Konfigurera och visa varningar för dataförlustskydd
DLP-principer (Data Loss Prevention) kan vidta skyddsåtgärder för att förhindra oavsiktlig delning av känsliga objekt. När en åtgärd vidtas på ett känsligt objekt kan du få ett meddelande genom att konfigurera aviseringar för DLP. I den här artikeln beskrivs hur du definierar principer för avancerade aviseringar som är kopplade till DLP-principer (dataförlustskydd). Du får se hur du använder den nya instrumentpanelen för hantering av DLP-aviseringar i Microsoft 365 Efterlevnadscenter för att visa aviseringar, händelser och tillhörande metadata för DLP-principfel.
Funktioner
Följande funktioner är en del av detta:
Instrumentpanelen för DLP-aviseringshantering: i Microsoft 365 Efterlevnadscentervisar den här instrumentpanelen aviseringar för DLP-principer som tillämpas på följande arbetsbelastningar:
- Exchange
- SharePoint
- OneDrive
- Teams
- Enheter
Avancerade alternativ för aviseringskonfiguration: De här alternativen är en del av redigeringsflödet för DLP-principen. Använd dem för att skapa avancerade aviseringskonfigurationer. Du kan skapa en avisering med bara en händelse eller en aggregerad avisering, baserat på antalet händelser eller storleken på de läckta data.
Innan du börjar
Innan du börjar kontrollerar du att du har de krav som krävs:
- Licensiering för Instrumentpanelen för hantering av DLP-aviseringar
- Licensiering för alternativ för aviseringskonfiguration
- Roller
Licensiering för Instrumentpanelen för DLP-aviseringshantering
Alla kvalificerade klientorganisationar för Office 365 DLP kan komma åt den nya Instrumentpanelen för DLP-aviseringshantering. För att komma igång bör du vara berättigad till DLP Office 365 för Exchange Online, SharePoint Online och OneDrive för företag. Mer information om licenskraven för Office 365 DLP finns i Vilka licenser tillhandahåller rättigheter som en användare kan dra nytta av tjänsten?
Kunder som använder Slutpunkt DLP som är berättigade till Teams DLP ser deras DLP-principaviseringar och aviseringar för Teams DLP-princip i Instrumentpanelen för hantering av DLP-aviseringar.
Licensiering för alternativ för aviseringskonfiguration
- Aviseringskonfiguration för enstaka händelser : Organisationer som har en E1-, F1- eller G1-prenumeration eller en E3- eller G3-prenumeration kan bara skapa aviseringsprinciper där en avisering utlöses varje gång en aktivitet inträffar.
- Aggregerad aviseringskonfiguration: Om du vill konfigurera principer för aggregerad avisering baserat på ett tröskelvärde måste du ha någon av följande konfigurationer:
- En E5- eller G5-prenumeration
- En E1-, F1- eller G1-prenumeration eller en E3- eller G3-prenumeration som innehåller någon av följande funktioner:
- Office 365 Advanced Threat Protection plan 2
- Microsoft 365 E5 Compliance
- Microsoft 365 för eDiscovery- och Audit-tillägg
Roller
Om du vill visa instrumentpanelen för hantering av DLP-aviseringar eller redigera alternativ för aviseringskonfiguration i en DLP-princip måste du vara medlem i någon av dessa rollgrupper:
- Efterlevnadsadministratör
- Administratör för efterlevnadsdata
- Säkerhetsadministratör
- Säkerhetsoperatör
- Säkerhetsläsare
För att komma åt Instrumentpanelen för hantering av DLP-aviseringar behöver du rollen Hantera aviseringar och någon av följande roller:
- DLP-efterlevnadshantering
- View-Only DLP-efterlevnadshantering
Avisering om konfiguration
Om du är berättigad till konfigurationsalternativför aggregerade aviseringar visas följande infogade alternativ i redigeringsupplevelsen för DLP-principen.
