可以将Microsoft Purview 数据丢失防护 (DLP) 策略配置为在规则中的条件匹配时生成警报。 警报在 DLP 策略规则中配置。
有关警报的简要概述,请参阅:
本文包括使用警报时所需的许可和权限详细信息以及其他重要信息。
可以在 Microsoft Defender XDR 仪表板 和 Microsoft Purview 门户中调查和管理 DLP 警报。 Microsoft Defender XDR 仪表板是用于调查和管理 DLP 警报的建议位置。 Microsoft Purview 门户是创建和编辑 DLP 策略的建议位置。
提示
开始使用智能 Microsoft Security Copilot 副驾驶®,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的智能 Microsoft Security Copilot 副驾驶®。
警报类型
每次活动与规则匹配时,都可以发送警报,也可以聚合警报以减少干扰。 可以在 DLP 策略中配置两种类型的警报。
单事件警报单事件警报通常用于监视低容量中发生的高度敏感事件的策略,例如单个电子邮件包含 10 个或更多客户信用卡号码发送到组织外部。 默认情况下,当来自单个规则的事件在彼此的一分钟时段内发生时,它们将针对 E5 许可证进行聚合,E3 许可证的聚合时间为 15 分钟。 在预览版中,可以基于每个用户的每个规则聚合单事件警报。 这称为基于用户和规则的警报聚合。
聚合事件警报 通常用于策略中,这些策略监视在一段时间内发生量较大的事件。 例如,当 10 封单独的电子邮件在组织外部发送 48 小时后,每个电子邮件具有一个客户信用卡号码,可能会触发聚合警报。
开始之前
在开始之前,请确保满足以下先决条件:
警报配置选项的许可
- 单事件警报配置:具有 DLP 订阅 (E1、E3、E5、F1、G1、E3、G3、E5、G5) 的所有组织都可以配置策略,以便在每次发生触发活动时生成警报。
-
聚合警报配置:若要基于阈值配置聚合警报策略,必须具有以下配置之一:
- A5 订阅
- E5 或 G5 订阅
- E1、F1 或 G1 订阅,或者包含以下功能之一的 E3 或 G3 订阅:
- Office 365 高级威胁防护(计划 2)
- Microsoft Purview 套件 (以前称为Microsoft 365 E5 合规)
- Microsoft 365 电子数据展示和审核加载项许可证
使用终结点 DLP 且符合 Teams DLP 条件的客户将在 DLP 警报管理仪表板中看到其终结点 DLP 策略警报和 Teams DLP 策略警报。
角色和角色组
如果要查看 DLP 警报管理仪表板或编辑 DLP 策略中的警报配置选项,则必须是以下角色组之一的成员:
- 合规管理员
- 合规数据管理员
- 安全管理员
- 安全操作员
- 安全信息读取者
- 信息保护管理员
- 信息保护分析师
- 信息保护调查员
若要详细了解这些权限,请参阅 Microsoft Purview 门户中的权限
下面是适用角色组的列表。 若要详细了解它们,请参阅 Microsoft Purview 门户中的权限。
- 信息保护
- 信息保护管理员
- 信息保护分析师
- 信息保护调查员
若要访问 DLP 警报管理仪表板,需要“管理警报”角色和以下两个角色之一:
- DLP 合规性管理
- View-Only DLP 合规性管理
若要访问内容预览功能以及匹配的敏感内容和上下文功能,你必须是 内容资源管理器内容查看器 角色组的成员,该角色组已预先分配了 数据分类内容查看者 角色。
提示
如果管理员需要访问警报,但不需要访问上下文/敏感信息,则可以创建并分配不包含数据分类内容查看器权限的自定义角色。
DLP 警报配置
若要了解如何在 DLP 策略中配置警报,请参阅 创建和部署数据丢失防护策略。 根据你的许可,有不同的警报配置体验。
注意
在 DLP 策略中配置或修改现有警报后,最多可能需要 3 小时才能生成警报。
每个文档仅发送一次警报电子邮件、事件报告电子邮件和用户通知。 如果具有 “内容为共享” 条件的文档共享了两次,仍将只有一个通知。
聚合事件警报配置
如果你已获得 聚合警报配置选项的许可,则在创建或编辑 DLP 策略时,你将看到这些选项。
此配置允许设置策略以生成警报:
- 每当活动与规则中的条件匹配时,该规则基于规则或基于用户和规则的聚合。
- 当基于匹配项数、或外泄数据量满足或超过定义的阈值时
- 对于满足在指定时间范围内定义的条件的活动
单事件警报配置
如果你已获得 单事件警报配置选项的许可,则在创建或编辑 DLP 策略时,你将看到这些选项。 使用此选项可创建每次发生 DLP 规则匹配时引发的警报。
基于用户和规则的警报聚合 (预览)
在租户级别的 DLP 设置中启用基于用户的警报设置时,将基于用户聚合单个事件警报。 规则匹配事件必须在可配置的时间范围内发生 (15、30、45 和 60 分钟) 。 根据每个用户的规则匹配事件生成警报。
比较警报聚合选项
| 我希望 DLP... | 时间窗口 | 聚合类型 | 注释 |
|---|---|---|---|
| ...当任意数量的用户发送包含信用卡信息的电子邮件时,将生成单个警报。 | 管理员 E5:60 秒 -E3:15 分钟无法配置 这些窗口 |
