Informationen zur Verhinderung von Datenverlust

Organisationen haben vertrauliche Informationen wie Finanzdaten, proprietäre Daten, Kreditnummern Karte, Gesundheitsdaten oder Sozialversicherungsnummern unter ihrer Kontrolle. Um diese vertraulichen Daten zu schützen und das Risiko zu verringern, benötigen sie eine Möglichkeit, um zu verhindern, dass ihre Benutzer sie unangemessen für Personen freigeben, die sie nicht haben sollten. Diese Vorgehensweise wird als Verhinderung von Datenverlust (Data Loss Prevention, DLP) bezeichnet.

In Microsoft Purview implementieren Sie die Verhinderung von Datenverlust, indem Sie DLP-Richtlinien definieren und anwenden. Mit einer DLP-Richtlinie können Sie vertrauliche Elemente in folgenden Punkten identifizieren, überwachen und automatisch schützen:

  • Microsoft 365-Dienste wie Teams-, Exchange-, SharePoint- und OneDrive-Konten
  • Office-Anwendungen wie Word, Excel und PowerPoint
  • Windows 10-, Windows 11- und macOS-Endpunkte (drei neueste versionen)
  • Nicht-Microsoft-Cloud-Apps
  • lokale Dateifreigaben und lokales SharePoint
  • Power BI

DLP erkennt vertrauliche Elemente mithilfe einer umfassenden Inhaltsanalyse, nicht nur durch einen einfachen Textscan. Der Inhalt wird auf Übereinstimmungen primärer Daten mit Schlüsselwörtern analysiert, indem reguläre Ausdrücke ausgewertet werden, interne Funktionsvalidierungen und sekundäre Daten, die sich in der Nähe der primären Dateneinstimmung befinden. Darüber hinaus verwendet DLP auch Machine Learning-Algorithmen und andere Methoden, um Inhalte zu erkennen, die Ihren DLP-Richtlinien entsprechen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Datensicherheits- und Complianceanforderungen verwalten können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Bevor Sie beginnen

Wenn Sie noch nicht mit Microsoft Purview DLP vertraut sind, finden Sie hier eine Liste der wichtigsten Artikel, die Sie für die Implementierung von DLP benötigen:

  1. Administrative Einheiten (Vorschau)
  2. Weitere Informationen zu Microsoft Purview Data Loss Prevention: Der Artikel, den Sie jetzt lesen, führt Sie in die Disziplin zur Verhinderung von Datenverlust und die Implementierung von DLP durch Microsoft ein.
  3. Planen der Verhinderung von Datenverlust (Data Loss Prevention, DLP): In diesem Artikel gehen Sie wie folgt vor:
    1. Identifizieren von Projektbeteiligten
    2. Beschreiben der Kategorien vertraulicher Informationen, die geschützt werden sollen
    3. Ziele und Strategie festlegen
  4. Richtlinienreferenz zur Verhinderung von Datenverlust : In diesem Artikel werden alle Komponenten einer DLP-Richtlinie vorgestellt und erläutert, wie jede komponente das Verhalten einer Richtlinie beeinflusst.
  5. Entwerfen einer DLP-Richtlinie : In diesem Artikel erfahren Sie, wie Sie eine Richtlinienabsichtsanweisung erstellen und sie einer bestimmten Richtlinienkonfiguration zuordnen.
  6. Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust : In diesem Artikel werden einige allgemeine Richtlinienabsichtsszenarien vorgestellt, die Sie Den Konfigurationsoptionen zuordnen. Anschließend werden Sie durch die Konfiguration dieser Optionen beschrieben.

Lizenzierung und Abonnements

Ausführliche Informationen zu den Abonnements, die DLP unterstützen, finden Sie in den Lizenzierungsanforderungen für Information Protection.

DLP ist Teil des größeren Microsoft Purview-Angebots

DLP ist nur eines der Microsoft Purview-Tools, mit denen Sie Ihre vertraulichen Elemente überall dort schützen können, wo sie leben oder reisen. Sie sollten die anderen Tools im Microsoft Purview-Toolssatz verstehen, wie sie miteinander ineinander übergehen und besser zusammenarbeiten. Weitere Informationen zum Information Protection-Prozess finden Sie unter Microsoft Purview-Tools .

