Сведения об исследовании предупреждений для защиты от потери данных

В этой статье рассказывается о потоке исследования оповещений и средствах, которые можно использовать для изучения оповещений защиты от потери данных.

Подготовка к работе

1. Административные единицы
2. Сведения о защите от потери данных Microsoft Purview
3. Спланируйте защиту от потери данных (DLP) — проработав эту статью, вы:
   1. Определение заинтересованных лиц
   2. Описание категорий конфиденциальной информации для защиты
   3. Установка целей и стратегии
4. Обзор решения "Политики коллекции"
5. Справочник по политике коллекции
6. Справочник по политике защиты от потери данных . В этой статье рассматриваются все компоненты политики защиты от потери данных и влияние каждого из них на поведение политики.
7. Разработка политики защиты от потери данных . В этой статье описано, как создать инструкцию намерения политики и сопоставить ее с определенной конфигурацией политики.
8. Создание и развертывание политик защиты от потери данных . В этой статье представлены некоторые распространенные сценарии намерений политики, которые сопоставляются с параметрами конфигурации, а затем приводятся инструкции по настройке этих параметров.
9. Сведения об изучении оповещений о предотвращении потери данных . В этой статье вы узнаете о жизненном цикле оповещений с момента создания до окончательного исправления и настройки политики. Он также знакомит вас с инструментами, используемыми для исследования оповещений.

Жизненный цикл оповещения защиты от потери данных

Для всех оповещений и взаимодействия с ними необходимо выполнить следующие шесть шагов:

• Trigger
• Уведомить
• Сортировки
• Исследование
• Исправление
• Настройки

Триггер

Жизненный цикл оповещения Защита от потери данных Microsoft Purview (DLP) начинается при совпадении условий, определенных в политике. При совпадении политики активируются действия, определенные в политике, которые могут включать создание оповещения, если политика настроена на это.

Политики защиты от потери данных обычно настраиваются для отслеживания и создания оповещений при следующих случаях:

• Конфиденциальная информация, например персональные данные или интеллектуальная собственность, вымогается из вашей организации.
• Конфиденциальная информация неуместно передается пользователям за пределами организации или внутри нее.
• Пользователи участвуют в рискованных действиях, таких как скачивание конфиденциальной информации на съемный носитель.

Уведомить

При создании оповещения оно отправляется на портал Microsoft Defender в виде инцидента и панели мониторинга управления оповещениями о защите от потери данных. Политики защиты от потери данных можно настроить для отправки уведомлений пользователям, администраторам и другим заинтересованным лицам по электронной почте.

На этапе уведомления Microsoft Purview:

• Отчеты о совпадениях политики защиты от потери данных и переопределениях пользователей.
• Обозреватель действий можно использовать для просмотра действий, связанных с защитой от потери данных, и фильтрации для создания отчетов.

Для экспорта данных о действиях для создания отчетов используйте Export-ActivityExplorerData (ExchangePowerShell) | Документация Майкрософт с помощью API действий управления O365 или API инцидентов.

Сортировки

На этом шаге вы проанализируете оповещение и все связанные с ним журналы и решите, является ли оповещение истинным положительным или ложноположительным. Если это действительно положительный результат, вы устанавливаете приоритет оповещения в зависимости от серьезности проблемы и ее влияния на вашу организацию и назначаете владельца. Если это ложноположительный результат, вы можете разблокировать пользователя и перейти к следующему оповещению.

Портал Defender группирует события защиты от потери данных в инциденты. Инциденты — это набор связанных оповещений, которые группируются на основе всех других сигналов, которые получает Defender. Например, если у вас есть политика защиты от потери данных, настроенная для мониторинга конфиденциальных файлов на сайтах SharePoint и оповещения о них, а пользователь скачивает файл с сайта SharePoint, а затем передает его в личный oneDrive, а затем предоставляет к нему доступ внешнему пользователю, Defender группирует все эти оповещения в один инцидент. Это мощная функция, которая позволяет в первую очередь сосредоточиться на наиболее важных оповещениях.

На портале Defender можно сразу же приступить к рассмотрению инцидентов и использовать теги, примечания и другие функции для структурирования управления инцидентами. Для управления оповещениями защиты от потери данных необходимо использовать страницу Инциденты на портале Microsoft Defender. Вы можете отфильтровать очередь инцидентов, чтобы просмотреть все инциденты с помощью оповещений DLP Microsoft Purview, выбрав Фильтры и выбрав Источник службы: Защита от потери данных.

