使用 Microsoft Defender XDR 调查数据丢失防护警报

  • 项目

适用于:

  • Microsoft Defender XDR

可以在Microsoft Defender门户中管理Microsoft Purview 数据丢失防护 (DLP) 警报。 在快速启动Microsoft Defender门户时打开“事件& 警报>事件”。 在此页中,你可以:

  • 查看Microsoft Defender XDR事件队列中事件下分组的所有 DLP 警报。
  • 在单个事件下查看智能解决方案间 (DLP-MDE、DLP-MDO) 和解决方案内部 (DLP-DLP) 相关警报。
  • 在“高级搜寻”下搜寻合规性日志和安全性。
  • 在用户、文件和设备上执行就地管理员修正操作。
  • 将自定义标记关联到 DLP 事件并按它们进行筛选。
  • 在统一事件队列上按 DLP 策略名称、标记、日期、服务源、事件状态和用户进行筛选。

提示

还可以将 DLP 事件以及事件和证据提取到 Microsoft Sentinel 中,以便通过 Microsoft Sentinel 中的Microsoft Defender XDR连接器进行调查和修正。

许可要求

若要在Microsoft Defender门户中调查Microsoft Purview 数据丢失防护事件,需要以下订阅之一的许可证:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 合规
  • Microsoft 365 E5/A5 信息保护和治理

注意

获得许可并有资格使用此功能时,DLP 警报将自动流入Microsoft Defender XDR。 如果不希望 DLP 警报流入 Defender,请创建支持案例以禁用此功能。 如果禁用此功能,则 DLP 警报将在 Defender 门户中显示为 Office 警报Microsoft Defender。

角色

最佳做法是仅向Microsoft Defender门户中的警报授予最小权限。 可以使用这些角色创建自定义角色,并将其分配给需要调查 DLP 警报的用户。

权限 Defender 警报访问
管理通知 DLP + 安全性
View-Only 管理警报 DLP + 安全性
信息保护分析师 仅限 DLP
DLP 合规性管理 仅限 DLP
View-Only DLP 合规性管理 仅限 DLP

准备工作

Microsoft Purview 合规门户中的所有 DLP 策略启用警报

注意

管理单元 限制从数据丢失防护 (DLP) 流入 Defender 门户。 如果你是管理单元受限管理员,则只会看到管理单元的 DLP 警报。

在Microsoft Defender门户中调查 DLP 警报

  1. 转到Microsoft Defender门户,在左侧导航菜单中选择“事件”以打开“事件”页。

  2. 选择右上角的“ 筛选器 ”,然后选择“ 服务源:数据丢失防护 ”,查看包含 DLP 警报的所有事件。 下面是预览版中提供的子筛选器的一些示例:

    1. 按用户和设备名称
    2. (预览版) 在 “实体” 筛选器中,可以搜索文件名、用户、设备名称和文件路径。
    3. (预览版) 事件 队列 >警报策略> 标题。 可以搜索 DLP 策略名称。

  3. 搜索你感兴趣的警报和事件的 DLP 策略名称。

  4. 若要查看事件摘要页,请从队列中选择事件。 同样,选择警报以查看 DLP 警报页。

  5. 查看 警报文章 ,详细了解警报中检测到的策略和敏感信息类型。 选择“ 相关事件 ”部分中的事件以查看用户活动详细信息。

  6. 如果具有所需的权限,请查看“ 敏感信息类型 ”选项卡中匹配的敏感内容,以及“ ”选项卡中的文件内容 (请参阅此处) 的详细信息。

使用高级搜寻扩展 DLP 警报调查

高级搜寻是一种基于查询的威胁搜寻工具,可让你浏览用户、文件和站点位置长达 30 天的审核日志,以帮助进行调查。 你可以主动检查网络中的事件来找到威胁指示器和实体。 通过灵活访问数据,可以不受约束地搜寻已知威胁和潜在威胁。

CloudAppEvents 表包含 SharePoint、OneDrive、Exchange 和设备等所有位置的所有审核日志。

开始之前

如果你不熟悉高级搜寻,应查看 高级搜寻入门

在使用高级搜寻之前,必须有权访问包含 Microsoft Purview 数据的 CloudAppEvents

使用内置查询

重要

此功能为预览版。 预览功能不适用于生产用途,可能具有受限功能。 这些功能在正式发布之前可用,以便客户能够提前访问并提供反馈。

Defender 门户提供了多个内置查询,可用于帮助进行 DLP 警报调查。

  1. 转到Microsoft Defender门户,在左侧导航菜单中选择“事件 & 警报”以打开事件页。 选择“ 事件”。
  2. 选择右上角的“ 筛选器 ”,然后选择“ 服务源:数据丢失防护 ”,查看包含 DLP 警报的所有事件。
  3. 打开 DLP 事件。
  4. 选择警报以查看其关联事件。
  5. 选择事件。
  6. 在事件详细信息窗格中,选择 “Go 搜寻 ”控件。
    1. Defender 显示与事件的源位置相关的内置查询列表。 例如,如果事件来自 SharePoint,则会看到
      1. 文件共享的
      2. 文件活动
      3. 网站活动
      4. 过去 30 天的用户 DLP 冲突
  7. 可以选择立即 运行查询 、更改时间范围、编辑或保存查询以供以后使用。
  8. 运行查询后,在“ 结果 ”选项卡上查看结果。

如果警报针对电子邮件,则可以通过选择 “操作>下载电子邮件”来下载邮件

如果警报针对 SharePoint Online 或 One Drive for Business 中的文件,则可以执行以下操作:

对于修正操作,请选择警报页面顶部的“用户卡”以打开用户详细信息。

对于“设备 DLP 警报”,请选择警报页顶部的设备卡以查看设备详细信息并在设备上执行修正操作。

转到事件摘要页,然后选择“ 管理事件 ”以添加事件标记、分配或解决事件。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区