Informationen zur Verhinderung von Datenverlust
Organisationen haben vertrauliche Informationen wie Finanzdaten, proprietäre Daten, Kreditnummern Karte, Gesundheitsdaten oder Sozialversicherungsnummern unter ihrer Kontrolle. Um diese vertraulichen Daten zu schützen und das Risiko zu verringern, benötigen sie eine Möglichkeit, um zu verhindern, dass ihre Benutzer sie unangemessen für Personen freigeben, die sie nicht haben sollten. Diese Vorgehensweise wird als Verhinderung von Datenverlust (Data Loss Prevention, DLP) bezeichnet.
In Microsoft Purview implementieren Sie die Verhinderung von Datenverlust, indem Sie DLP-Richtlinien definieren und anwenden. Mit einer DLP-Richtlinie können Sie vertrauliche Elemente in folgenden Punkten identifizieren, überwachen und automatisch schützen:
- Microsoft 365-Dienste wie Teams-, Exchange-, SharePoint- und OneDrive-Konten
- Office-Anwendungen wie Word, Excel und PowerPoint
- Windows 10-, Windows 11- und macOS-Endpunkte (drei neueste versionen)
- Nicht-Microsoft-Cloud-Apps
- lokale Dateifreigaben und lokales SharePoint
- Power BI
DLP erkennt vertrauliche Elemente mithilfe einer umfassenden Inhaltsanalyse, nicht nur durch einen einfachen Textscan. Der Inhalt wird auf Übereinstimmungen primärer Daten mit Schlüsselwörtern analysiert, indem reguläre Ausdrücke ausgewertet werden, interne Funktionsüberprüfungen und sekundäre Daten, die sich in der Nähe der primären Dateneinstimmung befinden. Darüber hinaus verwendet DLP auch Machine Learning-Algorithmen und andere Methoden, um Inhalte zu erkennen, die Ihren DLP-Richtlinien entsprechen.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.
Bevor Sie beginnen
Wenn Sie noch nicht mit Microsoft Purview DLP vertraut sind, finden Sie hier eine Liste der wichtigsten Artikel, die Sie für die Implementierung von DLP benötigen:
- Administrative Einheiten
- Weitere Informationen zu Microsoft Purview Data Loss Prevention: Der Artikel, den Sie jetzt lesen, führt Sie in die Disziplin zur Verhinderung von Datenverlust und die Implementierung von DLP durch Microsoft ein.
- Planen der Verhinderung von Datenverlust (Data Loss Prevention, DLP): In diesem Artikel gehen Sie wie folgt vor:
- Richtlinienreferenz zur Verhinderung von Datenverlust : In diesem Artikel werden alle Komponenten einer DLP-Richtlinie vorgestellt und erläutert, wie jede komponente das Verhalten einer Richtlinie beeinflusst.
- Entwerfen einer DLP-Richtlinie : In diesem Artikel erfahren Sie, wie Sie eine Richtlinienabsichtsanweisung erstellen und sie einer bestimmten Richtlinienkonfiguration zuordnen.
- Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust : In diesem Artikel werden einige allgemeine Richtlinienabsichtsszenarien vorgestellt, die Sie Den Konfigurationsoptionen zuordnen. Anschließend werden Sie durch die Konfiguration dieser Optionen beschrieben.
Lizenzierung und Abonnements
Ausführliche Informationen zu den Abonnements, die DLP unterstützen, finden Sie in den Lizenzierungsanforderungen für Information Protection.
DLP ist Teil des größeren Microsoft Purview-Angebots
DLP ist nur eines der Microsoft Purview-Tools, mit denen Sie Ihre vertraulichen Elemente überall dort schützen können, wo sie leben oder reisen. Sie sollten die anderen Tools im Microsoft Purview-Toolssatz verstehen, wie sie miteinander ineinander übergehen und besser zusammenarbeiten. Weitere Informationen zum Information Protection-Prozess finden Sie unter Microsoft Purview-Tools .