Schutzaktionen von DLP-Richtlinien

DLP-Richtlinien dienen dazu, die Aktivitäten zu überwachen, die Benutzer mit vertraulichen ruhenden Elementen, sensiblen Elementen während der Übertragung oder verwendeten vertraulichen Elementen ausführen und Schutzmaßnahmen ergreifen. Wenn ein Benutzer beispielsweise versucht, eine verbotene Aktion auszuführen, z. B. das Kopieren eines vertraulichen Elements an einen nicht genehmigten Ort oder das Freigeben von medizinischen Informationen in einer E-Mail oder anderen Bedingungen, die in einer Richtlinie festgelegt sind, kann DLP:

  • Zeigen Sie dem Benutzer einen Popup-Richtlinientipp an, der den Benutzer warnt, dass er möglicherweise versucht, ein vertrauliches Element unangemessen freizugeben.
  • Die Freigabe blockieren und es dem Benutzer über einen Richtlinientipp ermöglichen, den Block zu überschreiben und die Begründung der Benutzer zu erfassen
  • Blockieren der Freigabe ohne die Außerkraftsetzungsoption
  • für ruhende Daten können vertrauliche Elemente gesperrt und an einen sicheren Quarantänespeicherort verschoben werden.
  • Für Teams-Chats werden die vertraulichen Informationen nicht angezeigt

Alle von DLP überwachten Aktivitäten werden standardmäßig im Microsoft 365-Überwachungsprotokoll aufgezeichnet und an den Aktivitäts-Explorer weitergeleitet. Wenn ein Benutzer eine Aktion ausführt, die die Kriterien einer DLP-Richtlinie erfüllt, und Sie Warnungen konfiguriert haben, stellt DLP Warnungen im DLP-Warnungsverwaltungs-Dashboard bereit.

DLP-Lebenszyklus

Eine DLP-Implementierung folgt in der Regel diesen Hauptphasen.

Plan für DLP

DLP-Überwachung und -Schutz sind nativ für die Anwendungen, die Benutzer täglich verwenden. Dies trägt dazu bei, die vertraulichen Elemente Ihrer organization vor riskanten Aktivitäten zu schützen, auch wenn Ihre Benutzer nicht mit den Überlegungen und Praktiken zur Verhinderung von Datenverlust vertraut sind. Wenn Ihre organization und Ihre Benutzer noch nicht mit Methoden zur Verhinderung von Datenverlust vertraut sind, kann die Einführung von DLP eine Änderung Ihrer Geschäftsprozesse erfordern, und es wird eine Kulturverschiebung für Ihre Benutzer geben. Mit der richtigen Planung, Prüfung und Optimierung schützen Ihre DLP-Richtlinien ihre vertraulichen Elemente und minimieren gleichzeitig potenzielle Unterbrechungen des Geschäftsprozesses.

Technologieplanung für DLP

Beachten Sie, dass DLP als Technologie Ihre ruhenden, verwendeten und in Bewegung geschalteten Daten in Microsoft 365-Diensten, Windows 10-, Windows 11- und macOS-Geräten (drei neueste Versionen), lokalen Dateifreigaben und lokalen SharePoint-Geräten überwachen und schützen kann. Es gibt Planungsauswirkungen für die verschiedenen Standorte, den Typ der Daten, die Sie überwachen und schützen möchten, und die Aktionen, die bei einer Richtlinienüberstimmung ausgeführt werden sollen.

Geschäftsprozessplanung für DLP

DLP-Richtlinien können verbotene Aktivitäten wie unangemessene Freigabe vertraulicher Informationen per E-Mail blockieren. Wenn Sie Ihre DLP-Richtlinien planen, müssen Sie die Geschäftsprozesse identifizieren, die Ihre vertraulichen Elemente berühren. Die Geschäftsprozessbesitzer können Ihnen helfen, geeignete Benutzerverhalten zu identifizieren, die zulässig sein sollten, und unangemessenes Benutzerverhalten, vor dem geschützt werden sollte. Sie sollten Ihre Richtlinien planen und im Testmodus bereitstellen und ihre Auswirkungen zuerst über den Aktivitäts-Explorer bewerten, bevor Sie sie in restriktiveren Modi anwenden.

Organisationskulturplanung für DLP

Eine erfolgreiche DLP-Implementierung hängt ebenso davon ab, dass Ihre Benutzer geschult und an Methoden zur Verhinderung von Datenverlust gewöhnt werden, wie von gut geplanten und optimierten Richtlinien. Da Ihre Benutzer stark involviert sind, sollten Sie auch die Schulung für sie planen. Sie können Richtlinientipps strategisch verwenden, um ihre Benutzer zu sensibilisieren, bevor Sie die Richtlinienerzwingung vom Testmodus in restriktivere Modi ändern.

