Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sammlungsrichtlinien sind ein Ereignissammlungs- und Filtertool in Microsoft Purview, das die Überwachung und Klassifizierung von Ereignissen von Apps und Standorten ermöglicht, die sowohl innerhalb als auch außerhalb der Vertrauensgrenzen Ihrer Organisation liegen. Sie können filtern, welche Ereignisse sowohl aus nicht vertrauenswürdigen als auch aus vertrauenswürdigen Quellen in Purview erfasst werden. Nach der Erfassung können diese Daten klassifiziert und von verschiedenen Microsoft Purview-Signalverbrauchslösungen wie Microsoft Purview-Aktivitäts-Explorer, Microsoft Purview Insider Risk Management, Microsoft Purview-eDiscovery, verwendet werden. Microsoft Purview-Datenlebenszyklusverwaltung.
Sammlungsrichtlinien können Ihnen dabei helfen, diese Datensicherheitsergebnisse zu erzielen:
Erfassen Sie nur die gewünschten Ereignisse.
Der Hauptzweck von Sammlungsrichtlinien besteht darin, ihnen das Definieren der Ereignisse zu ermöglichen, die Ihr organization in Microsoft Purview einbringen möchte, damit Sie sich auf die Daten konzentrieren können, die Ihnen wichtig sind. Im Folgenden finden Sie einige Beispiele dafür, wie diese Funktion Ihnen helfen kann.
Einhaltung gesetzlicher Bestimmungen nach geopolitischem Standort
Ihre organization kann geopolitische und regulatorische Grenzen umfassen, wobei verschiedene Regionen unterschiedliche Anforderungen an Datensicherheit und Datenschutz haben. Eine kann erfordern, dass alle Ereignisse in Purview erfasst werden, während ein anderer Bereich Einschränkungen hinsichtlich der Ereignisse unterliegt, die gesammelt werden können. Mit Sammlungsrichtlinien können Sie die Ereignisse definieren, die für jede Region gesammelt werden. Auf diese Weise können Sie die Datensicherheits- und Datenschutzanforderungen jeder Region erfüllen und gleichzeitig einen einzigen konsolidierten Überblick über die vertraulichen Informationen Ihrer organization haben.
Unnötige Ereignisse herausfiltern
Ihre organization enthält möglicherweise viele Ereignisse, die gesammelt werden, aber Sie möchten nur die Ereignisse anzeigen, die für Ihre Anforderungen relevant sind. Angenommen, Ihr organization hat alle Geräte integriert und die Dateiaktivität immer überwachen für Geräte in den Endpunkt-DLP-Einstellungen aktiviert. Dies bedeutet, dass alle Dateiaktivitäten gesammelt und im Aktivitäts-Explorer platziert werden. Das Durchsuchen aller Ereignisse kann die Ereignisuntersuchung verlangsamen, wenn Sie die unerwünschten Daten aussortieren, um zu den benötigten Daten zu gelangen. Mit Sammlungsrichtlinien können Sie die Ereignisse herausfiltern, die Sie nicht sehen möchten, bevor sie in den Aktivitäts-Explorer gelangen. Dies kann dazu beitragen, Rauschen zu reduzieren und das Auffinden der Ereignisse zu erleichtern, die für Ihre organization relevant sind.
Funktionsweise von Sammlungsrichtlinien
Der Schlüssel zum Verständnis von Sammlungsrichtlinien besteht darin, zu wissen, was ein Ereignis ist.
Ein Ereignis besteht aus zwei Dingen:
- Eine Bedingung wie Content contains oder File extension ist. Dies erfordert die Verwendung von Klassifizierern, z. B. typen vertraulicher Informationen. Eine Bedingung könnte z. B. Content contains a sensitive information type sein, z . B. U.S. Social Security Number or File extension is.docx.
- Eine Aktivität , die ein Benutzer für ein vertrauliches Element ausführen kann, z. B. Datei, die auf Wechselmedien kopiert wurde
Sammlungsrichtlinien filtern Ereignisse basierend auf:
- Eine Übereinstimmung mit einer oder mehreren Bedingungen und Aktivitäten, die im Ereignis definiert sind.
- Eine Übereinstimmung mit der Datenquelle oder dem Speicherort, in der das Ereignis stattfindet. Beispielsweise kann eine Sammlungsrichtlinie so festgelegt werden, dass nur Ereignisse von Geräten oder nur Ereignisse von Copilot in Fabric erfasst werden.
Eine Richtlinie gilt als übereinstimmend, wenn mindestens eine der Bedingungen erfüllt ist (es sei denn, Sie UND die Bedingungen) und die Aktivität für die Datenquelle abgeglichen wird.
