Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ihre Microsoft Purview Data Loss Prevention(DLP)-Richtlinien können so konfiguriert werden, dass Warnungen generiert werden, wenn die Bedingungen in einer Regel übereinstimmen. Warnungen werden in DLP-Richtlinienregeln konfiguriert.
Eine kurze Übersicht über Warnungen finden Sie unter:
Dieser Artikel enthält die Lizenzierungs- und Berechtigungsdetails sowie andere wichtige Informationen, die Sie für die Arbeit mit Warnungen benötigen.
DLP-Warnungen können im Microsoft Defender XDR Dashboard und im Microsoft Purview-Portal untersucht und verwaltet werden. Der Microsoft Defender XDR Dashboard ist der empfohlene Speicherort für die Untersuchung und Verwaltung von DLP-Warnungen. Das Microsoft Purview-Portal ist der empfohlene Speicherort zum Erstellen und Bearbeiten von DLP-Richtlinien.
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Alarmtypen
Warnungen können jedes Mal gesendet werden, wenn eine Aktivität einer Regel entspricht, oder sie können aggregiert werden, um das Rauschen zu reduzieren. Es gibt zwei Arten von Warnungen, die in DLP-Richtlinien konfiguriert werden können.
Warnungen für einzelne Ereignisse Warnungen mit nur einem Ereignis werden in der Regel in Richtlinien verwendet, die auf hochsensible Ereignisse überwachen, die in einem geringen Volumen auftreten, z. B. eine einzelne E-Mail mit 10 oder mehr Kundenguthaben Karte Nummern, die außerhalb Ihres organization gesendet werden. Wenn Ereignisse aus einer einzelnen Regel in einem Zeitfenster von einer Minute auftreten, werden sie standardmäßig für die E5-Lizenz und 15 Minuten für die E3-Lizenz aggregiert. In der Vorschau können Warnungen für einzelne Ereignisse pro Regel und Benutzer aggregiert werden. Dies wird als benutzer- und regelbasierte Warnungsaggregation bezeichnet.
Aggregatereigniswarnungen werden in der Regel in Richtlinien verwendet, die auf Ereignisse überwachen, die über einen bestimmten Zeitraum in einem höheren Volumen auftreten. Beispielsweise kann eine aggregierte Warnung ausgelöst werden, wenn innerhalb von 48 Stunden 10 einzelne E-Mails mit jeweils einem Kundenguthaben Karte Nummer außerhalb Ihrer Organisation gesendet werden.
Bevor Sie beginnen
Bevor Sie beginnen, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:
Lizenzierung für Warnungskonfigurationsoptionen
- Konfiguration von Warnungen für einzelne Ereignisse: Alle Organisationen mit einem DLP-Abonnement (E1, E3, E5, F1, G1, E3, E5, G5) können Richtlinien konfigurieren, um bei jedem Auslösen einer Aktivität eine Warnung zu generieren.
-
Aggregierte Warnungskonfiguration: Um aggregierte Warnungsrichtlinien basierend auf einem Schwellenwert zu konfigurieren, müssen Sie über eine der folgenden Konfigurationen verfügen:
- Ein A5-Abonnement
- Ein E5- oder G5-Abonnement
- Ein E1-, F1- oder G1-Abonnement oder ein E3- oder G3-Abonnement, das eines der folgenden Features enthält:
- Office 365 Advanced Threat Protection Plan 2
- Microsoft Purview Suite (früher als Microsoft 365 E5 Compliance bezeichnet)
- Add-On-Lizenz für Microsoft 365 eDiscovery und Audit
Kunden, die Endpunkt-DLP verwenden und für Teams DLP berechtigt sind, sehen ihre Endpunkt-DLP-Richtlinienwarnungen und Teams DLP-Richtlinienwarnungen im dlp-warnungsverwaltungs-Dashboard.
Rollen und Rollengruppen
Wenn Sie die DLP-Warnungsverwaltung Dashboard anzeigen oder die Warnungskonfigurationsoptionen in einer DLP-Richtlinie bearbeiten möchten, müssen Sie Mitglied einer der folgenden Rollengruppen sein:
- Complianceadministrator
- Compliancedatenadministrator
- Sicherheitsadministrator
- Sicherheitsoperator
- Sicherheitsleseberechtigter
- Information Protection-Administrator
- Information Protection-Analyst
- Information Protection-Ermittler
Weitere Informationen dazu finden Sie unter Berechtigungen im Microsoft Purview-Portal.
