Начало работы с агентом microsoft Purview Triage в области защиты от потери данных

Выполните следующие действия, чтобы развернуть агент рассмотрения Microsoft Purview в службе защиты от потери данных (DLP) на порталах Microsoft Purview и Microsoft Defender XDR.

Агент microsoft Purview Triage в DLP выполняет рассмотрение оповещений из политик, которые относятся только к расположениям Exchange, Teams, OneDrive, SharePoint и устройств (конечная точка). Если вы хотите проверить оповещения с устройств, необходимо включить сбор доказательств для действий с файлами на устройствах .

Подготовка к работе

Если вы не знакомы с Microsoft Security Copilot агентом в Майкрософт, прочитайте эту статью.

Подписки и лицензирование

Для этого агента требуется стандартная модель лицензирования на каждое место и модель выставления счетов с оплатой по мере использования. Ваша организация должна иметь следующие лицензии:

  • Защита от потери данных (Майкрософт) для использования агента рассмотрения DLP.

Агент использует вычислительные единицы безопасности (SKU) при выполнении своих задач. Для работы агента рассмотрения необходимо подготовить номера SKU. Количество используемых номеров SKU зависит от количества и типа обрабатываемых оповещений. Дополнительные сведения о SKU см. в разделе Единицы вычислений безопасности (SKU). Вы можете отслеживать потребление SCU в средстве мониторинга использования. Дополнительные сведения о подключении к Microsoft Security Copilot см. в статье Начало работы с Microsoft Security Copilot.

Сведения о лицензировании Security Copilot в E5 см. в статье Сведения о Security Copilot в Microsoft 365 E5.

Сведения о лицензировании см. в разделе

Разрешения и роли

Существуют различные разрешения и роли, необходимые для выполнения различных функций с агентом. Дополнительные сведения см. в статье Необходимые разрешения и роли относятся к различным функциям агента. Дополнительные сведения см. в разделах Разрешения на портале Microsoft Purview и Роли и группы ролей на порталах Microsoft Purview.

Важно!

Агент теперь имеет собственное удостоверение агента (подробнее: https://learn.microsoft.com/en-us/entra/agent-id/identity-platform/what-is-agent-id-platform) или его можно настроить, назначив удостоверение пользователя, задающего агент. Эти параметры можно изменить в любое время, перейдя на вкладку конфигурации развертывания агента на странице Обзор агентов. Что касается агента, настроенного с помощью удостоверения пользователя, рекомендуется выполнить миграцию на удостоверение агента в параметрах агента.

Разрешения на включение и настройку агента рассмотрения в DLP с портала Microsoft Purview и Defender XDR

Назначьте эти роли для настройки агента с помощью рекомендуемого удостоверения агента, действий, таких как настройка или настройка, деактивация и удаление агентов:

Для администраторов (любой из каждой группы):

Группа A

Role Группы ролей, содержащие роль
Управление ролями Администраторы Microsoft Purview
Управление организацией
Управление соответствием требованиям DLP Администратор соответствия требованиям
Администратор данных соответствия требованиям
Управление организацией
Администратор безопасности
Администратор Information Protection Администратор соответствия требованиям
Администратор данных соответствия требованиям
Защита информации
Администраторы Information Protection
Администратор ИИ для защиты данных Администраторы ИИ для защиты данных

Группа B

Role Группы ролей, содержащие роль
Участник Security Copilot (Управляется в Security Copilot)
Участник рабочей области Purview Copilot Входит в несколько групп ролей. Некоторые примеры:
Управление организацией
Администратор соответствия требованиям
Администратор безопасности
Администратор данных соответствия требованиям
Защита информации
Администраторы Information Protection
Аналитики Information Protection
Исследователи Information Protection

Для аналитиков (любой из каждой группы):

Группа A

Role Группы ролей, содержащие роль
Аналитик Information Protection Администратор соответствия требованиям
Администратор данных соответствия требованиям
Защита информации
Аналитики Information Protection
Исследователи Information Protection
Исследователь Information Protection Защита информации
Исследователи Information Protection

Группа B

Role Группы ролей, содержащие роль
Развертывание агента Purview Входит в несколько групп ролей. Некоторые примеры:
Администратор соответствия требованиям
Управление безопасностью данных
Защита информации
Аналитики Information Protection
Исследователи Information Protection
Управление агентом Purview

Группа C

Role Группы ролей, содержащие роль
Участник Security Copilot (Управляется в Security Copilot)
Участник рабочей области Purview Copilot Входит в несколько групп ролей. Вот некоторые примеры:
Управление организацией
Администратор соответствия требованиям
Администратор безопасности
Администратор данных соответствия требованиям
Защита информации
Администраторы Information Protection
Аналитики Information Protection
Исследователи Information Protection

См. документацию по Microsoft Entra ID для агентов | Дополнительные сведения об удостоверении агента см. в Microsoft Learn.

