数据丢失防护警报入门仪表板

Microsoft Purview 数据丢失防护 (DLP) 策略可以采取保护措施，防止意外共享敏感项目。 通过为 DLP 配置警报，可以在对敏感项执行作时收到通知。 本文介绍如何在数据丢失防护 (DLP) 策略中配置警报。 你将了解如何使用 Microsoft Purview 门户中的 DLP 警报管理仪表板来查看 DLP 策略冲突的警报、事件和关联的元数据。

如果不熟悉 DLP 警报，应查看 数据丢失防护警报入门。

Microsoft Purview 门户 显示针对以下工作负载强制实施的 DLP 策略的警报：

• Exchange 电子邮件
• SharePoint 网站
• OneDrive 账户
• Teams 聊天和通道消息
• 设备
• 实例
• 本地存储库
• 构造和 Power BI

开始之前

在开始之前，请确保具备必要的先决条件：

有关许可的信息，请参阅

• Microsoft 365 企业版计划
• Microsoft 365 服务说明

角色和角色组

如果要查看 DLP 警报管理仪表板或编辑 DLP 策略中的警报配置选项，则必须是以下角色组之一的成员：

• 合规管理员
• 合规数据管理员
• 安全管理员
• 安全操作员
• 安全信息读取者
• 信息保护管理员
• 信息保护分析师
• 信息保护调查员
• 信息保护读者

若要详细了解这些权限，请参阅 Microsoft Purview 门户中的权限

下面是适用角色组的列表。 若要详细了解它们，请参阅 Microsoft Purview 门户中的权限。

• 信息保护
• 信息保护管理员
• 信息保护分析师
• 信息保护调查员
• 信息保护读者

若要访问 DLP 警报管理仪表板，需要“管理警报”角色和以下两个角色之一：

• DLP 合规性管理
• View-Only DLP 合规性管理

若要访问内容预览功能以及匹配的敏感内容和上下文功能，你必须是 内容资源管理器内容查看器 角色组的成员，该角色组已预先分配了 数据分类内容查看者 角色。

DLP 警报配置

若要了解如何在 DLP 策略中配置警报，请参阅 创建和部署数据丢失防护策略。

聚合事件警报配置

如果你的组织已获得聚合警报配置选项的许可，则在创建或编辑 DLP 策略时会看到这些选项。

此配置允许你设置策略，以在每次活动与策略条件匹配时或当超出特定阈值时，根据活动数或外泄数据量生成警报。

单事件警报配置

如果你的组织已获得单事件警报配置选项的许可，则在创建或编辑 DLP 策略时会看到这些选项。 使用此选项可创建每次发生 DLP 规则匹配时引发的警报。

调查 DLP 警报

有三种工具可用于在 DLP 门户中调查 DLP 警报

• 标准视图中的 DLP 警报仪表板
• 警报会审代理 (预览版中的 DLP 警报仪表板) 警报会审代理 (预览版)
• 智能 Microsoft Security Copilot 副驾驶®。

Standard视图

1. 登录到 Microsoft Purview 门户>数据丢失防护。
2. 选择“警报”以查看 DLP 警报仪表板。
3. 使用 “筛选器” 字段可优化警报列表。
4. 选择 “自定义列 ”以列出要查看的属性。
5. 若要按升序或降序对结果进行排序，请双击列标题。
6. 双击警报以获取有关该警报的详细信息。
7. 默认情况下，“ 详细信息 ”选项卡将打开，并提供有关警报的高级信息。
8. 选择“ 使用 Copilot 汇总”。 这会导致Security Copilot生成警报的摘要。 警报摘要将包含：
   • 警报严重性
   • 警报标题
   • 匹配的策略的名称
   • 涉及的名称文件和文件的链接
   • 警报状态
   • 执行与策略匹配的作的用户的电子邮件地址
9. 选择Security Copilot摘要中的省略号以：
   • 将摘要复制到剪贴板
   • 重新生成摘要
   • 在独立体验中打开Security Copilot警报。
10. 选择“ 查看详细信息 ”以打开“ 概述 ”选项卡。“ 概述 ”选项卡提供以下信息的摘要：
    • 发生了什么事
    • 谁执行了导致策略匹配的作
    • 有关策略匹配的其他信息
11. “ 事件 ”选项卡列出与警报关联的所有事件。 选择列表中的任意事件以获取有关该事件的详细信息。 对于每个事件，选择 “作” 下拉列表以获取可对警报执行的作列表，例如验证警报是否标识了真实匹配或误报。
    1. “用户活动摘要”选项卡要求在内部风险管理设置中启用共享 一旦启用，“用户活动摘要”选项卡将提供用户在过去 120 天内 (的所有外泄活动) 。 用户 必须在内部风险管理策略的范围内 才能查看 “用户活动摘要 ”选项卡。
    2. 调查警报后，返回到“ 概述 ”选项卡，可在其中 查看详细信息 以会审和管理警报的处置、添加注释并分配警报的所有权。 (查看工作流管理的历史记录。)
    3. 对警报执行所需的作后，将警报 的“状态 ”设置为 “已解决”。

