Använda känslighetsetiketter för att prioritera incidentsvar

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

En typisk avancerad livscykel för beständiga hot involverar datainfiltrering. Vid säkerhetstillbud är det viktigt att ha möjlighet att prioritera undersökningar där känsliga filer kan vara känsliga så att företagsdata och företagsinformation skyddas.

Defender för Endpoint gör prioriteringen av säkerhetstillbud enklare med hjälp av känslighetsetiketter. Känslighetsetiketter identifierar snabbt incidenter som involverar enheter med känslig information, till exempel konfidentiell information.

Undersöka incidenter med känslig information

Lär dig hur du använder datakänslighetsetiketter för att prioritera undersökning av incidenter.

Anteckning

Etiketter identifieras för varje Windows 10 version 1809 eller senare, och Windows 11.

  1. I Microsoft 365 Defender väljer du Incidenter & > Incidenter.

  2. Rulla till höger för att se kolumnen Datakänslighet. I den här kolumnen visas känslighetsetiketter som har visats på enheter som är relaterade till incidenterna och som anger om känsliga filer kan påverkas av händelsen.

    Bild av kolumnen för datakänslighet.

    Du kan också filtrera baserat på datakänslighet

    Bild av filtret för datakänslighet.

  3. Öppna incidentsidan för ytterligare undersökning.

    Bild på information om incidentsidan.

  4. Välj fliken Enheter för att identifiera enheter som lagrar filer med känslighetsetiketter.

    Bild på fliken Enhet.

  5. Välj de enheter som lagrar känsliga data och sök igenom tidslinjen för att identifiera vilka filer som kan påverkas och vidta lämpliga åtgärder för att säkerställa att data skyddas.

    Du kan begränsa händelser som visas på enhetens tidslinje genom att söka efter datakänslighetsetiketter. Då visas endast händelser som är associerade med filer som har sa etikettnamn.

    Bild på tidslinjen på enheten med det smala sökresultatet baserat på etikett.

Tips

Dessa datapunkter exponeras även genom "DeviceFileEvents" vid avancerad sökning, så att avancerade frågor och schemaidentifiering kan ta hänsyn till känslighetsetiketter och filskyddsstatus.