Дождитесь 30-минутного задания агента с удостоверением агента, чтобы доступ на основе ролей отражался, прежде чем инициировать любое выполнение вручную в оповещении.

Важно!

После завершения настройки агент запускается в течение 30–60 минут и начинает рассматривать оповещения защиты от потери данных. По умолчанию агент обрабатывает оповещения из всех политик защиты от потери данных, созданных за последние 30 дней. Это поведение можно изменить в любое время, обновив параметры агента.

Роли, назначенные агенту

Эти роли назначаются агенту рассмотрения в DLP при использовании удостоверения агента:

  • Аналитик Information Protection
  • Аналитик содержимого Purview
  • Средство просмотра содержимого классификации данных (необходимо для получения контекстной сводки)
  • Загрузчик содержимого классификации данных (требуется для сценария конечной точки)
  • Участник рабочей области Purview Copilot

Важно!

Агент запускается в течение 30–60 минут после завершения установки и начинает рассмотрение оповещений защиты от потери данных. По умолчанию агент обрабатывает оповещения из всех политик защиты от потери данных, созданных за последние 30 дней. Это поведение можно изменить в любое время, обновив параметры агента.

Разрешения на просмотр результатов оповещений в Purview и Defender XDR, а также управление агентом рассмотрения Microsoft Purview для защиты от потери данных

Учетной записи, используемой для просмотра результатов вместе с триггерами обновления, отправки отзывов или настраиваемых инструкций для агента проверки данных в DLP, должны быть назначены роли (любой из каждой группы):

Группа A

Role Группы ролей, содержащие роль
Аналитик Information Protection Администратор соответствия требованиям
Администратор данных соответствия требованиям
Защита информации
Аналитики Information Protection
Исследователи Information Protection
Исследователь Information Protection Защита информации
Исследователи Information Protection
Управление оповещениями Администратор соответствия требованиям
Администратор данных соответствия требованиям
Управление организацией
Администратор безопасности
Оператор безопасности
управление оповещениями View-Only Администратор соответствия требованиям
Глобальное средство чтения для администратора данных соответствия требованиям
Управление организацией
Администратор безопасности
Оператор безопасности
Читатель сведений о безопасности

Группа B

Role Группы ролей, содержащие роль
Анализ агента Purview Входит в несколько групп ролей. Некоторые примеры
Администратор соответствия требованиям
Управление безопасностью данных
Защита информации
Аналитики Information Protection
Исследователи Information Protection

Группа C

Role Группы ролей, содержащие роль
Участник Security Copilot (Управляется в Security Copilot)
Участник рабочей области Purview Copilot Входит в несколько групп ролей. Некоторые примеры
Управление организацией
Администратор соответствия требованиям
Администратор безопасности
Администратор данных соответствия требованиям
Защита информации
Администраторы Information Protection
Аналитики Information Protection
Исследователи Information Protection

Стратегия развертывания и конфигурации

Реализация агентов Microsoft Purview включает несколько этапов:

  1. Предварительные требования к инфраструктуре для агентов
  2. Включение агентов
  3. Изменение агентов
  4. Деактивация агентов
  5. Удаление агентов

Предварительные требования для инфраструктуры

Агент рассмотрения Microsoft Purview в DLP работает на Microsoft Security Copilot.

  • Клиент должен быть подключен к Microsoft Security Copilot. Дополнительные сведения о подключении см. в статье Начало работы с Microsoft Security Copilot.

  • В Security Copilot необходимо включить общий доступ к данным Microsoft 365. Дополнительные сведения см. в статье Доступ к данным из служб Microsoft 365 .

  • Необходимо включить подключаемый модуль Microsoft Purview в Microsoft Security Copilot. Дополнительные сведения см. в разделе Включение источника Microsoft Purview в Microsoft Security Copilot.

