Kom i gang med at indsamle filer, der svarer til politikker til forebyggelse af datatab fra enheder (prøveversion)

  • Artikel

I denne artikel gennemgås forudsætningerne og konfigurationstrinnene for indsamling af beviser for filaktiviteter på enheder, og du får en introduktion til, hvordan du får vist de elementer, der kopieres og gemmes.

Tip

Hvis du ikke er E5-kunde, kan du bruge den 90-dages prøveversion af Microsoft Purview-løsninger til at undersøge, hvordan yderligere Funktioner i Purview kan hjælpe din organisation med at administrere datasikkerhed og overholdelse af angivne standarder. Start nu ved Microsoft Purview-compliance-portal prøveversionshub. Få mere at vide om tilmeldings- og prøveversionsvilkår.

Her er de overordnede trin til konfiguration og brug af indsamling af beviser for filaktiviteter på enheder.

  1. Onboard enheder
  2. Konfigurer Azure Storage
  3. Angiv tilladelser til Azure Blob Storage
  4. Konfiguration af DLP-indstillinger for slutpunkt
  5. Politikkonfiguration
  6. Vis gemte filer

Før du begynder

Før du starter disse procedurer, skal du gennemse Få mere at vide om indsamling af beviser for filaktiviteter på enheder (prøveversion).

Licenser og abonnementer

Se licenskravene for Information Protection for at få oplysninger om de abonnementer, der understøtter DLP. Du behøver ikke yderligere licenser til det, der er nødvendigt til DLP for slutpunktet.

Tilladelser

Der kræves DLP-tilladelser (Standard Microsoft Purview Forebyggelse af datatab). Du kan få flere oplysninger under Tilladelser.

Onboard enheder

Før du kan bruge kopiér matchende elementer, skal du onboarde Windows 10/11-enheder i Purview, se Oversigt over Onboard Windows 10 og Windows 11 enheder i Microsoft 365-oversigt

Konfigurer Azure Storage

Vigtigt!

Objektbeholdere nedarver tilladelserne for den lagerkonto, de er i. Du kan ikke angive forskellige tilladelser pr. objektbeholder. Hvis du har brug for at konfigurere forskellige tilladelser for forskellige områder, skal du oprette flere lagerkonti og ikke flere objektbeholdere.

Du skal have svar på dette spørgsmål, før du konfigurerer dit Azure-lager og tilpasser funktionen til brugerne.

Har du brug for at inddel elementer og få adgang langs rolle- eller afdelingslinjer?

Hvis din organisation f.eks. ønsker at have ét sæt administratorer eller DLP-hændelsesforskere, der kan få vist gemte elementer fra din overordnede ledelse og et andet sæt administratorer eller DLP-hændelsesforskere for gemte elementer fra HR, skal du oprette én Azure Storage-konto til den øverste ledelse og en anden til HR. Dette sikrer, at Azure Storage-administratorer eller DLP-hændelsesforskere kun kan se de elementer, der matchede DLP-politikker fra deres respektive grupper.

Vil du bruge objektbeholdere til at organisere gemte elementer?

Du kan oprette flere forskellige bevisobjektbeholdere på samme lagerkonto for at sortere gemte elementer i. Det kan f.eks. være et for elementer, der er gemt fra HR-afdelingen, og et for it-afdelingen.

Hvad er din strategi for beskyttelse mod sletning eller ændring af gemte elementer?

I Azure Storage refererer databeskyttelse til strategier til beskyttelse af lagerkontoen og dataene i den mod at blive slettet eller ændret eller til gendannelse af data, efter at de er blevet slettet eller ændret. Azure Storage tilbyder også muligheder for it-katastrofeberedskab, herunder flere redundansniveauer for at beskytte dine data mod tjenesteafbrydelser på grund af hardwareproblemer eller naturkatastrofer, og kundeadministrerede failover, hvis datacenteret i det primære område bliver utilgængeligt. Du kan få flere oplysninger under Oversigt over databeskyttelse.

Du kan også konfigurere uforanderlighedspolitikker for dine blob-data, der beskytter mod de gemte elementer, der overskrives eller slettes. Du kan få flere oplysninger under Gem forretningskritiske blobdata med uforanderligt lager

Opret en Azure Storage-konto

Procedurerne for konfiguration af din Azure Storage-konto, objektbeholder og blobs er dokumenteret i Azure-dokumentgruppen. Her er links til relevante artikler, som du kan se for at hjælpe dig med at komme i gang:

  1. Introduktion til Azure Blob Storage
  2. Opret en lagerkonto
  3. Administrer blobobjektbeholdere ved hjælp af Azure Portal
  4. Administrer blokblobs med PowerShell

Sørg for at gemme navnet og URL-adressen på Azure-blobobjektbeholderen. Hvis du vil have vist URL-adressen, skal du åbne Azure Storage Portal > **Egenskaber forobjektbeholder>til hjemmelagerkonti>>

Angiv tilladelser til Azure Blob Storage

Du skal konfigurere to sæt tilladelser til blobs, ét til administratorer og efterforskere, så de kan få vist og administrere beviser, og et andet for brugere, hvis enheder skal overføre elementer til Azure. Du skal oprette brugerdefinerede rollegrupper i Microsoft Purview-overholdelse for at gennemtvinge færrest rettigheder og tildele konti til dem.

