Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Политики Защита от потери данных Microsoft Purview (DLP) можно настроить для создания оповещений при совпадении условий в правиле. Оповещения настраиваются в правилах политики защиты от потери данных.
Краткий обзор оповещений см. в разделе:
Эта статья содержит сведения о лицензировании и разрешениях, а также другую важную информацию, необходимую при работе с оповещениями.
Оповещения защиты от потери данных можно исследовать и управлять ими на панели мониторинга Microsoft Defender XDR и на портале Microsoft Purview. Информационная панель Microsoft Defender XDR — это рекомендуемое место для изучения оповещений защиты от потери данных и управления ими. Портал Microsoft Purview — это рекомендуемое расположение для создания и редактирования политик защиты от потери данных.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Типы оповещений
Оповещения можно отправлять каждый раз, когда действие соответствует правилу, или их можно агрегировать для уменьшения шума. Существует два типа оповещений, которые можно настроить в политиках защиты от потери данных.
Оповещения об одном событии Оповещения об одном событии обычно используются в политиках, которые отслеживают события с высокой степенью конфиденциальности, которые происходят в малом объеме, например в одном сообщении электронной почты с 10 или более кредитом клиента карта номера, отправленные за пределы вашей организации. По умолчанию, когда события из одного правила происходят в течение одной минуты друг от друга, они агрегируются для лицензии E5 и 15 минут для лицензии E3. В предварительной версии оповещения об отдельных событиях можно агрегировать по каждому правилу на пользователя. Это называется агрегированием оповещений на основе пользователей и правил.
Оповещения об агрегатных событиях обычно используются в политиках, которые отслеживают события, происходящие в большем объеме в течение определенного периода времени. Например, совокупное оповещение может быть активировано, когда 10 отдельных сообщений электронной почты с одним номером кредита клиента карта отправляется за пределы вашей организации в течение 48 часов.
Подготовка к работе
Прежде чем начать, убедитесь, что у вас есть следующие предварительные требования:
Лицензирование параметров конфигурации оповещений
- Конфигурация оповещений о одном событии. Все организации с подпиской DLP (E1, E3, E5, F1, G1, E3, G3, E5, G5) могут настраивать политики для создания оповещений при каждом запуске действия.
-
Агрегированная конфигурация оповещений. Чтобы настроить политики агрегирования оповещений на основе порогового значения, необходимо иметь следующие конфигурации:
- Подписка A5
- Подписка E5 или G5
- Подписка E1, F1 или G1 или подписка E3 или G3, которая включает одну из следующих функций:
- Office 365 Advanced Threat Protection (план 2)
- Microsoft Purview Suite (ранее — Соответствие требованиям Microsoft 365 E5)
- Лицензия на надстройку microsoft 365 eDiscovery и audit
Клиенты, использующие защиту от потери данных в конечной точке и имеющие право на защиту от потери данных в Teams , увидят оповещения политики защиты от потери данных в конечной точке и оповещения политики защиты от потери данных Teams на панели мониторинга управления оповещениями О DLP.
Роли и группы ролей
Если вы хотите просмотреть панель мониторинга управления оповещениями О DLP или изменить параметры конфигурации оповещений в политике защиты от потери данных, необходимо быть членом одной из следующих групп ролей:
- Администратор соответствия требованиям
- Администратор данных соответствия требованиям
- Администратор безопасности
- Оператор безопасности
- Читатель сведений о безопасности
- Администратор Information Protection
- Аналитик Information Protection
- Исследователь Information Protection
Дополнительные сведения о них см. в разделе Разрешения на портале Microsoft Purview.
Ниже приведен список применимых групп ролей. Дополнительные сведения о них см. в разделе Разрешения на портале Microsoft Purview.
- Защита информации
- Администраторы Information Protection
- Аналитики Information Protection
- Исследователи Information Protection
Чтобы получить доступ к панели мониторинга управления оповещениями О DLP, вам потребуется роль Управление оповещениями и любая из этих двух ролей:
- Управление соответствием требованиям DLP
- Управление соответствием требованиям защиты от потери данных View-Only
Чтобы получить доступ к функции предварительного просмотра содержимого и сопоставлению конфиденциального содержимого и контекста, необходимо быть членом группы ролей "Просмотр содержимого Обозреватель содержимого", в которой предварительно назначена роль "Средство просмотра содержимого классификации данных".