  • Чтобы использовать возможность исправления агента рассмотрения в защите от потери данных, необходимо разрешить автоматическое развертывание новых ботов Microsoft Teams через Центр Администратор Microsoft Teams.

Включение агента

Эта процедура предназначена для организаций, которые не включили ни один из агентов Microsoft Purview или удалили агенты и хотят снова включить их. После включения агента microsoft Purview Triage в службе защиты от потери данных он будет доступен для использования в Microsoft Purview и Microsoft Defender XDR.

Примечание.

В клиенте может быть только один экземпляр каждого агента, независимо от портала, на котором он был развернут.

Этот процесс работает с агентом рассмотрения в Microsoft Purview.

  1. Войдите на портал Microsoft Purview с учетной записью с необходимыми разрешениями.

  2. В области навигации слева выберите Агенты.

  3. Выберите Обзор агентов.

  4. На карта агента рассмотрения в разделе Защита от потери данных выберите Просмотреть сведения, чтобы открыть страницу со сведениями об агенте.

  5. Выберите Программа установки , чтобы открыть страницу Развертывание глобальной конфигурации агента . Варианты действий:

    1. Выберите запуск автоматически в соответствии с заданным расписанием. Если этот параметр не выбран, агент необходимо запускать вручную по одному. Корпорация Майкрософт задает расписание, и оно не настраивается организациями. Этот параметр можно изменить позже при изменении агента.

    2. Выберите временной интервал оповещений, который указывает на то, как далеко агент ищет оповещения для рассмотрения. Аналитики могут сократить сроки редактирования агента, но не удлинить его. Дополнительные сведения см. в разделе Выбор интервалов оповещений.

    3. Включите напоминания об исправлении в Microsoft Teams. Для оповещений Sharepoint/OneDrive, которые были расхищены как Требуется внимание, агент отправляет чат Microsoft Teams последнему измененного пользователя файла и просит удалить конфиденциальную информацию, найденную в файле, связанном с оповещением. (предварительная версия)

    4. Выберите Длительность напоминания, то есть количество дней, в течение которых агент отправляет напоминания в Microsoft Teams для определенного файла, для которого требуется действие от последнего измененного пользователя. (предварительная версия)

  6. Агенту назначается удостоверение агента, которое позволяет ему получать доступ к данным и выполнять действия.

  7. Нажмите кнопку Пуск. При успешном развертывании агента рассмотрения в <решении> отображается активное сообщение.

Этот процесс работает с агентом рассмотрения в Defender XDR.

Важно!

Агент рассмотрения можно развернуть как на портале Microsoft Purview, так и Defender XDR, но управлять, изменять и отключим только на портале Microsoft Purview. После развертывания на любом портале сводки и выходные данные агента можно просматривать на порталах Microsoft Purview и Defender XDR.

  1. Войдите на портал Microsoft Defender XDR с учетной записью с необходимыми разрешениями.

  2. В области навигации слева выберите "Исследование & ответ", затем выберите "Инциденты & оповещения" и выберите "Оповещения".

  3. Щелкните в любом оповещении защиты от потери данных в очереди оповещений.

  4. Если агент рассмотрения не развернут, в оповещении защиты от потери данных появится баннер с предложением развернуть его.

    1. Щелкните "Начало работы", чтобы запустить агент с параметрами по умолчанию.

    2. Щелкните "Подробнее", чтобы узнать больше о доступных вариантах конфигурации.

    3. Завершение развертывания агента

Развертывание "одним щелчком" и включение агента

Появился поток быстрой настройки с триггерами по умолчанию. Любой администратор или аналитик клиента (без развернутого агента) увидит баннер или карта на странице оповещений о настройке агента рассмотрения. Выберите Запустить агент , чтобы развернуть и включить агент. Роли, необходимые для этой настройки, соответствуют ролям, упомянутым ранее для обычного потока установки.

Параметры по умолчанию для установки one-click:

  • Удостоверение. Создание и использование удостоверения агента

  • Триггер: автоматический запуск по заданному расписанию

  • Период времени оповещения: рассмотрение оповещений за последние 30 дней

  • Напоминание об исправлении: выключено (предварительная версия)

  • Политика область. Все политики в область для рассмотрения.

Эти параметры можно настроить во время настройки "Одним щелчком", выбрав параметр Настроить.

