共用方式為

了解如何調查資料外洩防護警示

本文將介紹警示調查流程及可用來調查 DLP 警示的工具。

開始之前

  1. 管理單位
  2. 了解 Microsoft Purview 資料外洩防護
  3. 規劃資料外洩防護 (DLP) - 透過本文,您將:
    1. 識別專案關係人
    2. 描述要保護的敏感性資訊類型
    3. 設定目標和策略
  4. 收藏政策解決方案概述
  5. 收藏政策參考
  6. 資料外洩防護原則參考資料 - 本文介紹 DLP 原則的所有元件,以及每個元件如何影響原則的行為
  7. 設計 DLP 政策 ——本文將引導你建立政策意圖陳述,並將其映射到特定的政策配置。
  8. 建立並部署資料遺失防護政策 ——本文介紹一些常見的政策意圖情境,將這些情境映射到設定選項,然後引導你如何配置這些選項。
  9. 了解資料遺失防範警示的調查 ——本文將介紹警示從建立到最終修復及政策調整的生命週期。 同時也會介紹你用來調查警報的工具。

DLP 警示的生命週期

所有警示及你與它們的互動都經過以下六個步驟:

觸發程序

Microsoft Purview 資料外洩防護 (DLP) 警示的存續期始於政策中定義的條件匹配。 當政策匹配發生時,政策中定義的動作會被觸發,若 政策設定 為此,則可能產生警示。

DLP 政策通常會設定為監控並產生警示,當:

  • 敏感資訊,例如個人識別資料或智慧財產,會從您的組織外洩。
  • 敏感資訊會不當地與組織內外的人分享。
  • 使用者從事風險行為,例如將敏感資訊下載到可移除媒體。

通知

當警示產生時,會以事件形式傳送至 Microsoft Defender 入口網站DLP 警示管理儀表板。 DLP 政策可設定為透過電子郵件向使用者、管理員及其他利害關係人發送通知。

在通知階段 Microsoft Purview:

  • 關於 DLP 政策匹配與使用者覆蓋的報告。
  • 您可以使用 活動總管 查看與 DLP 相關的活動,並篩選出報告產生的目的。

若要匯出活動資料以進行報告,請使用 ExchangePowerShell Export-ActivityExplorerData () |使用 O365 管理活動 API 或事件 API 來執行 Microsoft 文件。

注意事項

Microsoft Defender 入口網站會保留事件紀錄六個月。 DLP 警示管理儀表板可保留警示 30 天。

分級

在此步驟中,你分析警示及相關日誌,判斷警示是真陽性還是假陽性。 如果是真陽性,你會根據問題的嚴重程度及其對組織的影響設定警示的優先順序,並指派負責人。 如果是誤判,你可以解除封鎖,然後繼續下一個警示。

Defender 入口網站會將 DLP 事件歸類為事件。 事件是根據 Defender 接收到的所有其他訊號,將相關警示群組在一起。 舉例來說,當你設定了 DLP 政策來監控並警示 SharePoint 網站上的敏感檔案,而使用者從 SharePoint 網站下載檔案,然後上傳到個人 OneDrive,再與外部使用者分享時,Defender 會將所有這些警報集中在單一事件中。 這是一項強大的功能,讓你能優先專注於最重要的警示。

在 Defender 入口網站中,你可以立即開始對事件進行分流,並使用標籤、註解及其他功能來架構您的事件管理。 你應該利用 Microsoft Defender 入口網站中的事件頁面來管理你的 DLP 警示。 您可以 透過選擇篩選 器並選擇「 服務來源:資料遺失防止」來篩選事件佇列,以查看所有使用 Microsoft Purview DLP 警示的事件。

如果你已啟用預覽 ) Microsoft Defender 全面偵測回應 (內部風險管理資料共享 ,你會在 DLP 警示頁面看到與使用者相關的內部風險管理政策的嚴重程度等級。 內部風險管理的嚴重程度等級為:中、。 您可以利用這些資訊來優先處理調查與修復工作。 這些資訊也會在 Microsoft 365 Defender 入口網站的事件詳情中提供。

使用 Microsoft Security Copilot 進行分流

另一個可以幫助分流警報的工具是 Microsoft Security Copilot。 Security Copilot 是一個雲端 AI 平台,能協助安全與合規專業人士保護組織資料。 它可在 DLP 警示儀表板資料安全性態勢管理中取得。

使用Microsoft Security Copilot DLP警示分流代理的分流 (預覽)

