Informazioni sulla prevenzione della perdita di dati

Le organizzazioni dispongono di informazioni sensibili sotto il loro controllo, ad esempio dati finanziari, dati proprietari, numeri di carta di credito, cartelle cliniche o numeri di previdenza sociale. Per proteggere questi dati sensibili e ridurre i rischi, è necessario un modo per impedire agli utenti di condividerli in modo inappropriato con persone che non dovrebbero disporre di tali dati. Questa procedura è denominata prevenzione della perdita dei dati (DLP).

In Microsoft Purview si implementa la prevenzione della perdita dei dati definendo e applicando criteri di prevenzione della perdita dei dati. Con un criterio DLP, è possibile identificare, monitorare e proteggere automaticamente gli elementi sensibili in:

• Servizi di Microsoft 365, ad esempio account Teams, Exchange, SharePoint e OneDrive
• Applicazioni di Office come Word, Excel e PowerPoint
• endpoint Windows 10, Windows 11 e macOS (tre versioni rilasciate più recenti)
• app cloud non Microsoft
• condivisioni file locali e SharePoint locale
• Power BI

La prevenzione della perdita dei dati rileva gli elementi sensibili usando l'analisi approfondita del contenuto, non solo tramite una semplice analisi del testo. Il contenuto viene analizzato per individuare le corrispondenze dei dati primari alle parole chiave, dalla valutazione delle espressioni regolari, dalla convalida interna della funzione e dalle corrispondenze di dati secondarie che si trovano in prossimità della corrispondenza dei dati primari. Oltre a questo, la prevenzione della perdita dei dati usa anche algoritmi di Machine Learning e altri metodi per rilevare il contenuto corrispondente ai criteri DLP.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Prima di iniziare

Se non si ha familiarità con Microsoft Purview DLP, di seguito è riportato un elenco degli articoli principali necessari durante l'implementazione della prevenzione della perdita dei dati:

1. Unità amministrative (anteprima)
2. Informazioni su Prevenzione della perdita dei dati Microsoft Purview: l'articolo che si sta leggendo presenta ora la disciplina di prevenzione della perdita dei dati e l'implementazione di Microsoft per la prevenzione della perdita dei dati
3. Pianificare la prevenzione della perdita dei dati ( DLP) : seguendo questo articolo:
   1. Identificare gli stakeholder
   2. Descrivere le categorie di informazioni riservate da proteggere
   3. Impostare obiettivi e strategia
4. Informazioni di riferimento sui criteri di prevenzione della perdita dei dati : questo articolo presenta tutti i componenti di un criterio DLP e il modo in cui ognuno influenza il comportamento di un criterio
5. Progettare un criterio DLP : questo articolo illustra come creare un'istruzione di finalità dei criteri e mapparla a una configurazione di criteri specifica.
6. Creare e distribuire criteri di prevenzione della perdita dei dati : questo articolo presenta alcuni scenari comuni di finalità dei criteri che verranno mappati alle opzioni di configurazione, quindi illustra come configurare tali opzioni.

Licenze e sottoscrizioni

Per informazioni dettagliate sulle sottoscrizioni che supportano la prevenzione della perdita dei dati, vedere i requisiti di licenza per Information Protection.

La prevenzione della perdita dei dati fa parte dell'offerta Microsoft Purview più ampia

La prevenzione della perdita dei dati è solo uno degli strumenti di Microsoft Purview che verranno usati per proteggere gli elementi sensibili ovunque si trovino o viaggino. È consigliabile comprendere gli altri strumenti nel set di strumenti di Microsoft Purview, il modo in cui si interrelacciano e funzionano meglio insieme. Per altre informazioni sul processo di protezione delle informazioni, vedere Strumenti di Microsoft Purview .

Azioni di protezione dei criteri di prevenzione della perdita dei dati

I criteri DLP consentono di monitorare le attività che gli utenti svolgono su elementi sensibili inattivi, elementi sensibili in transito o elementi sensibili in uso e intraprendere azioni di protezione. Ad esempio, quando un utente tenta di intraprendere un'azione non consentita, ad esempio la copia di un elemento sensibile in una posizione non approvata o la condivisione di informazioni mediche in un messaggio di posta elettronica o in altre condizioni definite in un criterio, la prevenzione della perdita dei dati può:

• mostra un suggerimento per i criteri popup all'utente che li avvisa che potrebbe provare a condividere un elemento sensibile in modo inappropriato
• bloccare la condivisione e, tramite un suggerimento per i criteri, consentire all'utente di ignorare il blocco e acquisire la giustificazione degli utenti
• bloccare la condivisione senza l'opzione di sostituzione
• per i dati inattivi, gli elementi sensibili possono essere bloccati e spostati in una posizione di quarantena sicura
• per la chat di Teams, le informazioni sensibili non verranno visualizzate

Tutte le attività monitorate dalla prevenzione della perdita dei dati vengono registrate nel log di controllo di Microsoft 365 per impostazione predefinita e indirizzate a Esplora attività. Quando un utente esegue un'azione che soddisfa i criteri di un criterio DLP e sono configurati avvisi, la prevenzione della perdita dei dati fornisce avvisi nel dashboard di gestione degli avvisi DLP.

Ciclo di vita della prevenzione della perdita dei dati

Un'implementazione DLP segue in genere queste fasi principali.

• Piano per la prevenzione della perdita dei dati
• Preparare la prevenzione della perdita dei dati
• Distribuire i criteri nell'ambiente di produzione

Piano per la prevenzione della perdita dei dati

Il monitoraggio e la protezione della prevenzione della perdita dei dati sono nativi delle applicazioni usate dagli utenti ogni giorno. Ciò consente di proteggere gli elementi sensibili dell'organizzazione da attività rischiose, anche se gli utenti non sono abituati a pensare e procedure di prevenzione della perdita dei dati. Se l'organizzazione e gli utenti non hanno a che fare con le procedure di prevenzione della perdita dei dati, l'adozione della prevenzione della perdita dei dati potrebbe richiedere una modifica ai processi aziendali e si verifica un cambiamento di cultura per gli utenti. Tuttavia, con una pianificazione, un test e un'ottimizzazione appropriati, i criteri di prevenzione della perdita dei dati proteggeranno gli elementi sensibili riducendo al minimo eventuali interruzioni dei processi aziendali.

Pianificazione della tecnologia per la prevenzione della perdita dei dati

Tenere presente che la prevenzione della perdita dei dati come tecnologia può monitorare e proteggere i dati inattivi, i dati in uso e i dati in movimento nei servizi di Microsoft 365, Windows 10, Windows 11 e macOS (tre versioni rilasciate più recenti), condivisioni file locali e SharePoint locale. Esistono implicazioni di pianificazione per le diverse posizioni, il tipo di dati da monitorare e proteggere e le azioni da eseguire quando si verifica una corrispondenza dei criteri.

Pianificazione dei processi aziendali per la prevenzione della perdita dei dati

I criteri DLP possono bloccare le attività non consentite, ad esempio la condivisione inappropriata di informazioni sensibili tramite posta elettronica. Durante la pianificazione dei criteri DLP, è necessario identificare i processi aziendali che toccano gli elementi sensibili. I proprietari del processo aziendale possono aiutare a identificare i comportamenti utente appropriati che devono essere consentiti e comportamenti utente inappropriati da proteggere. È consigliabile pianificare i criteri e distribuirli in modalità di test e valutarne prima l'impatto tramite Esplora attività , prima di applicarli in modalità più restrittive.

Pianificazione della cultura organizzativa per la prevenzione della perdita dei dati

Un'implementazione DLP corretta dipende tanto dal fatto che gli utenti siano sottoposti a training e acclimatati alle procedure di prevenzione della perdita dei dati quanto dai criteri ben pianificati e ottimizzati. Poiché gli utenti sono molto coinvolti, assicurarsi di pianificare anche la formazione per loro. È possibile usare in modo strategico i suggerimenti per i criteri per aumentare la consapevolezza con gli utenti prima di modificare l'imposizione dei criteri dalla modalità di test a quella più restrittiva.

