Microsoft 停止 Defender for Endpoint 中的敏感数据警报
Microsoft 已于 2026 年 3 月 23 日起,在 Microsoft Defender 门户中完全停用端点上涉及敏感数据的操作警报。使用 Defender XDR 监控此类事件的组织必须迁移至 Microsoft Purview DLP。此更改需要立即审查并更新安全策略。
停用时间线
停用过程于 2026 年 2 月 16 日开始:Microsoft 移除了在 Defender for Endpoint 中创建新警报策略的能力。完全支持终止于 3 月 23 日。现在,所有敏感数据的通知、策略和调查均仅通过 Purview DLP 可用。
受影响组件:
- Defender XDR 对物理设备上敏感信息访问和操作的警报。
- 端点数据丢失防护 (DLP) 监控设置。
- 与现有 SecOps 工作流程的集成。
迁移步骤
建议组织立即采取以下行动:
- 在 Microsoft Defender 门户中审查当前策略对已停用警报的依赖。
- 导出配置并在 Microsoft Purview DLP 中重新创建它们。
- 通知 SecOps 团队和 Microsoft 支持关于过渡事宜。
- 更新内部合规和事件响应文档。
- 在 Purview DLP 中测试新策略以确保完整覆盖。
Purview DLP 提供高级功能:细粒度策略、自动化修复操作,以及与 Microsoft 365 生态系统的集成。
对基础设施的技术影响
停用会影响端点检测与响应 (EDR) 工作流程,其中 Defender XDR 用于对 PII、PHI 或财务数据泄露进行实时警报。如果不迁移,组织将面临数据外泄事件可见性丢失的风险。
平台间主要差异:
| 方面 | Defender(停用前) | Purview DLP |
|--------|--------------------------|-------------|
| 警报 | 以端点为中心 | 跨工作负载(端点 + 云) |
| 策略 | 基本 DLP 规则 | 高级敏感度标签 |
| 调查 | XDR 警报 | 统一审计日志 + 取证 |
| 集成 | Defender 门户 | M365 合规中心 |
迁移后,将可用增强功能,例如自适应保护和基于机器学习的检测。
要点
- 完全停用:自 2026 年 3 月 23 日起,Defender for Endpoint 中的警报不可用。
- 强制迁移:在 Purview DLP 中重新创建策略以维持合规。
- 风险:不采取行动将丢失敏感数据监控。
- 支持:联系 M365 管理中心 (MC1217649) 获取详情。
- SecOps 影响:更新运行手册并通知团队。
— Editorial Team
暂无评论。