Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Anleitungen für australische Regierungsorganisationen zu Konfigurationen, um das Risiko von Datenlecks zu verringern, indem verhindert wird, dass Sicherheitsklassifizierungen mit höherer Vertraulichkeit in Umgebungen mit niedrigerer Vertraulichkeit empfangen werden. Ihr Zweck ist es, Organisationen dabei zu helfen, ihren Informationssicherheitsstatus zu verbessern. Die Anleitung in diesem Artikel soll den Anforderungen entsprechen, die im Schutzsicherheitsrichtlinien-Framework (PSPF) und im Handbuch zur Informationssicherheit (Information Security Security Manual, ISM) beschrieben sind.
Microsoft 365-Umgebungen sollten für folgendes konfiguriert werden, um die Wahrscheinlichkeit und potenzielle Beschädigung von Datenlecks zu verringern:
- Bewerten Sie Schutzmarkierungen an eingehenden Artikeln und blockieren Sie bei Bedarf deren Empfang.
- Bewerten Sie Schutzkennzeichnungen an bereits erhaltenen Artikeln und verhindern Sie bei Bedarf eine weitere Offenlegung.
- Lösen Sie entsprechende Warnungen und Berichte aus.
- Stellen Sie eine Methode zur Überprüfung auf Elemente mit höheren als zulässigen Klassifizierungen innerhalb einer Umgebung bereit.
Bewertung von Schutzmarkierungen
Wenn Sicherheitsklassifizierungen auf Elemente angewendet werden, z. B. durch Anwendung einer Vertraulichkeitsbezeichnung, werden auch Schutzmarkierungen angewendet. Schutzmarkierungen umfassen Inhaltsmarkierungen, z. B. Kopf- und Fußzeilen, die in der Inhaltskennzeichnung für Vertraulichkeitsbezeichnungen enthalten sind. Für E-Mails umfassen Schutzmarkierungen auch X-Schutzmarkierungen x-Header und betreffbasierte Markierungen. Um die bestmögliche Abdeckung zu gewährleisten, sollten Ansätze angewendet werden, die mehrere Methoden zum Identifizieren nicht festgelegter Klassifizierungen verwenden. Ansätze zum Identifizieren von Sicherheitsklassifizierungen sollten die Auswertung von:
-
X-Schutzmarkierung x-Header Behörden müssen E-Mail-Metadaten in Form von X-Headern in generierten E-Mails stempeln, die ihre Sicherheitsklassifizierung identifizieren. Ein x-protective-marking-x-header einschließlich
SEC=SECRETbezeichnet ein Element mit einer SECRET-Sicherheitsklassifizierung. - Betreffmarkierungen Regierungsorganisationen wenden in der Regel Betreffmarkierungen auf E-Mails an. Antragstellermarkierungen sind anfälliger für Manipulationen, da sie für Endbenutzer zugänglich sind, bieten aber dennoch einen guten Hinweis auf die Sicherheitsklassifizierung. Eine Betreffmarkierung einschließlich [SEC=SECRET] steht für ein Geheimniselement.
-
Vertraulicher Informationstyp (SIT) Sensitive Information Types (SITs) sind Schlüsselwort (keyword)- oder musterbasierte Bezeichner, die verwendet werden können, um Inhalte in Elementen zu finden, einschließlich Schutzmarkierungen. Ein SIT kann so konfiguriert werden, dass eine Inhaltsmarkierung von in der
SECRETKopf- oder Fußzeile einer E-Mail oder eines Dokuments identifiziert wird. Eine Schlüsselwort (keyword) vonSECRETist anfälliger für falsch positive Ergebnisse, dass eine Schlüsselwort (keyword) soSECRET CABINET Personal Privacyetwas Diskretion mit dieser Technik empfohlen wird. - Vertraulichkeitsbezeichnung Benutzer sollten nicht in der Lage sein, Vertraulichkeitsbezeichnungen anzuwenden, die über die für eine Umgebung zulässige Sicherheitsklassifizierung hinausgehen. Das Konfigurieren nicht veröffentlichter Bezeichnungen für höhere als zulässige Klassifizierungen kann jedoch nützlich sein, wenn sie mit Konfigurationen für automatische Bezeichnungen gekoppelt werden. Eine Richtlinie für automatische Bezeichnungen, die nach einer SECRET-Kennzeichnung sucht und eine SECRET-Bezeichnung anwendet, könnte dann alle ausrichtenden Elemente verschlüsseln, wodurch eine weitere Offenlegung verhindert wird, während Sicherheitsteams eingreifen. Weitere Informationen finden Sie unter Bezeichnungen für Informationen, die über die PROTECTED-Ebene hinausgehen.
