Freigeben über

Untersuchen von Warnungen zur Verhinderung von Datenverlust mit Microsoft Defender XDR

  • Gilt für:: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Sie können Microsoft Purview Data Loss Prevention(DLP)-Warnungen und Incidents im Microsoft Defender-Portal verwalten und darauf reagieren. Öffnen Sie Incidents & warnungen>Incidents beim Schnellstart des Microsoft Defender-Portals. Auf dieser Seite haben Sie folgende Möglichkeiten:

  • Zeigen Sie alle IHRE DLP-Warnungen in der Microsoft Defender XDR Incidentwarteschlange unter Incidents gruppiert an.
  • Anzeigen von DLP-Warnungen, die mit anderen DLP-Warnungen oder warnungen von anderen Lösungen (Defender für Endpunkt, Defender for Office 365, Microsoft Sentinel usw.) korreliert sind, unter einem einzelnen Incident.
  • Suchen Sie nach Sicherheitsbedrohungen mithilfe von Abfragen, die Konformitätsprotokolle mit Sicherheitsprotokollen kombinieren, unter Erweiterte Suche.
  • Führen Sie direkte Korrekturmaßnahmen für Benutzer, Dateien und Geräte durch.
  • Ordnen Sie DLP-Vorfällen benutzerdefinierte Tags zu, und filtern Sie nach diesen.
  • Filtern Sie die einheitliche Incidentwarteschlange nach DLP-Richtlinienname, Tag, Datum, Dienstquelle, Incident status und Benutzer.

Voraussetzungen

Lizenzierungsanforderungen

Um Microsoft Purview Data Loss Prevention Incidents im Microsoft Defender-Portal zu untersuchen, benötigen Sie eine Lizenz aus einem der folgenden Abonnements:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 Compliance
  • Microsoft 365 E5/A5 Information Protection und Governance

Hinweis

Wenn Sie für dieses Feature lizenziert und berechtigt sind, fließen DLP-Warnungen automatisch in Microsoft Defender XDR ein. Wenn Sie nicht möchten, dass DLP-Warnungen an Defender fließen, öffnen Sie eine Supportanfrage, um dieses Feature zu deaktivieren. Wenn Sie dieses Feature deaktivieren, werden DLP-Warnungen im Defender-Portal als Microsoft Defender für Office-Warnungen angezeigt.

Rollen

Es empfiehlt sich, Warnungen im Microsoft Defender-Portal nur minimale Berechtigungen zu gewähren. Sie können eine benutzerdefinierte Rolle mit diesen Rollen erstellen und sie den Benutzern zuweisen, die DLP-Warnungen untersuchen müssen.

Permission Zugriff auf Defender-Warnungen
Benachrichtigungen verwalten DLP + Sicherheit
View-Only Verwalten von Warnungen DLP + Sicherheit
Information Protection-Analyst Nur DLP
DLP-Complianceverwaltung Nur DLP
View-Only DLP Compliance Management Nur DLP

Vorbereitende Schritte

Aktivieren Sie Warnungen für alle DLP-Richtlinien im Microsoft Purview-Portal.

Hinweis

Einschränkungen für Verwaltungseinheiten fließen aus der Verhinderung von Datenverlust (Data Loss Prevention, DLP) in das Defender-Portal ein. Wenn Sie ein Administrator mit eingeschränkten Verwaltungseinheiten sind, werden nur die DLP-Warnungen für Ihre Verwaltungseinheit angezeigt.

Untersuchen von DLP-Warnungen im Microsoft Defender-Portal

  1. Navigieren Sie zum Microsoft Defender-Portal, und wählen Sie im linken Navigationsmenü Incidents aus, um die Seite incidents zu öffnen.

  2. Wählen Sie auf der Symbolleiste Filter hinzufügen und dann den Filter Dienst/Erkennungsquellen aus. Wählen Sie dann diesen Filter aus, und wählen Sie Microsoft Data Loss Prevention aus, um alle Vorfälle mit DLP-Warnungen anzuzeigen. Sie können die Warteschlange auch nach Benutzer- und Gerätenamen (mithilfe des Filters Entitäten ) und nach Richtlinien filtern. Mithilfe des Richtlinien -/Richtlinienregelfilters können Sie nach Dateinamen, Benutzer-, Gerätenamen und Dateipfaden suchen.

    1. (in der Vorschau) In der Warnungsrichtlinie für Incidents-Warteschlange>> Den Titel der Warnungsrichtlinie. Sie können nach dem DLP-Richtliniennamen suchen.