Hier finden Sie eine Liste der anwendbaren Rollengruppen. Weitere Informationen dazu finden Sie unter Berechtigungen im Microsoft Purview-Portal.
- Informationsschutz
- Information Protection-Administratoren
- Information Protection-Analysten
- Information Protection-Ermittler
Für den Zugriff auf die DLP-Warnungsverwaltung Dashboard benötigen Sie die Rolle Warnungen verwalten und eine der beiden folgenden Rollen:
- DLP-Complianceverwaltung
- View-Only DLP Compliance Management
Um auf die Inhaltsvorschaufunktion und die Features Übereinstimmende sensible Inhalte und Kontexte zugreifen zu können, müssen Sie Mitglied der Rollengruppe Inhalts-Explorer Inhalts-Viewer sein, der die Rolle Datenklassifizierungsinhalts-Viewer vorab zugewiesen ist.
Tipp
Wenn der Administrator Zugriff auf Warnungen, aber keine kontextbezogenen/vertraulichen Informationen benötigt, können Sie eine benutzerdefinierte Rolle erstellen und zuweisen, die keine Berechtigung zum Anzeigen von Datenklassifizierungsinhalten enthält.
DLP-Warnungskonfiguration
Informationen zum Konfigurieren einer Warnung in Ihrer DLP-Richtlinie finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust. Je nach Lizenzierung gibt es unterschiedliche Funktionen für die Warnungskonfiguration.
Hinweis
Es kann bis zu 3 Stunden dauern, warnungen zu generieren, nachdem Sie vorhandene Warnungen in einer DLP-Richtlinie konfiguriert oder geändert haben.
Eine Warnungs-E-Mail, eine Incidentbericht-E-Mail und eine Benutzerbenachrichtigung werden nur einmal pro Dokument gesendet. Wenn ein Dokument mit der Bedingung Inhalt ist freigegeben zweimal freigegeben wird, gibt es immer noch nur eine Benachrichtigung.
Konfiguration von Aggregieren von Ereigniswarnungen
Wenn Sie für aggregierte Warnungskonfigurationsoptionen lizenziert sind, werden diese Optionen beim Erstellen oder Bearbeiten einer DLP-Richtlinie angezeigt.
Mit dieser Konfiguration können Sie eine Richtlinie einrichten, um eine Warnung zu generieren:
- jedes Mal, wenn eine Aktivität die Bedingungen in einer Regel für die Standardaggregation erfüllt, die auf einer Regel oder einer benutzer- und regelbasierten Aggregation basiert.
- , wenn der definierte Schwellenwert basierend auf der Anzahl der Übereinstimmungen oder dem Volumen von oder auf dem Volumen exfiltrierter Daten erreicht oder überschritten wird
- für Aktivitäten, die die Kriterien erfüllen, die Sie innerhalb eines bestimmten Zeitfensters definieren
Konfiguration einzelner Ereigniswarnungen
Wenn Sie für Konfigurationsoptionen für Warnungen mit nur einem Ereignis lizenziert sind, werden diese Optionen beim Erstellen oder Bearbeiten einer DLP-Richtlinie angezeigt. Verwenden Sie diese Option, um eine Warnung zu erstellen, die bei jeder Übereinstimmung mit einer DLP-Regel ausgelöst wird.
Benutzer- und regelbasierte Warnungsaggregation (Vorschau)
Wenn Sie die benutzerbasierte Warnungserkennung in der DLP-Einstellung auf Mandantenebene aktivieren, werden Warnungen für einzelne Ereignisse basierend auf Benutzern aggregiert. Die Regel-Übereinstimmungsereignisse müssen innerhalb des konfigurierbaren Zeitfensters (15, 30, 45 und 60 Minuten) auftreten. Warnungen werden pro Regelabgleichsereignis pro Benutzer generiert.
