Anzeigen der Berichtr zur Verhinderung von Datenverlust

Nachdem Sie Ihre Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) erstellt haben, sollten Sie überprüfen, ob sie wie gewünscht funktionieren, und Ihnen helfen, konform zu bleiben. Mit den DLP-Berichten im Security & Compliance Center können Sie Schnellansichten anzeigen:

  • DLP-Richtlinienüberstimmungen Dieser Bericht zeigt die Anzahl der DLP-Richtlinienübersprechungen im Laufe der Zeit an. Sie können den Bericht nach Datum, Speicherort, Richtlinie oder Aktion filtern. Sie können diesen Bericht für Folgendes verwenden:

    • Sie können Ihre DLP-Richtlinien optimieren oder verfeinern, während Sie sie im Testmodus ausführen. Sie können die spezielle Regel, die mit dem Inhalt übereinstimmte, anzeigen.

    • Sie können sich auf bestimmte Zeiträume konzentrieren und so mehr über die Gründe für Spitzen und Trends erfahren.

    • Sie können die Geschäftsprozesse ermitteln, die gegen die DLP-Richtlinien Ihrer Organisation verstoßen.

    • Sie können geschäftliche Auswirkungen von DLP-Richtlinien verstehen, indem Sie anzeigen, welche Maßnahmen auf Inhalte angewendet werden.

    • Sie können die Einhaltung einer bestimmten DLP-Richtlinie durch Anzeigen von Übereinstimmungen für diese Richtlinie überprüfen.

    • Sie können eine Liste der wichtigsten Benutzer und wiederholten Benutzer anzeigen, die zu Vorfällen in Ihrer Organisation beitragen.

    • Sie können eine Liste der wichtigsten Typen vertraulicher Informationen in Ihrer Organisation anzeigen.

  • DLP-Vorfälle In diesem Bericht werden auch Richtlinienüberstimmungen im Laufe der Zeit angezeigt, z. B. der Bericht über Richtlinienüberstimmungen. Der Bericht über Richtlinienüberstimmungen zeigt jedoch Übereinstimmungen auf Regelebene an. Wenn eine E-Mail beispielsweise mit drei verschiedenen Regeln übereinstimmte, werden im Bericht über Richtlinienübereinstimmungen drei verschiedene Zeilenelemente angezeigt. Im Gegensatz dazu zeigt der Vorfallbericht Übereinstimmungen auf Elementebene an. Wenn z. B. eine E-Mail mit drei verschiedenen Regeln übereinstimmte, wird im Vorfallbericht ein einzelnes Element für diesen Inhalt angezeigt.

    Da die Berichtsanzahl unterschiedlich aggregiert wird, ist der Bericht über Richtlinienübereinstimmungen besser geeignet, um Übereinstimmungen mit bestimmten Regeln zu identifizieren und DLP-Richtlinien zu optimieren. Der Bericht der Vorfälle ist besser geeignet, um bestimmte Inhaltselemente zu identifizieren, die für Ihre DLP-Richtlinien problematisch sind.

  • Falsch positive DLP-Ergebnisse und Außerkraftsetzungen Wenn Ihre DLP-Richtlinie es Benutzern ermöglicht, sie außer Kraft zu setzen oder ein falsch positives Ergebnis zu melden, zeigt dieser Bericht die Anzahl solcher Instanzen im Laufe der Zeit an. Sie können den Bericht nach Datum, Speicherort oder Richtlinie filtern. Sie können diesen Bericht für Folgendes verwenden:

    • Sie können Ihre DLP-Richtlinien optimieren oder verfeinern, indem Sie sehen, welche Richtlinien eine hohe Anzahl falsch positiver Ergebnisse verursachen.

    • Sie können die Begründungen anzeigen, die von Benutzern gesendet werden, wenn diese einen Richtlinientipp durch Außerkraftsetzen der Richtlinie lösen.

    • Sie können entdecken, wo DLP-Richtlinien mit gültigen Geschäftsprozessen in Konflikt stehen, wenn Sie eine hohe Anzahl von Außerkraftsetzungen durch Benutzer verzeichnen.

Alle DLP-Berichte können Daten des letzten Viermonatszeitraums enthalten. Es kann bis zu 24 Stunden dauern, bis die aktuellsten Daten in den Berichten angezeigt werden.

Sie finden diese Berichte im Security & Compliance > Center-Berichtsdashboard. >

Bericht über DLP-Richtlinienüberstimmungen.

Anzeigen der Begründung, die von einem Benutzer für eine Außerkraftsetzung übermittelt wurde

Wenn Ihre DLP-Richtlinie es zulässt, dass Benutzer sie außer Kraft setzen, können Sie den Bericht der falsch positiven Ergebnisse und Außerkraftsetzungen verwenden, um den von Benutzern eingereichten Text im Richtlinientipp anzuzeigen.

Begründungsfeld in Details des DLP-Berichts "Falsch positives Ergebnis" und "Außerkraftsetzung".

Ergreifen von Maßnahmen für Einblicke und Empfehlungen

Berichte können Einblicke und Empfehlungen anzeigen, in denen Sie auf das rote Warnsymbol klicken können, um Details zu potenziellen Problemen anzuzeigen und mögliche Abhilfemaßnahmen zu ergreifen.

Klicken auf ein Insights-Symbol, um Details und auszuführende Aktionen anzuzeigen.

Berechtigungen für DLP-Berichte

Um DLP-Berichte im Security & Compliance Center anzuzeigen, müssen Ihnen Folgendes zugewiesen werden:

  • Rolle "Sicherheitsleseberechtigter" im Exchange Admin Center. Standardmäßig wird diese Rolle den Rollengruppen "Organisationsverwaltung" und "Sicherheitsleseberechtigter" im Exchange Admin Center zugewiesen.

  • Rolle "Nur DLP-Complianceverwaltung" im Security & Compliance Center anzeigen. Standardmäßig wird diese Rolle den Rollengruppen "Complianceadministrator", "Organisationsverwaltung", "Sicherheitsadministrator" und "Sicherheitsleseberechtigter" im Security & Compliance Center zugewiesen.

  • Rolle "Empfänger nur anzeigen" im Exchange Admin Center. Standardmäßig wird diese Rolle den Rollengruppen "Complianceverwaltung", "Organisationsverwaltung" und View-Only "Organisationsverwaltung" im Exchange Admin Center zugewiesen.

Suchen der Cmdlets für die DLP-Berichte

Zur Verwendung der meisten Cmdlets für das Security & Compliance Center müssen Sie folgende Aktionen ausführen:

  1. Verbinden zum Security & Compliance Center mithilfe von Remote-PowerShell

  2. Verwenden Sie eines dieser & Security Compliance Center-Cmdlets

DLP-Berichte müssen jedoch Daten aus allen Office 365-Komponenten (einschließlich Exchange Online) abrufen. Aus diesem Grund sind die Cmdlets für die DLP-Berichte in Exchange Online PowerShell verfügbar, nicht in Security & Compliance Center PowerShell. Zur Verwendung der Cmdlets für die DLP-Berichte müssen Sie daher folgende Aktionen ausführen:

  1. Stellen Sie eine Verbindung mit Exchange Online mithilfe der Remote-PowerShell her

  2. Verwenden Sie eines dieser Cmdlets für die DLP-Berichte: