Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit des conseils aux organisations gouvernementales australiennes sur les configurations permettant de protéger les informations classifiées en matière de sécurité à l’aide de l’étiquetage automatique de confidentialité basée sur le service. Son objectif est d’aider les organisations gouvernementales à améliorer leur posture de sécurité des informations, en particulier dans les scénarios où des informations sont transmises entre les organisations gouvernementales. Les conseils de cet article ont été rédigés pour s’aligner au mieux sur les exigences décrites dans le Cadre de stratégie de sécurité de protection (PSPF) et le Manuel de sécurité des informations (ISM).
L’article précédent, Vue d’ensemble de l’étiquetage automatique, fournit des informations plus générales sur l’utilisation de l’étiquetage automatique dans un environnement de travail gouvernemental moderne et sur la façon dont elle contribue à réduire les risques liés à la sécurité des données.
La fonctionnalité d’étiquetage automatique basée sur le service permet :
-
Analyse des e-mails à la recherche de contenu sensible et leur application d’étiquettes pendant le transport : les organisations gouvernementales australiennes peuvent utiliser cette fonctionnalité pour :
- Étiquetez les e-mails marqués reçus d’autres organisations gouvernementales à l’aide du PSPF ou des infrastructures de marquage équivalentes au gouvernement des États.
- Étiquetez les e-mails reçus d’organisations non compatibles PSPF via la détection d’informations sensibles ou d’autres identificateurs.
-
Analyse des éléments existants dans des emplacements SharePoint (SharePoint/OneDrive/Teams) à la recherche de marquages de protection ou de contenu sensible et leur application d’étiquettes : les organisations gouvernementales australiennes peuvent utiliser cette fonctionnalité pour :
- Étiquetez les données Microsoft 365 existantes au repos.
- Migrez des taxonomies ou outils de classification hérités vers Microsoft Purview.
Étiquetage des e-mails pendant le transport
Cet article est une extension des concepts abordés dans les stratégies de marquage des e-mails où les méthodes d’application des marquages aux e-mails sont abordées.
Les stratégies d’étiquetage automatique basées sur les services permettent à Purview de case activée pour les marquages de protection appliqués aux e-mails et, le cas échéant, d’appliquer l’étiquette de confidentialité d’alignement. Les e-mails entrants peuvent avoir des marquages ou des étiquettes de confidentialité déjà appliqués par les organisations de l’expéditeur, mais ceux-ci n’appliquent pas, par défaut, les protections basées sur les étiquettes de votre organisation. La conversion de marquages ou d’étiquettes externes en étiquettes internes garantit que la protection contre la perte de données (DLP) et d’autres contrôles de sécurité des données sont appliqués.
Dans le contexte du gouvernement australien, l’identification des caractéristiques du courrier électronique comprend généralement :
- X-Protective-Marking x-headers
- Marquages d’objet
- En-têtes et pieds de page textuels
Les stratégies DLP et d’étiquetage automatique doivent être configurées de sorte que DLP applique des marquages aux éléments lorsqu’ils sont envoyés, qui sont ensuite évalués par l’étiquetage automatique ou un service équivalent dans l’environnement de destination :
configuration de stratégie basée sur Email
Les stratégies d’étiquetage automatique basées sur les services sont configurées dans le portail Microsoft Purview sous Information Protection Stratégies>>d’étiquetage automatique.
Les stratégies d’étiquetage automatique sont configurées de la même manière que les stratégies DLP. Contrairement aux recommandations de stratégie DLP, une seule stratégie d’étiquetage automatique est nécessaire pour chaque étiquette que nous souhaitons appliquer pour la configuration par e-mail.
Les stratégies d’étiquetage automatique qui vérifient les marquages PSPF doivent être créées à partir du modèle de stratégie personnalisé nommé en fonction de leur action. Par exemple, Étiqueter les Email NON OFFICIELs entrants. Les stratégies doivent également être appliquées au service Exchange uniquement pour garantir que les options requises, telles que subject, sont disponibles pour l’interface.
Pour atteindre un niveau élevé de maturité PSPF, des stratégies d’étiquetage automatique doivent être implémentées pour effectuer les opérations suivantes :
- Étiquette automatique basée sur les en-têtes x appliqués aux e-mails entrants.
- Étiquette automatique basée sur les marquages d’objet appliqués aux e-mails entrants.
- Étiquette automatique basée sur les types d’informations sensibles (SIT) présents dans le corps de l’e-mail entrant (facultatif).
Certaines organisations peuvent être tentées d’inclure uniquement des règles de vérification des en-têtes x. Il est important de noter qu’il existe certaines situations où des clients ou services de messagerie externes peuvent supprimer des métadonnées de courrier électronique, notamment la création de x-protection et msip_labels les en-têtes. C’est ce que l’on appelle le stripping d’en-tête x et est abordé plus loin dans cet article. Le fait de disposer d’un deuxième ensemble de règles pour identifier les éléments en fonction du sujet fournit une bonne sauvegarde pour de telles situations, garantissant ainsi que les éléments restent étiquetés.
Une stratégie d’étiquetage automatique est requise pour chaque étiquette, éventuellement avec plusieurs règles (une pour chacun des scénarios ci-dessus). Les paramètres permettant de remplacer automatiquement les étiquettes existantes s’ils sont inférieurs à actuels doivent être configurés, car cela garantit que les étiquettes sont reclassées dans les situations où les éléments ont été reclassés en externe. Sans sélectionner les options remplacer l’étiquette , les métadonnées existantes appliquées à une conversation par e-mail sont prioritaires sur tout marquage modifié.
Vérification des règles pour les x-headers
Les règles créées pour case activée l’en-tête X-Protective-Marking de courrier électronique doivent être nommées de manière appropriée, par exemple, « Check for OFFICIAL x-header ».
Ils ont besoin d’une condition d’en-tête correspondant aux modèles avec un nom d’en-tête « x-protective-marking » et une valeur d’expression régulière (RegEx) qui peut correspondre à l’en-tête x-protective-marking sur les e-mails entrants. Par exemple, la syntaxe permettant d’identifier les éléments marqués comme « OFFICIAL : Confidentialité personnelle sensible » est la suivante :
X-Protective-Marking : SEC=OFFICIAL:Sensitive(?!, CAVEAT=).*, ACCESS=Personal-Privacy
Dans cette expression, [-: ] correspond à un trait d’union, deux-points ou espace, ce qui permet une certaine flexibilité dans la façon dont les en-têtes sont appliqués, en notant que le PSPF spécifie un caractère deux-points.
Le modèle de (?!, CAVEAT=).* garantit que les éléments avec une mise en garde ne sont pas mis en correspondance via cette expression, car ils doivent être détectés par une autre stratégie.
Règles de vérification des marquages d’objet
Les stratégies d’étiquetage automatique doivent inclure une deuxième règle, qui vérifie les marquages basés sur l’objet. Ces règles doivent être nommées de manière appropriée, par exemple, « Check for OFFICIAL : Sensitive Personal Privacy subject ».
Les règles ont besoin d’une condition de l’objet correspond aux modèles avec une valeur d’une expression régulière appropriée. Par exemple :
\[SEC=OFFICIAL:Sensitive(?!, CAVEAT=).*, ACCESS=Personal-Privacy\]
Dans cet exemple, le \ caractère d’échappement est requis pour garantir que les crochets sont traités comme faisant partie de l’objet de l’e-mail et non comme faisant partie de l’expression régulière.
Vérification des règles pour les SIT
Pour identifier les informations sensibles , nous avons recommandé un ensemble de SIT pour identifier les marquages de protection. Ces SIT peuvent également être utilisés dans les stratégies d’étiquetage automatique s’appliquant à la messagerie électronique. Les SIT fournissent une troisième méthode d’identification des classifications d’e-mails entrants et aident également à corriger la suppression des en-têtes x.
Les règles logiques nécessitent une condition de contenu contient,typed’informations sensibles, puis que le SIT correspondant à la classification soit sélectionné.
Conseil
Les règles sit peuvent générer plus de faux positifs que les approches basées sur l’en-tête x ou le sujet. Les organisations gouvernementales qui débutent dans ce domaine peuvent envisager de commencer avec des règles basées sur l’en-tête x et l’objet uniquement, puis de passer à l’ajout de règles basées sur SIT quand cela est confortable.
Les discussions sur les classifications et les alertes générées par le service qui font référence ou incluent du contenu d’élément, comme les alertes DLP, sont des exemples de faux positifs. Pour cette raison, les règles d’étiquetage automatique basées sur SIT doivent faire l’objet de tests supplémentaires ou d’une période de surveillance prolongée avant l’implémentation complète afin d’extraire les faux positifs et d’appliquer des exceptions. Les exemples d’exceptions incluent le domaine « microsoft.com », à partir duquel les alertes basées sur le service sont envoyées.
L’inclusion de règles sit présente des avantages significatifs. Envisagez la justification du changement d’étiquette et le risque que les utilisateurs réduisent de manière malveillante l’étiquette appliquée à une conversation par e-mail. Si un e-mail PROTECTED est réduit à NON OFFICIEL, mais que nous pouvons détecter « [SEC=PROTECTED] » dans le corps de la conversation par e-mail, nous pouvons alors réappliquer automatiquement l’étiquette PROTECTED. Cela permet de revenir dans l’étendue des stratégies DLP PROTÉGÉES du locataire et d’autres contrôles. Il y a des situations où des articles sont intentionnellement reclassés dans un état inférieur, par exemple, une publication d’une note de presse budget, qui a été sous embargo jusqu’à un moment précis, de sorte que la configuration SIT doit prendre en compte ces cas d’usage dans l’organisation gouvernementale.
Les règles basées sur SIT peuvent également aider à prendre en charge les petites organisations gouvernementales qui génèrent des e-mails, mais dont la maturité de conformité est inférieure. Ces organisations peuvent ne pas avoir de méthodes de marquage plus avancées comme les en-têtes x.