Если вы включили общий доступ к данным управления внутренними рисками с Microsoft Defender XDR, вы увидите уровень серьезности политики управления внутренними рисками, связанной с пользователем, на странице оповещений о защите от потери данных. Уровни серьезности управления внутренними рисками: Низкий, Средний, Высокий и Нет. Эти сведения можно использовать для определения приоритетов в исследованиях и исправлении. Эта информация также будет доступна на портале Microsoft 365 Defender в подробной информации об инциденте.

Рассмотрение с помощью Microsoft Security Copilot

Еще один инструмент, который можно использовать для рассмотрения оповещений, Microsoft Security Copilot. Security Copilot — это облачная платформа ИИ, которая может помочь специалистам по безопасности и соответствию требованиям в защите данных своей организации. Он доступен на панели мониторинга оповещений DLP и в Управление состоянием безопасности данных.

Рассмотрение с помощью агента рассмотрения оповещений Microsoft Security Copilot защиты от потери данных

Microsoft Security Copilot для Purview поддерживает агент проверки безопасности данных для защиты от потери данных. Microsoft Security Copilot агенты — это процессы на основе ИИ, предназначенные для выполнения конкретных задач на основе ролей.

Исследование

Основная цель этапа исследования заключается в том, чтобы назначенный владелец сопоставил доказательства, определить причину и полное влияние оповещения и принять решение о плане исправления. Назначенный владелец отвечает за более глубокое исследование и исправление оповещения. Основными средствами исследования оповещений являются портал Microsoft Defender и панель мониторинга управления оповещениями О DLP. Вы также можете использовать обозреватель действий для изучения оповещений. Вы также можете делиться событиями оповещений с другими пользователями в вашей организации.

Вы можете воспользоваться следующими функциями защиты от потери данных:

• Сбор доказательств для действий с файлами на устройствах делает файлы, такие как электронная почта и документы, которые соответствуют политике, легко доступны.
• Используйте обозреватель содержимого для глубокого изучения содержимого инцидента.

Вы можете использовать портал Microsoft Defender и средства Purview для рассмотрения и исследования оповещений, но портал Microsoft Defender предоставляет дополнительные возможности для управления оповещениями и инцидентами, например:

• Просмотрите все оповещения защиты от потери данных, сгруппированные по инцидентам в очереди инцидентов Microsoft Defender XDR.
• Просмотр интеллектуальных оповещений между решениями (DLP-MDE, DLP-MDO) и внутренних решений (DLP-DLP) в рамках одного инцидента.
• Поиск журналов соответствия наряду с безопасностью в разделе Расширенная охота.
• Действия администратора по исправлению на месте для пользователя, файла и устройства.
• Связывание пользовательских тегов с инцидентами защиты от потери данных и фильтрация по ним.
• Фильтрация по имени политики защиты от потери данных, тегу, дате, источнику службы, состоянию инцидента и пользователю в единой очереди инцидентов.

Если вы предоставляете общий доступ к данным об управлении внутренними рисками в Defender, вы можете просмотреть сводку действий пользователей по всем действиям по краже, в которые пользователь участвовал за последние 120 дней.

Исправление

Ваш план исправления является уникальным для политик вашей организации, отрасли, геополитических правил, которым она должна соответствовать, и деловой практики. Способ реагирования вашей организации на оповещение зависит от точности оповещения (истинно положительный, ложноположительный, ложноотрицательный), серьезности проблемы и влияния на организацию.

Действия по исправлению могут включать:

• Только мониторинг, дальнейшие действия не требуются.
• Никаких дополнительных действий не требуется, так как действия, выполняемые политикой, в достаточной мере смягчили риск.
• Риск снижается автоматическими действиями политики, но необходимо обучение пользователей.
• Эта проблема не была полностью устранена политикой, поэтому требуется дополнительная очистка и устранение рисков наряду с дополнительным обучением пользователей.
• С помощью адаптивной защиты от потери данных, где защита от потери данных интегрируется с управлением внутренними рисками, вы можете назначить уровень риска пользователю для дальнейшего мониторинга и действий.

