Erste Schritte mit den Warnungen zur Verhinderung von Datenverlust

Ihre Microsoft Purview Data Loss Prevention(DLP)-Richtlinien können so konfiguriert werden, dass Warnungen generiert werden, wenn die Bedingungen in einer Richtlinie übereinstimmen.

Eine kurze Übersicht über Warnungen finden Sie unter:

Dieser Artikel enthält die Lizenzierungs- und Berechtigungsdetails sowie andere wichtige Informationen, die Sie für die Arbeit mit Warnungen benötigen.

DLP-Warnungen können im Microsoft Defender XDR Dashboard und im Microsoft Purview-Complianceportal untersucht und verwaltet werden. Der Microsoft Defender XDR Dashboard ist der empfohlene Speicherort für die Untersuchung und Verwaltung von DLP-Warnungen. Der Microsoft Purview-Complianceportal ist der empfohlene Speicherort zum Erstellen und Bearbeiten von DLP-Richtlinien.

Tipp

Beginnen Sie mit Microsoft Copilot für Sicherheit, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot für Sicherheit in Microsoft Purview.

Alarmtypen

Warnungen können jedes Mal gesendet werden, wenn eine Aktivität einer Regel entspricht. Dies kann laut sein, oder sie können basierend auf der Anzahl der Übereinstimmungen oder der Menge von Elementen über einen bestimmten Zeitraum aggregiert werden. Es gibt zwei Arten von Warnungen, die in DLP-Richtlinien konfiguriert werden können.

Warnungen mit nur einem Ereignis werden in der Regel in Richtlinien verwendet, die auf hoch vertrauliche Ereignisse überwachen, die in einem geringen Volumen auftreten, z. B. eine einzelne E-Mail mit 10 oder mehr Kundenguthaben Karte Nummern, die außerhalb Ihres organization gesendet werden.

Aggregatereigniswarnungen werden in der Regel in Richtlinien verwendet, die auf Ereignisse überwachen, die über einen bestimmten Zeitraum in einem höheren Volumen auftreten. Beispielsweise kann eine aggregierte Warnung ausgelöst werden, wenn innerhalb von 48 Stunden 10 einzelne E-Mails mit jeweils einem Kundenguthaben Karte Nummer außerhalb Ihrer Organisation gesendet werden.

Bevor Sie beginnen

Bevor Sie beginnen, stellen Sie sicher, dass Sie über die erforderlichen Voraussetzungen verfügen:

Lizenzierung für Warnungskonfigurationsoptionen

  • Konfiguration von Warnungen mit einzelnen Ereignissen: Organisationen, die über ein E1-, F1- oder G1-Abonnement oder ein E3- oder G3-Abonnement verfügen, können Richtlinien so konfigurieren, dass bei jedem Auslösen einer Aktivität eine Warnung generiert wird.
  • Aggregierte Warnungskonfiguration: Um aggregierte Warnungsrichtlinien basierend auf einem Schwellenwert zu konfigurieren, müssen Sie über eine der folgenden Konfigurationen verfügen:
    • Ein A5-Abonnement
    • Ein E5- oder G5-Abonnement
    • Ein E1-, F1- oder G1-Abonnement oder ein E3- oder G3-Abonnement, das eines der folgenden Features enthält:
      • Office 365 Advanced Threat Protection Plan 2
      • Microsoft 365 E5 Compliance
      • Add-On-Lizenz für Microsoft 365 eDiscovery und Audit

Kunden, die Endpunkt-DLP verwenden und für Teams DLP berechtigt sind, sehen ihre Endpunkt-DLP-Richtlinienwarnungen und Teams DLP-Richtlinienwarnungen im dlp-Dashboard.