Approches pour plusieurs marqueurs de gestion des informations
Les marqueurs de gestion des informations (IMMs) proviennent de l’Australian Government Recordkeeping Metadata Standard (AGRkMS) et constituent un moyen facultatif d’identifier des informations soumises à des restrictions non liées à la sécurité. Comme introduit dans l’utilisation de plusieurs imMs, AGRkMS définit une valeur IMM ou « type de droits », qui est enregistrée en tant que propriété unique. Certaines organisations gouvernementales australiennes ont étendu leur utilisation des MPM par des taxonomies de classification qui permettent d’appliquer plusieurs MPM (par exemple, « PROTECTED Personal Privacy Legislative Secrety »).
L’utilisation de plusieurs imMs peut compliquer les configurations DLP et d’étiquetage automatique, car les expressions régulières qui vérifient les marquages appliqués aux éléments entrants doivent être plus complexes. Il existe également un risque que les e-mails marqués avec plusieurs messages instantanés, lorsqu’ils sont envoyés à des organisations externes, soient mal interprétés en recevant des passerelles de messagerie. Cela augmente le risque de perte d’informations. Pour ces raisons, les exemples inclus dans la taxonomie des étiquettes de confidentialité et les stratégies de marquage des e-mails ont appliqué des imMs uniques uniquement conformément aux règles AGRkMS.
Organisations utilisant des marqueurs de gestion des informations uniques
Pour que les organisations qui utilisent des mims uniques uniquement pour prendre en charge les e-mails reçus d’organisations externes avec plusieurs imMs appliquées, les crochets fermants («\] ») ont été omis de certaines règles d’étiquetage automatique basées sur l’objet. Cela nous permet d’étiqueter les e-mails en fonction du premier IMM appliqué à son objet. Cette approche garantit que les éléments sont protégés par le biais de contrôles basés sur les étiquettes, que votre taxonomie d’étiquettes s’aligne ou non entièrement sur d’autres organisations gouvernementales susceptibles de vous envoyer des e-mails.
Organisations appliquant plusieurs imMs
Pour ceux qui décident d’étendre leur taxonomie d’étiquette et d’autres configurations pour prendre en charge plusieurs imMs en dehors des règles AGRkMS, ils doivent s’assurer que leurs règles d’étiquetage automatique prennent en charge les éventuels conflits. Par exemple, une règle de vérification pour 'SEC=OFFICIAL :Sensitive, ACCESS=Legislative-Secrecy' doit exclure toutes les valeurs avec une deuxième imm appliquée, car sinon les éléments pourraient être étiquetés de manière incorrecte avec l’imm unique uniquement.
Les exclusions peuvent être appliquées en ajoutant des exceptions aux règles d’étiquetage automatique. Par exemple :
Sauf si l’en-tête correspond aux modèles :
X-Protective-Marking : SEC=OFFICIAL:Sensitive, ACCESS=Legislative-Secrecy, ACCESS=Personal-Privacy
X-Protective-Marking : SEC=OFFICIAL:Sensitive, ACCESS=Legislative-Secrecy, ACCESS=Legislative-Secrecy
X-Protective-Marking : SEC=OFFICIAL:Sensitive, ACCESS=Legislative-Secrecy, ACCESS=Legal-Privilege
Vous pouvez également prendre en charge les exceptions dans l’expression régulière de la règle :
L’en-tête correspond aux modèles :
X-Protective-Marking :SEC=OFFICIAL[-: ]Sensitive, ACCESS=Legislative-Secrecy(?!, ACCESS=)
Pour les règles basées sur SIT, la syntaxe incluse dans l’exemple de syntaxe SIT pour détecter les marquages de protection ne prend en charge que les MMM uniques. Ces SIT doivent être modifiés pour éliminer les faux positifs et d’autres SIT doivent être ajoutés pour s’aligner sur les étiquettes supplémentaires.
Remarque
Les exemples fournis par ASD dans leur Blueprint for Secure Cloud utilisent également une seule IMM, mais répondent aux combinaisons IMM et mise en garde. Les organisations doivent prendre en compte leur utilisation actuelle d’IMM et de mise en garde et déterminer la taxonomie d’étiquette la plus simple possible pour répondre à leurs besoins.
Informations d’étiquetage automatique provenant de gouvernements étrangers
De nombreuses organisations gouvernementales australiennes traitent d’informations marquées ou classifiées provenant de gouvernements étrangers. Certaines de ces classifications étrangères ont une équivalence dans la taxonomie de classification PSPF. Les organisations qui communiquent avec les gouvernements étrangers peuvent utiliser les approches décrites dans ce guide pour traduire les marquages étrangers en leur équivalent PSPF.
Traitement des marquages du secret législatif
Les marquages de secret législatif ne doivent pas être appliqués aux éléments sans indication des exigences de secret législatif spécifiques qui s’appliquent aux informations. Comme recommandé dans les Lignes directrices de la version 2024 du PSPF, un avis d’avertissement textuel doit être placé en haut et en bas des éléments relatifs à l’information législative. Les organisations doivent appliquer ces avis par le biais de modèles de documents ou d’un moyen similaire. Ces avis d’avertissement peuvent être utilisés pour identifier les éléments qui doivent être marqués avec l’étiquette « SECRET LÉGISLATIF SENSIBLE OFFICIEL ».
