Informazioni sulla prevenzione della perdita di dati
Articolo
Le organizzazioni dispongono di informazioni sensibili sotto il loro controllo, ad esempio:
dati finanziari
dati proprietari
numeri di carta di credito
record di integrità
numeri di previdenza sociale
Per proteggere questi dati sensibili e ridurre il rischio di sovrasciezione, è necessario un modo per impedire agli utenti di condividere in modo inappropriato i dati sensibili con persone che non dovrebbero averlo. Questa procedura è denominata prevenzione della perdita dei dati (DLP).
In Microsoft Purview si implementa la prevenzione della perdita dei dati definendo e applicando criteri di prevenzione della perdita dei dati. Con un criterio DLP, è possibile identificare, monitorare e proteggere automaticamente gli elementi sensibili in:
Servizi di Microsoft 365, ad esempio account Teams, Exchange, SharePoint e OneDrive
Applicazioni di Office come Word, Excel e PowerPoint
endpoint Windows 10, Windows 11 e macOS (tre versioni rilasciate più recenti)
app cloud non Microsoft
condivisioni file locali e SharePoint locale
Aree di lavoro di Fabric e Power BI
Microsoft 365 Copilot (anteprima)
La prevenzione della perdita dei dati rileva gli elementi sensibili usando l'analisi approfondita del contenuto, non solo tramite una semplice analisi del testo. Il contenuto viene analizzato:
Per le corrispondenze dei dati primari alle parole chiave
Dalla valutazione delle espressioni regolari
Per convalida della funzione interna
Da corrispondenze di dati secondarie che si trovano in prossimità della corrispondenza dei dati primari
La prevenzione della perdita dei dati usa anche algoritmi di Machine Learning e altri metodi per rilevare il contenuto corrispondente ai criteri DLP
Suggerimento
Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.
Prima di iniziare
Se non si ha familiarità con Microsoft Purview DLP, di seguito è riportato un elenco degli articoli principali necessari durante l'implementazione della prevenzione della perdita dei dati:
Progettare un criterio DLP : questo articolo illustra come creare un'istruzione di finalità dei criteri e mapparla a una configurazione di criteri specifica.
La prevenzione della perdita dei dati fa parte dell'offerta Microsoft Purview più ampia
La prevenzione della perdita dei dati è solo uno degli strumenti di Microsoft Purview che verranno usati per proteggere gli elementi sensibili ovunque si trovino o viaggino. È consigliabile comprendere gli altri strumenti nel set di strumenti Microsoft Purview, il modo in cui interagiscono e funzionano meglio insieme. Per altre informazioni sul processo di protezione delle informazioni, vedere Strumenti di Microsoft Purview .
Azioni di protezione dei criteri di prevenzione della perdita dei dati
I criteri DLP consentono di monitorare le attività eseguite dagli utenti su elementi sensibili inattivi, elementi sensibili in transito o elementi sensibili in uso e quindi intraprendere azioni di protezione. Ad esempio, quando un utente tenta un'azione non consentita, ad esempio la copia di un elemento sensibile in una posizione non approvata o la condivisione di informazioni mediche in un messaggio di posta elettronica, la prevenzione della perdita dei dati può:
mostra un suggerimento per i criteri popup all'utente che li avvisa che potrebbe provare a condividere un elemento sensibile in modo inappropriato
bloccare la condivisione e, tramite un suggerimento per i criteri, consentire all'utente di ignorare il blocco e acquisire la giustificazione degli utenti
bloccare la condivisione senza l'opzione di sostituzione
per i dati inattivi, gli elementi sensibili possono essere bloccati e spostati in una posizione di quarantena sicura
per la chat di Teams, le informazioni sensibili non verranno visualizzate
Il monitoraggio e la protezione della prevenzione della perdita dei dati sono nativi delle applicazioni usate dagli utenti ogni giorno. Ciò consente di proteggere gli elementi sensibili dell'organizzazione da attività rischiose, anche se gli utenti non sono abituati a pensare e procedure di prevenzione della perdita dei dati. Se l'organizzazione e gli utenti non hanno a che fare con le procedure di prevenzione della perdita dei dati, l'adozione della prevenzione della perdita dei dati potrebbe richiedere una modifica ai processi aziendali e si verifica un cambiamento di cultura per gli utenti. Tuttavia, con una pianificazione, un test e un'ottimizzazione appropriati, i criteri di prevenzione della perdita dei dati proteggono gli elementi sensibili riducendo al minimo eventuali interruzioni dei processi aziendali.
Pianificazione della tecnologia per la prevenzione della perdita dei dati
Tenere presente che la prevenzione della perdita dei dati come tecnologia può monitorare e proteggere i dati inattivi, i dati in uso e i dati in movimento nei servizi di Microsoft 365, Windows 10, Windows 11 e macOS (tre versioni rilasciate più recenti), condivisioni file locali e SharePoint locale. Esistono implicazioni di pianificazione per le diverse posizioni, il tipo di dati da monitorare e proteggere e le azioni da eseguire quando si verifica una corrispondenza dei criteri.
Pianificazione dei processi aziendali per la prevenzione della perdita dei dati
I criteri DLP possono impedire agli utenti di eseguire attività non consentite, ad esempio la condivisione inappropriata di informazioni riservate tramite posta elettronica. Durante la pianificazione dei criteri DLP, è necessario identificare i processi aziendali che toccano gli elementi sensibili. I proprietari del processo aziendale possono aiutare a identificare i comportamenti utente appropriati che devono essere consentiti e comportamenti utente inappropriati da proteggere. È consigliabile pianificare i criteri e distribuirli in modalità di simulazione e valutarne l'impatto prima di eseguirli in modalità più restrittive.
Pianificazione della cultura organizzativa per la prevenzione della perdita dei dati
Un'implementazione DLP corretta dipende tanto dal fatto che gli utenti siano sottoposti a training e acclimatati alle procedure di prevenzione della perdita dei dati quanto dai criteri ben pianificati e ottimizzati. Poiché gli utenti sono molto coinvolti, assicurarsi di pianificare la formazione anche per loro. È possibile usare strategicamente i suggerimenti per i criteri per aumentare la consapevolezza con gli utenti prima di modificare lo stato dei criteri dalla modalità di simulazione a quella più restrittiva.
Preparare la prevenzione della perdita dei dati
È possibile applicare criteri di prevenzione della perdita dei dati ai dati inattivi, ai dati in uso e ai dati in movimento in posizioni quali:
Exchange Online posta elettronica
Siti di SharePoint
Account di OneDrive
Messaggi di chat e canali di Teams
Istanze: Microsoft Defender for Cloud Apps
Dispositivi: Windows 10, Windows 11 e macOS (tre versioni rilasciate più recenti)
Repository locali
Aree di lavoro di Fabric e Power BI
Microsoft 365 Copilot (anteprima)
Ognuno di essi ha prerequisiti diversi. Gli elementi sensibili in alcune posizioni, ad esempio Exchange Online, possono essere portati sotto l'ombrello della prevenzione della perdita dei dati semplicemente configurando un criterio che si applica a tali posizioni. Altri, ad esempio i repository di file locali, richiedono una distribuzione di Microsoft Purview Information Protection scanner. È necessario preparare l'ambiente, creare codice per i criteri e testarli accuratamente prima di attivare eventuali azioni di blocco.
Distribuire i criteri nell'ambiente di produzione
Progettare i criteri
Per iniziare, definire gli obiettivi di controllo e come si applicano a ogni carico di lavoro. Elaborare un criterio che impersoni gli obiettivi. È possibile iniziare con un carico di lavoro alla volta o su tutti i carichi di lavoro. Non c'è ancora alcun impatto. Per altre informazioni, vedere Creare e distribuire criteri di prevenzione della perdita dei dati.