- 基于用户的警报聚合在租户级别设置为 “关闭 ”。 - 在规则级别配置的单个事件警报聚合,如果时间范围内发生匹配,则可用。 - 将多个用户的 DLP 规则匹配项聚合到一个警报中。 |
- 适用于一个规则的多个用户。 |
| ...发送包含信用卡信息的电子邮件时,为每个电子邮件发件人生成一个警报。 | 此时间范围 可由 租户级别的管理员配置。 - 15 - 60 分钟 |
- 基于用户的警报聚合在租户级别设置为 “开 ”。
- 在规则级别配置的单个事件警报聚合。 -将单个用户的 DLP 规则匹配项聚合到一个警报中。 |
- 对于每个规则的单个用户。
- 预计警报量会增加。 - 如果在聚合时间范围内关闭警报,并且同一用户和规则发生新匹配,则新规则匹配将聚合到同一警报中。 |
| ...如果多个用户在 60 分钟内访问了超过 100 个敏感文件,则生成警报。 | - 在规则级别配置,60-999 分钟。 | - 基于阈值的聚合 - 基于匹配计数的聚合 DLP 规则匹配。 - 基于用户的警报聚合不适用。 |
- 对规则 进行透视 - 对一个规则的多个用户使用此透视。 - 仅适用于 “所有用户 ”选项。 |
| ...在 60 分钟内多个用户外泄超过 25 MB 数据时生成警报。 | 在规则级别配置,60-999 分钟。 | -基于阈值的聚合,基于数据量。 - 基于用户的警报聚合不适用。 |
- 对规则 进行透视 - 对一个规则的多个用户使用此透视。 - 仅适用于 “所有用户 ”选项。 |
事件类型
下面是一些与警报关联的事件。 在“警报仪表板,可以选择特定事件来查看其详细信息。
事件详情
| 属性名称 | 说明 | 事件类型 |
|---|---|---|
| ID | 与事件关联的唯一 ID | 所有事件 |
| 位置 | 检测到事件的工作负载 | 所有事件 |
| 活动时间 | 符合 DLP 策略条件的用户活动时间 |
受影响的实体
| 属性名称 | 说明 | 事件类型 |
|---|---|---|
| 用户 | 执行了导致策略匹配的作的用户 | 所有事件 |
| hostname | 发生 DLP 策略匹配的计算机的主机名 | 设备事件 |
| IP 地址 | 发生 DLP 策略匹配的计算机的 IP 地址 | 设备事件 |
| sha1 | 文件的 SHA-1 哈希 | 设备事件 |
| sha256 | 文件的 SHA-256 哈希 | 设备事件 |
| MDATP 设备 ID | 终结点设备 MDATP ID | |
| 文件大小 | 文件大小 | SharePoint、OneDrive 和设备事件 |
| 文件路径 | DLP 策略匹配所涉及的项的绝对路径 | SharePoint、OneDrive 和设备事件 |
| 电子邮件收件人 | 如果电子邮件是符合 DLP 策略的敏感项,则此字段包括该电子邮件的收件人 | Exchange 事件 |
| 电子邮件主题 | 与 DLP 策略匹配的电子邮件的主题 | Exchange 事件 |
| 电子邮件附件 | 电子邮件中与 DLP 策略匹配的附件的名称 | Exchange 事件 |
| 网站所有者 | 网站所有者的名称 | SharePoint 和 OneDrive 事件 |
| 网站 URL | 包含发生 DLP 策略匹配的 SharePoint 或 OneDrive 网站的 URL | SharePoint 和 OneDrive 事件 |
| 文件已创建 | 创建与 DLP 策略匹配的文件的时间 | SharePoint 和 OneDrive 事件 |
| 文件上次修改 | 上次更改与 DLP 策略匹配的文件的时间 | SharePoint 和 OneDrive 事件 |
| 文件大小 | 与 DLP 策略匹配的文件的大小 | SharePoint 和 OneDrive 事件 |
| 文件所有者 | 与 DLP 策略匹配的文件的所有者 | SharePoint 和 OneDrive 事件 |
策略详细信息
| 属性名称 | 说明 | 事件类型 |
|---|---|---|
| DLP 策略匹配 | 匹配 DLP 策略的名称 | 所有事件 |
| 规则匹配 | 匹配的 DLP 策略规则的名称 | 所有事件 |
| 检测到 (SIT) 敏感信息类型 | 检测到为 DLP 策略匹配的一部分的 SCT | 所有事件 |
| 执行的操作 | 导致 DLP 策略匹配的作 | 所有事件 |
| 违规作 | 在引发 DLP 警报的终结点设备上执行的作 | 设备事件 |
| 用户溢出策略 | 用户是否通过策略提示重写了策略 | 所有事件 |
| 使用替代理由 | 用户为替代提供的原因的文本 | 所有事件 |
重要
组织的审核日志保留策略配置控制警报在控制台中保持可见的时间。 有关详细信息,请参阅管理审核日志保留策略。
另请参阅
- DLP 策略中的警报:描述 DLP 策略上下文中的警报。
- 数据丢失防护警报入门:涵盖 DLP 警报的必要许可、权限和先决条件以及警报参考详细信息。
- 创建和部署数据丢失防护策略:包括有关创建 DLP 策略的上下文中的警报配置指南。
- 了解如何调查数据丢失防护警报:介绍用于调查 DLP 警报的各种方法。
- 使用Microsoft Defender XDR调查数据丢失事件:如何在Microsoft Defender门户中调查 DLP 警报。