Microsoft Purview Data Loss Prevention: Benutzerbasierte Aggregation von DLP-Warnungen

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

Microsoft Purview DLP wird eine benutzerbasierte Alarmaggregation einführen, bei der mehrere Ereignisse desselben Benutzers innerhalb eines konfigurierbaren Zeitfensters zu einem einzigen Alarm zusammengefasst werden. Dies reduziert die Alarmflut, unterstützt Untersuchungen und erfordert ab Mitte August 2026 eine Aktivierung durch den Administrator, ohne die Richtlinienerkennung zu verändern.

[Was und Warum:]

Microsoft Purview Data Loss Prevention (DLP) führt eine benutzerbasierte Aggregation von Warnmeldungen ein, die es ermöglicht, zusammenhängende DLP-Ereignisse, die vom selben Benutzer ausgelöst wurden, zu einer einzigen Warnmeldung zu gruppieren. Diese Verbesserung reduziert Warnmeldelärm, optimiert Untersuchungsabläufe und bietet Sicherheitsteams sowie Compliance-Teams einen reichhaltigeren Kontext.

Diese Nachricht ist mit der Microsoft 365 Roadmap-ID 564765 verknüpft.

Rollout-Zeitplan:

  • Allgemeine Verfügbarkeit (weltweit): Wir beginnen mit dem Rollout Mitte August 2026 und rechnen mit Abschluss bis Mitte August 2026.

Auswirkungen auf Ihre Organisation:

Betroffene Personen: Compliance-Administratoren und Sicherheitsadministratoren, die Microsoft Purview DLP verwalten

Plattformen/Dienste:

  • Microsoft Purview Compliance-Portal (Web)
  • Data Loss Prevention (DLP)

Was wird passieren:

  • Es steht eine neue Konfigurationsoption für die Aggregation von Ereignissen in Warnmeldungen zur Verfügung.
  • Administratoren können benutzerbasierte Aggregation auswählen und ein Aggregationszeitfenster festlegen.
  • Mehrere DLP-Ereignisse, die vom selben Benutzer innerhalb des definierten Zeitfensters ausgelöst werden, werden zu einer einzigen Warnmeldung zusammengefasst.
  • Warnmeldungen können Ereignisse enthalten, die unterschiedlichen DLP-Richtlinien entsprechen.
  • Die Funktion ist standardmäßig nicht aktiviert und erfordert eine Administrator-Konfiguration.
  • Es gibt keine Änderungen an der Durchsetzung der DLP-Richtlinien.

Nach der Aktivierung werden Warnmeldungen nach Benutzer aggregiert, unabhängig davon, welche DLP-Richtlinien innerhalb des definierten Aggregationszeitfensters zutreffen.

Beispiel: Eine einzelne Warnmeldung kann mehrere vom selben Benutzer ausgelöste Ereignisse enthalten, selbst wenn diese verschiedenen DLP-Richtlinien entsprechen.

Die folgenden Beispiele verdeutlichen den Unterschied zwischen aggregierten und nicht aggregierten Warnmeldungen:

Screenshot 1: Aggregierte Warnmeldung — mehrere vom selben Benutzer ausgelöste Ereignisse werden zu einer einzigen Warnmeldung zusammengefasst, einschließlich Ereignissen, die unterschiedlichen DLP-Richtlinien entsprechen:

Benutzereinstellungen

Screenshot 2: Nicht aggregierte Warnmeldung — jedes Ereignis erzeugt eine separate Warnmeldung, die ein einzelnes Ereignis und die zugehörige Richtlinienübereinstimmung anzeigt:

Benutzereinstellungen

Erforderliche Maßnahmen/Empfehlungen:

  • Überprüfen Sie die neue Einstellung, sobald diese in Ihrer Organisation verfügbar ist.
  • Zur Aktivierung:
    1. Gehen Sie zu Einstellungen > DLP-Einstellungen > Warnungseinstellungen > Ereignisaggregation in Warnmeldungen
    2. Wählen Sie die benutzerbasierte Aggregation aus
    3. Konfigurieren Sie das Zeitfenster für die Warnaggregationsdauer
    4. Wählen Sie Speichern aus
    5. Screenshot 3: Benutzerbasierte Aggregation aktivieren und das Zeitfenster der Warnaggregation in den DLP-Warnungseinstellungen festlegen

      Benutzereinstellungen

  • Bewerten Sie, ob die Aggregation zur Warnmeldungseingrenzung und zu Ihren Untersuchungsprozessen passt.
  • Kommunizieren Sie diese Änderung an Ihre Sicherheits- oder Compliance-Teams.
  • Aktualisieren Sie interne Dokumentationen oder Runbooks, falls Sie auf DLP-Warnmeldungs-Workflows angewiesen sind.

Compliance-Aspekte:

Ändert, wie bestehende Kundendaten verarbeitet, gespeichert oder abgerufen werden: Die Verarbeitung von DLP-Warnmeldedaten erfolgt durch die Aggregation mehrerer Ereignisse in einem einzigen Warnmeldungsobjekt für denselben Benutzer anders.

Ändert DLP-Richtlinien oder deren Durchsetzung: Die Durchsetzung der Richtlinien bleibt unverändert, jedoch wird das Verhalten der Warnmeldungen und die Darstellung der Ereignisse für Administratoren angepasst.

Ändert, wie Administratoren Compliance-Aktivitäten überwachen, berichten oder nachweisen: Die Aggregation von Warnmeldungen verändert, wie Vorfälle in Purview betrachtet, eingestuft und berichtet werden.

Enthält eine Administratorsteuerung: Administratoren können die benutzerbasierte Aggregation aktivieren oder deaktivieren und das Aggregationszeitfenster in den Purview-Einstellungen konfigurieren.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.