Implementare i criteri in modalità di simulazione
Valutare l'impatto dei controlli implementandoli con un criterio DLP in modalità di simulazione. Le azioni definite in un criterio non vengono applicate mentre il criterio è in modalità di simulazione. È possibile applicare i criteri a tutti i carichi di lavoro in modalità di simulazione, in modo da ottenere l'intera gamma di risultati, ma è possibile iniziare con un carico di lavoro, se necessario. Per altre informazioni, vedere Distribuzione dei criteri.
Monitorare i risultati e ottimizzare i criteri
Durante la modalità di simulazione, monitorare i risultati dei criteri e ottimizzarli in modo che soddisfino gli obiettivi di controllo, garantendo al tempo stesso che non si influiranno negativamente o inavvertitamente sui flussi di lavoro e sulla produttività degli utenti validi. Ecco alcuni esempi di elementi da ottimizzare:
regolazione delle posizioni e delle persone/luoghi che si trovano all'interno o all'esterno dell'ambito
ottimizzare le condizioni usate per determinare se un elemento e ciò che viene fatto con esso corrisponde ai criteri
definizione/i delle informazioni riservate
aggiungere nuovi controlli
aggiungere nuove persone
aggiungere nuove app con restrizioni
aggiungere nuovi siti con restrizioni
Nota
L'interruzione dell'elaborazione di altre regole non funziona in modalità di simulazione, anche quando è attivata.
Abilitare il controllo e ottimizzare i criteri
Quando il criterio soddisfa tutti gli obiettivi, attivarlo. Continuare a monitorare i risultati dell'applicazione di criteri e ottimizzare in base alle esigenze.
Nota
In generale, i criteri diventano effettivi circa un'ora dopo l'attivazione.
Panoramica della configurazione dei criteri di prevenzione della perdita dei dati
È possibile creare e configurare i criteri di prevenzione della perdita dei dati in modo flessibile. È possibile iniziare da un modello predefinito e creare un criterio in pochi clic oppure è possibile progettarne uno personalizzato da zero. Indipendentemente dalla scelta, tutti i criteri di prevenzione della perdita dei dati richiedono le stesse informazioni.
Scegliere gli elementi da monitorare : la prevenzione della perdita dei dati include molti modelli di criteri predefiniti per iniziare o creare criteri personalizzati.
Un modello di criteri predefinito, ad esempio dati finanziari, dati medici e sanitari, dati sulla privacy per vari paesi e aree geografiche.
Scegliere l'ambito amministrativo : la prevenzione della perdita dei dati supporta l'assegnazione di unità amministrative ai criteri. Gli amministratori assegnati a un'unità amministrativa possono creare e gestire solo criteri per gli utenti, i gruppi, i gruppi di distribuzione e gli account a cui sono assegnati. Pertanto, i criteri possono essere applicati a tutti gli utenti e gruppi da un amministratore senza restrizioni oppure possono essere con ambito a unità amministrative. Per altri dettagli specifici della prevenzione della perdita dei dati, vedere Definizione dell'ambito dei criteri. Vedere Unità amministrative per i dettagli sulle unità amministrative in Microsoft Purview Information Protection.
Scegliere il percorso da monitorare : selezionare una o più posizioni da monitorare da DLP per le informazioni riservate. È possibile monitorare:
posizione
includo/escluso da
Posta elettronica di Exchange
gruppi di distribuzione
Siti di SharePoint
siti
Account di OneDrive
account o gruppi di distribuzione
Messaggi di chat e canali di Teams
account o gruppo di distribuzione
Windows 10, Windows 11 e dispositivi macOS (tre versioni rilasciate più recenti)
utente o gruppo
Microsoft Cloud App Security
istanza
Repository locali
percorso del file repository
Fabric e Power BI
aree di lavoro
Microsoft 365 Copilot (anteprima)
account o gruppo di distribuzione
Scegliere le condizioni che devono essere abbinate per applicare un criterio a un elemento . È possibile accettare condizioni preconfigurate o definire condizioni personalizzate. Ecco alcuni esempi:
l'elemento contiene i tipi specificati di informazioni riservate che vengono usate in un determinato contesto. Ad esempio, 95 numeri di codice fiscale inviati tramite posta elettronica al destinatario esterno all'organizzazione.