Агент редактирования

После включения агента он будет готов к рассмотрению оповещений. Измените и задайте определенные триггеры, с помощью которых агент будет действовать. Эти триггеры используются для определения оповещений, которые будет рассматривать агент.

Выберите, какие триггеры используются на странице Агенты или для первого запуска на странице Оповещения для решения. Нажмите кнопку Сведения об агенте в правом верхнем углу страницы оповещений или:

  1. В области навигации Microsoft Purview (слева на экране) выберите Агенты.
  2. Выберите Обзор агентов.
  3. Выберите Перейти к агенту , который вы хотите изменить.
  4. Выберите Изменить агент.
  5. Выберите Конфигурация агента для редактирования и настройки параметров, таких как триггер, интервал времени оповещения, напоминания об исправлении, длительность напоминания и политика область.
  6. Перейдите в раздел Настраиваемая инструкция агента для редактирования и настройки настраиваемой инструкции по работе агента в клиенте.
  7. Нажмите кнопку Сохранить.

Важно!

Всегда используется последняя конфигурация агента. Параметры агента можно изменять только на портале Microsoft Purview, даже если он был развернут на портале Defender XDR.

Предоставьте агенту до 2 часов завершения рассмотрения оповещений область и включенных ручных запусков после этой начальной настройки.

Деактивация агентов

  1. Войдите на портал Microsoft Purview с учетной записью с необходимыми разрешениями.
  2. В области навигации слева выберите Агенты.
  3. Выберите Обзор агентов.
  4. Выберите Перейти к агенту для агента, который вы хотите деактивировать.
  5. В правом верхнем правом углу страницы обзора агента выберите многоточие (три точки), расположенные рядом с кнопкой Изменить агент .
  6. Выберите Деактивировать агент. Деактивация агента останавливает агент от рассмотрения оповещений. Он не удаляет агент и не сбрасывает контрольную точку времени выбора интервала оповещений .

Важно!

Агент можно отключить только на портале Microsoft Purview, даже если он был развернут на портале Defender XDR.

Удаление агентов

  1. Войдите на портал Microsoft Purview с учетной записью с необходимыми разрешениями.
  2. В области навигации слева выберите Агенты.
  3. Выберите Обзор агентов.
  4. Выберите Перейти к агенту для агента, который вы хотите удалить.
  5. В правом верхнем правом углу страницы обзора агента выберите многоточие (три точки), расположенные рядом с кнопкой Изменить агент .
  6. Выберите Удалить агент. При удалении агента он удаляется из Microsoft Purview. Если вы хотите снова использовать его, необходимо снова пройти процедуры Включение агентов и Изменение агентов .

Важно!

Агент можно удалить с портала Microsoft Purview, даже если он был развернут на портале Defender XDR.

Триггеры и параметры

Триггеры — это группы параметров, значения которых должны быть выполнены, чтобы агент обработал любое оповещение. К триггерам относятся:

Запуск автоматически или вручную

После развертывания агента и изменения триггеров укажите, запускается ли агент автоматически по заданному расписанию или агент запускается вручную по одному оповещению за раз . При выборе параметра Запустить автоматически в соответствии с заданным расписанием агент будет рассматривать оповещения, включенные в параметр Выбор интервала времени оповещения .

Выбор интервала оповещений

Выберите временной интервал оповещений. Доступны следующие варианты:

  • Рассмотрение только новых оповещений
  • Последние 24 часа
  • Последние 48 часов
  • Последние 72 часа
  • Последние 7 дней
  • Последние 14 дней
  • Последние 21 день
  • Последние 30 дней

Если выбран параметр Только рассмотрение новых оповещений , агент проверяет только оповещения, созданные после развертывания агента. Агент не будет рассматривать оповещения, созданные до развертывания агента. Это означает, что все параметры последних часов или дней игнорируются.

Если выбран какой-либо из параметров Последние часы или дни , агент проверяет оповещения, созданные за выбранный период времени. Этот выбор выполняет рассмотрение всех оповещений, созданных до развертывания агента. Все вновь созданные оповещения также рассматриваются.

Напоминание об исправлении (предварительная версия)

Возможность исправления расширяет эффективность агента рассмотрения оповещений в области защиты от потери данных путем предоставления доступа к пользователю, нарушившему политики защиты от потери данных, путем включения конфиденциальных данных в файлы SharePoint и OneDrive, например через Microsoft Teams. Это применимо только для оповещений, классифицированных как "Требуется внимание".