Med den här konfigurationen kan du konfigurera en princip för att generera en avisering:
- varje gång en aktivitet matchar policyvillkoren
- när det definierade tröskelvärdet uppfylls eller överskrids
- baserat på antalet aktiviteter
- baserat på volymen av exfiltrerade data
För att förhindra en genomsänkning av aviseringsmeddelanden grupperas alla matchningar som inträffar inom en minut och som gäller samma DLP-regel och på samma plats i samma avisering. Aggregeringsfönstret med en minut är tillgänglig i:
- En E5- eller G5-prenumeration
- En E1-, F1- eller G1-prenumeration eller en E3- eller G3-prenumeration som innehåller någon av följande funktioner:
- Office 365 Advanced Threat Protection plan 2
- Microsoft 365 E5 Compliance
- Microsoft 365 för eDiscovery- och Audit-tillägg
För organisationer som har en E1-, F1- eller G1-prenumeration eller en E3- eller G3-prenumeration är aggregeringstidsfönstret 15 minuter.
Instrumentpanelen för DLP-aviseringshantering
Så här arbetar du med Instrumentpanelen för DLP-aviseringshantering:
I Microsoft 365 Efterlevnadscentergår du till Dataförlustskydd.
Välj fliken Aviseringar för att visa instrumentpanelen för DLP-aviseringar.
Välj filter för att förfina listan med aviseringar. Välj Anpassa kolumner för att visa de egenskaper du vill se. Du kan också välja att sortera aviseringarna i stigande eller fallande ordning i en kolumn.
Välj en avisering om du vill se mer information:
Välj fliken Händelser om du vill visa alla händelser som är associerade med aviseringen. Du kan välja en viss händelse om du vill visa dess information. I följande tabell visas en del av händelseinformationen.
Kategori Egenskapsnamn Beskrivning Tillämpliga händelsetyper Händelseinformation ID Unikt ID som är kopplat till händelsen Alla händelser Plats Arbetsbelastning där händelsen identifierades Alla händelser Tid för aktivitet Tid för användaraktiviteten som orsakade DLP-överträdelse Alla händelser Berörda enheter Användare Användare som orsakade DLP-överträdelse Alla händelser Hostname Värdnamn för datorn där DLP-intrånget upptäcktes Enheter-händelser IP-adress DATORNs IP-adress Enheter-händelser Sökväg Absolut sökväg till filen som är involverad i intrånget SharePoint, OneDrive enheter och händelser för enheter E-postmottagare Mottagare av e-postmeddelandet som bryter mot DLP-principen Exchange händelser Ämne för e-post E-postmeddelandets ämne som bryter mot DLP-principen Exchange händelser E-postbilagor Namnen på de bifogade filerna i e-postmeddelandet som har brutit mot DLP-principen Exchange händelser Webbplatsägare Namnet på webbplatsägaren SharePoint och OneDrive händelser Webbplats-URL Fullständig URL för webbplatsen SharePoint eller OneDrive webbplats SharePoint och OneDrive händelser Fil skapad Tidpunkt då filen skapades SharePoint och OneDrive händelser Fil som senast ändrades Tidpunkten för den senaste ändringen av filen SharePoint och OneDrive händelser Filstorlek Storlek på filen SharePoint och OneDrive händelser Filägare Filens ägare SharePoint och OneDrive händelser Principinformation Matchad DLP-princip Namn på den DLP-princip som matchades Alla händelser Regelmatchad Namnet på DLP-regeln i den DLP-princip som matchades Alla händelser Känsliga informationstyper har upptäckts Typer av känslig information som identifierats som en del av DLP-principen Alla händelser Åtgärder som vidtas Åtgärder som vidtas som en del av den matchande DLP-principen Alla händelser Användarprincip överrode Om användaren ska overrode principen via principtipset Alla händelser Åsidosätt justeringstext Justering som angetts för att åsidosätta principtipset Alla händelser Välj fliken Typer av känslig information om du vill visa information om de typer av känslig information som upptäckts i innehållet. Information som ingår är förtroende och antal.
När du har undersökt aviseringen väljer du Hantera avisering för att ändra status (Aktiv, Undersöker, Avvisad eller Löst). Du kan också lägga till kommentarer och tilldela aviseringen till någon i organisationen.
- Om du vill se historiken för arbetsflödeshantering väljer du Hanteringslogg.
- När du har vidta den åtgärd som krävs för aviseringen ställer du in statusen för aviseringen på Matchad.