Schutzaktionen von DLP-Richtlinien
DLP-Richtlinien dienen dazu, die Aktivitäten zu überwachen, die Benutzer mit vertraulichen ruhenden Elementen, sensiblen Elementen während der Übertragung oder verwendeten vertraulichen Elementen ausführen und Schutzmaßnahmen ergreifen. Wenn ein Benutzer beispielsweise versucht, eine verbotene Aktion auszuführen, z. B. das Kopieren eines vertraulichen Elements an einen nicht genehmigten Ort oder das Freigeben medizinischer Informationen in einer E-Mail oder anderen Bedingungen, die in einer Richtlinie festgelegt sind, kann DLP:
- Zeigen Sie dem Benutzer einen Popup-Richtlinientipp an, der den Benutzer warnt, dass er möglicherweise versucht, ein vertrauliches Element unangemessen freizugeben.
- Die Freigabe blockieren und es dem Benutzer über einen Richtlinientipp ermöglichen, den Block zu überschreiben und die Begründung der Benutzer zu erfassen
- Blockieren der Freigabe ohne die Außerkraftsetzungsoption
- für ruhende Daten können vertrauliche Elemente gesperrt und an einen sicheren Quarantänespeicherort verschoben werden.
- Für Teams-Chat werden die vertraulichen Informationen nicht angezeigt
Alle von DLP überwachten Aktivitäten werden standardmäßig im Microsoft 365-Überwachungsprotokoll aufgezeichnet und an den Aktivitäts-Explorer weitergeleitet. Wenn ein Benutzer eine Aktion ausführt, die die Kriterien einer DLP-Richtlinie erfüllt, und Sie Warnungen konfiguriert haben, stellt DLP Warnungen im DLP-Warnungsverwaltungs-Dashboard bereit.
DLP-Lebenszyklus
Eine DLP-Implementierung folgt in der Regel diesen Hauptphasen.
Plan für DLP
DLP-Überwachung und -Schutz sind nativ für die Anwendungen, die Benutzer täglich verwenden. Dies trägt dazu bei, die vertraulichen Elemente Ihrer organization vor riskanten Aktivitäten zu schützen, auch wenn Ihre Benutzer nicht mit den Überlegungen und Praktiken zur Verhinderung von Datenverlust vertraut sind. Wenn Ihre organization und Ihre Benutzer noch nicht mit Methoden zur Verhinderung von Datenverlust vertraut sind, kann die Einführung von DLP eine Änderung Ihrer Geschäftsprozesse erfordern, und es wird eine Kulturverschiebung für Ihre Benutzer geben. Mit der richtigen Planung, Prüfung und Optimierung schützen Ihre DLP-Richtlinien jedoch Ihre vertraulichen Elemente und minimieren gleichzeitig potenzielle Unterbrechungen des Geschäftsprozesses.
Technologieplanung für DLP
Beachten Sie, dass DLP als Technologie Ihre ruhenden, verwendeten und in Bewegung geschalteten Daten in Microsoft 365-Diensten, Windows 10-, Windows 11- und macOS-Geräten (drei neueste Versionen), lokalen Dateifreigaben und lokalen SharePoint-Geräten überwachen und schützen kann. Es gibt Planungsauswirkungen für die verschiedenen Standorte, den Typ der Daten, die Sie überwachen und schützen möchten, und die Aktionen, die bei einer Richtlinienüberstimmung ausgeführt werden sollen.
Geschäftsprozessplanung für DLP
DLP-Richtlinien können verbotene Aktivitäten wie unangemessene Freigabe vertraulicher Informationen per E-Mail blockieren. Wenn Sie Ihre DLP-Richtlinien planen, müssen Sie die Geschäftsprozesse identifizieren, die Ihre vertraulichen Elemente berühren. Die Geschäftsprozessbesitzer können Ihnen helfen, geeignete Benutzerverhalten zu identifizieren, die zulässig sein sollten, und unangemessenes Benutzerverhalten, vor dem geschützt werden sollte. Sie sollten Ihre Richtlinien planen und im Testmodus bereitstellen und ihre Auswirkungen zuerst über den Aktivitäts-Explorer bewerten, bevor Sie sie in restriktiveren Modi anwenden.
