Исследование оповещений защиты от потери данных с помощью Microsoft Defender XDR

  • Статья

Область применения:

  • Microsoft Defender XDR

Вы можете управлять оповещениями Защита от потери данных Microsoft Purview (DLP) на портале Microsoft Defender. Откройте "Инциденты" & оповещений>Об инцидентах при быстром запуске портала Microsoft Defender. На этой странице вы можете:

  • Просмотрите все оповещения защиты от потери данных, сгруппированные по инцидентам в очереди инцидентов Microsoft Defender XDR.
  • Просмотр интеллектуальных оповещений между решениями (DLP-MDE, DLP-MDO) и оповещений внутри решения (DLP-DLP) в рамках одного инцидента.
  • Поиск журналов соответствия наряду с безопасностью в разделе Расширенная охота.
  • Действия администратора по исправлению на месте для пользователя, файла и устройства.
  • Связывание пользовательских тегов с инцидентами защиты от потери данных и фильтрация по ним.
  • Фильтрация по имени политики защиты от потери данных, тегу, дате, источнику службы, состоянию инцидента и пользователю в единой очереди инцидентов.

Совет

Вы также можете извлечь инциденты защиты от потери данных вместе с событиями и доказательствами в Microsoft Sentinel для исследования и исправления с помощью соединителя Microsoft Defender XDR в Microsoft Sentinel.

Требования к лицензированию

Чтобы исследовать инциденты Защита от потери данных Microsoft Purview на портале Microsoft Defender, вам потребуется лицензия из одной из следующих подписок:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Соответствие требованиям Microsoft 365 E5 или A5
  • Защита информации и управление данными в Microsoft 365 E5/A5

Примечание.

Если вы имеете лицензию и можете использовать эту функцию, оповещения защиты от потери данных будут автоматически поступать в Microsoft Defender XDR. Если вы не хотите, чтобы оповещения защиты от потери данных попадали в Defender, обратитесь в службу поддержки, чтобы отключить эту функцию. Если отключить эту функцию, оповещения защиты от потери данных будут отображаться на портале Defender как Microsoft Defender для оповещений Office.

Роли

Рекомендуется предоставлять только минимальные разрешения для оповещений на портале Microsoft Defender. Вы можете создать пользовательскую роль с этими ролями и назначить ее пользователям, которым необходимо исследовать оповещения защиты от потери данных.

Разрешение Доступ к оповещениям Defender
Управление оповещениями Защита от потери данных и безопасность
управление оповещениями View-Only Защита от потери данных и безопасность
Аналитик Information Protection Только защита от потери данных
Управление соответствием требованиям DLP Только защита от потери данных
Управление соответствием требованиям защиты от потери данных View-Only Только защита от потери данных

Перед началом работы

Включите оповещения для всех политик защиты от потери данных в Портал соответствия требованиям Microsoft Purview.

Примечание.

Ограничения административных единиц передаются из защиты от потери данных (DLP) на портал Defender. Если вы являетесь администратором с ограниченным доступом к административной единице, вы увидите только оповещения защиты от потери данных для административной единицы.

Изучение оповещений защиты от потери данных на портале Microsoft Defender

  1. Перейдите на портал Microsoft Defender и выберите Инциденты в меню навигации слева, чтобы открыть страницу инцидентов.

  2. Выберите Фильтры в правом верхнем углу и выберите Источник службы: защита от потери данных , чтобы просмотреть все инциденты с оповещениями защиты от потери данных. Вот несколько примеров подфильтров, доступных в предварительной версии:

    1. по именам пользователей и устройств
    2. (в предварительной версии) В фильтре Сущности можно выполнять поиск по именам файлов, пользователям, именам устройств и путям к файлам.
    3. (в предварительной версии) В очереди > Инциденты Политики оповещений> заголовок политики оповещений. Вы можете выполнить поиск по имени политики защиты от потери данных.

  3. Поиск имя политики защиты от потери данных для интересующих вас оповещений и инцидентов.

  4. Чтобы просмотреть страницу сводки по инцидентам, выберите инцидент из очереди. Аналогичным образом выберите оповещение, чтобы просмотреть страницу оповещений о защите от потери данных.

  5. Дополнительные сведения о политике и типах конфиденциальной информации, обнаруженных в оповещении, см. в этой статье . Выберите событие в разделе Связанные события , чтобы просмотреть сведения о действиях пользователя.

  6. Просмотрите соответствующее конфиденциальное содержимое на вкладке Типы конфиденциальной информации и содержимое файла на вкладке Источник , если у вас есть необходимое разрешение (см. подробные сведения здесь).

Расширение исследования оповещений защиты от потери данных с помощью расширенной охоты

Расширенная охота — это средство охоты на угрозы на основе запросов, которое позволяет просматривать журналы аудита пользователей, файлов и расположений сайтов на срок до 30 дней, чтобы помочь в исследовании. Вы можете проводить инспекцию событий в своей сети для поиска индикаторов и объектов угроз на профилактической основе. Гибкий доступ к данным обеспечивает неограниченную охоту на известные и потенциальные угрозы.

Таблица CloudAppEvents содержит все журналы аудита во всех расположениях, таких как SharePoint, OneDrive, Exchange и устройства.

Перед началом работы

Если вы не знакомы с расширенной охотой, ознакомьтесь с разделом Начало работы с расширенной охотой.

Прежде чем использовать предварительную охоту, у вас должен быть доступ к таблице CloudAppEvents, содержащей данные Microsoft Purview.

Использование встроенных запросов

Важно!

Эта функция находится в состоянии предварительной версии. Предварительные версии функций не предназначены для использования в рабочей среде и могут иметь ограниченные функциональные возможности. Эти функции доступны до официального выпуска, чтобы клиенты могли получить ранний доступ и оставить отзыв.

Портал Defender предлагает несколько встроенных запросов, которые можно использовать для изучения оповещений защиты от потери данных.

  1. Перейдите на портал Microsoft Defender и выберите Инциденты & оповещения в меню навигации слева, чтобы открыть страницу инцидентов. Выберите Инциденты.
  2. Выберите Фильтры в правом верхнем углу и выберите Источник службы: защита от потери данных , чтобы просмотреть все инциденты с оповещениями защиты от потери данных.
  3. Откройте инцидент защиты от потери данных.
  4. Выберите оповещение, чтобы просмотреть связанные с ним события.
  5. Выберите событие.
  6. В области сведений о событии выберите элемент управления Go Hunt .
    1. В Defender отображается список встроенных запросов, относящихся к исходному расположению события. Например, если событие происходит из SharePoint, вы увидите
      1. Файл, к которым предоставлен общий доступ
      2. Действия с файлами
      3. Действия на сайте
      4. Нарушения защиты от потери данных пользователей за последние 30 дней
  7. Вы можете выполнить запрос немедленно, изменить диапазон времени, изменить или сохранить запрос для последующего использования.
  8. После выполнения запроса просмотрите результаты на вкладке Результаты .

Если оповещение предназначено для сообщения электронной почты, его можно скачать, выбрав Действия>Скачать сообщение электронной почты.

Если оповещение относится к файлу в SharePoint Online или One Drive для бизнеса, можно выполнить следующие действия:

Для действий по исправлению выберите пользовательская карта в верхней части страницы оповещений, чтобы открыть сведения о пользователе.

В разделе Устройства оповещения защиты от потери данных выберите карта устройства в верхней части страницы оповещений, чтобы просмотреть сведения об устройстве и выполнить действия по исправлению на устройстве.

Перейдите на страницу сводки по инцидентам и выберите Управление инцидентом , чтобы добавить теги инцидента, назначить или разрешить инцидент.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.