Совет
Если администратору требуется доступ к оповещениям, но не к контекстной или конфиденциальной информации, можно создать и назначить пользовательскую роль, не включающую разрешение на просмотр содержимого классификации данных.
Настройка оповещений защиты от потери данных
Сведения о настройке оповещения в политике защиты от потери данных см. в статье Создание и развертывание политик защиты от потери данных. В зависимости от лицензирования существуют различные возможности настройки оповещений.
Примечание.
После настройки или изменения существующих оповещений в политике защиты от потери данных может потребоваться до 3 часов.
Сообщение электронной почты об оповещении, сообщение об инциденте и уведомление пользователя будут отправляться только один раз для каждого документа. Если документ с условием "Содержимое является общим " используется дважды, будет по-прежнему только одно уведомление.
Настройка статистических оповещений о событиях
Если у вас есть лицензия на параметры конфигурации агрегированных оповещений, эти параметры будут отображаться при создании или изменении политики защиты от потери данных.
Эта конфигурация позволяет настроить политику для создания оповещений:
- каждый раз, когда действие соответствует условиям в правиле для агрегирования по умолчанию на основе правила или агрегирования на основе пользователя и правила.
- при достижении или превышении заданного порогового значения в зависимости от количества совпадений или объема эксфильтрированных данных;
- для действий, соответствующих критериям, заданным в течение определенного периода времени
Настройка оповещений об одном событии
Если у вас есть лицензия на параметры конфигурации оповещений о одном событии, эти параметры будут отображаться при создании или изменении политики защиты от потери данных. Используйте этот параметр, чтобы создать оповещение, которое создается при каждом совпадении правила защиты от потери данных.
Агрегирование оповещений на основе пользователей и правил (предварительная версия)
При включении агрегации оповещений на основе пользователей в параметре защиты от потери данных на уровне клиента оповещения об отдельных событиях агрегируются на основе пользователей. События соответствия правил должны происходить в пределах настраиваемого периода времени (15, 30, 45 и 60 минут). Оповещения создаются для каждого события соответствия правил для каждого пользователя.
Сравнение параметров агрегирования оповещений
| Я хочу, чтобы защита от потери данных... | Временное окно | Тип агрегирования | Примечания |
|---|---|---|---|
| ... создавать одно оповещение, если сообщение электронной почты, содержащее сведения о кредите карта, отправляется любым числом пользователей. | Эти окна не настраиваются администратором-E5 : 60 секунд-E3 : 15 минут |
— На уровне клиента для агрегирования оповещений на основе пользователя задано значение Выкл . — Одно статистическое объединение оповещений о событиях, настроенное на уровне правила, и доступно, если совпадение происходит в течение периода времени. —Агрегировать правила защиты от потери данных для нескольких пользователей в одно оповещение. |
— Применяется к нескольким пользователям для одного правила. |
| ... создайте по одному оповещению для каждого отправителя электронной почты при отправке сообщения электронной почты, содержащего сведения о кредите карта. | Это временное окно настраивается администратором на уровне клиента. - 15 - 60 минут |
— На уровне клиента для агрегирования оповещений на основе пользователя задано значение Включено .
— одиночный агрегат оповещений о событиях, настроенный на уровне правила. -Агрегированное правило защиты от потери данных соответствует одному пользователю в одно оповещение. |
— для одного пользователя на правило.
— Ожидается увеличение объема оповещений. — Если оповещение закрывается в течение периода времени агрегирования и для одного и того же пользователя и правила возникает новое совпадение, то новое соответствие правил будет агрегировано в одно и то же оповещение. |
| ... для создания оповещения, когда несколько пользователей получают доступ к более чем 100 конфиденциальным файлам в течение 60 минут. | — настроено на уровне правила, 60–999 минут. | — Агрегирование на основе порогового значения — агрегирование совпадений правил защиты от потери данных на основе количества совпадений. — объединение оповещений на основе пользователя не применимо. |
— сводки по правилам — используйте это для нескольких пользователей для одного правила. — работает только для параметра Все пользователи . |
| ... , чтобы создать оповещение, если несколько пользователей в течение 60 минут эксфильтруют данные более 25 МБ. | Настроено на уровне правила, 60–999 минут. | — Агрегат на основе порогового значения на основе объема данных. — объединение оповещений на основе пользователя не применимо. |
— сводки по правилам — используйте это для нескольких пользователей для одного правила. — работает только для параметра Все пользователи . |
Типы событий
Ниже приведены некоторые события, связанные с оповещением. На панели мониторинга оповещений можно выбрать определенное событие для просмотра сведений о нем.