Vergleichen von Warnungsaggregationsoptionen
| Ich möchte, dass DLP... | Zeitfenster | Aggregationstyp | Hinweise |
|---|---|---|---|
| ... eine einzelne Warnung generieren, wenn eine E-Mail mit Guthaben Karte Informationen von einer beliebigen Anzahl von Benutzern gesendet wird. | Diese Fenster können nicht vom Administrator-E5 konfiguriert werden: 60 Sekunden-E3 : 15 Minuten |
– Die benutzerbasierte Warnungsaggregation ist auf Mandantenebene auf Aus festgelegt. – Aggregation von Warnungen für einzelne Ereignisse, die auf Regelebene konfiguriert ist und verfügbar ist, wenn die Übereinstimmung innerhalb des Zeitfensters auftritt. – Aggregieren Sie DLP-Regel-Übereinstimmungen mehrerer Benutzer in einer Warnung. |
– Gilt für mehrere Benutzer für eine Regel. |
| ... Generieren Sie eine Warnung für jeden E-Mail-Absender, wenn eine E-Mail mit Guthaben Karte Informationen gesendet wird. | Dieses Zeitfenster kann vom Administrator auf Mandantenebene konfiguriert werden . - 15 - 60 Minuten |
– Benutzerbasierte Warnungsaggregation ist auf Mandantenebene auf Ein festgelegt.
– Aggregation von Warnungen für einzelne Ereignisse, die auf Regelebene konfiguriert ist. – Aggregieren Sie DLP-Regel-Übereinstimmungen nach einem einzelnen Benutzer in einer Warnung. |
– Für einen einzelnen Benutzer pro Regel.
– Erwarten Sie eine Zunahme der Warnungsmenge. - Wenn die Warnung innerhalb des Aggregationszeitfensters geschlossen wird und eine neue Übereinstimmung für denselben Benutzer und die gleiche Regel auftritt, wird die neue Regeleinstimmung in derselben Warnung aggregiert. |
| ... , um eine Warnung zu generieren, wenn mehrere Benutzer innerhalb von 60 Minuten auf mehr als 100 vertrauliche Dateien zugreifen. | – Konfiguriert auf Regelebene, 60-999 Minuten. | - Schwellenwertbasierte Aggregation : Aggregieren Sie DLP-Regel-Übereinstimmungen basierend auf der Anzahl der Übereinstimmungen. – Benutzerbasierte Warnungsaggregation ist nicht anwendbar. |
– Pivots für Regeln : Verwenden Sie dies für mehrere Benutzer für eine Regel. – Funktioniert nur für die Option Alle Benutzer . |
| ... , um eine Warnung zu generieren, wenn innerhalb von 60 Minuten mehr als 25 MB Daten von mehreren Benutzern exfiltriert werden. | Auf Regelebene konfiguriert, 60 bis 999 Minuten. | -Schwellenwertbasiertes Aggregat basierend auf dem Datenvolumen. – Benutzerbasierte Warnungsaggregation ist nicht anwendbar. |
– Pivots für Regeln : Verwenden Sie dies für mehrere Benutzer für eine Regel. – Funktioniert nur für die Option Alle Benutzer . |
Typen von Ereignissen
Im Folgenden finden Sie einige der Ereignisse, die einer Warnung zugeordnet sind. Im Warnungs-Dashboard können Sie ein bestimmtes Ereignis auswählen, um dessen Details anzuzeigen.
