Condividi tramite


Progettare criteri di prevenzione della perdita di dati

Dedicare il tempo necessario per progettare un criterio prima di implementarlo consente di ottenere i risultati desiderati più velocemente, con un minor numero di problemi imprevisti, rispetto alla creazione e quindi all'ottimizzazione solo per valutazione ed errore. La documentazione delle progettazioni dei criteri ti aiuterà anche nelle comunicazioni, nelle verifiche dei criteri, nella risoluzione dei problemi e nell'ulteriore ottimizzazione.

Se non si ha familiarita' con Microsoft Purview DLP, è utile esaminare questi articoli prima di iniziare a progettare un criterio:

Consiglio

Introduzione a Microsoft Copilot per la sicurezza per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'intelligenza artificiale. Altre informazioni su Microsoft Copilot per la sicurezza in Microsoft Purview.

Prima di iniziare

Se non si ha familiarità con Microsoft Purview DLP, di seguito è riportato un elenco degli articoli principali necessari durante l'implementazione della prevenzione della perdita dei dati:

  1. Unità amministrative
  2. Informazioni sulla prevenzione della perdita dei dati di Microsoft Purview - Questo articolo presenta la disciplina di prevenzione della perdita dei dati e l'implementazione di Microsoft per la prevenzione della perdita dei dati
  3. Pianificare la prevenzione della perdita dei dati ( DLP) - Seguendo questo articolo:
    1. Identificare gli stakeholder
    2. Descrivere le categorie di informazioni riservate da proteggere
    3. Impostare obiettivi e strategia
  4. Informazioni di riferimento sui criteri di prevenzione della perdita dei dati : questo articolo presenta tutti i componenti di un criterio DLP e il modo in cui ognuno influenza il comportamento di un criterio
  5. Progettare un criterio DLP : questo articolo (quello che si sta leggendo ora) illustra come creare un'istruzione di finalità dei criteri e mapparla a una configurazione di criteri specifica.
  6. Creare e distribuire criteri di prevenzione della perdita dei dati : questo articolo presenta alcuni scenari comuni di finalità dei criteri mappati alle opzioni di configurazione, quindi illustra come configurare tali opzioni.
  7. Informazioni sull'analisi degli avvisi di prevenzione della perdita dei dati : questo articolo illustra il ciclo di vita degli avvisi dalla creazione, fino alla correzione finale e all'ottimizzazione dei criteri. Presenta anche gli strumenti usati per analizzare gli avvisi.

Panoramica della progettazione dei criteri

La progettazione di un criterio consiste principalmente nel definire chiaramente le esigenze aziendali, documentarle in un'istruzione di finalità dei criteri e quindi eseguire il mapping di tali esigenze alla configurazione dei criteri. Si usano le decisioni prese nella fase di pianificazione per informare alcune delle decisioni di progettazione dei criteri.

Definire la finalità per i criteri

Dovrebbe essere possibile riepilogare, in una singola istruzione, la finalità aziendale per ogni criterio disponibile. Lo sviluppo di questa istruzione favorisce le conversazioni nell'organizzazione e, se completamente elaborata, questa istruzione collega direttamente i criteri a uno scopo aziendale e fornisce una roadmap per la progettazione dei criteri. La procedura descritta nell'articolo Pianificare la prevenzione della perdita dei dati consente di iniziare a usare l'istruzione di finalità dei criteri.

Tenere presente che, come descritto nella panoramica della configurazione dei criteri DLP, tutti i criteri di prevenzione della perdita dei dati richiedono di:

  • Scegliere gli elementi da monitorare
  • Scegliere l'ambito dei criteri.
  • Scegliere la posizione in cui si vuole monitorare .
  • Scegliere le condizioni che devono essere abbinate per applicare un criterio a un elemento.
  • Scegliere l'azione da eseguire quando vengono soddisfatte le condizioni dei criteri.

Ad esempio, ecco una prima bozza fittizia di un'istruzione intent che fornisce risposte a tutte e cinque le domande:

"Siamo un'organizzazione con sede negli Stati Uniti e dobbiamo rilevare i documenti di Office che contengono informazioni sanitarie sensibili coperte da HIPAA archiviate in OneDrive/SharePoint e per proteggere da tali informazioni condivise nei messaggi di chat e canale di Teams e impedire a tutti di condividerle con terze parti non autorizzate".

Quando si sviluppa una progettazione dei criteri, è probabile che si modifichi ed estenda l'istruzione .

Eseguire il mapping delle esigenze aziendali alla configurazione dei criteri

Suddividere l'istruzione bozza di esempio e eseguirne il mapping ai punti di configurazione dei criteri di prevenzione della perdita dei dati. In questo esempio si presuppone che si stia usando un account amministratore DLP senza restrizioni e che le unità amministrative non siano configurate.

Importante

Assicurarsi di comprendere la differenza tra un amministratore senza restrizioni e un amministratore con restrizioni di unità amministrative leggendo Le unità amministrative prima di iniziare.