Organisationskulturplanung für DLP
Eine erfolgreiche DLP-Implementierung hängt ebenso davon ab, dass Ihre Benutzer geschult und an Methoden zur Verhinderung von Datenverlust gewöhnt werden, wie von gut geplanten und optimierten Richtlinien. Da Ihre Benutzer stark involviert sind, sollten Sie auch die Schulung für sie planen. Sie können Richtlinientipps strategisch verwenden, um ihre Benutzer zu sensibilisieren, bevor Sie die Richtlinienerzwingung vom Testmodus in restriktivere Modi ändern.
Vorbereiten auf DLP
Sie können DLP-Richtlinien auf ruhende Daten, verwendete Daten und daten in Bewegung an Speicherorten anwenden, z. B.:
- Exchange Online E-Mail
- SharePoint Online-Sites
- OneDrive-Konten
- Teams-Chat- und Teams-Kanalnachrichten
- Microsoft Defender for Cloud Apps
- Windows 10-, Windows 11- und macOS-Geräte (drei neueste versionen)
- Lokale Repositorys
- Power BI-Websites
Jede hat unterschiedliche Voraussetzungen. Vertrauliche Elemente an einigen Orten, z. B. Exchange Online, können unter den DLP-Schirm gebracht werden, indem sie einfach eine Richtlinie konfigurieren, die für sie gilt. Andere, z. B. lokale Dateirepositorys, erfordern eine Bereitstellung des AIP-Scanners (Azure Information Protection). Sie müssen Ihre Umgebung vorbereiten, Richtlinien entwerfen und diese gründlich testen, bevor Sie blockierende Aktionen aktivieren.
Bereitstellen Ihrer Richtlinien in der Produktion
Entwerfen Ihrer Richtlinien
Definieren Sie zunächst Ihre Steuerungsziele und deren Anwendung auf die jeweilige Workload. Entwerfen Sie eine Richtlinie, die Ihre Ziele verkörpert. Sie können mit jeweils einer Workload oder über alle Workloads hinweg beginnen – es gibt noch keine Auswirkungen.
Implementieren einer Richtlinie im Testmodus
Bewerten Sie die Auswirkungen der Steuerelemente, indem Sie sie mit einer DLP-Richtlinie im Testmodus implementieren. In einer Richtlinie definierte Aktionen werden nicht angewendet, während sich die Richtlinie im Testmodus befindet. Es ist in Ordnung, die Richtlinie auf alle Workloads im Testmodus anzuwenden, damit Sie die gesamte Bandbreite der Ergebnisse erhalten, aber Sie können bei Bedarf mit einer Workload beginnen.
Überwachen der Ergebnisse und Optimieren der Richtlinie
Überwachen Sie im Testmodus die Ergebnisse der Richtlinie, und optimieren Sie sie so, dass sie Ihre Kontrollziele erfüllt, und stellen Sie sicher, dass Sie gültige Benutzerworkflows und Produktivität nicht beeinträchtigen oder versehentlich beeinträchtigen. Hier sind einige Beispiele für Dinge, die Sie optimieren sollten:
- Anpassen der Orte und Personen/Orte, die sich im oder außerhalb des Bereichs befinden
- Optimieren der Bedingungen, die verwendet werden, um zu bestimmen, ob ein Element und was damit ausgeführt wird, mit der Richtlinie übereinstimmen
- Definition/s vertraulicher Informationen
- Hinzufügen neuer Steuerelemente
- Neue Personen hinzufügen
- Hinzufügen neuer eingeschränkter Apps
- Hinzufügen neuer eingeschränkter Websites
Hinweis
Das Beenden der Verarbeitung weiterer Regeln funktioniert im Testmodus nicht, auch wenn er aktiviert ist.
Aktivieren des Steuerelements und Optimieren Ihrer Richtlinien
Sobald die Richtlinie alle Ihre Ziele erfüllt hat, aktivieren Sie sie. Überwachen Sie weiterhin die Ergebnisse der Richtlinienanwendung, und optimieren Sie sie bei Bedarf.
Hinweis
Im Allgemeinen werden Richtlinien etwa eine Stunde nach dem Aktivieren wirksam.