  3. Suchen Sie nach dem DLP-Richtliniennamen der Warnungen und Incidents, an der Sie interessiert sind.

  4. Um die Seite mit der Vorfallzusammenfassung anzuzeigen, wählen Sie den Incident aus der Warteschlange aus. Wählen Sie auf ähnliche Weise die Warnung aus, um die DLP-Warnungsseite anzuzeigen. Wählen Sie Zusammenfassen (Vorschau) für Security Copilot aus, um eine Zusammenfassung der Warnung zu generieren. Die Warnungszusammenfassung enthält Folgendes:

  • Warnungsschweregrad
  • Warnungstitel
  • der Name der Richtlinie, die abgeglichen wurde
  • die beteiligte Namensdatei und ein Link zur Datei
  • warnungs-status
  • die E-Mail-Adresse des Benutzers, der die Aktion ausgeführt hat, die der Richtlinie entspricht

  1. Sehen Sie sich den Artikel Warnung an, um Details zur Richtlinie und zu den typen vertraulicher Informationen anzuzeigen, die in der Warnung erkannt wurden. Wählen Sie das Ereignis im Abschnitt Verwandte Ereignisse aus, um die Details der Benutzeraktivität anzuzeigen.

  2. Zeigen Sie den übereinstimmend vertraulichen Inhalt auf der Registerkarte Typen vertraulicher Informationen und den Dateiinhalt auf der Registerkarte Quelle an, wenn Sie über die erforderliche Berechtigung verfügen (details finden Sie hier).

Erweitern der Untersuchung von DLP-Warnungen mit erweiterter Suche

Die erweiterte Suche ist ein abfragebasiertes Tool zur Bedrohungssuche, mit dem Sie bis zu 30 Tage lang Überwachungsprotokolle von Benutzern, Dateien und Websitestandorten untersuchen können, um Ihre Untersuchung zu unterstützen. Sie können Ereignisse in Ihrem Netzwerk proaktiv prüfen, um Bedrohungsindikatoren und -entitäten zu ermitteln. Der flexible Zugriff auf Daten ermöglicht die uneingeschränkte Suche nach bekannten und potenziellen Bedrohungen.

Die Tabelle CloudAppEvents enthält alle Überwachungsprotokolle an allen Speicherorten wie SharePoint, OneDrive, Exchange und Geräte.

Bevor Sie beginnen

Wenn Sie mit der erweiterten Suche noch nicht vertraut sind, lesen Sie Erste Schritte mit der erweiterten Suche.

Bevor Sie die erweiterte Suche verwenden können, benötigen Sie Zugriff auf die CloudAppEvents-Tabelle, die die Microsoft Purview-Daten enthält.

Verwenden integrierter Abfragen

Wichtig

Diese Funktion ist in der Vorschauphase. Vorschaufeatures sind nicht für die Verwendung in der Produktion vorgesehen und weisen möglicherweise eingeschränkte Funktionen auf. Diese Features sind vor einer offiziellen Veröffentlichung verfügbar, damit Kunden frühzeitigen Zugriff erhalten und Feedback geben können.

Das Defender-Portal bietet mehrere integrierte Abfragen, die Sie bei der Untersuchung von DLP-Warnungen unterstützen können.

  1. Navigieren Sie zum Microsoft Defender-Portal, und wählen Sie im linken Navigationsmenü Die Option Incidents & Warnungen aus, um die Seite "Incidents" zu öffnen. Wählen Sie Incidents aus.
  2. Wählen Sie oben rechts Filter und dann Dienstquelle: Verhinderung von Datenverlust aus, um alle Incidents mit DLP-Warnungen anzuzeigen.
  3. Öffnen Sie einen DLP-Incident.
  4. Wählen Sie eine Warnung aus, um die zugehörigen Ereignisse anzuzeigen.
  5. Wählen Sie ein Ereignis aus.
  6. Wählen Sie im Bereich "Ereignisdetails" das Steuerelement Go Hunt aus.
    1. Defender zeigt eine Liste der integrierten Abfragen an, die für den Quellspeicherort des Ereignisses relevant sind. Wenn das Ereignis beispielsweise von SharePoint stammt, wird angezeigt.
      1. Datei freigegeben für
      2. Dateiaktivitäten
      3. Websiteaktivität
      4. Dlp-Verstöße gegen Benutzer in den letzten 30 Tagen
  7. Sie können die Abfrage sofort ausführen , den Zeitbereich ändern, die Abfrage zur späteren Verwendung bearbeiten oder speichern.
  8. Nachdem Sie die Abfrage ausgeführt haben, zeigen Sie die Ergebnisse auf der Registerkarte Ergebnisse an.

Wenn die Warnung für eine E-Mail-Nachricht gilt, können Sie die Nachricht herunterladen, indem Sie Aktionen>E-Mail herunterladen auswählen.

Wenn die Warnung für eine Datei in SharePoint Online oder One Drive for Business gilt, können Sie die folgenden Aktionen ausführen:

Wählen Sie für Wartungsaktionen oben auf der Warnungsseite die Karte Benutzer aus, um die Benutzerdetails zu öffnen.

Wählen Sie für Geräte DLP-Warnungen das Gerät Karte oben auf der Warnungsseite aus, um die Gerätedetails anzuzeigen und Korrekturmaßnahmen auf dem Gerät durchzuführen.

Wechseln Sie zur Seite mit der Incidentzusammenfassung, und wählen Sie Incident verwalten aus, um Incidenttags hinzuzufügen, einen Incident zuzuweisen oder zu beheben.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.

  • Last updated on