数据丢失防护中的 Microsoft Purview 会审代理入门

使用这些过程在数据丢失防护 (DLP) (预览版) 中推出 Microsoft Purview 会审代理。

DLP 代理中的 Purview 会审代理仅会审来自作用域为 Exchange、Teams、OneDrive、SharePoint 和设备的策略 (终结点) 位置的警报。 如果要对来自设备的警报进行会审，则必须为 设备上的文件活动启用证据收集 。

开始之前

如果不熟悉在 Microsoft Purview 中智能 Microsoft Security Copilot 副驾驶®代理，请阅读本文。

• Microsoft Purview 中的Security Copilot代理概述 (预览版)

SKU/订阅和许可

此代理需要 标准的按席位许可模型和即用即付计费模型。 你的组织必须获得以下许可：

• Microsoft Purview 数据丢失防护 (Purview DLP) 使用 Purview DLP 会审代理。

代理在执行其任务时使用安全计算单元 (SCU) 。 必须预配 SCU，才能使会审代理正常工作。 使用的 SCU 数取决于所处理的警报的数量和类型。 有关 SCU 的详细信息，请参阅 安全计算单元 (SCU) 。 可以在 使用情况监视工具中跟踪 SCU 使用情况。 有关加入智能 Microsoft Security Copilot 副驾驶®的详细信息，请参阅智能 Microsoft Security Copilot 副驾驶®入门。

有关 E5 中的Security Copilot许可的信息，请参阅了解Microsoft 365 E5中的Security Copilot。

有关许可的信息，请参阅

• Microsoft 365 企业版计划
• Microsoft 365 服务说明

权限和角色

使用代理执行不同功能需要不同的权限和角色。 有关详细信息，请参阅 Microsoft Purview 门户中的权限和 Microsoft Purview 门户中的角色和角色组。

用于启用 Purview DLP 代理的权限

用于启用和管理 Purview DLP 代理的帐户必须具有以下所有角色：

• 信息保护分析师或信息保护调查员 (角色组：合规性管理员或合规性数据管理员或数据安全管理或信息保护或信息保护分析师或信息保护调查员)

• Purview 内容分析师 (角色组：Purview 代理管理)

• 数据分类内容下载 (角色组：数据安全管理或信息保护或信息保护调查人员) - 终结点/设备 DLP 警报需要

• Security Copilot参与者 (在 Security Copilot) 中托管

用于自定义和配置 Purview DLP 代理的权限

用于自定义和配置 Purview DLP 代理的帐户必须具有以下所有角色：

• Purview 代理分析 (角色组：信息保护分析师或信息保护调查人员或信息保护或合规性管理员或数据安全管理)

• 数据分类内容下载 (角色组：数据安全管理或信息保护或信息保护调查人员) - 终结点/设备 DLP 警报需要

• Security Copilot参与者 (在 Security Copilot) 中托管

用于查看会审 Purview DLP 警报的权限

用于查看 Purview DLP 会审代理警报活动的帐户必须能够访问 Purview DLP 警报，该警报授予以下角色：

• Purview 代理分析 (角色组：信息保护分析师或信息保护调查人员或信息保护或合规性管理员或数据安全管理)

• 数据分类内容下载 (角色组：数据安全管理或信息保护或信息保护调查人员) - 终结点/设备 DLP 警报需要

• 可选 - Security Copilot参与者 (在 Security Copilot) 中托管

部署和配置路线图

实现 Microsoft Purview 代理涉及几个阶段：

1. 基础结构先决条件
2. 启用代理
3. 安装代理
4. 暂停代理
5. 删除代理

基础结构先决条件

DLP 中的Microsoft Purview 会审代理在智能 Microsoft Security Copilot 副驾驶®上运行。

• 租户必须载入到智能 Microsoft Security Copilot 副驾驶®。 有关如何载入的详细信息，请参阅智能 Microsoft Security Copilot 副驾驶®入门。
• 必须在 Security Copilot 中启用 Microsoft 365 数据共享。 有关详细信息，请参阅 从 Microsoft 365 服务访问数据 。
• 必须在 智能 Microsoft Security Copilot 副驾驶® 中启用 Microsoft Purview 插件。 有关详细信息，请参阅在 智能 Microsoft Security Copilot 副驾驶® 中启用 Microsoft Purview 源。

启用代理

此过程适用于尚未启用任何 Microsoft Purview 代理或 已删除代理 的组织，并且你希望再次启用它们。 启用代理后，它们可在 Microsoft Purview 中使用。 租户中每个代理只能有一个实例。 此过程适用于 Purview 中的会审代理。

