Erste Schritte mit dem Sammeln von Dateien, die den Richtlinien zur Verhinderung von Datenverlust von Geräten entsprechen (Vorschau)

  • Artikel

Dieser Artikel führt Sie durch die Voraussetzungen und Konfigurationsschritte für die Beweissammlung für Dateiaktivitäten auf Geräten und erläutert, wie Sie die Elemente anzeigen, die kopiert und gespeichert werden.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Datensicherheits- und Complianceanforderungen verwalten können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Hier finden Sie die allgemeinen Schritte zum Konfigurieren und Verwenden der Beweissammlung für Dateiaktivitäten auf Geräten.

  1. Integrieren von Geräten
  2. Einrichten von Azure Storage
  3. Festlegen von Berechtigungen für Azure Blob Storage
  4. Konfiguration der DLP-Einstellungen für Endpunkte
  5. Richtlinienkonfiguration
  6. Anzeigen gespeicherter Dateien

Bevor Sie beginnen

Bevor Sie mit diesen Verfahren beginnen, sollten Sie Informationen zur Beweissammlung für Dateiaktivitäten auf Geräten (Vorschau) lesen.

Lizenzierung und Abonnements

Ausführliche Informationen zu den Abonnements, die DLP unterstützen, finden Sie in den Lizenzierungsanforderungen für Information Protection. Sie benötigen keine zusätzlichen Lizenzen für das, was für Endpunkt-DLP erforderlich ist.

Berechtigungen

Standard Microsoft Purview Data Loss Prevention berechtigungen (DLP) sind erforderlich. Weitere Informationen finden Sie unter Berechtigungen.

Onboarding von Geräten

Bevor Sie übereinstimmende Elemente verwenden können, müssen Sie Windows 10/11-Geräte in Purview integrieren. Weitere Informationen finden Sie unter Onboarding von Windows 10 und Windows 11 Geräten in Microsoft 365 – Übersicht.

Einrichten von Azure Storage

Wichtig

Container erben die Berechtigungen des Speicherkontos, in dem sie sich befinden. Sie können nicht unterschiedliche Berechtigungen pro Container festlegen. Wenn Sie unterschiedliche Berechtigungen für verschiedene Regionen konfigurieren müssen, müssen Sie mehrere Speicherkonten und nicht mehrere Container erstellen.

Sie sollten Antworten auf diese Frage haben, bevor Sie Ihren Azure-Speicher einrichten und das Feature auf Benutzer festlegen.

Müssen Sie Elemente aufteilen und den Zugriff entlang von Rollen- oder Abteilungslinien durchführen?

Wenn Ihr organization z. B. eine Gruppe von Administratoren oder DLP-Ereignisermittlern verwenden möchte, die gespeicherte Elemente von Ihrer leitenden Führungsebene anzeigen können, und eine andere Gruppe von Administratoren oder DLP-Ereignisermittlern für gespeicherte Elemente aus der Personalabteilung, sollten Sie ein Azure Storage-Konto für die Geschäftsleitung und ein weiteres für Personalwesen erstellen. Dadurch wird sichergestellt, dass die Azure-Speicheradministratoren oder DLP-Ereignisermittler nur die Elemente sehen können, die mit DLP-Richtlinien aus ihren jeweiligen Gruppen übereinstimmen.

Möchten Sie Container verwenden, um gespeicherte Elemente zu organisieren?

Sie können mehrere verschiedene Beweiscontainer innerhalb desselben Speicherkontos erstellen, in denen gespeicherte Elemente sortiert werden können. Beispielsweise eine für Elemente, die aus der Personalabteilung gespeichert wurden, und eine für die IT-Abteilung.

Wie sieht Ihre Strategie zum Schutz vor dem Löschen oder Ändern gespeicherter Elemente aus?

In Azure Storage bezieht sich Datenschutz auf Strategien zum Schutz des Speicherkontos und der darin enthaltenen Daten vor dem Löschen oder Ändern von Daten oder zum Wiederherstellen von Daten, nachdem sie gelöscht oder geändert wurden. Azure Storage bietet auch Optionen für die Notfallwiederherstellung, einschließlich mehrerer Redundanzebenen, um Ihre Daten vor Dienstausfällen aufgrund von Hardwareproblemen oder Naturkatastrophen zu schützen, und ein vom Kunden verwaltetes Failover, wenn das Rechenzentrum in der primären Region nicht mehr verfügbar ist. Weitere Informationen finden Sie unter Übersicht über den Datenschutz.

Sie können auch Unveränderlichkeitsrichtlinien für Ihre Blobdaten konfigurieren, die vor dem Überschreiben oder Löschen der gespeicherten Elemente schützen. Weitere Informationen finden Sie unter Speichern unternehmenskritischer Blobdaten mit unveränderlichem Speicher.

Erstellen eines Azure-Speicherkontos

Die Verfahren zum Einrichten Ihres Azure-Speicherkontos, Ihres Containers und Ihrer Blobs sind in der Azure-Dokumentenmappe dokumentiert. Hier finden Sie Links zu relevanten Artikeln, auf die Sie sich bei den ersten Schritten beziehen können:

  1. Einführung in Azure Blob Storage
  2. Erstellen eines Speicherkontos
  3. Verwalten von Blobcontainern mithilfe des Azure-Portal
  4. Verwalten von Blockblobs mit PowerShell

Achten Sie darauf, den Namen und die URL des Azure-Blobcontainers zu speichern. Öffnen Sie zum Anzeigen der URL das Azure Storage-Portal > **Home >Storage Accounts>Container>Properties

Festlegen von Berechtigungen für Azure Blob Storage

Sie müssen zwei Berechtigungssätze für die Blobs konfigurieren: einen für die Administratoren und Ermittler, damit sie Beweise anzeigen und verwalten können, und einen anderen für Benutzer, deren Geräte Elemente in Azure hochladen müssen. Sie sollten benutzerdefinierte Rollengruppen in Microsoft Purview-Kompatibilität erstellen , um die geringsten Berechtigungen zu erzwingen und ihnen Konten zuzuweisen.

Berechtigungen für Azure-Blobs für Administratoren und Ermittler

Nachdem Sie die Rollengruppe erstellt haben, die DLP-Incidentermittler verwenden, muss sie über diese Berechtigungen für das Azure-Blob verfügen. Weitere Informationen zum Konfigurieren des Blobzugriffs finden Sie unter Autorisieren des Zugriffs auf Blobdaten im Azure-Portal und Zuweisen von Berechtigungen auf Freigabeebene.

Untersuchungsaktionen

Konfigurieren Sie diese Berechtigungen für diese Aktionen für Ermittler:

Objekt Berechtigungen
Microsoft.Storage/storageAccounts/blobServices Lesen: Auflisten von Blobdiensten
Microsoft.Storage/storageAcccounts/blobServices Lesen: Abrufen von Blobdiensteigenschaften oder -statistiken
Microsoft.Storage/storageAccounts/blobServices/containers Lesen: Abrufen eines Blobcontainers
Microsoft.Storage/storageAccounts/blobServices/containers Lesen: Liste der Blobcontainer
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Lesen: Blob lesen
Datenaktionen für Ermittler
Objekt Berechtigungen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Lesen: Blob lesen

Der JSON-Code für die Rollengruppe "Ermittler" sollte wie folgt aussehen:

"permissions": [
     {
         "actions": [
             "Microsoft.Storage/storageAccounts/blobServices/containers/read",
             "Microsoft.Storage/storageAccounts/blobServices/read"
       ],
       "notActions": [],
       "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
       ],
       "notDataActions": []
     }
 ]

Berechtigungen für Azure-Blobs für Benutzer

Weisen Sie dem Azure-Blob diese Berechtigungen für die Benutzerrolle zu:

Benutzeraktionen
Objekt Berechtigungen
Microsoft.Storage/storageAccounts/blobServices Lesen: Auflisten von Blobdiensten
Microsoft.Storage/storageAccounts/blobServices/containers Lesen: Abrufen eines Blobcontainers
Microsoft.Storage/storageAccounts/blobServices/containers Schreiben: Blobcontainer platzieren
Benutzerdatenaktionen
Objekt Berechtigungen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Schreiben: Blob schreiben
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Sonstiges: Hinzufügen von Blobinhalten

Der JSON-Code für die Benutzerrollengruppe sollte wie folgt aussehen:

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

Konfiguration der DLP-Einstellungen für Endpunkte

  1. Melden Sie sich beim Microsoft Purview-Complianceportal an.

  2. Im Microsoft Purview-Complianceportal > linken Navigation >Lösungen>Verhinderung von> DatenverlustEndpunkt-DLP-Einstellungen>Einrichten der Beweissammlung für Dateiaktivitäten auf Geräten.

  3. Legen Sie den Umschalter auf Ein fest.

  4. Legen Sie fest, wie lange Elemente auf Geräten zwischengespeichert werden sollen, wenn diese nicht auf das Azure-Speicherkonto zugreifen können. Sie können zwischen 7, 30 oder 60 Tagen wählen.

  5. Wählen Sie + Speicher hinzufügen aus, und geben Sie den Namen und die URL des Azure-Speicherkontos an.

Richtlinienkonfiguration

Erstellen Sie wie gewohnt eine DLP-Richtlinie. Beispiele zur Richtlinienkonfiguration finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust .

Konfigurieren Sie Ihre Richtlinie mit den folgenden Einstellungen:

  • Stellen Sie sicher, dass Geräte der einzige ausgewählte Standort ist.
  • Aktivieren Sie unter Incidentberichte die Option Warnung an Administratoren senden, wenn eine Regel übereinstimmung mitEin auftritt.
  • Wählen Sie unter Incidentberichte die Option Originaldatei als Beweis für alle ausgewählten Dateiaktivitäten auf dem Endpunkt sammeln aus.
  • Wählen Sie das gewünschte Speicherkonto aus.
  • Wählen Sie die Aktivitäten aus (Kopieren auf ein USB-Wechselgerät, Kopieren auf eine Netzwerkfreigabe, Drucken, Kopieren oder Verschieben mit nicht zugelassener Bluetooth-App, Kopieren oder Verschieben mit RDP), für die übereinstimmende Elemente in Azure Storage kopiert werden sollen.

Anzeigen gespeicherter Dateien

  1. Melden Sie sich beim Microsoft Purview-Complianceportal an.

  2. Im Microsoft Purview-Complianceportal > linken Navigationsleiste >Datenklassifizierung>Aktivitäts-Explorer.

  3. Wählen Sie ein MIT DLP-Regel übereinstimmenes Ereignis aus, das von einer Aktivität generiert wurde, auf die Sie überwachen.

  4. Wählen Sie im Flyoutbereich unter Beweisdatei den Link Dateiname aus. Notieren Sie sich den Dateityp.

  5. Während dieser Vorschau gibt der Link diesen Fehler zurück:

    1. This XML file does not appear to have any style information associated with it. The document tree is shown below

  6. Während dieser Vorschau müssen Sie den vollständigen Hashwert aus der URL in die Adressleiste des Browsers kopieren.

Screenshot einer Browseradressleiste mit hervorgehobenem Hashteil der URL in einem roten Feld.

  1. Melden Sie sich beim Microsoft Azure-Portal an.

  2. Im Azure-Portal >Home>Storage-Konten><container>>Storage-Browserblobname><>.

  3. Öffnen Sie das Blob, und suchen Sie den Hashwert, den Sie aus Schritt 6 oben kopiert haben.

  4. Laden Sie die Datei herunter, und öffnen Sie sie mit der entsprechenden App für den Dateityp.