警报会审代理 (预览版)

在预览版中，Purview 中的智能 Microsoft Security Copilot 副驾驶®支持 Microsoft Purview 会审代理。 此代理通过对警报进行推理并识别对组织构成最大风险的警报，帮助减少对警报进行会审所需的时间。

1. 使用适当的权限登录到 Microsoft Purview 门户>数据丢失防护。
2. 选择“警报”以查看 DLP 警报仪表板。
3. 将“警报”页视图切换为 “警报会审代理” (预览版) 。
4. 选择类别 (“全部”、“需要关注”、“不太紧急”或“未分类) ”以查看与任务相关的警报。
5. 选择会审警报以查看与警报关联的 代理摘要、 概述和 事件 。

1. 查看摘要后，可以选择“ 管理警报 ”，将其分配给分析师、更改状态或警报或添加更多注释。

Security Copilot

Security Copilot是一个基于云的 AI 平台，可帮助安全性和合规性专业人员保护其组织的数据。 可以使用它来汇总Microsoft Purview 警报、会审警报以及向下钻取Microsoft Puview 数据。 它在 DLP 警报仪表板和数据安全状况管理 中可用。

创建警报事件的可共享链接

具有适当权限的用户可以在 DLP 警报控制台中查看Microsoft Purview 数据丢失防护 (DLP) 警报。 但是，由于对警报进行会审和调查，因此你可能希望与无权访问 DLP 和警报控制台的用户共享警报事件。 在预览版中，可以创建警报事件的可共享链接：

1. 在 Purview 门户中，导航到 “数据丢失防护”，然后选择“ 警报”。
2. 选择警报，然后选择“ 查看详细信息”。
3. 在“警报详细信息”屏幕上，选择警报标题下方的“ 事件 ”选项卡，查看此警报中包含的事件。
4. 选择要共享的事件，然后单击屏幕底部的 “作” 按钮以查看 “作” 菜单。
5. 选择“复制事件链接”，然后选择“复制”，将可共享链接复制到事件。
6. 现在，你可以粘贴剪贴板中的链接，以通过聊天、电子邮件或其他方式共享链接。

其他匹配条件

Microsoft Purview 支持在 DLP 事件中显示匹配的条件，以显示已标记 DLP 策略的确切原因。 此信息显示在：

• DLP 警报控制台
• 活动资源管理器
• Microsoft Defender 商业版门户

在“ 事件 ”选项卡中，打开 “详细信息” 以查看 其他匹配条件。

先决条件

• 必须运行Windows 10 x64 (内部版本 1809 或更高版本) 或Windows 11。
  • 请参阅 2023 年 3 月 21 日 - KB5023773 (OS 内部版本 19042.2788、19044.2788 和 19045.2788) 预览版 ，了解所需的最低 Windows作系统版本。
• 匹配的条件数据适用于有效的 E3 和 E5 许可证持有者。
• 启用 审核。
• 启用 高级分类扫描和保护。

这些条件支持匹配的事件信息

从 DLP 警报中下载电子邮件时的限制

通常，使用 DLP 警报管理仪表板时，可以从警报中下载特定电子邮件。 但是，无法下载在以下任一方案中删除的电子邮件。

其他警报调查工具

• 数据丢失防护警报入门
• 共享数据丢失防护警报 (预览版)
• 活动资源管理器入门
• 了解数据安全状况管理