Microsoft recommande d’utiliser des étiquettes de secret législatif via une étiquette alignée directement sur la législation en question. Par exemple, considérez une structure d’étiquette de :
OFFICIAL Sensitive
- OFFICIAL Sensitive
- SECRET LÉGISLATIF SENSIBLE OFFICIEL
- EXEMPLE DE LOI SUR LE SECRET LÉGISLATIF SENSIBLE OFFICIEL
Avec une telle structure d’étiquette, les utilisateurs travaillant avec des informations relatives à l'« exemple de loi » appliqueraient l’étiquette « Official Sensitive Legislative Secrety Example Act » aux informations pertinentes. Les marquages visuels de cette étiquette doivent également indiquer l’acte en question. Par exemple, ils peuvent appliquer des en-têtes et des pieds de page de « OFFICIAL : Sensitive Legislative Secrety (Exemple de loi) ».
Remarque
L’étiquette « OFFICIAL Sensitive Legislative Secrety Example Act » pourrait avoir son nom d’affichage d’étiquette abrégé en « OFFICIAL Sensitive Example Act » pour améliorer l’expérience utilisateur d’étiquetage. Toutefois, le marquage visuel de l’étiquette doit inclure tous les éléments afin de prendre en charge les approches de l’étiquetage automatique.
L’étiquette et les marquages fournissent une indication de la classification de sécurité des éléments, du fait qu’elles sont pertinentes pour les exigences législatives de secret et de la législation spécifique référencée. Les marquages appliqués dans cet ordre permettent également aux organisations externes qui reçoivent les informations mais qui n’ont pas l’étiquette « Exemple d’acte » configurée d’identifier et de traiter les informations conformément à leur étiquette de secret législatif. Le fait de considérer l’exemple de loi comme un secret législatif permet d’appliquer des protections aux informations jointes.
Le gouvernement organization produire l’information peut nécessiter de distinguer les éléments suivants :
- Leurs informations relatives à l’exemple d’acte,
- Informations relatives à d’autres lois ; et
- L’information produite à l’extérieur qui se rapporte à la législation que d’autres ministères travaillent avec.
Pour ce faire, l’administrateur divise les règles d’étiquetage automatique en deux et utilise un SIT pour identifier les informations relatives à l’exemple de loi :
| Nom de la règle | Condition | Étiquette à appliquer |
|---|---|---|
| Rechercher l’en-tête x du système d’exploitation LS | L’en-tête correspond au modèle :X-Protective-Marking : SEC=OFFICIAL[-: ]Sensitive, ACCESS=Legislative-Secrecy AND Groupe NOT Contenu contient : Type d’informations sensibles Exemple de mot clé ACT SIT contenant : (Example Act) |
SECRET LÉGISLATIF SENSIBLE OFFICIEL |
| Rechercher l’objet LS du système d’exploitation | Modèle de correspondance de l’objet :\[SEC=OFFICIAL[-: ]Sensitive(?:,)? ACCESS=Legislative-Secrecy AND Group NOT Le contenu contient : Type d’informations sensibles : Exemple de mot clé ACT SIT contenant : (Example Act) |
SECRET LÉGISLATIF SENSIBLE OFFICIEL |
| Vérifier l’exemple d’en-tête x de l’acte de système d’exploitation | L’en-tête correspond au modèle :X-Protective-Marking : SEC=OFFICIAL[-: ]Sensitive, ACCESS=Legislative-Secrecy AND Contenu contient : Type d’informations sensibles Exemple de mot clé ACT SIT contenant : (Example Act) |
OFFICIAL Sensitive Example Act |
| Rechercher l’objet de l’exemple d’acte de système d’exploitation | Modèle de correspondance de l’objet :\[SEC=OFFICIAL[-: ]Sensitive(?:,)? ACCESS=Legislative-Secrecy AND Le contenu contient : Type d’informations sensibles : Exemple de mot clé ACT SIT contenant : (Example Act) |
OFFICIAL Sensitive Example Act |
Exemple de configuration de l’étiquetage automatique basé sur l’e-mail
Les exemples de stratégies d’étiquetage automatique répertoriés ici appliquent automatiquement des étiquettes de confidentialité aux e-mails entrants en fonction du marquage appliqué par des organisations gouvernementales externes.
Les exemples de stratégies suivants ne doivent pas être l’intégralité d’une configuration d’étiquetage automatique d’une organisation, car d’autres scénarios tels que l’étiquetage des éléments existants au repos doivent également être pris en compte.
