Untersuchen von Warnungen zur Verhinderung von Datenverlust mit Microsoft Defender XDR

Gilt für:

  • Microsoft Defender XDR

Sie können Microsoft Purview Data Loss Prevention -Warnungen (DLP) im Microsoft Defender-Portal verwalten. Öffnen Sie Incidents & warnungen>Incidents beim Schnellstart des Microsoft Defender-Portals. Auf dieser Seite haben Sie folgende Möglichkeiten:

  • Zeigen Sie alle IHRE DLP-Warnungen in der Microsoft Defender XDR Incidentwarteschlange unter Incidents gruppiert an.
  • Zeigen Sie intelligente, lösungsübergreifende (DLP-MDE, DLP-MDO) und lösungsinterne (DLP-DLP) korrelierte Warnungen unter einem einzelnen Incident an.
  • Suchen Sie unter Erweiterte Suche nach Konformitätsprotokollen zusammen mit Sicherheit.
  • Direkte Administratorwartungsaktionen für Benutzer, Dateien und Geräte.
  • Ordnen Sie DLP-Vorfällen benutzerdefinierte Tags zu, und filtern Sie nach diesen.
  • Filtern Sie nach DLP-Richtlinienname, Tag, Datum, Dienstquelle, Incident status und Benutzer in der einheitlichen Incidentwarteschlange.

Tipp

Sie können DLP-Vorfälle zusammen mit Ereignissen und Beweisen auch in Microsoft Sentinel abrufen, um sie mit dem Microsoft Defender XDR-Connector in Microsoft Sentinel zu untersuchen und zu beheben.

Lizenzierungsanforderungen

Um Microsoft Purview Data Loss Prevention Incidents im Microsoft Defender-Portal zu untersuchen, benötigen Sie eine Lizenz aus einem der folgenden Abonnements:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 Compliance
  • Microsoft 365 E5/A5 Information Protection und Governance

Hinweis

Wenn Sie für dieses Feature lizenziert und berechtigt sind, fließen DLP-Warnungen automatisch in Microsoft Defender XDR ein. Wenn Sie nicht möchten, dass DLP-Warnungen an Defender fließen, öffnen Sie eine Supportanfrage, um dieses Feature zu deaktivieren. Wenn Sie dieses Feature deaktivieren, werden DLP-Warnungen im Defender-Portal als Microsoft Defender für Office-Warnungen angezeigt.

Rollen

Es empfiehlt sich, Warnungen im Microsoft Defender-Portal nur minimale Berechtigungen zu gewähren. Sie können eine benutzerdefinierte Rolle mit diesen Rollen erstellen und sie den Benutzern zuweisen, die DLP-Warnungen untersuchen müssen.

Berechtigung Zugriff auf Defender-Warnungen
Benachrichtigungen verwalten DLP + Sicherheit
View-Only Verwalten von Warnungen DLP + Sicherheit
Information Protection-Analyst Nur DLP
DLP-Complianceverwaltung Nur DLP
View-Only DLP Compliance Management Nur DLP

Vorbereitende Schritte

Aktivieren Sie Warnungen für alle DLP-Richtlinien im Microsoft Purview-Complianceportal.

Hinweis

Einschränkungen für Verwaltungseinheiten fließen aus der Verhinderung von Datenverlust (Data Loss Prevention, DLP) in das Defender-Portal ein. Wenn Sie ein Administrator mit eingeschränkten Verwaltungseinheiten sind, werden nur die DLP-Warnungen für Ihre Verwaltungseinheit angezeigt.

Untersuchen von DLP-Warnungen im Microsoft Defender-Portal

  1. Navigieren Sie zum Microsoft Defender-Portal, und wählen Sie im linken Navigationsmenü Incidents aus, um die Seite incidents zu öffnen.

  2. Wählen Sie oben rechts Filter und dann Dienstquelle: Verhinderung von Datenverlust aus, um alle Incidents mit DLP-Warnungen anzuzeigen. Hier sind einige Beispiele für die Unterfilter, die in der Vorschau verfügbar sind:

    1. nach Benutzer- und Gerätenamen
    2. (in der Vorschau) Im Filter Entitäten können Sie nach Dateinamen, Benutzern, Gerätenamen und Dateipfaden suchen.
    3. (in der Vorschau) In der Warnungsrichtlinie für Incidents-Warteschlange>> Den Titel der Warnungsrichtlinie. Sie können nach dem DLP-Richtliniennamen suchen.
  3. Search den DLP-Richtliniennamen der Warnungen und Incidents an, an der Sie interessiert sind.

  4. Um die Seite mit der Vorfallzusammenfassung anzuzeigen, wählen Sie den Incident aus der Warteschlange aus. Wählen Sie auf ähnliche Weise die Warnung aus, um die DLP-Warnungsseite anzuzeigen.

