Просмотр отчетов о защите от потери данных

После создания политик предотвращения потери данных (DLP) необходимо убедиться, что они работают по вашему назначению и помогают вам соблюдать требования. С отчетами DLP в Центре соответствия требованиям безопасности можно & быстро просмотреть:

  • Совпадения политик DLP В этом отчете показано количество совпадений политики DLP с течением времени. Вы можете отфильтровать отчет по дате, расположению, политике или действию. С помощью этого отчета вы можете:

    • настраивать и уточнять политики защиты от потери данных, запуская их в тестовом режиме. Вы можете увидеть, какому именно правилу соответствует содержимое;

    • сосредоточиться на определенных периодах времени и определить причины скачков и тенденций;

    • выявить бизнес-процессы, которые нарушают политики защиты от потери данных вашей организации;

    • понять влияние политик защиты от потери данных, просматривая действия, выполняемые с содержимым;

    • проверить соответствие требованиям конкретной политики защиты от потери данных, отображая все совпадения с правилами этой политики;

    • просмотреть список пользователей, которые чаще всего вызывают инциденты в организации;

    • просмотреть список наиболее распространенных в организации типов конфиденциальной информации.

  • Инциденты DLP В этом отчете также показаны совпадения политик с течением времени, например отчет о совпадениях политик. Однако отчет о совпадениях политик показывает совпадения на уровне правила; например, если сообщение электронной почты совпадает с тремя разными правилами, в отчете о совпадениях политик показаны три разных элементов строки. В отчете об инцидентах, напротив, показаны совпадения на уровне элемента; например, если сообщение электронной почты совпадает с тремя разными правилами, в отчете об инцидентах показан элемент одной строки для этого элемента контента.

    Так как количество отчетов агрегируется по-разному, отчет о совпадениях политик лучше для определения совпадений с определенными правилами и тонкой настройки политик DLP. Отчет об инцидентах лучше всего выявляет определенные фрагменты содержимого, которые являются проблемными для ваших политик защиты от потери данных.

  • Ложные срабатываения и переопределения DLP Если политика DLP позволяет пользователям переопределять его или сообщать о ложном срабатывке, в этом отчете показано количество таких экземпляров с течением времени. Вы можете отфильтровать отчет по дате, расположению или политике. С помощью этого отчета вы можете:

    • настроить или уточнить политики защиты от потери данных, определив, какие из них вызывают большое количество ложных срабатываний.

    • просматривать обоснования, которые пользователи предоставляют для переопределения политики при ознакомлении с подсказкой политики;

    • узнать, какие политики защиты от потери данных препятствуют разрешенным бизнес-процессам, вынуждая пользователей часто переопределять их.

Отчеты защиты от потери данных могут отображать данные за последний четырехмесячный период. Новые данные появляются в отчетах в течение 24 часов.

Эти отчеты можно найти в панели мониторинга отчетов Центра соответствия & > требованиям > безопасности.

Отчет о совпадениях политики DLP.

Просмотр обоснования, отправленного пользователем для переопределения

Если политика защиты от потери данных позволяет пользователям переопределять ее, вы можете использовать отчет о ложном срабатывании и переопределении для просмотра текста, отправленного пользователями в подсказке политики.

Поле оправданий в подробностях отчета о ложном срабатывке DLP и переопределения.

Принимайте меры по анализу и рекомендациям

Отчеты могут показывать сведения и рекомендации, в которых можно щелкнуть красный значок предупреждения, чтобы увидеть сведения о потенциальных проблемах и принять возможные меры по исправлению.

Щелкните значок insights, чтобы увидеть сведения и действия, которые необходимо принять.

Разрешения для отчетов о DLP

Чтобы просмотреть отчеты DLP в Центре & безопасности, необходимо навести ставку на:

  • Роль читателя безопасности в Exchange центре администрирования. По умолчанию эта роль назначена группам ролей управления и чтения безопасности организации в центре администрирования Exchange безопасности.

  • Роль управления соответствием требованиям только для просмотра DLP в Центре & безопасности. По умолчанию эта роль назначена группам ролей администратора соответствия требованиям, управления организацией, администратора безопасности и групп чтения & безопасности.

  • Роль только для получателей просмотра в центре администрирования Exchange. По умолчанию эта роль назначена группам ролей управления соответствием требованиям, управлению организацией и View-Only организации в центре администрирования Exchange организации.

Поиск cmdlets для отчетов DLP

Чтобы можно было использовать большинство командлетов в Центре безопасности и соответствия требованиям, необходимо выполнить указанные ниже действия.

  1. Подключение центр соответствия & требованиям безопасности с помощью удаленной PowerShell

  2. Используйте все эти коммлеты Центра соответствия & требованиям безопасности

При этом, чтобы создавать отчеты со сведениями о защите от потери данных, системе потребуется получать данные из Office 365, в том числе из Exchange Online. По этой причине cmdlets для отчетов DLP доступны в Exchange Online Powershell, а не в Центре обеспечения & соответствия требованиям безопасности Powershell. Поэтому, чтобы можно было использовать эти командлеты для отчетов со сведениями о защите от потери данных, необходимо выполнить указанные действия.

  1. Подключитесь к Exchange Online с помощью удаленного сеанса PowerShell.

  2. Используйте следующие командлеты для отчетов со сведениями о защите от потери данных: