Integrierte DLP-Inhaltsuntersuchung in Microsoft Defender for Cloud Apps

  • Artikel

Wichtig

Im März 2023 wird die integrierte DLP-Inhaltsuntersuchungs-Engine ausgemustert. Um einen reibungslosen Übergang zu gewährleisten, empfehlen wir dringend, mit der Überführung Ihrer Richtlinien auf die Inhaltsuntersuchungs-Engine für Datenklassifizierungsdienste (DATA Classification Services, DCS) beginnen. Wir empfehlen dringend, Ihre Richtlinien auf das DCS-Modul zu verschieben, solange das integrierte DLP-Modul weiterhin funktioniert, um die verbesserten Funktionen zu nutzen.  

Und so funktioniert die Migration:

Deaktivieren Sie Richtlinien, die eine Inhaltsuntersuchungsbedingung mit der integrierten Engine enthalten. Dadurch wird sichergestellt, dass alle übereinstimmenden Dateien bis zum angegebenen Übergangsdatum unverändert bleiben.

Erstellen Sie eine neue Richtlinie mit den folgenden zwei Bedingungen:

  • Eine Metadatenbedingung mit einem „Startdatum“, um zu vermeiden, dass alle Dateien vom Anfang an gescannt werden.
  • Eine Inhaltsuntersuchungsbedingung mit der DCS-Engine.

Weitere Informationen finden Sie unter Microsoft Data Classification Services-Integrationr

Dieser Artikel beschreibt die Vorgehensweise von Microsoft Defender for Cloud Apps beim Ausführen der integrierten DLP-Inhaltsuntersuchung von Daten in Ihrer Cloud.

Die Inhaltsuntersuchung von Defender for Cloud Apps funktioniert wie folgt:

  1. Defender for Cloud Apps überprüft zunächst Laufwerke und Ereignisse, die als neu oder geändert erkannt wurden, nahezu in Echtzeit (Near Real-Time; NRT).
  2. Nach Abschluss dieser Überprüfung führt Defender for Cloud Apps eine kontinuierliche Überprüfung aller relevanten Dateien auf allen Laufwerken durch.

Alle Dateien aus der NRT-Überprüfung und aus der kontinuierlichen Überprüfung werden der Warteschlange für die Überprüfung hinzugefügt. Die Reihenfolge der Dateien in der Überprüfungswarteschlange wird beim Überprüfen der Laufwerke basierend auf den Aktivitäten pro Datei festgelegt. Der Dateiinhalt wird nur überprüft, wenn die Dateimetadaten einen unterstützten MIME-Typ (Dokumente, Präsentationen, Tabellen, Text und ZIP/Archivdateien) anzeigen.

Nachdem eine Datei überprüft wurde, geschieht Folgendes:

  1. Defender for Cloud Apps wendet alle Ihre benutzerdefinierten Richtlinien an, die sich auf Metadaten und nicht auf den Inhalt selbst beziehen. So z.B. eine Richtlinie, die Sie warnt, wenn Dateien größer als 20 MB sind, oder eine Richtlinie, die Sie warnt, wenn DOCX-Dateien in OneDrive gespeichert werden.

  2. Wenn eine Richtlinie die Inhaltsüberprüfung erfordert und die Datei für eine Überprüfung geeignet ist, wird der Inhalt für die Überprüfung in die Warteschlange eingereiht. Die Länge der Warteschlange hängt von der Größe des Mandanten und der Anzahl der Dateien ab, die eine Überprüfung erfordern.

  3. Ab diesem Zeitpunkt können Sie den Status der Überprüfung anzeigen, indem Sie auf Untersuchen>Dateien und anschließend auf eine Datei klicken. Im Datei-Drawer, der sich mit den Details der Datei öffnet, wird der Status der Inhaltsüberprüfung entweder als Abgeschlossen, Ausstehend, Nicht verfügbar (wenn der Dateityp nicht unterstützt wird, oder wenn keine Richtlinie einer Inhaltsuntersuchung für diese Datei fordert) oder eine Fehlermeldung angezeigt. Informationen zu Fehlermeldungen zur Überprüfung des Inhalts finden Sie unter Troubleshooting content inspection (Problembehandlung bei der Inhaltsuntersuchung).

Hinweis

Wenn Sie einen Gedankenstrich im Überprüfungsstatus sehen, bedeutet das, dass sich die Datei nicht zum Überprüfen in der Warteschlange befindet. Informationen zum Festlegen von Inhaltsuntersuchungsrichtlinien finden Sie unter Dateirichtlinien.

Integrierte Überprüfungsrichtlinien zur Inhaltsuntersuchung können nach folgenden Elementen suchen:

  • E-Mail-Adressen
  • Kreditkartennummern
    • Alle Kreditkartenunternehmen (Visa, MasterCard, American Express, Diners Club, Discover, JCB, Dankort, UnionPay)
    • Trennzeichen: Leertaste, Punkt oder Gedankenstrich
    • Diese Überprüfung umfasst auch die Luhn-Überprüfung
  • SWIFT-Codes
  • Internationale Reisepassnummern
  • Führerscheinnummern
  • Datumsangaben
  • Bank ABA-Routing Transit Number
  • Bankleitzahl BIC (Bank Identifier Code)
  • Nummern der Krankenversicherung in den USA (HIPAA HICN Health insurance claim numbers)
  • Nummern der nationalen Gesundheitsdienstleister in den USA (HIPAA NPI National provider identifier numbers)
  • PHI Vollständiger Name und Geburtsdaten
  • Kalifornische Ausweis- oder Führerscheinnummer
  • Führerscheinnummern
  • Wohnadresse
  • Ausweiskarte (USA)
  • Sozialversicherungsnummer

Unterstützte Sprachen

Die Inhaltsuntersuchungs-Engine für Defender for Cloud Apps:

  • Unterstützt alle Unicode-Zeichen
  • Umfasst über 100 Dateitypen
  • Es werden mehrere Sprachen unterstützt, insbesondere die Dateien, die Unicode-Zeichensätze verwenden. Stellen Sie sicher, dass Sie Ihre Richtlinien so definieren, dass sie diese Sprachen berücksichtigen. Wenn Sie beispielsweise nach Schlüsselwörtern suchen, müssen Sie diese für alle Sprachen angeben, die Sie verwenden möchten.
  • In textbasierten Dateitypen, die keine Unicode-Codierung verwenden, z. B. Chinesisch GB2312, wird der Vergleich mit Schlüsselwörtern des Unicode-Chinesisch nicht wie erwartet funktionieren.
  • Für Dateitypen, die von Bibliotheken von Drittanbietern abhängen, funktioniert die Übereinstimmung von Zeichenfolgen und Wörtern möglicherweise nicht immer wie erwartet. Dies wird am häufigsten in Dateien (z.B. Binärdateitypen) verwendet, in denen die Inhaltsuntersuchung von Bibliotheken von Drittanbietern abhängt, die Java-Zeichenfolgen für die Sprach- und Zeichensätze zurückgeben.

Nächste Schritte

Steuern von Cloud-Apps mit Richtlinien

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.