im Warnungs-Dashboard können Sie ein bestimmtes Ereignis auswählen, um dessen Details anzuzeigen.
Ereignisdetails
| Eigenschaftenname | Beschreibung | Ereignistypen |
|---|---|---|
| ID | eindeutige ID, die dem Ereignis zugeordnet ist | alle Ereignisse |
| Standort | Workload, bei der das Ereignis erkannt wurde | alle Ereignisse |
| Zeitpunkt der Aktivität | Uhrzeit der Benutzeraktivität, die den Kriterien der DLP-Richtlinie entspricht |
Betroffene Entitäten
| Eigenschaftenname | Beschreibung | Ereignistypen |
|---|---|---|
| Benutzer | Benutzer, der die Aktion ausgeführt hat, die die Richtlinienentsprechung verursacht hat | alle Ereignisse |
| Hostname | Hostname des Computers, auf dem die DLP-Richtlinienüberstimmung aufgetreten ist | Geräteereignisse |
| IP-Adresse | IP-Adresse des Computers, auf dem die DLP-Richtlinienüberstimmung aufgetreten ist | Geräteereignisse |
| sha1 | SHA-1-Hash der Datei | Geräteereignisse |
| sha256 | SHA-256-Hash der Datei | Geräteereignisse |
| MDATP-Geräte-ID | MDATP-ID des Endpunktgeräts | |
| Dateigröße | Größe der Datei | SharePoint-, OneDrive- und Geräteereignisse |
| Dateipfad | Der absolute Pfad des Elements, das an der DLP-Richtlinieneinstimmung beteiligt ist | SharePoint-, OneDrive- und Geräteereignisse |
| E-Mail-Empfänger | Wenn eine E-Mail das vertrauliche Element war, das mit der DLP-Richtlinie übereinstimmt, enthält dieses Feld die Empfänger dieser E-Mail. | Exchange-Ereignisse |
| E-Mail-Betreff | Betreff der E-Mail, die mit der DLP-Richtlinie übereinstimmt | Exchange-Ereignisse |
| E-Mail-Anlagen | Namen der Anlagen in der E-Mail, die der DLP-Richtlinie entsprechen | Exchange-Ereignisse |
| Websitebesitzer | Name des Websitebesitzers | SharePoint- und OneDrive-Ereignisse |
| Website-URL | voller URL der SharePoint- oder OneDrive-Website, auf der die DLP-Richtlinienüberstimmung aufgetreten ist | SharePoint- und OneDrive-Ereignisse |
| Datei erstellt | Erstellungszeitpunkt der Datei, die der DLP-Richtlinie entspricht | SharePoint- und OneDrive-Ereignisse |
| Datei zuletzt geändert | das letzte Mal, zu dem die Datei geändert wurde, die der DLP-Richtlinie entspricht | SharePoint- und OneDrive-Ereignisse |
| Dateigröße | Größe der Datei, die der DLP-Richtlinie entspricht | SharePoint- und OneDrive-Ereignisse |
| Dateibesitzer | Besitzer der Datei, die der DLP-Richtlinie entspricht | SharePoint- und OneDrive-Ereignisse |
Richtliniendetails
| Eigenschaftenname | Beschreibung | Ereignistypen |
|---|---|---|
| DLP-Richtlinie abgeglichen | Name der übereinstimmend zugeordneten DLP-Richtlinie | alle Ereignisse |
| Regel übereinstimmend | Name der übereinstimmend zugeordneten DLP-Richtlinienregel | alle Ereignisse |
| Typen vertraulicher Informationen (SIT) erkannt | SITs, die im Rahmen der DLP-Richtlinien-Übereinstimmung erkannt wurden | alle Ereignisse |
| Durchgeführte Aktionen | Ausgeführte Aktionen, die zur Entsprechung der DLP-Richtlinie geführt haben | alle Ereignisse |
| Verletzende Aktion | Aktion auf dem Endpunktgerät, das die DLP-Warnung ausgelöst hat | Geräteereignisse |
| Benutzerüberrodungsrichtlinie | hat der Benutzer die Richtlinie über einen Richtlinientipp überschrieben. | alle Ereignisse |
| Verwenden der Überschreibungsbegründung | der Vom Benutzer für die Außerkraftsetzung angegebene Grundtext | alle Ereignisse |
Wichtig
Die Konfiguration der Aufbewahrungsrichtlinie für Überwachungsprotokolle Ihres organization steuert, wie lange eine Warnung in der Konsole sichtbar bleibt. Weitere Informationen finden Sie unter Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle .
Siehe auch
- Warnungen in DLP-Richtlinien: Beschreibt Warnungen im Kontext einer DLP-Richtlinie.
- Erste Schritte mit Warnungen zur Verhinderung von Datenverlust: Behandelt die erforderlichen Berechtigungen, Berechtigungen und Voraussetzungen für DLP-Warnungen und Warnungsreferenzdetails.
- Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust: Enthält Anleitungen zur Warnungskonfiguration im Kontext der Erstellung einer DLP-Richtlinie.
- Informationen zum Untersuchen von Warnungen zur Verhinderung von Datenverlust: Behandelt die verschiedenen Methoden zum Untersuchen von DLP-Warnungen.
- Untersuchen von Datenverlustvorfällen mit Microsoft Defender XDR: Untersuchen von DLP-Warnungen in Microsoft Defender Portal.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für