Сведения о событиях
| Имя свойства | Описание | Типы событий |
|---|---|---|
| ИД | уникальный идентификатор, связанный с событием | все события |
| Расположение | рабочая нагрузка, в которой обнаружено событие | все события |
| время действия | время действия пользователя, соответствующего критериям политики защиты от потери данных |
Затронутые сущности
| Имя свойства | Описание | Типы событий |
|---|---|---|
| пользователь | пользователь, который выполнил действие, вызвавшее совпадение политики | все события |
| имя узла | имя узла компьютера, на котором произошло совпадение политики защиты от потери данных | события устройства |
| IP-адрес | IP-адрес компьютера, на котором произошло совпадение политики защиты от потери данных | события устройства |
| sha1 | Хэш SHA-1 файла | события устройства |
| sha256 | Хэш SHA-256 файла | события устройства |
| Идентификатор устройства MDATP | Идентификатор MDATP устройства конечной точки | |
| размер файла | размер файла | События SharePoint, OneDrive и устройств |
| путь к файлу | абсолютный путь к элементу, связанному с соответствием политики защиты от потери данных. | События SharePoint, OneDrive и устройств |
| получатели электронной почты | Если сообщение электронной почты было конфиденциальным элементом, соответствующим политике защиты от потери данных, в этом поле содержатся получатели этого сообщения. | События Exchange |
| тема электронной почты | тема сообщения электронной почты, соответствующего политике защиты от потери данных | События Exchange |
| вложения электронной почты | имена вложений в сообщении электронной почты, которые соответствуют политике защиты от потери данных | События Exchange |
| владелец сайта | имя владельца сайта | События SharePoint и OneDrive |
| URL-адрес сайта | полный URL-адрес сайта SharePoint или OneDrive, где произошло совпадение политики защиты от потери данных | События SharePoint и OneDrive |
| файл создан | время создания файла, соответствующего политике защиты от потери данных | События SharePoint и OneDrive |
| файл последнего изменения | время последнего изменения файла, соответствующего политике защиты от потери данных; | События SharePoint и OneDrive |
| размер файла | размер файла, соответствующего политике защиты от потери данных | События SharePoint и OneDrive |
| владелец файла | владелец файла, соответствующего политике защиты от потери данных | События SharePoint и OneDrive |
Сведения о политике
| Имя свойства | Описание | Типы событий |
|---|---|---|
| Политика защиты от потери данных соответствует | имя соответствующей политики защиты от потери данных | все события |
| соответствие правилу | имя соответствующего правила политики защиты от потери данных | все события |
| Обнаружены типы конфиденциальной информации (SIT) | SiT, обнаруженные как часть соответствия политики защиты от потери данных | все события |
| предпринятые действия; | выполненные действия, которые вызвали совпадение политики защиты от потери данных | все события |
| нарушение действия | действие на устройстве конечной точки, которое вызвало оповещение о защите от потери данных | события устройства |
| политика перебора пользователей | переопределил ли пользователь политику с помощью подсказки политики | все события |
| использовать обоснование переопределения | текст причины, предоставленной пользователем для переопределения | все события |
Важно!
Конфигурация политики хранения журнала аудита вашей организации определяет, как долго оповещение будет отображаться в консоли. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.
См. также
- Оповещения в политиках защиты от потери данных. Описание оповещений в контексте политики защиты от потери данных.
- Начало работы с оповещениями защиты от потери данных. Сведения о необходимых разрешениях, разрешениях и предварительных требованиях для оповещений защиты от потери данных и справочных сведений об оповещениях.
- Создание и развертывание политик защиты от потери данных. Содержит рекомендации по настройке оповещений в контексте создания политики защиты от потери данных.
- Сведения об изучении оповещений защиты от потери данных. В этой статье рассматриваются различные методы изучения оповещений защиты от потери данных.
- Изучение инцидентов потери данных с помощью Microsoft Defender XDR. Как исследовать оповещения защиты от потери данных на портале Microsoft Defender.