Включение этого параметра также позволяет использовать бота в Microsoft Teams для клиента. Напоминания отправляются один раз в день пользователю, который является последним модификатором файла в контексте (объединение до 10 файлов, если несколько файлов требуют исправления).

Сообщение об исправлении содержит имя файла и описание конфиденциальной информации, требуемой внимания. После того как последний пользователь, изменивший файл, исправит файл, он удаляется из напоминания об исправлении на следующий день. Если файлы не найдены, напоминание не отправляется.

Важно!

Если параметры вашей организации для Microsoft Teams не разрешают развертывание новых приложений Microsoft Teams, напоминания об исправлении не будут отправляться пользователям в вашей организации. Координация с пользователями в вашей организации с соответствующими разрешениями в Центре Администратор Microsoft Teams (admin.teams.microsoft.com), чтобы сделать "Агент проверки безопасности данных" Microsoft Teams доступным для пользователей в вашей организации.

Длительность напоминания (предварительная версия)

Длительность напоминания сообщает количество дней, в течение которых агент должен следить за пользователем по файлам, которые не были исправлены.

Область политики

Политика защиты от потери данных должна соответствовать определенным критериям, чтобы она отображалась в списке Указать область политики и иметь право на включение рассмотрения.

Укажите область политики агента проверки, чтобы указать, какие оповещения политики защиты от потери данных и какие политики могут быть доступны для напоминаний об исправлении. Напоминания об исправлении должны быть включены, а соответствующие политики должны быть подмножеством политик, определенных для рассмотрения агента.

Полное право на участие

Политика полностью может быть включена, если агент рассмотрения оповещений DLP поддерживает все условия в политике. Все оповещения из полностью подходящей политики рассматриваются.

Ограниченное право на участие

Если в политике есть некоторые неподдерживаемые условия ( состояние, называемое ограниченным правомочности), агент проверки DLP Microsoft Purview может не иметь возможности проверить все оповещения из этой политики. На основе перечисленных критериев некоторые оповещения из политики не будут рассматриваться с ограниченным правом. Причину, по которой политика отображается как ограниченная , можно увидеть, выбрав Ограниченное состояние в выборе области политики .

Ниже приведены некоторые причины, по которым политика может находиться в ограниченном состоянии.

Тот же статус соответствия отображается на странице списка политик защиты от потери данных. Столбец допустимости отображается при включении и настройке агента проверки защиты от потери данных. После включения политик в область агента проверяются только будущие оповещения на наличие политик с заданной областью. Существующие измененные оповещения или оповещения, которые уже были созданы, не затрагиваются.

Пользовательские инструкции (предварительная версия)

В процессе настройки агента можно предоставить настраиваемые инструкции агента. Пользовательские инструкции применяются только к агенту рассмотрения в DLP. Агенты Microsoft Purview используют эти инструкции на естественном языке для улучшения рассмотрения оповещений:

  • Преобразование входных данных в логику структурированной классификации.
  • Выполнение этой логики для содержимого оповещений, связанного с каждым оповещением.
  • Повышение или снижение приоритета оповещения, если содержимое соответствует пользовательской инструкции.

Для пользовательских инструкций агент теперь поддерживает инструкции на основе содержимого и метаданных, например:

  • Сосредоточьтесь на оповещениях, связанных с налоговой, финансовой или юридической информацией за последние семь дней
  • Не сосредоточьтесь на оповещениях, содержащих номера кредитных карта, номера социального страхования и имена пользователей, напримерMary@contoso.com
  • Отмена оповещений, если связанные ресурсы имеют .pdf или .jpg файлы

Пользователи также могут использовать предоставленные шаблоны, если не знаете, как предоставить инструкции. Доступны следующие шаблоны.

  • Общая инструкция. Помогает определить четкие классификаторы, целевые или приоритетные условия, по сравнению с классификаторами, которые не являются приоритетными. Разделяйте сложные условия, чтобы избежать создания агентом сложных выводов.
  • Фокус на: помогает определить четкие условия для определения приоритетов. Другие условия помечаются как менее срочные.
  • Уменьшение перегрузки. Помогает определить условия для деприимитизации.
  • Определения. Определяет определения для классификаторов для понимания агентом.