Übersicht über die DLP-Richtlinienkonfiguration
Sie haben Flexibilität bei der Erstellung und Konfiguration Ihrer DLP-Richtlinien. Sie können mit nur wenigen Klicks mit einer vordefinierten Vorlage beginnen und eine Richtlinie erstellen, oder Sie können Ihre eigene Richtlinie von Grund auf entwerfen. Unabhängig davon, was Sie auswählen, benötigen alle DLP-Richtlinien die gleichen Informationen von Ihnen.
Wählen Sie aus, was Sie überwachen möchten : DLP enthält viele vordefinierte Richtlinienvorlagen, die Ihnen den Einstieg erleichtern, oder Sie können eine benutzerdefinierte Richtlinie erstellen.
- Eine vordefinierte Richtlinienvorlage, z. B. Finanzdaten, Gesundheits- und Gesundheitsdaten, Datenschutzdaten für verschiedene Länder und Regionen.
- Eine benutzerdefinierte Richtlinie, welche die verfügbaren Typen vertraulicher Informationen, Aufbewahrungsbezeichnungen und Vertraulichkeitsbezeichnungen verwendet.
Administrative Bereich auswählen : DLP unterstützt das Zuweisen von Verwaltungseinheiten zu Richtlinien. Administratoren, die einer Verwaltungseinheit zugewiesen sind, können nur Richtlinien für die Benutzer, Gruppen, Verteilergruppen und Konten erstellen und verwalten, denen sie zugewiesen sind. Daher können Richtlinien von einem uneingeschränkten Administrator auf alle Benutzer und Gruppen angewendet werden, oder sie können auf Verwaltungseinheiten beschränkt werden. Weitere DLP-spezifische Details finden Sie unter Richtlinienbereich . Weitere Informationen zu verwaltungstechnischen Einheiten in Microsoft Purview Information Protection finden Sie unter Administrative Einheiten.
Wählen Sie aus, wo Sie überwachen möchten : Sie wählen mindestens einen Speicherort aus, den DLP auf vertrauliche Informationen überwachen soll. Sie können Folgendes überwachen:
Speicherort einschließen/ausschließen nach Exchange-E-Mail Verteilergruppen Microsoft Office SharePoint Online-Websites Websites OneDrive-Konten Konten oder Verteilergruppen Teams-Chat- und Teams-Kanalnachrichten Konto oder Verteilergruppe Windows 10-, Windows 11- und macOS-Geräte (drei neueste versionen) Benutzer oder Gruppe Microsoft Cloud App Security Instanz Lokale Repositorys Repositorydateipfad Power BI (Vorschau) Arbeitsbereiche Wählen Sie die Bedingungen aus, die erfüllt werden müssen, damit eine Richtlinie auf ein Element angewendet werden kann . Sie können vorkonfigurierte Bedingungen akzeptieren oder benutzerdefinierte Bedingungen definieren. Einige Beispiele:
- -Element enthält eine angegebene Art vertraulicher Informationen, die in einem bestimmten Kontext verwendet werden. Beispielsweise werden 95 Sozialversicherungsnummern per E-Mail an Empfänger außerhalb Ihrer Organisation gesendet.
- Element verfügt über eine angegebene Vertraulichkeitsbezeichnung
- Element mit vertraulichen Informationen wird entweder intern oder extern freigegeben
Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn die Richtlinienbedingungen erfüllt sind : Die Aktionen hängen vom Ort ab, an dem die Aktivität stattfindet. Einige Beispiele:
- SharePoint/Exchange/OneDrive: Blockieren Sie Personen, die sich außerhalb Ihrer organization befinden, den Zugriff auf die Inhalte. Zeigen Sie dem Benutzer einen Tipp an, und senden Sie ihnen eine E-Mail-Benachrichtigung, dass sie eine Aktion durchführen, die durch die DLP-Richtlinie verboten ist.