l'elemento ha un'etichetta di riservatezza specificata
l'elemento con informazioni riservate viene condiviso internamente o esternamente
Scegliere l'azione da eseguire quando vengono soddisfatte le condizioni dei criteri: le azioni dipendono dalla posizione in cui si verifica l'attività. Ecco alcuni esempi:
SharePoint/Exchange/OneDrive: impedisce agli utenti esterni all'organizzazione di accedere al contenuto. Mostra all'utente un suggerimento e invia una notifica tramite posta elettronica che indica che sta eseguendo un'azione non consentita dai criteri di prevenzione della perdita dei dati.
Chat e canale di Teams: blocca la condivisione di informazioni riservate nella chat o nel canale.
Windows 10, Windows 11 e macOS (tre versioni rilasciate più recenti): controllare o limitare la copia di un elemento sensibile in un dispositivo USB rimovibile.
App di Office: mostra un popup che informa l'utente che si sta impegnando in un comportamento rischioso e blocca o blocca, ma consente l'override.
Condivisioni file locali: spostare il file da dove è archiviato in una cartella di quarantena.
Nota
Le condizioni e le azioni da eseguire sono definite in un oggetto denominato regola.
Dopo aver creato un criterio DLP nel portale di conformità, viene archiviato in un archivio criteri centrale e quindi sincronizzato con le varie origini contenuto, tra cui:
Exchange e da lì a Outlook sul web e Outlook
OneDrive
Siti di SharePoint
Applicazioni desktop di Office (Excel, PowerPoint e Word)
Messaggi di chat e canali di Microsoft Teams
Dopo la sincronizzazione dei criteri con le posizioni corrette, inizia a valutare il contenuto e a applicare le azioni.
Visualizzazione dei risultati dell'applicazione dei criteri
La prevenzione della perdita dei dati segnala una grande quantità di informazioni a Microsoft Purview, dalle corrispondenze e azioni dei criteri di monitoraggio alle attività degli utenti. Sarà necessario utilizzare e agire su tali informazioni per ottimizzare i criteri e valutare le azioni eseguite sugli elementi sensibili. I dati di telemetria vengono prima di tutto inseriti nei log di controllo di Microsoft 365 , vengono elaborati e vengono usati diversi strumenti di creazione di report. Ogni strumento di creazione di report ha uno scopo diverso.
Volume elevato di informazioni sensibili condivise o salvate esternamente
Microsoft 365 offre visibilità sulle attività utente rischiose al di fuori dei criteri DLP. La scheda Volume elevato di informazioni sensibili condivise o salvate esternamente nella home page DLP mostra un numero di elementi sensibili disponibili per gli utenti:
caricati nei domini sospetti
accesso con un'applicazione sospetta
copiato in un'unità rimovibile
Microsoft 365 analizza i log di controllo per individuare le attività rischiose e le esegue tramite un motore di correlazione per individuare le attività che si verificano in un volume elevato. Non sono necessari criteri di prevenzione della perdita dei dati.
Per ottenere altri dettagli sugli elementi che gli utenti copiano o si spostano all'esterno dell'organizzazione (denominate attività in uscita o esfiltrazione), selezionare il collegamento Altre informazioni nella scheda per aprire un riquadro dei dettagli. È possibile analizzare gli eventi imprevisti per Prevenzione della perdita dei dati Microsoft Purview (DLP) dal portale di Microsoft Defender Eventi imprevisti & eventi imprevisti>. Vedere Analizzare gli eventi imprevisti di perdita di dati con Microsoft Defender XDR e Analizzare gli avvisi in Microsoft Defender XDR.
Avvisi DLP
La prevenzione della perdita dei dati genera un avviso quando un utente esegue un'azione che soddisfa i criteri di un criterio DLP e sono stati configurati report eventi imprevisti per generare avvisi. La prevenzione della perdita dei dati pubblica l'avviso per l'analisi nel dashboard avvisi DLP. Usare il dashboard Avvisi DLP per visualizzare gli avvisi, valutare, impostare lo stato dell'indagine e tenere traccia della risoluzione. Gli avvisi vengono anche indirizzati a Microsoft Defender portale in cui è possibile eseguire tutte le attività del dashboard degli avvisi e altro ancora.