Istruzione Risposta alla domanda di configurazione e mapping della configurazione
"Siamo un'organizzazione con sede negli Stati Uniti e dobbiamo rilevare i documenti di Office che contengono informazioni sanitarie sensibili coperte da HIPAA... - Cosa monitorare: documentazione di Office, usare il modello
- U.S. Health Insurance Act (HIPAA)condizioni per una corrispondenza: (preconfigurato ma modificabile) - l'elemento contiene il numero di USSN and Drug Enforcement Agency (DEA), International Classification of Diseases (ICD-9-CM), International Classification of Diseases (ICD-10-CM), il contenuto viene condiviso con persone esterne all'organizzazione
- guida le conversazioni per chiarire la soglia di attivazione per il rilevamento come livelli di attendibilità e numero di istanze (denominato tolleranza di perdita).
... archiviati in OneDrive/SharePoint e protetti da tali informazioni condivise nei messaggi di chat e canale di Teams... - Dove monitorare: ambito della posizione includendo o escludendo i siti di OneDrive e SharePoint e gli account di chat/canale di Teams o i gruppi di distribuzione. Definizione dell'ambito dei criteri (anteprima): directory completa
... e limitano a tutti di condividere tali elementi con terze parti non autorizzate." - Azioni da eseguire: si aggiungel'opzione Limita l'accesso o crittografa il contenuto nelle posizioni
di Microsoft 365: determina la conversazione sulle azioni da intraprendere quando viene attivato un criterio, incluse azioni protettive come restrizioni di condivisione, azioni di sensibilizzazione come notifiche e avvisi e azioni di responsabilizzazione degli utenti, ad esempio consenti l'override di un'azione di blocco da parte dell'utente

Questo esempio non copre tutti i punti di configurazione di un criterio DLP. dovrebbe essere espanso. Tuttavia, è consigliabile pensare nella giusta direzione quando si sviluppano le proprie istruzioni di finalità dei criteri di prevenzione della perdita dei dati.

Importante

Tenere presente che le località selezionate influiscono sull'uso di tipi di informazioni sensibili, etichette di riservatezza ed etichette di conservazione. Le località selezionate influiscono anche sulle azioni disponibili. Per altre informazioni, vedere Informazioni di riferimento sui criteri di prevenzione della perdita dei dati .

Progettazione di regole complesse

Il contenuto HIPAA precedente in SharePoint e OneDrive è un semplice esempio di criteri DLP. Il generatore di regole DLP supporta la logica booleana (AND, OR, NOT) e i gruppi annidati.

Importante

  • Tutte le eccezioni esistenti vengono sostituite con una condizione NOT in un gruppo annidato all'interno delle condizioni.
  • È necessario creare gruppi per usare più operatori.

Importante

Quando un'azione nelle app client desktop di Office (Word, Outlook, Excel e PowerPoint) corrisponde a un criterio che usa condizioni complesse, l'utente visualizzerà solo i suggerimenti per i criteri per le regole che usano la condizione Contenuto contiene informazioni riservate .

  • Esempio 1 È necessario bloccare i messaggi di posta elettronica a tutti i destinatari che contengono numeri di carta di credito oppure che hanno applicato l'etichetta di riservatezza "altamente riservato", ma NON bloccare il messaggio di posta elettronica se viene inviato da un utente del team finanziario a adele.vance@contoso.com

  • Esempio 2 Contoso deve bloccare tutti i messaggi di posta elettronica che contengono un file protetto da password O un'estensione del file di documento zip ('zip' o '7z'), ma NON bloccare il messaggio di posta elettronica se il destinatario si trova nel dominio contoso.com o nel dominio fabrikam.com oppure se il mittente è un membro del gruppo Contoso HR.

Importante

  • L'uso della condizione NOT in un gruppo annidato sostituisce la funzionalità Eccezioni .
  • È necessario creare gruppi per usare più operatori.

Importante

Quando un'azione nelle app client desktop di Office (Word, Outlook, Excel e PowerPoint) corrisponde a un criterio che usa condizioni complesse, l'utente visualizzerà solo i suggerimenti per i criteri per le regole che usano la condizione Contenuto contiene informazioni riservate .

Processo di progettazione dei criteri

  1. Completare i passaggi descritti in Pianificare la prevenzione della perdita dei dati ( DLP), seguendo questo articolo:

    1. Identificare gli stakeholder
    2. Descrivere le categorie di informazioni riservate da proteggere
    3. Impostare obiettivi e strategia
    4. Definire il piano di distribuzione dei criteri
  2. Acquisire familiarità con i riferimenti ai criteri di prevenzione della perdita dei dati in modo da comprendere tutti i componenti di un criterio DLP e il modo in cui ognuno influenza il comportamento di un criterio.

  3. Acquisire familiarità con i modelli di criteri DLP.

  4. Sviluppare l'istruzione di finalità dei criteri con gli stakeholder principali. Fare riferimento all'esempio riportato in precedenza in questo articolo.

  5. Determinare il modo in cui questi criteri si adattano alla strategia complessiva dei criteri di prevenzione della perdita dei dati.

    Importante

    I criteri non possono essere rinominati una volta creati. Se è necessario rinominare un criterio, è necessario crearne uno nuovo con il nome desiderato e ritirare quello precedente. Quindi, fin dall'inizio, decidere la struttura di denominazione che verrà usata da tutti i criteri.

  6. Eseguire il mapping degli elementi nell'istruzione di finalità dei criteri alle opzioni di configurazione.

  7. Decidere il modello di criteri da cui iniziare: predefinito o personalizzato.

  8. Esaminare il modello e assemblare tutte le informazioni necessarie prima di creare i criteri. È probabile che ci siano alcuni punti di configurazione che non sono trattati nell'istruzione di finalità dei criteri. Va bene. Tornare agli stakeholder per appianare i requisiti per eventuali punti di configurazione mancanti.

  9. Documentare la configurazione di tutte le impostazioni dei criteri ed esaminarle con gli stakeholder. È possibile riutilizzare il mapping delle istruzioni di finalità dei criteri ai punti di configurazione, che ora è completamente completo.

  10. Creare una bozza di criterio e fare riferimento al piano di distribuzione dei criteri .

Vedere anche