Vorbereiten auf DLP

Sie können DLP-Richtlinien auf ruhende Daten, verwendete Daten und daten in Bewegung an Speicherorten anwenden, z. B.:

  • Exchange Online E-Mail
  • SharePoint Online-Sites
  • OneDrive-Konten
  • Teams-Chat- und Teams-Kanalnachrichten
  • Microsoft Defender for Cloud Apps
  • Windows 10-, Windows 11- und macOS-Geräte (drei neueste versionen)
  • Lokale Repositorys
  • Power BI-Websites

Jede hat unterschiedliche Voraussetzungen. Vertrauliche Elemente an einigen Orten, z. B. Exchange Online, können unter den DLP-Schirm gebracht werden, indem sie einfach eine Richtlinie konfigurieren, die für sie gilt. Andere, z. B. lokale Dateirepositorys, erfordern eine Bereitstellung des AIP-Scanners (Azure Information Protection). Sie müssen Ihre Umgebung vorbereiten, Richtlinien entwerfen und diese gründlich testen, bevor Sie blockierende Aktionen aktivieren.

Bereitstellen Ihrer Richtlinien in der Produktion

Entwerfen Ihrer Richtlinien

Definieren Sie zunächst Ihre Steuerungsziele und deren Anwendung auf die jeweilige Workload. Entwerfen Sie eine Richtlinie, die Ihre Ziele verkörpert. Sie können mit jeweils einer Workload oder über alle Workloads hinweg beginnen – es gibt noch keine Auswirkungen.

Implementieren einer Richtlinie im Testmodus

Bewerten Sie die Auswirkungen der Steuerelemente, indem Sie sie mit einer DLP-Richtlinie im Testmodus implementieren. In einer Richtlinie definierte Aktionen werden nicht angewendet, während sich die Richtlinie im Testmodus befindet. Es ist in Ordnung, die Richtlinie auf alle Workloads im Testmodus anzuwenden, damit Sie die gesamte Bandbreite der Ergebnisse erhalten, aber Sie können bei Bedarf mit einer Workload beginnen.

Überwachen der Ergebnisse und Optimieren der Richtlinie

Überwachen Sie im Testmodus die Ergebnisse der Richtlinie, und optimieren Sie sie so, dass sie Ihre Kontrollziele erfüllt, und stellen Sie sicher, dass Sie keine negativen oder unbeabsichtigten Auswirkungen auf gültige Benutzerworkflows und die Produktivität haben. Hier sind einige Beispiele für Dinge, die Sie optimieren sollten:

  • Anpassen der Orte und Personen/Orte, die sich im oder außerhalb des Bereichs befinden
  • Optimieren der Bedingungen, die verwendet werden, um zu bestimmen, ob ein Element und was damit ausgeführt wird, mit der Richtlinie übereinstimmen
  • Definition/s vertraulicher Informationen
  • Hinzufügen neuer Steuerelemente
  • Neue Personen hinzufügen
  • Hinzufügen neuer eingeschränkter Apps
  • Hinzufügen neuer eingeschränkter Websites

Hinweis

Das Beenden der Verarbeitung weiterer Regeln funktioniert im Testmodus nicht, auch wenn er aktiviert ist.

Aktivieren des Steuerelements und Optimieren Ihrer Richtlinien

Sobald die Richtlinie alle Ihre Ziele erfüllt hat, aktivieren Sie sie. Überwachen Sie weiterhin die Ergebnisse der Richtlinienanwendung, und optimieren Sie sie bei Bedarf.

Hinweis

Im Allgemeinen werden Richtlinien etwa eine Stunde nach dem Aktivieren wirksam.

Übersicht über die DLP-Richtlinienkonfiguration

Sie haben Flexibilität bei der Erstellung und Konfiguration Ihrer DLP-Richtlinien. Sie können mit nur wenigen Klicks mit einer vordefinierten Vorlage beginnen und eine Richtlinie erstellen, oder Sie können Ihre eigene Richtlinie von Grund auf entwerfen. Unabhängig davon, was Sie auswählen, benötigen alle DLP-Richtlinien die gleichen Informationen von Ihnen.

  1. Wählen Sie aus, was Sie überwachen möchten : DLP enthält viele vordefinierte Richtlinienvorlagen, die Ihnen den Einstieg erleichtern, oder Sie können eine benutzerdefinierte Richtlinie erstellen.