Die in diesem Artikel verwendeten Ansätze verwenden eine oder mehrere dieser Methoden zum Identifizieren von Sicherheitsklassifizierungen.
Blockieren des Empfangs von E-Mails mit nicht ausgegebenen Klassifizierungen
ISM-0565 definiert Maßnahmen zum Schutz vor Datenlecks per empfangener E-Mail:
| Anforderung | Detail |
|---|---|
| ISM-0565 (März 2025) | Email Server sind so konfiguriert, dass E-Mails mit unangemessenen Schutzmarkierungen blockiert, protokolliert und gemeldet werden. |
Innerhalb dieser Anforderung wird der Begriff unangemessene Schutzmarkierungen in der Regel verwendet, um höhere als zulässige Klassifizierungen für eine Umgebung zu definieren. Um diese Anforderung zu erfüllen, sollten DLP-Richtlinien (Data Loss Prevention) konfiguriert werden, um die Übertragung, den Empfang und die weitere Verteilung von Elementen mit nicht ausgegebenen Klassifizierungen zu verhindern.
Dlp-Beispielregel: Geheime E-Mail blockieren
Die folgende Regel bewertet E-Mails basierend auf X-Header, Betreffmarkierung und Vertraulichkeitsbezeichnung. Eine Bedingung, die SITs bewertet, wurde dieser Regel aufgrund des Risikos falsch positiver Ergebnisse nicht hinzugefügt, aber diese kann nach dem Testen hinzugefügt werden, wenn dies als angemessen erachtet wird. Diese Regel könnte EXO – Secret-E-Mail blockieren und einer Richtlinie namens EXO - Block nonpermitted classification email (Exo – Nicht ausgegebene Klassifizierungs-E-Mail blockieren) hinzugefügt werden.
| Bedingungen | Aktion |
|---|---|
| Header stimmt mit Mustern überein: - Headername: x-Schutzmarkierung – Regulärer Headerausdruck: SEC=SECRET OR-Gruppe Betreff entspricht Mustern: -Regulärer Ausdruck: \[SEC=SECRET OR-Gruppe Inhalt enthält Inhalt enthält Vertraulichkeitsbezeichnungen: - GEHEIM |
Einschränken des Zugriffs oder Verschlüsseln der Inhalte an Microsoft 365-Speicherorten: - Blockieren des Empfangens von E-Mails oder des Zugriffs auf Benutzer - Alle blockieren Der Regelschweregrad sollte als hoch konfiguriert werden, wobei Warnungen konfiguriert sind, um sicherzustellen, dass Sicherheitsteams benachrichtigt werden. |
Tipp
Diese DLP-Regellogik kann so geändert werden, dass sie auf TOP SECRET-E-Mails angewendet wird. Umgebungen, die auf einer niedrigeren Ebene als PROTECTED betrieben werden, können es verwenden, um den Empfang von PROTECTED-E-Mails zu verhindern.
Blockieren der Freigabe von Elementen mit nicht ausgegebenen Klassifizierungen
Es gibt in der Regel viele verschiedene Möglichkeiten, informationen in eine Umgebung zu verschieben. Email ist eine wichtige Möglichkeit, dies abzudecken, aber wir sollten auch die vielen anderen Möglichkeiten berücksichtigen, wie Dateien empfangen werden können, und das Risiko, dass Elemente mit nicht ausgegebenen Klassifizierungen bereits in einer Umgebung vorhanden sind.
Sicherheitsklassifizierungen können über benutzerdefinierte Typen vertraulicher Informationen identifiziert werden, z. B. die unter SIT-Beispielsyntax zum Erkennen von Schutzmarkierungen beschriebenen Typen.