1. 使用具有所需权限的帐户登录到 Microsoft Purview 门户。
2. 在左侧导航窗格中，选择“ 代理”。
3. 选择“ 浏览代理”。
4. 选择要启用的代理，然后选择“ 添加”。 这会打开一个页面，其中显示了启用代理的要求。
5. 选择 “设置”，这会打开 “部署代理 全局配置”页。 可以执行下列操作：
   1. 选择 根据设置的计划自动运行。 如果不选择此选项，则必须一次手动运行一个代理。 计划由 Microsoft 设置，组织无法配置。 稍后可以在编辑代理时更改此设置。
   2. 选择警报时间范围，即代理查找要会审的警报的时间范围。 分析人员可以在编辑代理时缩短时间范围，但不能延长时间范围。 有关详细信息，请参阅 选择警报时间范围。
6. 选择“部署”。 成功部署代理时，会看到解决方案>中的<警报会审代理已部署消息。

安装代理

启用代理后，需要为代理设置特定的触发器。 触发器用于确定代理会审的警报。 可以在 “代理 ”页中执行此作，也可以在解决方案的 “警报 ”页上首次运行体验中执行此作。 对于此过程，请使用第一个运行体验 警报 页方法。 此过程假定你仍Microsoft Purview 门户打开到上一过程中的 “浏览代理 ”页。

1. 选择“在解决方案>中<打开”。 这会打开解决方案的 “警报 ”页。
2. 由于处于第一次运行体验中，因此会看到带有 “自定义 ”按钮的对话框，选中该按钮后，该对话框将打开 “自定义警报会审代理 ”浮出控件。
3. 在这里，选择接受 “选择警报时间范围” 的默认全局设置，或者将其更改为比代理部署期间配置的要短。
4. 输入代理 的自定义说明 。 代理会解释自然语言输入，并使用它更好地识别对你最重要的警报类型。
5. 打开 “指定策略范围 ”，然后选择“ 编辑”。 选择希望代理会审的策略。 如果未选择策略，代理将会审来自所有活动策略的警报。

1. 选择“审阅”。
2. 选择“ 启动代理”。

最多允许代理 2 小时完成对范围中的警报的会审，并从此初始设置启用手动运行。 还可以通过浏览代理部分并单击代理的触发器来访问这些设置。

指定策略范围包含注意事项

DLP 策略必须满足特定条件，才能显示在 “指定策略范围 ”列表中，并有资格获得包含会审。

完全资格

如果 DLP 警报会审代理支持策略中的所有条件，则策略完全 有资格 包含。 将会审来自完全符合条件的策略的所有警报。

有限资格

如果某个策略具有 DLP 中的会审代理不支持的某些条件（称为 “有限资格”状态），则代理可能无法对来自该策略的所有警报进行会审。 受限资格意味着策略中的某些警报不会根据列出的条件进行会审，并且可能会有一些警报将进行会审。 可以通过在“指定策略范围”选取器中选择“受限状态”来查看策略显示为受限的原因。

以下是策略可能处于有限资格状态的一些原因：

• 未启用从设备收集与数据丢失防护策略匹配的文件，或者与其关联的存储未Microsoft存储。 此外，对于面向终结点或设备工作负荷的策略，策略规则中的文件收集设置也会关闭。
• 策略必须具有包含 内容 条件的规则。
• 策略必须针对除 SharePoint、OneDrive、Exchange、Teams 和设备之外的其中一个工作负载， (终结点) 。

DLP 策略列表页上会显示相同的资格状态。 启用并设置 DLP 会审代理时，将显示“资格”列。 将策略包含在代理范围内后，只会检查将来的警报以查找作用域内策略。 已会审或已生成的现有警报不受影响。

暂停代理

1. 使用具有所需权限的帐户登录到 Microsoft Purview 门户。
2. 在左侧导航窗格中，选择“ 代理”。
3. 选择“ 浏览代理”。
4. 为要暂停的 代理选择“查看 代理”。 这会打开代理概述页。
5. 在代理概述页最右上角，选择位于“编辑代理”按钮旁边的省略号 (三个点) 。
6. 选择 “停用代理”。 暂停代理会阻止代理对警报进行会审。 它不会删除代理，也不会重置 “选择警报时间范围 ”引用时间点。

删除代理

1. 使用具有所需权限的帐户登录到 Microsoft Purview 门户。
2. 在左侧导航窗格中，选择“ 代理”。
3. 选择“ 浏览代理”。
4. 为要暂停的 代理选择“查看 代理”。 这会打开代理概述页。
5. 在代理概述页最右上角，选择位于“编辑代理”按钮旁边的省略号 (三个点) 。
6. 选择 “删除代理”。 删除代理会将其从 Purview Microsoft 中删除。 如果想要再次使用它，则必须再次完成 “启用代理”和 “设置代理” 过程。 删除代理会重置 选择警报时间范围 引用时间点。