Mehrere Sammlungsrichtlinien für eine einzelne Datenquelle
Es ist möglich, dass Ihre organization mehrere Sammlungsrichtlinien für eine bestimmte Datenquelle erstellen müssen. Sammlungsrichtlinien behandeln das Szenario mit mehreren Richtlinien anders als DLP oder andere Purview-Richtlinien, die der Richtlinienauswertung basierend auf der Reihenfolge, in der die Richtlinien erstellt werden, eine Priorität zuweisen.
Auf der Seite Sammlungsrichtlinien werden alle einzelnen Richtlinien angezeigt, die erstellt wurden. Auf dem Back-End kombiniert Microsoft Purview jedoch während der Richtlinienauswertung alle Sammlungsrichtlinien für eine Datenquelle in einer einzigen Sammlungsrichtlinie für diese Datenquelle. Daher werden alle Bedingungen für eine Datenquelle verwendet, wenn Übereinstimmungen identifiziert werden.
Zugreifen auf Sammlungsrichtlinien
Sammlungsrichtlinien sind eine Komponente des Klassifiziererfeatures des Microsoft Purview-Portals. Sie können von überall im Purview-Portal auf sie zugreifen, wo das Feature Klassifizierer verfügbar ist. Beispiel:
Wählen Sie im Microsoft Purview-Portal Lösungen>Data Loss Prevention>Klassifizierer Sammlungsrichtlinien> aus.
Alternativ können Sie im Microsoft Purview-Portal über Lösungs>Information Protection>Klassifizierersammlungsrichtlinien auf Sammlungsrichtlinien> zugreifen.
Übersicht über die Konfiguration von Sammlungsrichtlinien
Sie haben Flexibilität beim Erstellen und Konfigurieren Ihrer Sammlungsrichtlinien. Alle Sammlungsrichtlinien erfordern die gleichen Informationen von Ihnen. Sie müssen diese Informationen kennen, bevor Sie mit dem Erstellen einer Sammlungsrichtlinie beginnen. Weitere Informationen zu den einzelnen Schritten, einschließlich der unterstützten Konfiguration, finden Sie unter Richtlinienreferenz für Sammlungsrichtlinien.
Definieren Sie die zu erkennenden Daten , indem Sie bedingungen konfigurieren, die für eine Richtlinienkonsensierung erforderlich sind. Es gibt vier unterstützte Bedingungen:
-
Inhalt enthält Klassifizierer, die vertrauliche Informationstypen und trainierbare Klassifizierer verwenden. Kann auf alle Klassifizierer, alle Klassifizierer außer ausgewählten oder nur bestimmte Klassifizierer festgelegt werden.
Hinweis
Der Gerätestandort unterstützt die Verwendung trainierbarer Klassifizierer nicht.
- Die Dokumentgröße ist gleich oder größer als, gemessen in Bytes, Kilobytes (KB), Megabytes (MB), Gigabyte (GB) oder Terabytes (TB).
- Das Dokument ist gleich oder kleiner als , gemessen in Bytes, Kilobytes (KB), Megabytes (MB), Gigabyte (GB) oder Terabytes (TB).
- Die Dateierweiterung ist, die Dateierweiterungen verwendet.
-
Inhalt enthält Klassifizierer, die vertrauliche Informationstypen und trainierbare Klassifizierer verwenden. Kann auf alle Klassifizierer, alle Klassifizierer außer ausgewählten oder nur bestimmte Klassifizierer festgelegt werden.
Auswählen der aktivitäten , die für eine Richtlinienbesprechung erforderlich sind: Die unterstützten Aktivitäten sind spezifisch für die Datenquelle. Für Geräte gibt es 19 unterstützte Aktivitäten, z. B. Auf Wechselmedien kopierte Datei, Gedruckte Datei und In die Cloud hochgeladene Datei. Eine vollständige Liste der unterstützten Aktivitäten finden Sie in der Richtlinienreferenz für Sammlungsrichtlinien.
Wählen Sie aus , wo die Richtlinie angewendet werden soll, indem Sie eine Datenquelle auswählen.
Abhängig von den von Ihnen ausgewählten Richtlinieneinstellungen müssen Sie möglicherweise zusätzliche Einstellungen konfigurieren, z. B. ob die Inhaltserfassung für KI-Interaktionen und die Erkennungsmethode für Cloud-Apps aktiviert werden soll.