  5. Sehen Sie sich den Artikel Warnung an, um Details zur Richtlinie und zu den typen vertraulicher Informationen anzuzeigen, die in der Warnung erkannt wurden. Wählen Sie das Ereignis im Abschnitt Verwandte Ereignisse aus, um die Details der Benutzeraktivität anzuzeigen.

  6. Zeigen Sie den übereinstimmend vertraulichen Inhalt auf der Registerkarte Typen vertraulicher Informationen und den Dateiinhalt auf der Registerkarte Quelle an, wenn Sie über die erforderliche Berechtigung verfügen (details finden Sie hier).

Erweitern der Untersuchung von DLP-Warnungen mit erweiterter Suche

Die erweiterte Suche ist ein abfragebasiertes Tool zur Bedrohungssuche, mit dem Sie bis zu 30 Tage lang Überwachungsprotokolle von Benutzern, Dateien und Websitestandorten untersuchen können, um Ihre Untersuchung zu unterstützen. Sie können Ereignisse in Ihrem Netzwerk proaktiv prüfen, um Bedrohungsindikatoren und -entitäten zu ermitteln. Der flexible Zugriff auf Daten ermöglicht die uneingeschränkte Suche nach bekannten und potenziellen Bedrohungen.

Die Tabelle CloudAppEvents enthält alle Überwachungsprotokolle an allen Speicherorten wie SharePoint, OneDrive, Exchange und Geräte.

Bevor Sie beginnen:

Wenn Sie mit der erweiterten Suche noch nicht vertraut sind, lesen Sie Erste Schritte mit der erweiterten Suche.

Bevor Sie die Vorabsuche verwenden können, benötigen Sie Zugriff auf die CloudAppEvents-Tabelle, die die Microsoft Purview-Daten enthält.

Verwenden integrierter Abfragen

Wichtig

Diese Funktion ist in der Vorschauphase. Vorschaufeatures sind nicht für die Verwendung in der Produktion vorgesehen und weisen möglicherweise eingeschränkte Funktionen auf. Diese Features sind vor einer offiziellen Version verfügbar, damit Kunden frühzeitig Zugriff erhalten und Feedback geben können.

Das Defender-Portal bietet mehrere integrierte Abfragen, die Sie bei der Untersuchung von DLP-Warnungen unterstützen können.

  1. Navigieren Sie zum Microsoft Defender-Portal, und wählen Sie im linken Navigationsmenü Die Option Incidents & Warnungen aus, um die Seite "Incidents" zu öffnen. Wählen Sie Incidents aus.
  2. Wählen Sie oben rechts Filter und dann Dienstquelle: Verhinderung von Datenverlust aus, um alle Incidents mit DLP-Warnungen anzuzeigen.
  3. Öffnen Sie einen DLP-Incident.
  4. Wählen Sie eine Warnung aus, um die zugehörigen Ereignisse anzuzeigen.
  5. Wählen Sie ein Ereignis aus.
  6. Wählen Sie im Bereich "Ereignisdetails" das Steuerelement Go Hunt aus.
    1. Defender zeigt eine Liste der integrierten Abfragen an, die für den Quellspeicherort des Ereignisses relevant sind. Wenn das Ereignis beispielsweise von SharePoint stammt, wird angezeigt.
      1. Datei freigegeben für
      2. Dateiaktivitäten
      3. Websiteaktivität
      4. Dlp-Verstöße gegen Benutzer in den letzten 30 Tagen
  7. Sie können die Abfrage sofort ausführen , den Zeitbereich ändern, die Abfrage zur späteren Verwendung bearbeiten oder speichern.
  8. Nachdem Sie die Abfrage ausgeführt haben, zeigen Sie die Ergebnisse auf der Registerkarte Ergebnisse an.

Wenn die Warnung für eine E-Mail-Nachricht gilt, können Sie die Nachricht herunterladen, indem Sie Aktionen>E-Mail herunterladen auswählen.

Wenn die Warnung für eine Datei in SharePoint Online oder One Drive for Business gilt, können Sie die folgenden Aktionen ausführen:

Wählen Sie für Wartungsaktionen oben auf der Warnungsseite die Karte Benutzer aus, um die Benutzerdetails zu öffnen.

Wählen Sie für Geräte DLP-Warnungen das Gerät Karte oben auf der Warnungsseite aus, um die Gerätedetails anzuzeigen und Korrekturmaßnahmen auf dem Gerät durchzuführen.

Wechseln Sie zur Seite mit der Incidentzusammenfassung, und wählen Sie Incident verwalten aus, um Incidenttags hinzuzufügen, einen Incident zuzuweisen oder zu beheben.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.