编辑代理

1. 使用具有所需权限的帐户登录到 Microsoft Purview 门户。
2. 在左侧导航窗格中，选择“ 代理”。
3. 选择“ 浏览代理”。
4. 选择要编辑的代理的 “查看 代理”。 这会打开代理概述页。
5. 选择 “编辑代理”。 这会打开 “编辑代理 ”页。
6. 选择 “触发器”。
7. 在这里，可以更改代理运行的时间， 代理将在一次一个警报上手动运行 ，或者 代理将根据设置的计划自动运行。
8. 选择 “编辑 ”以更改 “选择警报时间范围 ”值以及代理将从中会审警报的策略。
9. 如果选择“ 代理将在一次对一个警报手动运行”，则可以在解决方案的 “警报 ”页中选择一个警报。 将开关设置为 “警报会审代理预览版 ”，然后选择“ 运行代理”。
10. 如果需要，还可以更改 自定义指令 。
11. 还可以根据需要更改策略范围

监视 SCU 使用情况

1. 使用具有所需权限的帐户登录到 Microsoft Purview 门户。
2. 在左侧导航窗格中，选择“ 代理”。
3. 选择“ 浏览代理”。
4. 选择要编辑的代理的 “查看 代理”。 这会打开代理概述页。
5. 选择 “编辑代理”。 这会打开 “编辑代理 ”页。
6. 选择“使用情况监视”。
7. 可以在 使用情况监视工具中跟踪 SCU 使用情况。

警报页概述

1. 使用具有所需权限的帐户登录到 Microsoft Purview 门户。
2. 打开要查看其会审警报的解决方案。
3. 打开解决方案的 “警报 ”页。
4. 在页面的右上角，有一个新的切换开关，允许你在警报页面的Standard视图和会审代理 (预览版) 警报页面视图之间进行选择。 将切换设置为“ 会审代理 (预览) 视图。 此视图显示代理已会审的警报。 警报按代理分组为四个类别：

• 全部
• 需要注意
• 不太紧急
• 未分类

已会审警报的反馈

还可以添加属性，例如 敏感信息类型 或代理在未来评估中应使用 的文件路径 ，以提高性能。 预览版支持这些属性。

• User email address：执行触发警报的活动的用户
• External recipient email address：跟踪 Exchange 电子邮件或 Teams 与外部收件人的交互触发的警报
• Sensitive information type：显示租户中的所有 SCT，在触发警报的策略规则中涉及的 SCT 已预先选中
• Trainable classifier：显示所有可训练的分类器，预先选择触发警报的策略规则中涉及的可训练分类器
• Sensitivity label：租户中存在的标签
• File path：如果警报与文件相关且文件路径可用，则为 。 未为终结点 DLP 启用文件路径 (设备) 警报，但在警报会审时未启用完整文件证据
• Target domain：如果设备 (终结点) 存在目标域的 DLP 警报

1. 选择任何 “需要关注”或 “不太紧急 ”的警报。 这将打开一个浮出控件，其中包含代理提供的摘要和其他设置。
2. 选择“ 代理反馈”。
3. “修订到”字段显示重新分类的值。
4. 选择“ + 添加属性” 并添加一个或多个属性。 添加的属性用于提高会审性能。
5. 如果要将 反馈应用到所有策略 ，请选择该选项。 否则，反馈将仅应用于触发警报的策略。
6. 选择“ 审阅 ”以查看更改摘要。
7. 选择“ 提交 ”以保存反馈。
8. 当前警报不会立即更改。 管理员必须手动对警报运行会审传递，才能根据提供的反馈更改分类。

管理反馈

可以查看和管理针对会审警报提供的所有反馈，包括导出、编辑和删除反馈。

1. 在警报的解决方案中，打开 “警报 ”页。
2. 选择“需要关注”或“不太紧急”类别。
3. 选择要管理其反馈的警报。
4. 选择“ 代理反馈”。
5. 选择“ 查看所有反馈”。
6. 选择要管理的警报和反馈条目。
7. 根据需要编辑、删除或导出反馈。

反馈冲突解决

当多个管理员在不同警报上为同一用户和策略组合提供冲突的反馈时，可能会出现反馈冲突。 反馈冲突生成错误。

例如：

• 管理员 1 提供反馈，以便在警报针对用户 A 和策略 P 时将所有警报的分类更改为“不太紧急”。
• 管理员 2 提供反馈，将警报的分类更改为“需要注意”（如果警报针对用户 A 和策略 P）。

若要解决反馈冲突，请参阅 反馈冲突解决。

其他注意事项

• 对于警报计数，仅对启用了单个匹配实例的警报进行计数。 例如，如果针对阈值方案生成警报， (例如，如果在过去 24 小时内有 10 个匹配项) 生成警报，则不会统计此类警报

后续步骤

有关查看会审警报的信息，请参阅特定于解决方案的文章。

• 了解如何调查数据丢失防护警报

• 数据丢失防护警报入门仪表板

• 警报会审代理仪表板 (预览版)

• 用于内部风险管理的指示器和警报会审代理