Изменение пользовательских инструкций

  • При необходимости пользователь может добавить в инструкцию несколько шаблонов. Другими словами, они могут выбрать универсальную инструкцию и добавить все необходимые сведения или удалить все, что не требуется. Однако они также могут добавлять эти шаблоны по запросу и вводить определения, а затем добавлять несколько условий уменьшения перегрузки.
  • Пользователь может добавить несколько условий, щелкнув несколько шаблонов, или добавить отдельные строки после выбора одного шаблона.
  • Они также могут добавлять условия в любом порядке и при необходимости повторять условия. Например, пользователь может добавить шаблон для определения, а затем добавить фокус на, уменьшить перегрузку, фокус на и все необходимые определения. Усложнение этих условий аналогично добавлению элементов в корзину путем выбора и удаления элементов по мере необходимости и в любой последовательности.
  • Существующий текст во входном поле не удаляется и не заменяется при выборе шаблона. Текст на основе шаблона всегда добавляется к существующему тексту.
  • Пользователи всегда могут изменить поле ввода даже с помощью шаблона при необходимости. Они могут удалить полные входные данные, предоставленные шаблоном, или внести изменения.

При проверке агент объединяет все экземпляры и предоставляет агентическое понимание для подтверждения. Выходные данные отображаются в трех сегментах:

  • Классификаторы, определенные в инструкциях. Показывает список классификаторов, которые агент определяет из инструкции.
  • Инструкции, выведенные агентом. Интерпретация агента преобразует предоставленные пользователем инструкции на естественном языке. Пользователи могут отменить выбор любых инструкций, которые они не хотят.
  • Неподдерживаемые инструкции. Выделяет инструкцию, если какая-либо часть инструкции не поддерживается. Пользователи могут изменить настраиваемую инструкцию в любое время и повторно просмотреть ее, чтобы удалить все неподдерживаемые условия.

После сохранения инструкции агент использует ее для рассмотрения всех будущих оповещений. Если оповещение соответствует инструкции, создается отдельная сводка. Агент также выделяет классификаторы, соответствующие настраиваемым инструкциям, для каждого связанного документа, связанного с оповещением.

Мониторинг использования SCU

  1. Войдите на портал Microsoft Purview с учетной записью с необходимыми разрешениями.
  2. В области навигации слева выберите Агенты.
  3. Выберите Обзор агентов.
  4. Выберите Просмотреть агент для агента, который вы хотите изменить.
  5. Выберите Изменить агент.
  6. Выберите Мониторинг использования.
  7. Вы можете отслеживать потребление SCU в средстве мониторинга использования.

Обзор страницы оповещений Microsoft Purview

  1. Войдите на портал Microsoft Purview с учетной записью с необходимыми разрешениями.
  2. Откройте решение, для которого нужно просмотреть просмотр оповещений.
  3. Откройте страницу Оповещения для решения.
  4. В правом верхнем углу страницы есть новый переключатель, позволяющий выбрать между Standard представлением страницы оповещений и представлением агента рассмотрения страницы оповещений. Установите переключатель в представление Агента рассмотрения . В этом представлении отображаются просмотрированные оповещения агента. Агент группирует оповещения в четыре категории:
  • Все
  • Требует внимания
  • Менее срочный
  • Не классифицировано

очередь оповещений Defender XDR

  1. Войдите на портал Microsoft Defender XDR с учетной записью с необходимыми разрешениями.
  2. В области навигации слева выберите "Исследование & ответ", затем выберите "Инциденты & оповещения" и выберите "Оповещения".
  3. Предоставленные агентом сводки и факторы риска будут доступны в оповещении защиты от потери данных, которые рассматриваются агентом, как и в Microsoft Purview.

Рассмотрение оповещений

Агент выполняет рассмотрение оповещений, созданных в течение выбранного периода времени и с помощью выбранных политик. Не все оповещения обрабатываются. На порталах Microsoft Purview и Defender XDR доступны просмотр оповещений.

Оповещение с рассмотрением в Microsoft Purview сгруппировано в четыре категории:

  1. Все. Эта категория включает все оповещения, которые обошли агент. Счетчик, указанный в категории, может не точно отражать истинное количество оповещений, пока вы не перейдете в это представление и прокрутите вниз, чтобы загрузить все оповещения. Если условия, вызвавшие создание оповещения, изменились или если оповещение еще не было изменено, можно выбрать оповещение, а затем выбрать Запустить агент , чтобы вручную запустить агент в оповещении.