Nachdem SITs konfiguriert wurden, indiziert SharePoint aktive Elemente für die SIT-Ausrichtung. DLP-Richtlinien können erstellt werden, um Elemente zu schützen, die als mit sit übereinstimmen.
Hinweis
Die SIT-Erkennung kann mithilfe der Bedarfsklassifizierung auf historische Elemente erweitert werden. Weitere Informationen zur Bedarfsklassifizierung finden Sie unter On-Demand-Klassifizierung (Vorschau).
Der folgende Satz von Beispiel-SITs kann erstellt werden, um zu versuchen, SECRET-Markierungen zu identifizieren. Die Zuverlässigkeitsstufen für diese SITs variieren, da je einfacher die Markierungen sind, desto höher ist die Wahrscheinlichkeit falsch positiver Ergebnisse.
| SIT-Name | Regulärer Ausdruck | Konfidenz |
|---|---|---|
| SECRET Regex | SECRET(?!,\sACCESS=)(?!(?:\s\ | \/\/\ | \s\/\/\s)[Pp]ersonal[- ][Pp]rivacy)(?!(?:\s\ | \/\/\ | \s\/\/\s)[Ll]egislative[- ][Ss]ecrecy)(?!(?:\s\ | \/\/\ | \s\/\/\s)[Ll]egal[- ][Pp]rivilege)(?!(?:\s\ | \/\/\ | \s\/\/\s)NATIONAL[ -]CABINET)(?!(?:\s\ | \/\/\ | \s\/\/\s)CABINET) |
Niedrig |
| SECRET Personal Privacy Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sACCESS=)Personal[ -]Privacy |
Mittel |
| SECRET Legal Privilege Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sACCESS=)Legal[ -]Privilege |
Mittel |
| SECRET Legislative Secrecy Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sACCESS=)Legislative[ -]Secrecy |
Mittel |
| SECRET NATIONAL CABINET Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sCAVEAT=SH:)NATIONAL[ -]CABINET |
Mittel |
| SECRET CABINET Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sCAVEAT=SH:)CABINET |
Mittel |
Dlp-Beispielregel: Blockieren der Freigabe von SECRET-Elementen
Die folgende DLP-Regel könnte den Namen SPOD - Block SECRET sharing (Freigabe des geheimen Schlüssels blockieren) erhalten und der Richtlinie SPOD – Block nonpermitted classification sharing (SPOD – Nicht ausgegebene Klassifizierungsfreigabe blockieren) hinzugefügt werden.
| Bedingungen | Aktion |
|---|---|
| Inhalt enthält einen beliebigen Typ vertraulicher Informationen: - SECRET Regex - SECRET Personal Privacy Regex - SECRET Legal Privilege Regex - SECRET Legislative Secrecy Regex - SECRET NATIONAL CABINET Regex - SECRET CABINET Regex OR-Gruppe Inhalt enthält alle Vertraulichkeitsbezeichnungen: GEHEIM |
Einschränken des Zugriffs oder Verschlüsseln der Inhalte an Microsoft 365-Speicherorten: - Blockieren des Empfangens von E-Mails oder des Zugriffs auf Benutzer - Alle blockieren Der Regelschweregrad sollte als hoch konfiguriert werden, wobei Warnungen konfiguriert sind, um sicherzustellen, dass Sicherheitsteams benachrichtigt werden. |
Wichtig
SITs, die Dokumente anhand von Markierungen identifizieren, können falsch positive Ergebnisse aufweisen. Dieser Artikel ist beispielsweise mit Schutzmarkierungen übersät und würde auf der höchsten Sicherheitsstufe gekennzeichnet werden. Ansätze zum Identifizieren falsch positiver Ergebnisse sollten ausgewogen sein und berücksichtigen, dass die Erkennung eines SIT keine Sicherheitsklassifizierung garantiert. Ansätze sollten vollständig getestet werden, bevor eine konfiguration, die sich auf den Benutzer auswirkt, z. B. die Verschlüsselung, implementiert wird.