Nom de la stratégie : Étiqueter les Email NON OFFICIELs entrants
| Nom de la règle | Condition | Étiquette à appliquer |
|---|---|---|
| Rechercher un x-header non officiel | L’en-tête correspond au modèle :X-Protective-Marking : SEC=UNOFFICIAL |
OFFICIEUX |
| Rechercher l’objet NON OFFICIEL | Modèle de correspondance de l’objet :\[SEC=UNOFFICIAL\] |
OFFICIEUX |
Nom de la stratégie : Étiqueter les Email OFFICIAL entrants
Cette stratégie doit s’assurer que les éléments marqués comme OFFICIEL ne sont pas étiquetés de manière incorrecte comme ÉTANT SENSIBLES OFFICIELs. Pour ce faire, il utilise l’opérande non RegEx (?!) pour les x-headers et les crochets fermants (\]) dans les objets de l’e-mail :
| Nom de la règle | Condition | Étiquette à appliquer |
|---|---|---|
| Rechercher l’en-tête x OFFICIAL | L’en-tête correspond au modèle :X-Protective-Marking : SEC=OFFICIAL(?!:Sensitive) |
FONCTIONNAIRE |
| Rechercher l’objet OFFICIAL | Modèle de correspondance de l’objet :\[SEC=OFFICIAL(?!:Sensitive)\] |
FONCTIONNAIRE |
Nom de la stratégie : Étiqueter les Email sensibles OFFICIAL entrants
| Nom de la règle | Condition | Étiquette à appliquer |
|---|---|---|
| Rechercher l’en-tête x du système d’exploitation | L’en-tête correspond au modèle :X-Protective-Marking : SEC=OFFICIAL:Sensitive(?!, CAVEAT=\ | [a-zA-Z,= /]*, ACCESS=) |
OFFICIAL Sensitive |
| Rechercher l’objet du système d’exploitation | Modèle de correspondance de l’objet :\[SEC=OFFICIAL:Sensitive(?!, CAVEAT=\ | [a-zA-Z,= /]*, ACCESS=)\] |
OFFICIAL Sensitive |
Nom de la stratégie : Étiqueter l’Email de confidentialité personnelle sensible officielle entrante
| Nom de la règle | Condition | Étiquette à appliquer |
|---|---|---|
| Rechercher l’en-tête x PP du système d’exploitation | L’en-tête correspond au modèle :SEC=OFFICIAL:Sensitive(?!, CAVEAT=).*, ACCESS=Personal-Privacy |
Confidentialité personnelle sensible officielle |
| Rechercher l’objet PP du système d’exploitation | Modèle de correspondance de l’objet :\[SEC=OFFICIAL:Sensitive(?!, CAVEAT=).*, ACCESS=Personal-Privacy\] |
Confidentialité personnelle sensible officielle |
Nom de la stratégie : Étiqueter les Email de privilèges juridiques sensibles officiels entrants
| Nom de la règle | Condition | Étiquette à appliquer |
|---|---|---|
| Rechercher l’en-tête x-header du système d’exploitation LP | L’en-tête correspond au modèle :SEC=OFFICIAL:Sensitive(?!, CAVEAT=).*, ACCESS=Legal-Privilege |
Official : Privilège juridique sensible |
| Rechercher l’objet OS LP | Modèle de correspondance de l’objet :\[SEC=OFFICIAL:Sensitive(?!, CAVEAT=).*, ACCESS=Legal-Privilege\] |
Official : Privilège juridique sensible |
Nom de la stratégie : Étiqueter le secret législatif sensible officiel entrant
| Nom de la règle | Condition | Étiquette à appliquer |
|---|---|---|
| Rechercher l’en-tête x du système d’exploitation LS | L’en-tête correspond au modèle :X-Protective-Marking : SEC=OFFICIAL:Sensitive(?!, CAVEAT=).*, ACCESS=Legislative-Secrecy |
SECRET LÉGISLATIF SENSIBLE OFFICIEL |
| Rechercher l’objet LS du système d’exploitation | Modèle de correspondance de l’objet :\[SEC=OFFICIAL:Sensitive(?!, CAVEAT=).*, ACCESS=Legislative-Secrecy\] |
SECRET LÉGISLATIF SENSIBLE OFFICIEL |
Nom de la stratégie : Étiqueter le CABINET NATIONAL SENSIBLE OFFICIEL ENTRANT
| Nom de la règle | Condition | Étiquette à appliquer |
|---|---|---|
| Rechercher l’en-tête x du contrôleur de système d’exploitation | L’en-tête correspond au modèle :X-Protective-Marking : SEC=OFFICIAL:Sensitive, CAVEAT=SH:NATIONAL-CABINET(?![a-zA-Z,= /]*, ACCESS=) |
CABINET NATIONAL SENSIBLE OFFICIEL |
| Rechercher l’objet NC du système d’exploitation | Modèle de correspondance de l’objet :\[SEC=OFFICIAL:Sensitive, CAVEAT=SH:NATIONAL-CABINET(?![a-zA-Z,= /]*, ACCESS=)\] |
CABINET NATIONAL SENSIBLE OFFICIEL |
Nom de la stratégie : Étiqueter les Email PROTECTED entrants
| Nom de la règle | Condition | Étiquette à appliquer |
|---|---|---|
| Rechercher protected x-header | L’en-tête correspond au modèle :SEC=PROTECTED(?!, CAVEAT=\ | [a-zA-Z,= /]*, ACCESS=) |
PROTÉGÉ |