  2. Требуется внимание. Эта категория содержит оповещения, которые агент оценил и определил, представляют наибольший риск для вашей организации. При выборе одного из этих оповещений откроется всплывающее окно сведений, в который будет отображаться сводка оповещения и другие сведения.

  3. Менее срочные. Эти менее срочные результаты являются оповещениями, которые агент оценил и решил создать более низкий риск для вашей организации. При выборе одного из этих оповещений откроется всплывающее окно сведений, в который будет отображаться сводка оповещения и другие сведения.

  4. Не классифицировано: некатегоризированные результаты — это оповещения о том, что агент не смог успешно рассмотреть, что может произойти по многим причинам, в том числе:

  • Ошибка сервера
  • В процессе проверки
  • другая ошибка
  • Неподдерживаемая ошибка для оповещений, содержащих действия, которые агент не поддерживает.

Агенты используют файлы размером до 2 МБ.

Как агенты определяют приоритеты

Агент рассмотрения в DLP определяет приоритет оповещений на основе следующих факторов риска:

  • Риск содержимого. Эта категория является основным фактором риска, используемым во время рассмотрения агента. Она охватывает конфиденциальное содержимое на основе предоставленных корпорацией Майкрософт типов конфиденциальной информации (SIT), обучаемых классификаторов и меток конфиденциальности по умолчанию. Дополнительные сведения см. в разделе Метки конфиденциальности по умолчанию.
  • Риск кражи. Кража конфиденциальных данных, совместно используемых извне.
  • Риск политики. Режим политики и правила с действиями влияют на определение приоритетов оповещений.
  • Риск содержимого: метка удалена или понижена.

Кроме того, для окончательной классификации вердикта применяются любые пользовательские инструкции или отзывы.

Сведения о рассмотрении оповещений

Важно!

Агент рассмотрения в DLP поддерживает только оповещения от политик, которые находятся в активном режиме. Он не выполняет проверку оповещений из политик защиты от потери данных, работающих в режиме имитации.

Агенты могут просматривать оповещения, созданные за 30 дней до включения, если клиент имеет достаточноЕ количество SKU. Оповещения, созданные более чем за 30 дней до включения агента, не область.

Агент рассмотрения в DLP выполняет рассмотрение оповещений из Exchange, устройств, SharePoint, OneDrive, Teams. Для рассмотрения оповещений с устройств необходимо включить сбор доказательств для действий с файлами на устройствах.

Анализ оповещений, не оцененных агентом, вручную.

Анализ содержимого

В некоторых ситуациях анализ содержимого может быть ограничен.

Определение приоритетов риска содержимого в оповещении основано на типах конфиденциальной информации (SIT), обучаемых классификаторах и метках конфиденциальности в содержимом. Когда агент оценивает риск содержимого, он ищет только SIT и обучаемые классификаторы, определенные в политике.

Если оповещение защиты от потери данных связано с менее чем 10 файлами, агент сканирует все файлы и использует их для создания сводки содержимого. Если оповещение содержит 10 или более файлов, агент использует потенциально первые 10 файлов для создания сводки рисков файлов. В DLP агент рассмотрения выбирает 10 наиболее рискованных файлов на основе количества попаданий классификатора политики, размера файла и последнего времени доступа к файлам. После завершения этого выбора агент рассмотрения добавляет примечание о том, что сводка содержимого не включает все файлы в оповещении.

Возможность исправления в представлении оповещений (предварительная версия)

Существует два способа просмотра хода выполнения исправлений агента.

Состояние исправления можно просмотреть на уровне оповещений в очереди оповещений агента рассмотрения в решении защиты от потери данных. Это представление позволяет пользователю просматривать полностью исправленные оповещения, т. е. пользователи исправили все файлы, затронутые оповещением. Выполняется означает, что агент обратился к пользователю, но пользователь еще не исправит все файлы. Ошибка указывает, что сообщение Teams не удалось отправить.

Используйте второе представление для просмотра файлов в оповещении защиты от потери данных, которые были исправлены. Состояние каждого оповещения защиты от потери данных отображается в разделе Связанные ресурсы , где перечислены все файлы, связанные с оповещением, и соответствующее состояние исправления. Исправлено указывает, что пользователь исправит все обнаруженные SIT в файле. Если пользователь исправит некоторые или ни один из sit, состояние указывает выполняется.

