Поделиться через


Сведения об исследовании предупреждений для защиты от потери данных

В этой статье рассказывается о потоке исследования оповещений и средствах, которые можно использовать для изучения оповещений защиты от потери данных.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Подготовка к работе

Если вы не знакомы с Microsoft Purview DLP, вот список основных статей, с которыми вы должны быть знакомы при реализации практики защиты от потери данных:

  1. Административные единицы
  2. Сведения о защите от потери данных в Microsoft Purview. В этой статье представлены сведения о дисциплине защиты от потери данных и реализации DLP корпорацией Майкрософт.
  3. Планирование защиты от потери данных (DLP). В этой статье вы выполните следующие действия:
    1. Определение заинтересованных лиц
    2. Описание категорий конфиденциальной информации для защиты
    3. Установка целей и стратегии
  4. Справочник по политике защиты от потери данных. В этой статье рассматриваются все компоненты политики защиты от потери данных и влияние каждого из них на поведение политики.
  5. Разработка политики защиты от потери данных. В этой статье описано, как создать инструкцию намерения политики и сопоставить ее с определенной конфигурацией политики.
  6. Создание и развертывание политик защиты от потери данных. Представлены некоторые распространенные сценарии намерения политики, которые сопоставляются с параметрами конфигурации. Затем в нем описывается настройка этих параметров и приводятся рекомендации по развертыванию политики.
  7. Сведения об исследовании оповещений защиты от потери данных. В этой статье, которую вы читаете, вы узнаете о жизненном цикле оповещений от создания до окончательного исправления и настройки политики. Он также знакомит вас с инструментами, используемыми для исследования оповещений.

Жизненный цикл оповещения защиты от потери данных

Для всех оповещений и взаимодействия с ними необходимо выполнить следующие шесть шагов:

Триггер

Срок действия оповещения о защите от потери данных (DLP) Microsoft Purview начинается при совпадении условий, определенных в политике. При совпадении политики активируются действия, определенные в политике, которые могут включать создание оповещения, если политика настроена на это.

Политики защиты от потери данных обычно настраиваются для отслеживания и создания оповещений при следующих случаях:

  • Конфиденциальная информация, например персональные данные или интеллектуальная собственность, вымогается из вашей организации.
  • Конфиденциальная информация неуместно передается пользователям за пределами организации или внутри нее.
  • Пользователи участвуют в рискованных действиях, таких как скачивание конфиденциальной информации на съемный носитель.

Уведомить

При создании оповещения оно отправляется на портал Microsoft Defender в виде инцидента и панели мониторинга управления оповещениями О DLP. Политики защиты от потери данных можно настроить для отправки уведомлений пользователям, администраторам и другим заинтересованным лицам по электронной почте.

На этапе уведомления Microsoft Purview:

  • Отчеты о совпадениях политики защиты от потери данных и переопределениях пользователей.
  • Обозреватель действий можно использовать для просмотра действий, связанных с защитой от потери данных, и фильтрации для создания отчетов.

Для экспорта данных о действиях для создания отчетов используйте Export-ActivityExplorerData (ExchangePowerShell) | Документация Майкрософт с помощью API действий управления O365 или API инцидентов.

Примечание.

На портале Microsoft Defender хранятся инциденты в течение шести месяцев. Панель мониторинга управления оповещениями защиты от потери данных хранит оповещения в течение 30 дней.

Сортировка

На этом шаге вы проанализируете оповещение и все связанные с ним журналы и решите, является ли оповещение истинным положительным или ложноположительным. Если это действительно положительный результат, вы устанавливаете приоритет оповещения в зависимости от серьезности проблемы и ее влияния на вашу организацию и назначаете владельца. Если это ложноположительный результат, вы можете разблокировать пользователя и перейти к следующему оповещению.

Портал Defender группирует события защиты от потери данных в инциденты. Инциденты — это набор связанных оповещений, которые группируются на основе всех других сигналов, которые получает Defender. Например, если у вас есть политика защиты от потери данных, настроенная для мониторинга конфиденциальных файлов на сайтах SharePoint и оповещения о них, а пользователь скачивает файл с сайта SharePoint, а затем передает его в личный oneDrive, а затем предоставляет к нему доступ внешнему пользователю, Defender группирует все эти оповещения в один инцидент. Это мощная функция, которая позволяет в первую очередь сосредоточиться на наиболее важных оповещениях.

На портале Defender можно сразу же приступить к рассмотрению инцидентов и использовать теги, примечания и другие функции для структурирования управления инцидентами. Для управления оповещениями защиты от потери данных следует использовать страницу Инциденты на портале Microsoft Defender. Вы можете отфильтровать очередь инцидентов, чтобы просмотреть все инциденты с помощью оповещений DLP Microsoft Purview, выбрав Фильтры и выбрав Источник службы: Защита от потери данных.

Если вы включили общий доступ к данным управления внутренними рисками с помощью XDR в Microsoft Defender (предварительная версия), вы увидите уровень серьезности политики управления внутренними рисками, связанной с пользователем, на странице оповещений о защите от потери данных. Уровни серьезности управления внутренними рисками: Низкий, Средний, Высокий и Нет. Эти сведения можно использовать для определения приоритетов в исследованиях и исправлении. Эта информация также будет доступна на портале Microsoft 365 Defender в подробной информации об инциденте.