    • Eine vordefinierte Richtlinienvorlage: Finanzdaten, medizinische und Gesundheitsdaten, Daten der Privatsphäre für verschiedene Länder und Regionen.
    • Eine benutzerdefinierte Richtlinie, welche die verfügbaren Typen vertraulicher Informationen, Aufbewahrungsbezeichnungen und Vertraulichkeitsbezeichnungen verwendet.
  2. Administrative Bereichsdefinition auswählen : DLP unterstützt das Zuweisen von Verwaltungseinheiten zu Richtlinien (Vorschau). Administratoren, die einer Verwaltungseinheit zugewiesen sind, können nur Richtlinien für die Benutzer, Gruppen, Verteilergruppen und Konten erstellen und verwalten, denen sie zugewiesen sind. Daher können Richtlinien von einem uneingeschränkten Administrator auf alle Benutzer und Gruppen angewendet werden, oder sie können auf Verwaltungseinheiten beschränkt werden. Weitere DLP-spezifische Details finden Sie unter Richtlinienbereich . Ausführliche Informationen zu verwaltungstechnischen Einheiten in Microsoft Purview Information Protection finden Sie unter Verwaltungseinheiten (Vorschau).

  3. Wählen Sie aus, wo Sie überwachen möchten : Sie wählen mindestens einen Speicherort aus, den DLP auf vertrauliche Informationen überwachen soll. Sie können Folgendes überwachen:

Speicherort einschließen/ausschließen nach
Exchange-E-Mail Verteilergruppen
Microsoft Office SharePoint Online-Websites Websites
OneDrive-Konten Konten oder Verteilergruppen
Teams-Chat- und Teams-Kanalnachrichten Konto oder Verteilergruppe
Windows 10-, Windows 11- und macOS-Geräte (drei neueste versionen) Benutzer oder Gruppe
Microsoft Cloud App Security Instanz
Lokale Repositorys Repositorydateipfad
Power BI (Vorschau) Arbeitsbereiche
  1. Wählen Sie die Bedingungen aus, die erfüllt werden müssen, damit eine Richtlinie auf ein Element angewendet werden kann . Sie können vorkonfigurierte Bedingungen akzeptieren oder benutzerdefinierte Bedingungen definieren. Einige Beispiele:
  • -Element enthält eine angegebene Art vertraulicher Informationen, die in einem bestimmten Kontext verwendet werden. Beispielsweise werden 95 Sozialversicherungsnummern per E-Mail an Empfänger außerhalb Ihrer Organisation gesendet.
  • Element verfügt über eine angegebene Vertraulichkeitsbezeichnung
  • Element mit vertraulichen Informationen wird entweder intern oder extern freigegeben
  1. Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn die Richtlinienbedingungen erfüllt sind : Die Aktionen hängen vom Ort ab, an dem die Aktivität stattfindet. Einige Beispiele:
  • SharePoint/Exchange/OneDrive: Blockieren Sie Personen, die sich außerhalb Ihrer organization befinden, den Zugriff auf die Inhalte. Zeigen Sie dem Benutzer einen Tipp an, und senden Sie ihnen eine E-Mail-Benachrichtigung, dass sie eine Aktion durchführen, die durch die DLP-Richtlinie verboten ist.
  • Teams-Chat und -Kanal: Blockieren der Freigabe vertraulicher Informationen im Chat oder Kanal
  • Windows 10, Windows 11 und macOS (drei neueste Versionen) Geräte: Überwachen oder Einschränken des Kopierens eines vertraulichen Elements auf ein entfernbares USB-Gerät
  • Office-Apps: Zeigen Sie ein Popup an, das den Benutzer darüber informiert, dass sie ein riskantes Verhalten haben, und blockieren oder blockieren, aber die Außerkraftsetzung zulassen.
  • Lokale Dateifreigaben: Verschieben der Datei aus dem Speicherort in einen Quarantäneordner

Hinweis

Die Bedingungen und die auszuführenden Aktionen werden in einem Objekt definiert, das als „Regel“ bezeichnet wird.

Erstellen und Bereitstellen einer DLP-Richtlinie

Alle DLP-Richtlinien werden im Microsoft Purview Center erstellt und verwaltet. Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust .

Nachdem Sie eine DLP-Richtlinie im Complianceportal erstellt haben, wird sie in einem zentralen Richtlinienspeicher gespeichert und dann mit den verschiedenen Inhaltsquellen synchronisiert, einschließlich:

  • Exchange Online und von dort aus mit Outlook im Web und Outlook.
  • OneDrive for Business-Websites.
  • SharePoint Online-Websites.
  • Office-Desktopprogrammen (Excel, PowerPoint und Word).
  • Microsoft Teams-Kanälen und Chatnachrichten.