Automatische Bezeichnung von Elementen mit nicht ausgegebenen Klassifizierungen
Die oben gezeigten DLP-Richtlinien verwenden Bedingungen für Inhalte, die Vertraulichkeitsbezeichnungen enthalten. Um diese Bedingungen nutzen zu können, benötigen wir eine Methode zur Bezeichnung von Elementen, bei denen der Verdacht besteht, dass sie über eine nicht ausgegebene Klassifizierung verfügen. Dies wird erreicht, indem dienstbasierte Richtlinien für die automatische Bezeichnung verwendet werden, um ruhende Elemente an SharePoint-Speicherorten auf SIT-Ausrichtung zu überprüfen. Wenn ein Element erkannt wird, das eine nicht ausgegebene Sicherheitsklassifizierung enthält, kann das Element bezeichnet und geschützt werden. Diese Konfiguration erfordert, dass Bezeichnungen erstellt und nicht direkt für Endbenutzer veröffentlicht werden. Stattdessen müssen sie in einem Dienst- oder Break Glass-Konto veröffentlicht werden, um sie in den Bereich des Diensts für automatische Bezeichnungen zu bringen. Weitere Informationen zum Erweitern von Bezeichnungstaxonomien auf nicht ausgegebene Klassifizierungen finden Sie unter Bezeichnungen für Informationen über die PROTECTED-Ebene hinaus.
Die konfiguration der automatischen Bezeichnung, die hierfür erforderlich ist, entspricht den Beispielen, die in der SharePoint-basierten Richtlinienkonfiguration bereitgestellt werden. Eine weitere Beispielkonfiguration finden Sie unten. Die folgenden Regeln können einer Richtlinie mit dem Namen SPOD - Label SECRET items hinzugefügt werden:
| Regelname | Dienste | Anzuwendende Bezeichnung | Bedingungen |
|---|---|---|---|
| SPO– Bezeichnen von SECRET-Elementen | SharePoint | GEHEIM | Inhalt enthält einen beliebigen Typ vertraulicher Informationen: – Wählen Sie alle GEHEIMEN SITs aus. |
| OD – Beschriftung SECRET-Elemente | Microsoft OneDrive-App | GEHEIM | Inhalt enthält einen beliebigen Typ vertraulicher Informationen: – Wählen Sie alle GEHEIMEN SITs aus. |
Ein Vorteil dieser automatischen Bezeichnung, die über SIT-basierte Erkennungsmethoden hinaus bietet, besteht darin, dass bezeichnungen out-of-place-Warnungen für Daten ermöglichen. Dies wird ausgelöst, wenn ein Element mit höherer Vertraulichkeit an einen Speicherort mit niedrigerer Vertraulichkeit verschoben wird, wodurch Standortbesitzer und Benutzer benachrichtigt werden, die die Verschiebungsaktivität abschließen. Andere Warnungen können durch die Verwendung von Nachrichtenflussregeln erreicht werden.
Vertraulichkeitsbezeichnungen, die zum Abfangen und Schützen nicht ausgegebener Klassifizierungen erstellt wurden, können auch mit der Verschlüsselung von Vertraulichkeitsbezeichnungen konfiguriert werden. Diese Verschlüsselungseinstellungen könnten so konfiguriert werden, dass nur Teams, die potenzielle Datenlecks untersuchen müssen, Zugriff auf bezeichnete Elemente haben, wodurch die Auswirkungen potenzieller Überläufe erheblich reduziert werden. Eine solche Konfiguration würde Organisationen dabei unterstützen, die IsM-0133-Dateneinschränkungsanforderungen zu erfüllen:
| Anforderung | Detail |
|---|---|
| ISM-0133 (März 2025) | Wenn ein Datenleck auftritt, werden Datenbesitzern empfohlen, und der Zugriff auf die Daten wird eingeschränkt. |
Identifizieren übergelaufener Daten
Content Explorer ist eine Microsoft Purview-Funktion, mit der Administratoren einen Microsoft 365-Datenbestand in Organisationen nach Vertraulicher Informationstyp, Vertraulichkeitsbezeichnung, trainierbarer Klassifizierung oder Aufbewahrungsbezeichnung durchsuchen können. Nachdem SITs zum Identifizieren nicht ausgegebener Klassifizierungen erstellt und/oder Vertraulichkeitsbezeichnungen mit zugehörigen Richtlinien für die automatische Bezeichnung bereitgestellt wurden, können Administratoren nach Elementen suchen, die in SharePoint, OneDrive, Exchange und Teams ausgerichtet werden.