Исследование

Основная цель этапа исследования заключается в том, чтобы назначенный владелец сопоставил доказательства, определить причину и полное влияние оповещения и принять решение о плане исправления. Назначенный владелец отвечает за более глубокое исследование и исправление оповещения. Основными средствами исследования оповещений являются портал Microsoft Defender и панель мониторинга управления оповещениями защиты от потери данных. Вы также можете использовать обозреватель действий для изучения оповещений. Вы также можете делиться оповещениями с другими пользователями в вашей организации.

Вы можете воспользоваться следующими функциями защиты от потери данных:

Вы можете использовать портал Microsoft Defender и средства Purview для рассмотрения и исследования оповещений, но портал Microsoft Defender предоставляет дополнительные возможности для управления оповещениями и инцидентами, например:

  • Просмотрите все оповещения защиты от потери данных, сгруппированные по инцидентам в очереди инцидентов XDR в Microsoft Defender.
  • Просмотр интеллектуальных оповещений между решениями (DLP-MDE, DLP-MDO) и внутри решения (DLP-DLP) в рамках одного инцидента.
  • Поиск журналов соответствия наряду с безопасностью в разделе Расширенная охота.
  • Действия администратора по исправлению на месте для пользователя, файла и устройства.
  • Связывание пользовательских тегов с инцидентами защиты от потери данных и фильтрация по ним.
  • Фильтрация по имени политики защиты от потери данных, тегу, дате, источнику службы, состоянию инцидента и пользователю в единой очереди инцидентов.

Если вы предоставляете общий доступ к данным управления внутренними рисками в Defender (предварительная версия), вы можете просмотреть сводку действий пользователя по всем действиям кражи, которые пользователь занимался за последние 120 дней.

Исправление

Ваш план исправления является уникальным для политик вашей организации, отрасли, геополитических правил, которым она должна соответствовать, и деловой практики. Способ реагирования вашей организации на оповещение зависит от точности оповещения (истинно положительный, ложноположительный, ложноотрицательный), серьезности проблемы и влияния на организацию.

Действия по исправлению могут включать:

  • Только мониторинг, дальнейшие действия не требуются.
  • Никаких дополнительных действий не требуется, так как действия, выполняемые политикой, в достаточной мере смягчили риск.
  • Риск снижается автоматическими действиями политики, но необходимо обучение пользователей.
  • Эта проблема не была полностью устранена политикой, поэтому требуется дополнительная очистка и устранение рисков наряду с дополнительным обучением пользователей.
  • С помощью адаптивной защиты от потери данных (предварительная версия), где защита от потери данных интегрируется с управлением внутренними рисками, вы можете назначить уровень риска пользователю для дальнейшего мониторинга и действий.

С помощью портала Defender можно немедленно выполнять действия по исправлению оповещений и инцидентов. Например:

  • Сброс пароля
  • Отключение учетной записи
  • Просмотр действий пользователей
  • Действия при обнаружении защиты от потери данных
  • Удаление документа
  • Применение метки конфиденциальности
  • Отменить общий доступ
  • Скачать электронную почту
  • Расширенная охота
  • Изоляция устройства
  • Сбор пакета исследования с устройства
  • Запуск проверки AV
  • Файл карантина
  • Отключить пользователя
  • Сброс pwd
  • Удаление электронной почты
  • Перемещение почты в другую папку почтового ящика
  • Скачивание файла

Настраивать

В зависимости от точности и эффективности политики может потребоваться обновить ее, чтобы она оставалась эффективной. Вы уже настроили свою политику в процессе создания и развертывания политики, но по мере изменения ресурсов данных и бизнес-потребностей политики необходимо обновить, чтобы продолжать действовать. Эти изменения лучше всего отслеживать в инструкции намерения политики и конфигурации политики.

Элементы, которые вы настраиваете:

  • Область политики.
  • Условия, необходимые для соответствия политике.
  • Действия, выполняемые при совпадении политики.
  • Уведомления, отправляемые пользователям и администраторам.

Дополнительные сведения о сопоставлении бизнес-потребностей в разработке и тестировании политик см. в следующих разделах:

Наборы инструментов

Существует несколько средств, которые можно использовать для изучения оповещений защиты от потери данных (DLP) Microsoft Purview и управления ими. Возможные сценарии:

Корпорация Майкрософт рекомендует использовать единую очередь инцидентов на портале Microsoft Defender для управления оповещениями защиты от потери данных. Однако в вашей организации могут возникнуть потребности, которые можно удовлетворить с помощью панели мониторинга управления оповещениями о защите от потери данных в дополнение к порталу Microsoft Defender.

Портал Microsoft Defender

Портал соответствия требованиям Microsoft Purview

Если вы не знакомы с панелью мониторинга оповещений О DLP, ознакомьтесь с этими статьями, которые помогут вам приступить к работе.

Дальнейшие действия