Rollen und rollen Gruppen

Wenn Sie die DLP-Warnungsverwaltung Dashboard anzeigen oder die Warnungskonfigurationsoptionen in einer DLP-Richtlinie bearbeiten möchten, müssen Sie Mitglied einer der folgenden Rollengruppen sein:

  • Complianceadministrator
  • Compliancedatenadministrator
  • Sicherheitsadministrator
  • Sicherheitsoperator
  • Sicherheitsleseberechtigter
  • Information Protection-Administrator
  • Information Protection-Analyst
  • Information Protection-Ermittler
  • Information Protection-Leser

Weitere Informationen dazu finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal

Hier finden Sie eine Liste der anwendbaren Rollengruppen. Weitere Informationen hierzu finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

  • Informationsschutz
  • Information Protection-Administratoren
  • Information Protection-Analysten
  • Information Protection-Ermittler
  • Information Protection-Leser

Für den Zugriff auf die DLP-Warnungsverwaltung Dashboard benötigen Sie die Rolle Warnungen verwalten und eine der beiden folgenden Rollen:

  • DLP-Complianceverwaltung
  • View-Only DLP Compliance Management

Um auf die Inhaltsvorschaufunktion und die Features Übereinstimmende sensible Inhalte und Kontexte zugreifen zu können, müssen Sie Mitglied der Rollengruppe Inhalts-Explorer Inhalts-Viewer sein, der die Rolle Datenklassifizierungsinhalts-Viewer vorab zugewiesen ist.

Tipp

Wenn der Administrator Zugriff auf Warnungen, aber keine kontextbezogenen/vertraulichen Informationen benötigt, können Sie eine benutzerdefinierte Rolle erstellen und zuweisen, die keine Berechtigung zum Anzeigen von Datenklassifizierungsinhalten enthält.

DLP-Warnungskonfiguration

Informationen zum Konfigurieren einer Warnung in Ihrer DLP-Richtlinie finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust. Je nach Lizenzierung gibt es unterschiedliche Funktionen für die Warnungskonfiguration.

Hinweis

Es kann bis zu 3 Stunden dauern, warnungen zu generieren, nachdem Sie vorhandene Warnungen in einer DLP-Richtlinie konfiguriert oder geändert haben.

Konfiguration von Aggregieren von Ereigniswarnungen

Wenn Sie für aggregierte Warnungskonfigurationsoptionen lizenziert sind, werden diese Optionen beim Erstellen oder Bearbeiten einer DLP-Richtlinie angezeigt.

Screenshot: Optionen für Incidentberichte für Benutzer, die für aggregierte Warnungskonfigurationsoptionen berechtigt sind

Mit dieser Konfiguration können Sie eine Richtlinie einrichten, um eine Warnung zu generieren:

  • jedes Mal, wenn eine Aktivität den Richtlinienbedingungen entspricht
  • wenn der definierte Schwellenwert erreicht oder überschritten wird
  • basierend auf der Anzahl der Aktivitäten
  • basierend auf der Menge exfiltrierter Daten

Um eine Flut von Benachrichtigungs-E-Mails zu verhindern, werden alle Übereinstimmungen, die innerhalb eines Zeitfensters von einer Minute auftreten und für dieselbe DLP-Regel und am selben Speicherort gelten, in derselben Warnung gruppiert. Das Feature "Aggregationszeitfenster von einer Minute" ist verfügbar in:

  • Ein E5- oder G5-Abonnement
  • Ein E1-, F1- oder G1-Abonnement oder ein E3- oder G3-Abonnement, das eines der folgenden Features enthält:
    • Office 365 Advanced Threat Protection Plan 2
    • Microsoft 365 E5 Compliance
    • Add-On-Lizenz für Microsoft 365 eDiscovery und Audit

Für Organisationen, die über ein E1-, F1- oder G1-Abonnement oder ein E3- oder G3-Abonnement verfügen, beträgt das Aggregationszeitfenster 15 Minuten.

Konfiguration einzelner Ereigniswarnungen

Wenn Sie für Konfigurationsoptionen für Warnungen mit nur einem Ereignis lizenziert sind, werden diese Optionen beim Erstellen oder Bearbeiten einer DLP-Richtlinie angezeigt. Verwenden Sie diese Option, um eine Warnung zu erstellen, die bei jeder Übereinstimmung mit einer DLP-Regel ausgelöst wird.

Screenshot: Optionen für Incidentberichte für Benutzer, die für Konfigurationsoptionen für Warnungen mit nur einem Ereignis berechtigt sind

Typen von Ereignissen

Im Folgenden finden Sie einige der Ereignisse, die einer Warnung zugeordnet sind. Im Warnungs-Dashboard können Sie ein bestimmtes Ereignis auswählen, um dessen Details anzuzeigen.