Tilladelser til Azure-blob til administratorer og efterforskere

Når du har oprettet den rollegruppe, som DLP-hændelsesforskere skal bruge, skal den have disse tilladelser til Azure-bloben. Du kan få flere oplysninger om konfiguration af blobadgang under Sådan godkender du adgang til blobdata i Azure Portal og Tildel tilladelser på delingsniveau.

Efterforskende handlinger

Konfigurer disse tilladelser for disse handlinger for efterforskere:

Objekt Tilladelser
Microsoft.Storage/storageAccounts/blobServices Læs: Liste over Blob Services
Microsoft.Storage/storageAcccounts/blobServices Læs: Hent egenskaber eller statistikker for blob-tjenesten
Microsoft.Storage/storageAccounts/blobServices/containers Læs: Hent blobobjektbeholder
Microsoft.Storage/storageAccounts/blobServices/containers Læs: Liste over blobobjektbeholdere
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Læs: Læs blob
Handlinger for efterforskere af data
Objekt Tilladelser
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Læs: Læs blob

JSON for undersøgelsesrollegruppen bør se sådan ud:

"permissions": [
     {
         "actions": [
             "Microsoft.Storage/storageAccounts/blobServices/containers/read",
             "Microsoft.Storage/storageAccounts/blobServices/read"
       ],
       "notActions": [],
       "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
       ],
       "notDataActions": []
     }
 ]

Tilladelser til Azure-blob for brugere

Tildel disse tilladelser til Azure-blob for brugerrollen:

Brugerhandlinger
Objekt Tilladelser
Microsoft.Storage/storageAccounts/blobServices Læs: Liste over Blob Services
Microsoft.Storage/storageAccounts/blobServices/containers Læs: Hent blobobjektbeholder
Microsoft.Storage/storageAccounts/blobServices/containers Skriv: Placer blobobjektbeholder
Brugerdatahandlinger
Objekt Tilladelser
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Skriv: Skriv blob
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Andet: Tilføj blobindhold

JSON for brugerrollegruppen skal se sådan ud:

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

Konfiguration af DLP-indstillinger for slutpunkt

  1. Log på Microsoft Purview-compliance-portal.

  2. I den Microsoft Purview-compliance-portal > venstre navigationsrude >Løsninger>DLP-indstillinger til>forebyggelse af> datatabKonfigurer indsamling af beviser for filaktiviteter på enheder.

  3. Indstil til/fra-knappen til Til.

  4. Angiv, hvor længe elementer skal cachelagres på enheder, hvis de ikke kan få adgang til Azure Storage-kontoen. Du kan vælge , 7, 30 eller 60 dage.

  5. Vælg + Tilføj lager , og angiv navnet og URL-adressen på Azure Storage-kontoen.

Politikkonfiguration

Opret en DLP-politik, som du normalt ville gøre. Se Eksempler på konfiguration af politikker til forebyggelse af datatab i Opret og installer politikker til forebyggelse af datatab .

Konfigurer politikken ved hjælp af disse indstillinger:

  • Sørg for, at Enheder er den eneste valgte placering.
  • I Hændelsesrapporter skal du slå Send en besked til administratorer til, når der forekommer en regelmatch til Til.
  • I Hændelsesrapporter skal du vælge Indsaml oprindelig fil som bevis for alle valgte filaktiviteter på Slutpunkt.
  • Vælg den ønskede lagerkonto.
  • Vælg de aktiviteter (Kopiér til en flytbar USB-enhed, Kopiér til et netværksshare, Udskriv, Kopiér eller flyt ved hjælp af ikke-tilladt Bluetooth-app, Kopiér eller flyt ved hjælp af RDP), du vil kopiere tilsvarende elementer til Azure Storage for.

Vis gemte filer

  1. Log på Microsoft Purview-compliance-portal.

  2. I Microsoft Purview-compliance-portal > venstre navigationsnavigation Aktivitetsoversigt>>.

  3. Vælg en DLP-regel, der matcher den hændelse, der blev genereret af en aktivitet, du overvåger for.

  4. I pop op-vinduet skal du vælge linket filnavn under Bevisfil. Bemærk filtypen.

  5. I dette eksempel returnerer linket denne fejl:

    1. This XML file does not appear to have any style information associated with it. The document tree is shown below

  6. I denne prøveversion skal du kopiere den fulde hashværdi fra URL-adressen på browserens adresselinje.

Skærmbillede af en browseradresselinje, hvor den hashkodede del af URL-adressen er fremhævet i en rød boks.

  1. Log på Microsoft Azure-portalen .

  2. Iobjektbeholderen>Azure Portal Home Storage-konti<>blobname i lagringsbrowseren><>.>>>

  3. Åbn blob'en, og find den hashkodede værdi, du kopierede fra trin 6 ovenfor.

  4. Download filen, og åbn den med den relevante app til filtypen.