Suggerimento
Gli avvisi DLP sono disponibili nel portale di Microsoft Defender per sei mesi. Sono disponibili solo nel dashboard degli avvisi DLP di Microsoft Purview per 30 giorni.
Nota
Se si è un amministratore con restrizioni dell'unità amministrativa, verranno visualizzati solo gli avvisi DLP per l'unità amministrativa.
Ecco un esempio di avvisi generati dalle corrispondenze dei criteri e dalle attività dai dispositivi Windows 10.
È anche possibile visualizzare i dettagli dell'evento associato con metadati avanzati nello stesso dashboard.
Nota
Gli avvisi vengono generati in modo diverso per i messaggi di posta elettronica rispetto agli elementi di SharePoint o OneDrive. In SharePoint e OneDrive, la prevenzione della perdita dei dati analizza gli elementi esistenti e quelli nuovi e genera un avviso ogni volta che viene trovata una corrispondenza. In Exchange vengono analizzati nuovi messaggi di posta elettronica e viene generato un avviso se è presente una corrispondenza dei criteri. La prevenzione della perdita dei dati non analizza né corrisponde agli elementi di posta elettronica esistenti in precedenza archiviati in una cassetta postale o in un archivio.
La scheda Esplora attività nella pagina DLP include più filtri che è possibile usare per visualizzare gli eventi DLP. Usare questo strumento per esaminare l'attività relativa al contenuto che contiene informazioni riservate o a cui sono state applicate etichette, ad esempio le etichette modificate, i file modificati e una regola corrispondente.
È possibile visualizzare gli ultimi 30 giorni di informazioni sulla prevenzione della perdita dei dati in Esplora attività usando questi filtri preconfigurati:
Attività di prevenzione della perdita dei dati degli endpoint
File contenenti tipi di informazioni sensibili
Attività in uscita
Criteri DLP che hanno rilevato attività
Regole dei criteri DLP che hanno rilevato attività
Per visualizzare queste informazioni
Selezionare questa attività
Override dell’utente
Annullamento della regola DLP
Elementi che corrispondono a una regola DLP
Regola DLP corrispondente
È anche possibile accedere al report DLP usando questi cmdlet in PowerShell Sicurezza & conformità.
Tuttavia, i report DLP devono eseguire il pull dei dati da Microsoft 365, incluso Exchange. Per questo motivo, i cmdlet seguenti per i report DLP sono disponibili in Exchange PowerShell. Per usare i cmdlet per questi report DLP, seguire questa procedura:
È possibile visualizzare il testo che circonda il contenuto corrispondente, ad esempio un numero di carta di credito in un evento DLPRuleMatch in Esplora attività.
Gli eventi DLPRuleMatch sono associati ad attività di uscita utente, ad esempio "CopyToClipboard" o "CloudEgress". Dovrebbero trovarsi proprio accanto a (o almeno molto vicini) l'uno all'altro in Esplora attività. È consigliabile esaminare entrambi perché l'attività utente contiene dettagli sui criteri corrispondenti e l'evento DLPRuleMatch contiene i dettagli sul testo che circonda il contenuto corrispondente.
Per l'endpoint, assicurarsi di aver applicato KB5016688 per i dispositivi Windows 10 e KB5016691 per i dispositivi Windows 11 o versioni successive.
Microsoft Purview Data Loss Prevention (DLP) helps safeguard sensitive information by monitoring and preventing accidental data leaks across your organization's digital platforms. In this module, you'll learn how to plan, deploy, and adjust DLP policies to protect sensitive data in your organization, ensuring security without disrupting daily work.
Illustrare i concetti fondamentali della protezione dei dati, della gestione del ciclo di vita, della protezione delle informazioni e della conformità per proteggere una distribuzione di Microsoft 365.