| Rechercher l’objet PROTÉGÉ | Modèle de correspondance de l’objet :\[SEC=PROTECTED(?!, CAVEAT=\ | [a-zA-Z,= /]*, ACCESS=)\] |
PROTÉGÉ |
Nom de la stratégie : Étiqueter le Email de confidentialité personnelle protected entrant
| Nom de la règle | Condition | Étiquette à appliquer |
|---|---|---|
| Rechercher l’en-tête x PP PROTÉGÉ | Modèle de correspondance de l’objet :X-Protective-Marking : SEC=PROTECTED(?!, CAVEAT).*, ACCESS=Personal-Privacy |
Protection de la confidentialité personnelle |
| Rechercher l’objet PP PROTÉGÉ | L’en-tête correspond au modèle :\[SEC=PROTECTED(?!, CAVEAT).*, ACCESS=Personal-Privacy\] |
Protection de la confidentialité personnelle |
Nom de la stratégie : Étiqueter les Email de privilèges juridiques PROTECTED entrants
| Nom de la règle | Condition | Étiquette à appliquer |
|---|---|---|
| Rechercher protected LP x-header | L’en-tête correspond au modèle :X-Protective-Marking : SEC=PROTECTED(?!, CAVEAT).*, ACCESS=Legal-Privilege |
PROTECTED Legal Privilege |
| Rechercher l’objet LP PROTÉGÉ | Modèle de correspondance de l’objet :\[SEC=PROTECTED(?!, CAVEAT).*, ACCESS=Legal-Privilege\] |
PROTECTED Legal Privilege |
Nom de la stratégie : Étiqueter le Email de secret législatif PROTECTED entrant
| Nom de la règle | Condition | Étiquette à appliquer |
|---|---|---|
| Rechercher protected LS x-header | L’en-tête correspond au modèle :X-Protective-Marking : SEC=PROTECTED(?!, CAVEAT).*, ACCESS=Legislative-Secrecy |
PROTÉGÉ Secret législatif |
| Rechercher l’objet LS PROTÉGÉ | Modèle de correspondance de l’objet :\[SEC=PROTECTED(?!, CAVEAT).*, ACCESS=Legislative-Secrecy\] |
PROTÉGÉ Secret législatif |
Nom de la stratégie : Étiqueter le Email PROTECTED CABINET entrant
| Nom de la règle | Condition | Étiquette à appliquer |
|---|---|---|
| Rechercher l’en-tête x-en-tête P C | L’en-tête correspond au modèle :X-Protective-Marking : SEC=PROTECTED, CAVEAT=SH:CABINET(?![a-zA-Z,= /]*, ACCESS=) |
CABINET PROTÉGÉ |
| Rechercher le sujet C PROTÉGÉ | Modèle de correspondance de l’objet :\[SEC=PROTECTED, CAVEAT=SH:CABINET(?![a-zA-Z,= /]*, ACCESS=)\] |
CABINET PROTÉGÉ |
Nom de la stratégie : Étiqueter le Email national protégé entrant
| Nom de la règle | Condition | Étiquette à appliquer |
|---|---|---|
| Rechercher l’en-tête x-header P NC | L’en-tête correspond au modèle :X-Protective-Marking : SEC=PROTECTED, CAVEAT=SH:NATIONAL-CABINET(?![a-zA-Z,= /]*, ACCESS=) |
CABINET NATIONAL PROTÉGÉ |
| Rechercher le sujet P NC | Modèle de correspondance de l’objet :\[SEC=PROTECTED, CAVEAT=SH:NATIONAL-CABINET(?![a-zA-Z,= /]*, ACCESS=)\] |
CABINET NATIONAL PROTÉGÉ |
L’étiquetage automatique basé sur SIT est créé en suivant les instructions de la vérification des règles pour les SIT.
Étiquetage des éléments existants au repos
Les stratégies d’étiquetage automatique peuvent être configurées pour analyser les éléments résidant dans les emplacements OneDrive et SharePoint (y compris les sites d’équipe sous-jacents Teams) à la recherche de marquages de protection ou d’informations sensibles. Les stratégies peuvent cibler les emplacements OneDrive individuels d’utilisateurs spécifiques, un ensemble de sites SharePoint ou l’ensemble du service.
Les stratégies peuvent être configurées pour rechercher chacune des méthodes d’identification des informations qui ont été introduites sous Identification des informations sensibles. Ces stratégies peuvent rechercher :
- Les SIT prédéfinis, tels que ceux créés par Microsoft pour l’identification des informations relatives à l’Australian Privacy Act ou à l’Australian Health Records Act.
- Les SIT personnalisés créés pour identifier le gouvernement ou organization des informations spécifiques, telles que les ID d’autorisation, le numéro de demande d’accès à l’information (FOI), etc.
- Correspondance exacte des données SIT générées en fonction des exportations réelles d’informations.
- Toute combinaison de sits prédéfinis, personnalisés et/ou exacts de correspondance de données susceptibles d’identifier avec précision des informations sensibles.
- Propriétés de document qui peuvent avoir été appliquées à des éléments par une solution d’enregistrement ou un outil de classification tiers.