- Teams-Chat und -Kanal: Blockieren der Freigabe vertraulicher Informationen im Chat oder Kanal
- Windows 10-, Windows 11- und macOS-Geräte (drei neueste Versionen): Überwachen oder Einschränken des Kopierens eines vertraulichen Elements auf ein USB-Wechselmedium
- Office-Apps: Zeigen Sie ein Popup an, das den Benutzer darüber informiert, dass sie ein riskantes Verhalten haben, und blockieren oder blockieren, aber die Außerkraftsetzung zulassen.
- Lokale Dateifreigaben: Verschieben der Datei aus dem Speicherort in einen Quarantäneordner
Hinweis
Die Bedingungen und die auszuführenden Aktionen werden in einem Objekt definiert, das als Regel bezeichnet wird.
Erstellen und Bereitstellen einer DLP-Richtlinie
Alle DLP-Richtlinien werden im Microsoft Purview Center erstellt und verwaltet. Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust .
Nachdem Sie eine DLP-Richtlinie im Complianceportal erstellt haben, wird sie in einem zentralen Richtlinienspeicher gespeichert und dann mit den verschiedenen Inhaltsquellen synchronisiert, einschließlich:
- Exchange und von dort zu Outlook im Web und Outlook
- OneDrive
- SharePoint-Websites
- Office-Desktopprogrammen (Excel, PowerPoint und Word)
- Microsoft Teams-Kanälen und Chatnachrichten
Nachdem die Richtlinie mit den richtigen Speicherorten synchronisiert wurde, beginnt sie, Inhalte auszuwerten und Aktionen zu erzwingen.
Anzeigen der Ergebnisse der Richtlinienanwendung
DLP meldet eine große Menge von Informationen an Microsoft Purview von der Überwachung über Richtlinienübereinstimmungen und -aktionen bis hin zu Benutzeraktivitäten. Sie müssen diese Informationen nutzen und darauf reagieren, um Ihre Richtlinien und Selektierungsaktionen für vertrauliche Elemente zu optimieren. Die Telemetriedaten werden zuerst in die Microsoft Purview-Complianceportal Überwachungsprotokolle eingegliedert, verarbeitet und an verschiedene Berichterstellungstools gesendet. Jedes Berichterstellungstool hat einen anderen Zweck.
Große Menge vertraulicher Informationen, die extern freigegeben oder gespeichert werden
Microsoft 365 bietet Ihnen Einblick in riskante Benutzeraktivitäten außerhalb von DLP-Richtlinien. Die große Menge vertraulicher Informationen, die extern Karte auf der DLP-Startseite freigegeben oder gespeichert wurden, zeigt die Anzahl vertraulicher Elemente an, über die Benutzer verfügen:
- in die verdächtigen Domänen hochgeladen
- Zugriff mit einer verdächtigen Anwendung
- Auf einen Wechseldatenträger kopiert
Microsoft 365 scannt die Überwachungsprotokolle auf riskante Aktivitäten und führt sie über eine Korrelations-Engine aus, um Aktivitäten zu finden, die in einer hohen Menge auftreten. Es sind keine DLP-Richtlinien erforderlich.
Wenn Sie weitere Details zu den Elementen abrufen möchten, die Benutzer außerhalb Ihrer organization kopieren oder verschieben (als Ausgangsaktivitäten oder Exfiltration bezeichnet), wählen Sie den Link Weitere Informationen auf der Karte aus, um einen Detailbereich zu öffnen. Sie können Incidents für Microsoft Purview Data Loss Prevention (DLP) über das Microsoft 365 Defender PortalIncidents alerts Incidents &untersuchen.> Weitere Informationen finden Sie unter Untersuchen von Datenverlustvorfällen mit Microsoft 365 Defender und Untersuchen von Warnungen in Microsoft 365 Defender.
DLP-Warnungsdashboard
Wenn DLP eine Aktion für ein vertrauliches Element ausführt, können Sie über eine konfigurierbare Warnung benachrichtigt werden. Anstatt diese Warnungen in einem Postfach zu stapeln, durch das Sie sichten können, stellt das Complianceportal sie im Dashboard für die Verwaltung von DLP-Warnungen zur Verfügung. Verwenden Sie die DASHBOARD DLP-Warnungen, um Warnungen zu konfigurieren, zu überprüfen, zu selektieren und die Auflösung von DLP-Warnungen nachzuverfolgen. Hier sehen Sie ein Beispiel für Warnungen, die von Richtlinien-Übereinstimmungen und Aktivitäten von Windows 10 Geräten generiert werden.