Ereignisdetails
| Eigenschaftenname | Beschreibung | Ereignistypen |
|---|---|---|
| ID | eindeutige ID, die dem Ereignis zugeordnet ist | alle Ereignisse |
| Location | Workload, bei der das Ereignis erkannt wurde | alle Ereignisse |
| Zeitpunkt der Aktivität | Uhrzeit der Benutzeraktivität, die den Kriterien der DLP-Richtlinie entspricht |
Betroffene Entitäten
| Eigenschaftenname | Beschreibung | Ereignistypen |
|---|---|---|
| Benutzer | Benutzer, der die Aktion ausgeführt hat, die die Richtlinienentsprechung verursacht hat | alle Ereignisse |
| Hostname | Hostname des Computers, auf dem die DLP-Richtlinienüberstimmung aufgetreten ist | Geräteereignisse |
| IP-Adresse | IP-Adresse des Computers, auf dem die DLP-Richtlinienüberstimmung aufgetreten ist | Geräteereignisse |
| sha1 | SHA-1-Hash der Datei | Geräteereignisse |
| sha256 | SHA-256-Hash der Datei | Geräteereignisse |
| MDATP-Geräte-ID | MDATP-ID des Endpunktgeräts | |
| Dateigröße | Größe der Datei | SharePoint-, OneDrive- und Geräteereignisse |
| Dateipfad | Der absolute Pfad des Elements, das an der DLP-Richtlinieneinstimmung beteiligt ist | SharePoint-, OneDrive- und Geräteereignisse |
| E-Mail-Empfänger | Wenn eine E-Mail das vertrauliche Element war, das mit der DLP-Richtlinie übereinstimmt, enthält dieses Feld die Empfänger dieser E-Mail. | Exchange-Ereignisse |
| E-Mail-Betreff | Betreff der E-Mail, die mit der DLP-Richtlinie übereinstimmt | Exchange-Ereignisse |
| E-Mail-Anlagen | Namen der Anlagen in der E-Mail, die der DLP-Richtlinie entsprechen | Exchange-Ereignisse |
| Websitebesitzer | Name des Websitebesitzers | SharePoint- und OneDrive-Ereignisse |
| Website-URL | voller URL der SharePoint- oder OneDrive-Website, auf der die DLP-Richtlinienüberstimmung aufgetreten ist | SharePoint- und OneDrive-Ereignisse |
| Datei erstellt | Erstellungszeitpunkt der Datei, die der DLP-Richtlinie entspricht | SharePoint- und OneDrive-Ereignisse |
| Datei zuletzt geändert | das letzte Mal, zu dem die Datei geändert wurde, die der DLP-Richtlinie entspricht | SharePoint- und OneDrive-Ereignisse |
| Dateigröße | Größe der Datei, die der DLP-Richtlinie entspricht | SharePoint- und OneDrive-Ereignisse |
| Dateibesitzer | Besitzer der Datei, die der DLP-Richtlinie entspricht | SharePoint- und OneDrive-Ereignisse |
Richtliniendetails
| Eigenschaftenname | Beschreibung | Ereignistypen |
|---|---|---|
| DLP-Richtlinie abgeglichen | Name der übereinstimmend zugeordneten DLP-Richtlinie | alle Ereignisse |
| Regel übereinstimmend | Name der übereinstimmend zugeordneten DLP-Richtlinienregel | alle Ereignisse |
| Typen vertraulicher Informationen (SIT) erkannt | SITs, die im Rahmen der DLP-Richtlinien-Übereinstimmung erkannt wurden | alle Ereignisse |
| Durchgeführte Aktionen | Ausgeführte Aktionen, die zur Entsprechung der DLP-Richtlinie geführt haben | alle Ereignisse |
| Verletzende Aktion | Aktion auf dem Endpunktgerät, das die DLP-Warnung ausgelöst hat | Geräteereignisse |
| Benutzerüberrodungsrichtlinie | hat der Benutzer die Richtlinie über einen Richtlinientipp überschrieben. | alle Ereignisse |
| Verwenden der Überschreibungsbegründung | der Vom Benutzer für die Außerkraftsetzung angegebene Grundtext | alle Ereignisse |
Wichtig
Die Konfiguration der Aufbewahrungsrichtlinie für Überwachungsprotokolle Ihres organization steuert, wie lange eine Warnung in der Konsole sichtbar bleibt. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.
Siehe auch
- Warnungen in DLP-Richtlinien: Beschreibt Warnungen im Kontext einer DLP-Richtlinie.
- Erste Schritte mit Warnungen zur Verhinderung von Datenverlust: Behandelt die erforderlichen Berechtigungen, Berechtigungen und Voraussetzungen für DLP-Warnungen und Warnungsreferenzdetails.
- Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust: Enthält Anleitungen zur Warnungskonfiguration im Kontext der Erstellung einer DLP-Richtlinie.
- Informationen zum Untersuchen von Warnungen zur Verhinderung von Datenverlust: Behandelt die verschiedenen Methoden zum Untersuchen von DLP-Warnungen.
- Untersuchen von Datenverlustvorfällen mit Microsoft Defender XDR: Untersuchen von DLP-Warnungen in Microsoft Defender Portal.