С помощью портала Defender можно немедленно выполнять действия по исправлению оповещений и инцидентов. Например, вы можете:

• Сброс пароля
• Отключение учетной записи
• Просмотр действий пользователей
• Действия при обнаружении защиты от потери данных
• Удаление документа
• Применение метки конфиденциальности
• Отменить общий доступ
• Скачать электронную почту
• Расширенная охота
• Изоляция устройства
• Сбор пакета исследования с устройства
• Запуск проверки AV
• Файл карантина
• Отключить пользователя
• Сброс pwd
• Удаление электронной почты
• Перемещение почты в другую папку почтового ящика
• Скачивание файла

Настройки

В зависимости от точности и эффективности политики может потребоваться обновить ее, чтобы она оставалась эффективной. Вы уже настроили свою политику в процессе создания и развертывания политики, но по мере изменения ресурсов данных и бизнес-потребностей политики необходимо обновить, чтобы продолжать действовать. Эти изменения лучше всего отслеживать в инструкции намерения политики и конфигурации политики.

Элементы, которые вы настраиваете:

• Область политики.
• Условия, необходимые для соответствия политике.
• Действия, выполняемые при совпадении политики.
• Уведомления, отправляемые пользователям и администраторам.

Дополнительные сведения о сопоставлении бизнес-потребностей в разработке и тестировании политик см. в следующих разделах:

• Разработка политики защиты от потери данных
• Тестирование политик защиты от потери данных

Наборы инструментов

Существует несколько средств, которые можно использовать для изучения оповещений Защита от потери данных Microsoft Purview (DLP) и управления ими. Возможные сценарии:

• Портал Microsoft Defender
• Панель мониторинга оповещений на портале Microsoft Purview
• Обозреватель действий
• Обозреватель содержимого
• Ключевые функции во встроенном интерфейсе
• Ключевые функции в автономном интерфейсе
• Управление состоянием безопасности данных

Корпорация Майкрософт рекомендует использовать единую очередь инцидентов на портале Microsoft Defender для управления оповещениями защиты от потери данных. Однако у вашей организации могут быть потребности, которые можно удовлетворить с помощью панели мониторинга управления оповещениями О DLP в дополнение к порталу Microsoft Defender.

Портал Microsoft Defender

• Оповещения защиты от потери данных интегрируются с другими событиями и оповещениями в одну очередь инцидентов, что дает более полную картину инцидента.
• Доступен журнал инцидентов за шесть месяцев.
• Доступна расширенная охота .
• Анализ инцидентов потери данных с помощью Microsoft Defender XDR. Вы можете управлять инцидентами защиты от потери данных наряду с инцидентами безопасности из раздела Инциденты & оповещений Инциденты> при быстром запуске портала Microsoft Defender.
• Реагирование на первый инцидент в Microsoft Defender XDR
• Реагирование на инциденты с помощью Microsoft Defender XDR
• Определение приоритета инцидентов в Microsoft Defender XDR
• Управление инцидентами в Microsoft Defender XDR
• Исследование инцидентов в Microsoft Defender XDR
• Изучение оповещений в Microsoft Defender XDR
• Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender XDR

Портал Microsoft Purview

• Панель мониторинга оповещений, обозреватель действий и обозреватель содержимого доступны на портале Microsoft Purview. Вы можете суммировать оповещения с помощью Microsoft Security Copilot изучение оповещений защиты от потери данных
• Для состояния оповещения можно задать значение Исследование.
• Вы можете делиться событиями оповещений с другими пользователями в организации.
• Скачивание файлов из OneDrive и SharePoint (для этого действия требуется роль просмотра содержимого классификации данных )

Если вы не знакомы с панелью мониторинга оповещений О DLP, ознакомьтесь с этими статьями, которые помогут вам приступить к работе.

• Начало работы с панелью мониторинга оповещений о защите от потери данных
• Общий доступ к событиям оповещений защиты от потери данных
• Начало работы с оповещениями для защиты от потери данных
• Начало работы с обозревателем действий
• Начало работы с обозревателем содержимого

Дальнейшие действия

• Исследование оповещений защиты от потери данных с помощью Microsoft Defender XDR

• Начало работы с панелью мониторинга оповещений о защите от потери данных