Microsoft Purview-eDiscovery stellt eine alternative Methode zum Suchen nach Elementen mit nicht ausgegebenen Klassifizierungen bereit. Ein eDiscovery-Fall kann mit Suchkriterien erstellt werden, die entweder nach Vertraulichkeitsbezeichnung oder SIT suchen. Weitere Informationen zur Verwendung von eDiscovery zum Suchen von Inhalten finden Sie unter Suchen von Inhalten auf Websites in eDiscovery.
Schützen von nicht bezeichneten Elementen
PSPF erfordert, dass Informationen auf mögliche Risiken oder Schäden geprüft werden, die durch ihre Offenlegung verursacht werden könnten:
| Anforderung | Detail |
|---|---|
| PSPF Release 2024 – Abschnitt 9: Klassifizierungen & Einschränkungen – Anforderung 59 | Der Wert, die Wichtigkeit oder die Vertraulichkeit von amtlichen Informationen (die für die Verwendung als amtliches Protokoll bestimmt sind) wird vom Urheber bewertet, indem der potenzielle Schaden für die Regierung, die nationalen Interessen, Organisationen oder Einzelpersonen berücksichtigt wird, die entstehen würden, wenn die Vertraulichkeit der Informationen kompromittiert würde. |
Wenn Informationen bewertet wurden, wird ihr als risikobehaftet eingestufter Grad durch Anwendung einer Sicherheitsklassifizierung erfasst. Microsoft 365 stellt dies über Vertraulichkeitsbezeichnungen bereit. Konfigurationen wie obligatorische Bezeichnungen stellen sicher, dass für alle Elemente, z. B. Dokumente oder E-Mails, eine Bezeichnung angewendet wird.
Wenn ein Benutzer keine Sicherheitsklassifizierung auf ein Element angewendet hat, besteht die Wahrscheinlichkeit, dass das Risiko einer unangemessenen Offenlegung nicht berücksichtigt wurde. Die Verteilung der enthaltenen Informationen sollte dann als Risiko betrachtet werden. Strategien für solche Szenarien sollten berücksichtigt und in eine DLP-Konfiguration von Organisationen integriert werden.
Viele organisationen der australischen Regierung betrachten nicht gekennzeichnete Elemente auch als unangemessen gemäß ISM-0565:
| Anforderung | Detail |
|---|---|
| ISM-0565 (März 2025) | Email Server sind so konfiguriert, dass E-Mails mit unangemessenen Schutzmarkierungen blockiert, protokolliert und gemeldet werden. |
Blockieren der Übertragung von E-Mails ohne Bezeichnung
Um die Übertragung von E-Mails ohne Bezeichnung zu blockieren, kann eine DLP-Richtlinie basierend auf der benutzerdefinierten Richtlinienvorlage und anwendung auf den Exchange-Dienst konfiguriert werden.
Eine Richtlinie zum Blockieren der Übertragung von E-Mails ohne Bezeichnung erfordert zwei Regeln:
- Die erste Regel für ausgehende Elemente über den Inhalt, der von Microsoft 365 freigegeben wird, mit Personen außerhalb meiner organization Bedingung.
- Eine zweite Regel, die auf Inhalte angewendet wird, die von Microsoft 365 nurfür Personen innerhalb meiner organization freigegeben werden.
Regeln benötigen eine Ausnahme, die über eine Bedingungsgruppe mit aktiviertem NOT-Operanden angewendet wird. Die Bedingungsgruppe enthält eine Bedingung mit Inhalt enthält, Vertraulichkeitsbezeichnungen und hat alle in der Umgebung verfügbaren Bezeichnungen ausgewählt.