Microsoft Purview peut également être configuré pour identifier les éléments en fonction de la propriété du document, de l’extension de fichier ou du nom du document. Ces prédicats sont utiles pour les organisations souhaitant prendre en compte les classifications appliquées via des outils non-Microsoft, qui appliquent généralement des propriétés de document aux éléments. Pour plus d’informations sur le prédicat contextuel, consultez découvrir comment Protection des données Microsoft Purview détecte et protège vos données les plus sensibles.
Le cas d’usage principal de ces fonctionnalités consiste à s’assurer que l’étiquette correcte est appliquée aux informations existantes. Cela garantit que :
- Les informations héritées, notamment celles chargées à partir d’emplacements locaux, sont protégées via les contrôles basés sur les étiquettes de Microsoft Purview.
- Les fichiers marqués avec des classifications historiques ou via des outils non-Microsoft ont une étiquette appliquée et sont donc protégés par des contrôles basés sur des étiquettes.
Configuration de stratégie basée sur SharePoint
Les stratégies d’étiquetage automatique baséessur SharePoint sont configurées dans le portail Microsoft Purview sous Information Protection stratégies>>d’étiquetage automatique.
Les stratégies doivent cibler les services basés sur SharePoint. Étant donné qu’une stratégie est requise pour chaque étiquette de confidentialité appliquée automatiquement, les stratégies doivent être nommées de manière appropriée. Par exemple, « SPO - label OFFICIAL Sensitive PP items. »
Les stratégies peuvent utiliser des SIT personnalisés construits pour identifier les éléments marqués. Par exemple, un sit incluant une expression de registre de la suivante identifie les marquages OFFICIELs de confidentialité personnelle sensible appliqués par les marquages visuels textuels appliqués en haut et en bas des documents ou par les marquages d’objet de courrier électronique :
OFFICIAL[:\- ]\s?Sensitive(?:\s|\/\/|\s\/\/\s|,\sACCESS=)Personal[ -]Privacy
Un ensemble complet de SIT qui s’alignent sur les marquages réutilisables du gouvernement australien sont fournis dans un exemple de syntaxe SIT pour détecter les marquages de protection.
La stratégie d’étiquetage automatique contient une règle avec des conditions de contenu contientdes types d’informations sensibles, suivie du sit aligné sur le marquage de protection.
Une fois créée, cette stratégie s’exécute en mode simulation, ce qui permet aux administrateurs de valider la configuration avant toute application automatisée d’étiquettes.
Une fois activée, la stratégie fonctionne en arrière-plan en appliquant des étiquettes, jusqu’à 25 000 documents bureau par jour.
Exemples de stratégies d’étiquetage automatique basées sur SharePoint
Les scénarios et exemples de configurations suivants atténuent les risques liés aux informations en veillant à ce que tous les éléments se trouvent dans l’étendue des contrôles de sécurité des données appropriés.
Déploiement de l’étiquetage post-sensibilité de l’étiquetage automatique
Une fois qu’une organization a déployé l’étiquetage de confidentialité, des étiquettes de confidentialité sont appliquées à tous les documents créés à partir de ce point. Nous pouvons en être assurés en raison de la configuration obligatoire de l’étiquetage . Toutefois, les éléments qui ont été créés avant l’activation de Purview seront menacés. Pour résoudre ce problème, les organisations peuvent déployer un ensemble de stratégies d’étiquetage automatique qui recherchent les marquages appliqués aux documents. Si un marquage qui s’aligne sur une étiquette de confidentialité est identifié, la stratégie termine cette activité d’étiquetage.
Ces exemples de stratégie d’étiquetage automatique utilisent les SIT définis dans l’exemple de syntaxe SIT pour détecter les marquages de protection. Les stratégies d’étiquetage automatique doivent inclure une condition de contenu contient,type d’informations sensibles, puis inclure le SIT aligné sur l’étiquette des stratégies :
| Nom de la stratégie | S’ASSEOIR | Étiquette de confidentialité |
|---|---|---|
| SPO - étiqueter les éléments NON OFFICIELS | REGEX SIT NON OFFICIEL | OFFICIEUX |
| SPO - étiqueter les éléments OFFICIAL | OFFICIAL Regex SIT | FONCTIONNAIRE |
| SPO : étiqueter les éléments sensibles OFFICIELs | OFFICIAL Sensitive Regex SIT | OFFICIAL Sensitive |
| SPO : étiqueter les éléments PP sensibles OFFICIELs | OFFICIAL Sensitive Personal Privacy Regex SIT | Confidentialité personnelle sensible officielle |
| SPO : étiqueter les éléments LP sensibles OFFICIAL | OFFICIAL Sensitive Legal Privilege Regex SIT | Official : Privilège juridique sensible |
| SPO : étiqueter les éléments LS sensibles OFFICIELs | OFFICIAL Sensible Secret législatif Regex SIT | SECRET LÉGISLATIF SENSIBLE OFFICIEL |
| SPO : étiqueter les éléments NC sensibles OFFICIELs | OFFICIAL SENSIBLE NATIONAL CABINET REGEX SIT | CABINET NATIONAL SENSIBLE OFFICIEL |
| SPO : étiqueter les éléments PROTÉGÉS | PROTECTED Regex SIT | PROTÉGÉ |