Sie können ebenfalls Details des zugehörigen Ereignisses mit umfangreichen Metadaten im gleichen Dashboard anzeigen.
DLP-Aktivitäts-Explorer und -Berichte
Die Registerkarte Aktivitäts-Explorer auf der DLP-Seite enthält mehrere Filter, die Sie zum Anzeigen von DLP-Ereignissen verwenden können. Verwenden Sie dieses Tool, um Aktivitäten im Zusammenhang mit Inhalten zu überprüfen, die vertrauliche Informationen enthalten oder bezeichnungen angewendet wurden, z. B. welche Bezeichnungen geändert wurden, welche Dateien geändert wurden und mit einer Regel übereinstimmen.
Sie können die DLP-Informationen der letzten 30 Tage in Activity Explorer mithilfe dieser vorkonfigurierten Filter anzeigen:
- Endpunkt-DLP-Aktivitäten
- Dateien, die Typen vertraulicher Informationen enthalten
- Ausgehende Aktivitäten
- DLP-Richtlinien, die Aktivitäten erkannt haben
- DLP-Richtlinienregeln, die Aktivitäten erkannt haben
So zeigen Sie diese Informationen an | Wählen Sie diese Aktivität aus. |
---|---|
Benutzeraußerkraftsetzungen | DLP-Regel rückgängig |
Elemente, die einer DLP-Regel entsprechen | DLP-Regel abgeglichen |
Sie können auch über diese Cmdlets in der PowerShell zur Sicherheitskonformität & auf den DLP-Bericht zugreifen.
Verwenden Sie die folgenden Cmdlets:
DLP-Berichte müssen jedoch Daten aus microsoft 365 pullen, einschließlich Exchange. Aus diesem Grund sind die folgenden Cmdlets für DLP-Berichte in Exchange PowerShell verfügbar. Führen Sie die folgenden Schritte aus, um die Cmdlets für diese DLP-Berichte zu verwenden:
Verwenden Sie die folgenden Cmdlets:
Kontextzusammenfassung
Sie können den Text sehen, der den übereinstimmende Inhalt umgibt, z. B. eine Gutschrift Karte Zahl in einem DLPRuleMatch-Ereignis im Aktivitäts-Explorer. Dazu müssen Sie zuerst die erweiterte Klassifizierungsüberprüfung und den Schutz aktivieren.
DLPRuleMatch-Ereignisse werden mit dem Benutzeraktivitätsereignis gekoppelt. Sie sollten sich im Aktivitäts-Explorer direkt aneinander (oder zumindest sehr nahe) befinden. Sie sollten beides betrachten, da das Benutzeraktivitätsereignis Details zur übereinstimmenden Richtlinie und das DLPRuleMatch-Ereignis die Details zu dem Text enthält, der den übereinstimmenden Inhalt umgibt.
Stellen Sie als Endpunkt sicher, dass Sie KB5016688 für Windows 10-Geräte und KB5016691 für Windows 11-Geräte oder höher angewendet haben.
Weitere Informationen finden Sie unter Erste Schritte mit dem Aktivitäts-Explorer.
Weitere Informationen zu Microsoft Purview DLP finden Sie unter:
- Informationen zu Endpunkt-DLP
- Weitere Informationen zur Standardrichtlinie zur Verhinderung von Datenverlust in Microsoft Teams (Vorschau)
- Erfahren Sie mehr über den lokalen Scanner zur Verhinderung von Datenverlust.
- Erfahren Sie mehr über die Microsoft Compliance-Erweiterung
- Informationen zum Dashboard zur Verhinderung von Datenverlust
Informationen zur Verhinderung von Datenverlust zur Einhaltung von Datenschutzbestimmungen finden Sie unter Bereitstellen des Informationsschutzes für Datenschutzbestimmungen mit Microsoft Purview (aka.ms/m365dataprivacy).