Ereignisdetails

Eigenschaftenname Beschreibung Ereignistypen
ID eindeutige ID, die dem Ereignis zugeordnet ist alle Ereignisse
Standort Workload, bei der das Ereignis erkannt wurde alle Ereignisse
Zeitpunkt der Aktivität Uhrzeit der Benutzeraktivität, die den Kriterien der DLP-Richtlinie entspricht

Betroffene Entitäten

Eigenschaftenname Beschreibung Ereignistypen
Benutzer Benutzer, der die Aktion ausgeführt hat, die die Richtlinienentsprechung verursacht hat alle Ereignisse
Hostname Hostname des Computers, auf dem die DLP-Richtlinienüberstimmung aufgetreten ist Geräteereignisse
IP-Adresse IP-Adresse des Computers, auf dem die DLP-Richtlinienüberstimmung aufgetreten ist Geräteereignisse
sha1 SHA-1-Hash der Datei Geräteereignisse
sha256 SHA-256-Hash der Datei Geräteereignisse
MDATP-Geräte-ID MDATP-ID des Endpunktgeräts
Dateigröße Größe der Datei SharePoint-, OneDrive- und Geräteereignisse
Dateipfad Der absolute Pfad des Elements, das an der DLP-Richtlinieneinstimmung beteiligt ist SharePoint-, OneDrive- und Geräteereignisse
E-Mail-Empfänger Wenn eine E-Mail das vertrauliche Element war, das mit der DLP-Richtlinie übereinstimmt, enthält dieses Feld die Empfänger dieser E-Mail. Exchange-Ereignisse
E-Mail-Betreff Betreff der E-Mail, die mit der DLP-Richtlinie übereinstimmt Exchange-Ereignisse
E-Mail-Anlagen Namen der Anlagen in der E-Mail, die der DLP-Richtlinie entsprechen Exchange-Ereignisse
Websitebesitzer Name des Websitebesitzers SharePoint- und OneDrive-Ereignisse
Website-URL voller URL der SharePoint- oder OneDrive-Website, auf der die DLP-Richtlinienüberstimmung aufgetreten ist SharePoint- und OneDrive-Ereignisse
Datei erstellt Erstellungszeitpunkt der Datei, die der DLP-Richtlinie entspricht SharePoint- und OneDrive-Ereignisse
Datei zuletzt geändert das letzte Mal, zu dem die Datei geändert wurde, die der DLP-Richtlinie entspricht SharePoint- und OneDrive-Ereignisse
Dateigröße Größe der Datei, die der DLP-Richtlinie entspricht SharePoint- und OneDrive-Ereignisse
Dateibesitzer Besitzer der Datei, die der DLP-Richtlinie entspricht SharePoint- und OneDrive-Ereignisse

Richtliniendetails

Eigenschaftenname Beschreibung Ereignistypen
DLP-Richtlinie abgeglichen Name der übereinstimmend zugeordneten DLP-Richtlinie alle Ereignisse
Regel übereinstimmend Name der übereinstimmend zugeordneten DLP-Richtlinienregel alle Ereignisse
Typen vertraulicher Informationen (SIT) erkannt SITs, die im Rahmen der DLP-Richtlinien-Übereinstimmung erkannt wurden alle Ereignisse
Durchgeführte Aktionen Ausgeführte Aktionen, die zur Entsprechung der DLP-Richtlinie geführt haben alle Ereignisse
Verletzende Aktion Aktion auf dem Endpunktgerät, das die DLP-Warnung ausgelöst hat Geräteereignisse
Benutzerüberrodungsrichtlinie hat der Benutzer die Richtlinie über einen Richtlinientipp überschrieben. alle Ereignisse
Verwenden der Überschreibungsbegründung der Vom Benutzer für die Außerkraftsetzung angegebene Grundtext alle Ereignisse

Wichtig

Die Konfiguration der Aufbewahrungsrichtlinie für Überwachungsprotokolle Ihres organization steuert, wie lange eine Warnung in der Konsole sichtbar bleibt. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.

Siehe auch