| SPO : étiqueter les éléments PP PROTÉGÉS | PROTECTED Personal Privacy Regex SIT | Protection de la confidentialité personnelle |
| SPO : étiqueter les éléments PROTECTED LP | PROTECTED Legal Privilege Regex SIT | PROTECTED Legal Privilege |
| SPO : étiqueter les éléments LS PROTÉGÉS | PROTECTED Secret législatif Regex SIT | PROTÉGÉ Secret législatif |
| SPO : étiqueter les éléments NC PROTÉGÉS | PROTECTED NATIONAL CABINET Regex SIT | CABINET NATIONAL PROTÉGÉ |
| SPO : étiqueter les éléments C PROTÉGÉS | PROTECTED CABINET Regex SIT | CABINET PROTÉGÉ |
Étiquetage automatique des éléments avec des classifications historiques
Comme indiqué dans les recommandations basées sur les marquages historiques, les exigences de marquage du gouvernement australien changent occasionnellement. En 2018, les exigences du PSPF ont été simplifiées, ce qui comprenait la consolidation de plusieurs marqueurs de limitation de diffusion (DML) en un seul marquage « OFFICIAL : Sensible ». PSPF Version 2024 La section 9.9 fournit une liste de classifications et de marquages historiques, ainsi que leurs exigences de manipulation actuelles. Certaines de ces DLR historiques ont des marquages équivalents dans l’infrastructure actuelle. D’autres exigences en matière de gestion s’appliquent toujours. Les étiquettes peuvent être utiles pour aider les organisations à s’assurer qu’elles sont en mesure de répondre à leurs exigences de gestion.
Il existe deux approches possibles :
- Appliquez un équivalent moderne de l’étiquette historique.
- Implémentez l’étiquette d’historique de manière transparente. Incluez DLP et d’autres stratégies pour protéger les informations, mais ne publiez pas l’étiquette pour les utilisateurs.
Pour mettre en œuvre la première de ces approches, une stratégie de mappage doit être développée qui aligne les marquages historiques sur les marques actuelles par le organization. Cet alignement peut être complexe, car tous les marquages n’ont pas d’équivalent actuel et certains exigent que les organisations gouvernementales prennent des décisions quant à la question de savoir si des MPM doivent être appliqués aux éléments existants. Le tableau suivant est fourni à titre d’exemple uniquement.
| Marquage historique | Étiquette de confidentialité |
|---|---|
| Pour usage officiel uniquement (FOUO) | OFFICIAL Sensitive |
| Sensible | OFFICIAL Sensitive |
| Sensible : Juridique | Official : Privilège juridique sensible |
| Sensible : Personnel | Confidentialité personnelle sensible officielle |
| Sensible : Cabinet | CABINET PROTÉGÉ |
Une fois que les organisations ont défini un mappage, des SIT doivent être créés pour identifier les marquages historiques. Pour les marquages tels que « For Official Use Only (FOUO) », mot clé des SIT qui incluent ce terme peuvent être créés. Toutefois, cette approche peut ne pas convenir pour des marquages moins descriptifs tels que « Sensible », ce qui est susceptible d’entraîner de nombreux faux positifs.
Les organisations gouvernementales doivent évaluer les données héritées pour déterminer s’il existe d’autres caractéristiques qui pourraient être utilisées pour identifier plus précisément les marques historiques, telles que les exclusions de responsabilité, les propriétés de document ou d’autres marqueurs présents sur les éléments historiques.
Après l’analyse des données héritées, la création de sits pour identifier les éléments marqués et le déploiement de la stratégie d’étiquetage automatique, les administrateurs peuvent exécuter une simulation pour déterminer la précision de l’application d’étiquette et le délai d’exécution attendu. L’étiquetage automatique de l’application en fichiers hérités peut alors s’exécuter en arrière-plan, supervisé par les administrateurs de l’organisation Microsoft 365.
Étiquetage automatique suite au changement de machinery of Government
Les changements d’appareil gouvernemental impliquent généralement le déplacement des responsabilités et des ressources entre les organisations gouvernementales. Lorsqu’une fonction passe d’une organization à une autre, il est courant que les informations relatives à cette fonction nécessitent également une remise. Étant donné que les étiquettes de confidentialité ne sont pertinentes qu’au sein d’un seul environnement, lorsque des éléments sont passés à une deuxième organization, leur étiquette n’est pas reportée. Les marquages de protection s’appliquent toujours, mais les contrôles tels que les alertes DLP basées sur les étiquettes et les données hors de place sont susceptibles de glisser. Pour résoudre ce problème, les stratégies d’étiquetage automatique peuvent être exécutées sur le contenu reçu de sources externes pour garantir que les étiquettes appropriées sont appliquées en fonction des marquages de protection existants de l’élément.
La configuration pour résoudre ce problème est la même que celle décrite dans l’article Déploiement de l’étiquetage post-sensibilité de l’étiquetage automatique. La seule exception est que les stratégies sont ciblées sur les emplacements spécifiques où les éléments reçus sont stockés.