Nachdem die Richtlinie mit den richtigen Speicherorten synchronisiert wurde, werden Inhalte ausgewertet und Aktionen erzwungen.

Anzeigen der Ergebnisse der Richtlinienanwendung

DLP meldet eine große Menge von Informationen an Microsoft Purview aus Überwachung, Richtlinienübereinstimmungen und -aktionen sowie Benutzeraktivitäten. Sie müssen diese Informationen nutzen und darauf reagieren, um Ihre Richtlinien und Selektierungsaktionen für vertrauliche Elemente zu optimieren. Die Telemetriedaten werden zuerst in die Microsoft Purview-Complianceportal Überwachungsprotokolle eingegliedert, verarbeitet und an verschiedene Berichterstellungstools gesendet. Jedes Berichterstellungstool hat einen anderen Zweck.

DLP-Warnungsdashboard

Wenn DLP eine Aktion für ein sensibles Element ausführt, können Sie über eine konfigurierbare Warnung über diese Aktion benachrichtigt werden. Anstatt diese Warnungen in einem Postfach zu stapeln, durch das Sie sichten können, stellt das Complianceportal sie im Dashboard zur Verwaltung von DLP-Warnungen zur Verfügung. Verwenden Sie die DASHBOARD DLP-Warnungen, um Warnungen zu konfigurieren, zu überprüfen, zu selektieren und die Auflösung von DLP-Warnungen nachzuverfolgen. Hier sehen Sie ein Beispiel für Warnungen, die von Richtlinien-Übereinstimmungen und Aktivitäten von Windows 10 Geräten generiert werden.

Warnungsinformationen.

Sie können ebenfalls Details des zugehörigen Ereignisses mit umfangreichen Metadaten im gleichen Dashboard anzeigen.

Ereignisinformationen.

Berichte

Die DLP-Berichte zeigen im Laufe der Zeit breite Trends auf und geben spezifische Einblicke in:

  • DLP-Richtlinienüberüberstimmungen im Zeitverlauf und Filtern nach Datumsbereich, Standort, Richtlinie oder Aktion
  • DLP-Incidentübergänge zeigen auch Übereinstimmungen im Zeitverlauf an, pivotieren jedoch auf die Elemente und nicht auf die Richtlinienregeln.
  • DLP-False Positives und -Außerkraftsetzungen zeigen die Anzahl der falsch positiven Ergebnisse und, falls konfiguriert, Benutzerüberschreibungen zusammen mit der Benutzerbegründung an.

DLP-Aktivitäts-Explorer

Auf der Registerkarte Aktivitäts-Explorer auf der DLP-Seite ist der Aktivitätsfilterauf DLPRuleMatch voreingestellt. Verwenden Sie dieses Tool, um Aktivitäten im Zusammenhang mit Inhalten zu überprüfen, die vertrauliche Informationen enthalten oder Bezeichnungen angewendet wurden, z. B. welche Bezeichnungen geändert wurden, welche Dateien geändert wurden und mit einer Regel übereinstimmen.

Screenshot des DLPRuleMatch-bereichsbezogenen Aktivitäts-Explorers.

Kontextzusammenfassung

Sie können den Text sehen, der den übereinstimmende Inhalt umgibt, z. B. eine Gutschrift Karte Zahl in einem DLPRuleMatch-Ereignis im Aktivitäts-Explorer. Dazu müssen Sie zuerst die erweiterte Klassifizierungsüberprüfung und den Schutz aktivieren.

DLPRuleMatch-Ereignisse werden mit dem Benutzeraktivitätsereignis gekoppelt. Sollte sich im Aktivitäts-Explorer direkt neben (oder zumindest sehr nahe) befinden. Sie sollten beides betrachten, da das Benutzeraktivitätsereignis Details zur übereinstimmenden Richtlinie und das DLPRuleMatch-Ereignis die Details zu dem Text enthält, der den übereinstimmenden Inhalt umgibt.

Stellen Sie als Endpunkt sicher, dass Sie KB5016688 für Windows 10-Geräte und KB5016691 für Windows 11-Geräte oder höher angewendet haben.

Weitere Informationen finden Sie unter Erste Schritte mit dem Aktivitäts-Explorer.

Weitere Informationen zu Microsoft Purview DLP finden Sie unter:

Informationen zur Verhinderung von Datenverlust zur Einhaltung von Datenschutzbestimmungen finden Sie unter Bereitstellen des Informationsschutzes für Datenschutzbestimmungen mit Microsoft Purview (aka.ms/m365dataprivacy).