預覽版中,Microsoft Security Copilot for Purview 支援 DLP 警示分流代理。 Microsoft Security Copilot 代理是 AI 驅動的流程,設計用來協助你完成特定的角色相關任務。

調查

調查階段的主要目標是讓指定業主進行證據對應,確定警報的原因與全部影響,並制定整治計畫。 指定擁有者負責更深入的調查與補救警報。 主要的警示調查工具為 Microsoft Defender 入口網站DLP 警示管理儀表板。 你也可以用 活動總管 來調查警報。 你也可以與組織內的其他使用者 分享警示事件

你可以利用DLP的功能,例如:

你可以同時使用 Microsoft Defender 入口網站和 Purview 工具來分流和調查警示,但 Microsoft Defender 入口網站提供更多管理警示與事件的功能,例如:

  • 查看 Microsoft Defender 全面偵測回應事件佇列中所有 DLP 警示,歸類於事件類別。
  • 檢視 DLP-MDE、DLP-MDO) (智慧型解決方案間,以及 DLP-DLP (解決方案內部的互動,) 單一事件下的相關警示。
  • 在進階狩獵中搜尋合規日誌及安全性。
  • 對使用者、檔案和裝置進行原地管理員修復操作。
  • 將自訂標籤與 DLP 事件關聯,並依其進行篩選。
  • 在統一事件佇列中,依據 DLP 政策名稱、標籤、日期、服務來源、事件狀態及使用者來篩選。

如果你正在與 Defender (預覽) 分享內部風險管理資料 ,你可以看到使用者過去 120 天內所有資料外洩活動 的活動摘要

修正

您的整治計畫會根據貴組織的政策、產業、必須遵守的地緣政治法規以及商業實務而獨一無二。 您的組織如何回應警示,取決於警示的準確性 (真陽性、假陽性、假陰性) 、問題的嚴重程度,以及對組織的影響。

修復措施可能包括:

  • 僅監控,無需進一步處理。
  • 無需進一步行動,因為保單所採取的行動已足夠降低風險。
  • 風險可透過自動化政策行動來降低,但使用者教育是必要的。
  • 政策並未完全解決這個問題,因此需要進一步清理與風險降低,並加強使用者訓練。
  • 透過資料 遺失防護 (預覽版中的自適應保護) ,DLP 與內部風險管理整合,您可以為使用者指派風險等級,以便進一步監控與採取行動。

透過 Defender 入口網站,您可以立即對警報和事件採取修復行動。 例如:

  • 重設密碼
  • 停用帳號
  • 查看使用者活動
  • DLP 偵測的行動
  • 移除文件
  • 套用靈敏度標籤
  • 取消分享
  • 下載電子郵件
  • 進階搜捕
  • 隔離裝置
  • 從裝置收集調查包
  • 執行AV掃描
  • 隔離的檔案
  • 停用使用者
  • 重置 PWD
  • 刪除電子郵件
  • 將郵件移到其他信箱資料夾
  • 下載檔案

調子

根據您保單的準確性與有效性,您可能需要更新以保持有效。 你已經在 政策建立與部署過程中調整過保單,但隨著資料資產和業務需求改變,保單必須持續更新以維持有效性。 這些變更最好在 政策意圖聲明政策配置中追蹤。

你調整的物品:

  • 保單的範圍。
  • 政策匹配所需的條件。
  • 當政策匹配發生時所採取的行動。
  • 通知發送給使用者和管理員。

欲了解更多關於將企業需求映射到政策設計及測試政策的資訊,請參閱:

工具組

你可以使用多種工具來調查和管理Microsoft Purview 資料外洩防護 (DLP) 警示。 有:

Microsoft 建議使用 Microsoft Defender 入口網站中的統一事件佇列來管理你的 DLP 警示。 然而,您的組織可能有需求,除了使用 Microsoft Defender 入口網站外,還能透過使用 DLP 警示管理儀表板來滿足。

Microsoft Defender 入口網站

Microsoft Purview 入口網站

  • 提醒儀表板、活動總管與內容總管皆可在 Microsoft Purview 入口網站中使用。 你可以使用 Microsoft Security Copilot 調查 DLP 警示來摘要警報
  • 你可以將警示狀態設為 調查中。
  • 你可以與組織內的其他使用者 分享警報事件
  • 從 OneDrive 和 SharePoint 下載檔案 (資料 分類內容檢視器 角色是此操作的必要)

如果您是使用 DLP 警示儀表板的新手,建議閱讀這些文章以幫助您入門。

後續步驟

  • Last updated on