Inhaltserfassung für KI-Interaktionen
Um die Einhaltung gesetzlicher Anforderungen zu unterstützen, können Sie entscheiden, ob alle erkannten Eingabeaufforderungen und Antworten von generativen KI-Datenquellen erfasst und gespeichert werden sollen, die der Richtlinie hinzugefügt wurden. Dies erleichtert das Spätere Erkennen und Schützen der erfassten Inhalte mit zusätzlichen Microsoft Purview-Richtlinien und -Lösungen. Diese Funktion enthält keine Inhalte in Dateien, die mit generativer KI freigegeben werden, und gilt nur für:
- Copilot-Erfahrungen
- Unternehmens-KI
- Nicht verwaltete Cloud-Apps, kategorisiert als generative KI
- Adaptive App-Bereich für alle nicht verwalteten KI-Apps
Ohne aktivierte Einstellung sind in Eingabeaufforderungen und Antworten erkannte Inhalte nur auf vertrauliche Informationen beschränkt.
Hinweis
Zum Erfassen von KI-Inhalten muss die Bedingung "Inhalt enthält Klassifizierer" auf "Alle" festgelegt sein.
Sammlungsrichtlinien und Microsoft Purview Insider Risk Management
Abhängig von Ihrer Konfiguration kann Microsoft Purview Insider Risk Management Richtlinienverhalten durch Sammlungsrichtlinien beeinträchtigt werden. Wenn eine Insider-Risikorichtlinie konfiguriert ist, überwacht sie Dienst- und Drittanbieterindikatoren, damit Sie Risikoaktivitäten schnell identifizieren, selektieren und darauf reagieren können. Mithilfe von Protokollen von Microsoft 365 und Microsoft Graph können Sie mithilfe des Insider-Risikomanagements bestimmte Richtlinien definieren, um Risikoindikatoren zu identifizieren. Mit diesen Richtlinien können Sie riskante Aktivitäten identifizieren und maßnahmen, um diese Risiken zu mindern.
Warnung
Wenn eine Sammlungsrichtlinie konfiguriert und bereitgestellt wird und ein Konflikt zwischen dem, wofür die Insider-Risikomanagement-Richtlinie konfiguriert ist, und dem, wonach die Sammlungsrichtlinie für die Filterung konfiguriert ist, besteht, hat die Konfiguration der Sammlungsrichtlinie Vorrang. Wenn also eine Insider-Risikomanagement-Richtlinie für die Überwachung einer bestimmten Aktivität konfiguriert ist, die Sammlungsrichtlinie jedoch so konfiguriert ist, dass diese Aktivität herausgefiltert wird, wird die Aktivität nicht erfasst und steht nicht zur Überprüfung im Insider-Risikomanagement zur Verfügung. Dies gilt nur für Geräteindikatoren in Insider-Risikomanagement-Richtlinien. Wenn eine Sammlungsrichtlinie so konfiguriert ist, dass etwas erfasst wird, für das eine Insider-Risikomanagement-Richtlinie nicht konfiguriert ist, wird der Indikator erfasst, aber das Insider-Risikomanagement ignoriert ihn.
Sammlungsrichtlinien und Verhinderung von Endpunktdatenverlust
Wenn Die Dateiaktivität immer überwachen für Geräte aktiviert ist, werden standardmäßig alle Aktivitäten für Office-, PDF- und CSV-Dateien gesammelt. Wenn Sie ändern möchten, welche Aktivitäten in diesem Fall für Geräte erfasst werden, können Sie dazu eine Sammlungsrichtlinie konfigurieren, die auf Geräte ausgerichtet ist. Wenn Die Dateiaktivität immer überwachen für Geräte nicht aktiviert ist, werden Aktivitäten nicht von Geräten erfasst, auch wenn eine Sammlungsrichtlinie für Geräte erstellt wird.
Sammlungsrichtlinien können sich nicht auf das Verhalten von DLP-Richtlinien auswirken, nur was für Überwachungsdateiereignisse auf Geräten erfasst und aufgezeichnet wird.
Sammlungsrichtlinien und Microsoft Purview Datensicherheitstatus-Management und Purview-Datensicherheitstatus-Management für KI
Wenn Sie Richtlinien mit nur einem Klick in Microsoft Datensicherheitstatus-Management oder Microsoft Datensicherheitstatus-Management für KI (DSSM für KI) verwenden, können Sie Maßnahmen für Empfehlungen ergreifen, die automatisch Sammlungsrichtlinien in Ihrem Namen erstellen.
Sie können die Ergebnisse dieser Richtlinien in maßgeschneiderten Umgebungen in DSSM und DSSM für KI sowie im Aktivitäts-Explorer anzeigen und überwachen. Diese Richtlinien werden durch die schnelle Richtlinienoberfläche automatisch benannt. Nach der Erstellung können diese Sammlungsrichtlinien auf die gleiche Weise angezeigt und bearbeitet werden wie Sammlungsrichtlinien, die mithilfe des Workflows erstellt wurden.