Примечание.

Возможность исправления не стоит ничего дополнительного. Единственными затратами, связанными с использованием этой возможности, являются номера SKU, необходимые для рассмотрения оповещения О DLP в первую очередь.

Отзывы о рассмотрении оповещений

Важно!

Вы можете предоставлять отзывы только об оповещениях в категориях "Требуется внимание " или "Менее срочно ". Если вы не согласны с первоначальной классификацией оповещений агентом, можно использовать механизм обратной связи для пересмотра классификации. Если начальное значение — Требуется внимание, его можно изменить на Less urgent. Если начальная классификация является менее срочной, ее можно изменить как требует внимания.

Можно также добавить свойства, такие как тип конфиденциальных сведений или путь к файлу , которые агент должен использовать в будущих оценках для повышения производительности. Эти свойства поддерживаются в предварительной версии.

  • Адрес электронной почты пользователя: пользователь, выполнивший действие, активировавший оповещение.
  • Адрес электронной почты внешнего получателя: для отслеживания оповещений, вызванных электронной почтой Exchange или взаимодействием Teams с внешними получателями
  • Тип конфиденциальной информации: отображаются все SIT в подписке. Предварительно выбраны ТИПЫ SIT, участвующие в правиле политики, активировав оповещении.
  • Обучаемый классификатор: показывает все обучаемые классификаторы, предварительно выбранные обучаемые классификаторы, участвующие в правиле политики, активирующее оповещение.
  • Метка конфиденциальности: метки, присутствующие в подписке
  • Путь к файлу: если оповещение связано с файлом и доступен путь к файлу. Путь к файлу не включен для оповещений конечной точки DLP (устройства), но полное подтверждение файла не было включено во время рассмотрения оповещений
  • Целевой домен: для устройств конечных точек оповещений О DLP, где присутствует целевой домен
  1. Выберите любой параметр Требуется внимание или Менее срочное оповещение . При выборе откроется всплывающее окно с предоставленными агентом сводками и другими параметрами.
  2. Выберите Отзыв агента.
  3. В поле Изменить до отображается значение перекатегоризации.
  4. Выберите + Добавить свойство и добавьте одно или несколько свойств. Добавленные свойства используются для повышения производительности рассмотрения.
  5. Если вы хотите применить отзыв ко всем политикам, выберите этот параметр. В противном случае обратная связь применяется только к политике, которая активирует оповещение.
  6. Выберите Просмотр , чтобы просмотреть сводку изменений.
  7. Нажмите кнопку Отправить , чтобы сохранить отзыв.
  8. Текущее оповещение не изменяется сразу. Администратор необходимо вручную запустить пропуск рассмотрения для оповещения, чтобы изменить категоризацию на основе предоставленной обратной связи.

Управление отзывами

Вы можете просматривать и управлять всеми отзывами, предоставленными для рассмотрения оповещений, включая экспорт, редактирование и удаление отзывов.

  1. В решении для оповещения откройте страницу Оповещения .
  2. Выберите категорию Требуется внимание или Менее срочно .
  3. Выберите оповещение, для которого вы хотите управлять отзывом.
  4. Выберите Отзыв агента.
  5. Выберите Просмотреть все отзывы.
  6. Выберите запись оповещений и отзывов, которыми вы хотите управлять.
  7. При необходимости измените, удалите или экспортируйте отзыв.

Разрешение конфликтов обратной связи

Конфликт обратной связи может возникать, когда несколько администраторов предоставляют конфликтующие отзывы для одного и того же сочетания пользователей и политик для разных оповещений. Конфликт обратной связи приводит к ошибке.

Например, вы можете:

  • Администратор 1 предоставляет обратную связь, чтобы изменить категорию всех оповещений на Менее срочной, если оповещение предназначено для пользователя A и политики P.
  • Администратор 2 предоставляет обратную связь, чтобы изменить категорию оповещения на Требуется внимание, если оповещение относится к пользователю A и политике P.

Другие особенности

  • Для счетчика оповещений учитываются только оповещения, в которых включен один экземпляр соответствия. Если для сценария с пороговым значением создается оповещение( например, при наличии 10 совпадений за последние 24 часа), эти оповещения не учитываются.

Дальнейшие действия

Сведения о проверке оповещений см. в статьях для конкретных решений.

  • Last updated on