通过

使用 Microsoft Defender XDR 调查数据丢失防护警报

  • 适用于: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

可以在Microsoft Defender门户中管理和响应Microsoft Purview 数据丢失防护 (DLP) 警报和事件。 在快速启动Microsoft Defender门户时打开“事件& 警报>事件”。 在此页中,你可以:

  • 查看Microsoft Defender XDR事件队列中事件下分组的所有 DLP 警报。
  • 在单个事件下查看与其他 DLP 警报相关的 DLP 警报,或与其他解决方案 (Defender for Endpoint、Defender for Office 365、Microsoft Sentinel等) 相关的警报。
  • 在“高级搜寻”下,使用将合规性日志与安全日志相结合的查询来搜寻安全威胁。
  • 在用户、文件和设备上就地执行修正作。
  • 将自定义标记关联到 DLP 事件并按它们进行筛选。
  • 按 DLP 策略名称、标记、日期、服务源、事件状态和用户筛选统一事件队列。

先决条件

许可要求

若要在Microsoft Defender门户中调查Microsoft Purview 数据丢失防护事件,需要以下订阅之一的许可证:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 合规
  • Microsoft 365 E5/A5 信息保护和治理

注意

获得许可并有资格使用此功能时,DLP 警报将自动流入Microsoft Defender XDR。 如果不希望 DLP 警报流入 Defender,请创建支持案例以禁用此功能。 如果禁用此功能,则 DLP 警报将在 Defender 门户中显示为 Office 警报Microsoft Defender。

角色

最佳做法是仅向Microsoft Defender门户中的警报授予最小权限。 可以使用这些角色创建自定义角色,并将其分配给需要调查 DLP 警报的用户。

权限 Defender 警报访问
管理通知 DLP + 安全性
View-Only 管理警报 DLP + 安全性
信息保护分析师 仅限 DLP
DLP 合规性管理 仅限 DLP
View-Only DLP 合规性管理 仅限 DLP

准备工作

Microsoft Purview 门户中为所有 DLP 策略启用警报

注意

管理单元 限制从数据丢失防护 (DLP) 流入 Defender 门户。 如果你是管理单元受限管理员,则只会看到管理单元的 DLP 警报。

在Microsoft Defender门户中调查 DLP 警报

  1. 转到Microsoft Defender门户,在左侧导航菜单中选择“事件”以打开“事件”页。

  2. 在工具栏上选择“ 添加筛选器 ”,然后选择“ 服务/检测源” 筛选器。 然后选择该筛选器,然后选择 “Microsoft数据丢失防护 ”,以查看包含 DLP 警报的所有事件。 还可以使用 实体 筛选器) 按用户和设备名称 (筛选队列,使用 策略/策略规则 筛选器,可以搜索文件名、用户、设备名称和文件路径。

    1. (预览版) 事件 队列 >警报策略> 标题。 可以搜索 DLP 策略名称。

  3. 搜索你感兴趣的警报和事件的 DLP 策略名称。

  4. 若要查看事件摘要页,请从队列中选择事件。 同样,选择警报以查看 DLP 警报页。 为Security Copilot选择“汇总 (预览) ”以生成警报摘要。 警报摘要将包含:

  • 警报严重性
  • 警报标题
  • 匹配的策略的名称
  • 涉及的名称文件和文件的链接
  • 警报状态
  • 执行与策略匹配的作的用户的电子邮件地址

  1. 查看 警报文章 ,详细了解警报中检测到的策略和敏感信息类型。 选择“ 相关事件 ”部分中的事件以查看用户活动详细信息。

  2. 如果具有所需的权限,请查看“ 敏感信息类型 ”选项卡中匹配的敏感内容,以及“ ”选项卡中的文件内容 (请参阅此处) 的详细信息。

使用高级搜寻扩展 DLP 警报调查

高级搜寻是一种基于查询的威胁搜寻工具,可让你浏览用户、文件和站点位置长达 30 天的审核日志,以帮助进行调查。 你可以主动检查网络中的事件来找到威胁指示器和实体。 通过灵活访问数据,可以不受约束地搜寻已知威胁和潜在威胁。

CloudAppEvents 表包含 SharePoint、OneDrive、Exchange 和设备等所有位置的所有审核日志。

开始之前

如果你不熟悉高级搜寻,应查看 高级搜寻入门

在使用高级搜寻之前,必须有权访问包含 Microsoft Purview 数据的 CloudAppEvents

使用内置查询

重要

此功能为预览版。 预览功能不适用于生产用途,可能具有受限功能。 这些功能在正式发布之前可供使用,以便客户可以抢先体验并提供反馈。

Defender 门户提供了多个内置查询,可用于帮助进行 DLP 警报调查。

  1. 转到Microsoft Defender门户,在左侧导航菜单中选择“事件 & 警报”以打开事件页。 选择“ 事件”。
  2. 选择右上角的“ 筛选器 ”,然后选择“ 服务源:数据丢失防护 ”,查看包含 DLP 警报的所有事件。
  3. 打开 DLP 事件。
  4. 选择警报以查看其关联事件。
  5. 选择事件。
  6. 在事件详细信息窗格中,选择 “Go 搜寻 ”控件。
    1. Defender 显示与事件的源位置相关的内置查询列表。 例如,如果事件来自 SharePoint,则会看到
      1. 文件共享的
      2. 文件活动
      3. 网站活动
      4. 过去 30 天的用户 DLP 冲突
  7. 可以选择立即 运行查询 、更改时间范围、编辑或保存查询以供以后使用。
  8. 运行查询后,在“ 结果 ”选项卡上查看结果。

如果警报针对电子邮件,则可以通过选择 “作>下载电子邮件”来下载邮件

如果警报针对 SharePoint Online 或 One Drive for Business 中的文件,则可以执行以下作:

对于修正作,请选择警报页面顶部的“用户卡”以打开用户详细信息。

对于“设备 DLP 警报”,请选择警报页顶部的设备卡以查看设备详细信息并在设备上执行修正作。

转到事件摘要页,然后选择“ 管理事件 ”以添加事件标记、分配或解决事件。

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区

  • Last updated on