Anwendungen und Dienste, die E-Mails generieren, unterliegen nicht der Obligatorischen Bezeichnungskonfiguration, die für Microsoft 365 Apps Clients gilt. Daher wird diese DLP-Richtlinie immer dann ausgelöst, wenn nicht vom Benutzer generierte E-Mails gesendet werden. Es wird gegen Sicherheitswarnungen ausgelöst, die von Microsoft-Diensten, E-Mails von Scannern und Multifunktionsgeräten (MFDs) und E-Mails von Anwendungen wie Personalwesen oder Lohnabrechnungssystemen generiert werden. Um sicherzustellen, dass die Richtlinie wesentliche Geschäftsprozesse nicht blockiert, müssen Ausnahmen in die Gruppe NOT eingeschlossen werden. Zum Beispiel:
- DieOder-Absenderdomäne istmicrosoft.com, die Sicherheit und SharePoint-Warnungen erfasst.
- DEROR-Absender ist ein Mitglied der Gruppe, wobei eine Gruppe Konten enthält, die berechtigt sind, diese Anforderung zu umgehen.
- ODERAbsender-IP-Adresse ist zusammen mit Adressen von Büro-MFDs.
Die Regel wird immer dann ausgelöst, wenn eine E-Mail gesendet wird, die keine der aufgeführten Vertraulichkeitsbezeichnungen enthält, es sei denn, der Absender wird über eine der konfigurierten Ausnahmen ausgenommen.
Hinweis
In einigen Situationen, z. B. beim Erstellen von Kalenderelementen über freigegebene Kalender oder den Zugriff auf ein deligiertes Postfach, gelten Vertraulichkeitsbezeichnungen möglicherweise nicht. Dies kann dazu führen, dass E-Mail-Einladungen, die aus diesen Kalenderelementen generiert werden, auch nicht über eine angewendete Bezeichnung verfügen. Email, die aus Nichtbeschriftungskalenderelementen generiert wurden, können identifiziert und von DLP-Regeln ausgenommen werden, indem nach einer Bedingung für Headerüberstimmungsmuster gesucht wird,x-ms-exchange-calendar-originator-id : (?:_?)
Diese DLP-Regeln sollten über eine Aktion verfügen, bei der alle Benutzer blockiert werden, zusammen mit dem entsprechenden Schweregrad und Denkaktionen.
Die folgende Warnungsanforderung ist für die DLP-Regel relevant, die auf ausgehende Elemente angewendet wird:
| Anforderung | Detail |
|---|---|
| ISM-1023 (Juni 2024) | Die vorgesehenen Empfänger blockierter eingehender E-Mails und die Absender blockierter ausgehender E-Mails werden benachrichtigt. |
Um diese Anforderung zu erfüllen, wird die DLP-Regel, die auf ausgehende Elemente angewendet wird, so konfiguriert, dass der Benutzer benachrichtigt wird, der versucht hat, das Element zu senden.
Tipp
Behördenorganisationen, die auf Vertraulichkeitsbezeichnungen umstellen, können einen Richtlinientipp konfigurieren, anstatt Aktionen zu blockieren oder zu warnen. Solche Richtlinien können verwendet werden, um die Bezeichnungsauswahl vorzuschlagen, ohne sie als harte Anforderung zu konfigurieren. Dies entspricht zwar nicht unbedingt den Anforderungen im ISM, kann jedoch eine ordnungsgemäßere Bereitstellung von Microsoft Purview-Funktionen für Benutzer ermöglichen.
Beispiel für eine DLP-Richtlinie, die E-Mails ohne Bezeichnung blockiert
Die folgende DLP-Richtlinie gilt für den Exchange-Dienst und verhindert den Verlust von Informationen per E-Mail ohne Bezeichnung:
Richtlinienname: EXO – Blockieren von E-Mails ohne Bezeichnung
| Regel | Bedingungen | Aktion |
|---|---|---|
| Blockieren ausgehender nicht bezeichneter E-Mails | Inhalte werden von Microsoft 365 mit Personen außerhalb meiner organization AND Bedingungsgruppe NICHT Inhalt enthält Vertraulichkeitsbezeichnungen: - Alle Bezeichnungen auswählen OR Absenderdomäne ist: – microsoft.com – andere Ausnahmen einschließen |
Einschränken des Zugriffs oder Verschlüsseln der Inhalte an Microsoft 365-Speicherorten: - Blockieren des Empfangens von E-Mails durch Benutzer - Alle blockieren |