Preparare la prevenzione della perdita dei dati

È possibile applicare criteri di prevenzione della perdita dei dati ai dati inattivi, ai dati in uso e ai dati in movimento in posizioni, ad esempio:

• Exchange Online posta elettronica
• Siti di SharePoint Online
• Account di OneDrive
• Messaggi di chat e canali di Teams
• Microsoft Defender for Cloud Apps
• Windows 10, Windows 11 e dispositivi macOS (tre versioni rilasciate più recenti)
• Repository locali
• siti Power BI

Ognuno di essi ha prerequisiti diversi. Gli elementi sensibili in alcune posizioni, ad esempio Exchange Online, possono essere portati sotto l'ombrello della prevenzione della perdita dei dati semplicemente configurando un criterio che si applica a tali posizioni. Altri, ad esempio i repository di file locali, richiedono una distribuzione dello scanner di Azure Information Protection (AIP). È necessario preparare l'ambiente, creare codice per i criteri e testarli accuratamente prima di attivare eventuali azioni di blocco.

Distribuire i criteri nell'ambiente di produzione

Progettare i criteri

Per iniziare, definire gli obiettivi di controllo e come si applicano a ogni carico di lavoro. Elaborare un criterio che impersoni gli obiettivi. È possibile iniziare con un carico di lavoro alla volta o su tutti i carichi di lavoro. Non c'è ancora alcun impatto.

Implementare i criteri in modalità test

Valutare l'impatto dei controlli implementandoli con un criterio DLP in modalità di test. Le azioni definite in un criterio non vengono applicate mentre il criterio è in modalità di test. È possibile applicare i criteri a tutti i carichi di lavoro in modalità test, in modo da ottenere l'intera gamma di risultati, ma è possibile iniziare con un carico di lavoro, se necessario.

Monitorare i risultati e ottimizzare i criteri

In modalità di test, monitorare i risultati dei criteri e ottimizzarli in modo che soddisfino gli obiettivi di controllo, garantendo al tempo stesso che non si influiranno negativamente o inavvertitamente sui flussi di lavoro e sulla produttività degli utenti validi. Ecco alcuni esempi di elementi da ottimizzare:

• regolazione delle posizioni e delle persone/luoghi che si trovano all'interno o all'esterno dell'ambito
• ottimizzare le condizioni usate per determinare se un elemento e ciò che viene fatto con esso corrisponde ai criteri
• definizione/i delle informazioni riservate
• aggiungere nuovi controlli
• aggiungere nuove persone
• aggiungere nuove app con restrizioni
• aggiungere nuovi siti con restrizioni

Nota

L'interruzione dell'elaborazione di altre regole non funziona in modalità test, anche quando è attivata.

Abilitare il controllo e ottimizzare i criteri

Quando il criterio soddisfa tutti gli obiettivi, attivarlo. Continuare a monitorare i risultati dell'applicazione di criteri e ottimizzare in base alle esigenze.

Nota

In generale, i criteri diventano effettivi circa un'ora dopo l'attivazione.

Panoramica della configurazione dei criteri di prevenzione della perdita dei dati

È possibile creare e configurare i criteri di prevenzione della perdita dei dati in modo flessibile. È possibile iniziare da un modello predefinito e creare un criterio in pochi clic oppure è possibile progettarne uno personalizzato da zero. Indipendentemente dalla scelta, tutti i criteri di prevenzione della perdita dei dati richiedono le stesse informazioni.

1. Scegliere gli elementi da monitorare : la prevenzione della perdita dei dati include molti modelli di criteri predefiniti per iniziare o creare criteri personalizzati.

   • Modello di criteri predefinito: dati finanziari, dati medici e sanitari, dati sulla privacy tutti per diversi paesi e aree geografiche.
   • Criteri personalizzati che usano i tipi di informazioni riservate, le etichette di conservazione e le etichette di riservatezza disponibili.

2. Scegliere l'ambito amministrativo : la prevenzione della perdita dei dati supporta l'assegnazione di unità amministrative ai criteri (anteprima). Gli amministratori assegnati a un'unità amministrativa possono creare e gestire solo criteri per gli utenti, i gruppi, i gruppi di distribuzione e gli account a cui sono assegnati. I criteri possono quindi essere applicati a tutti gli utenti e i gruppi da un amministratore senza restrizioni oppure possono essere con ambito a unità amministrative. Per altri dettagli specifici della prevenzione della perdita dei dati, vedere Definizione dell'ambito dei criteri. Vedere Unità amministrative (anteprima) per i dettagli sulle unità amministrative in Microsoft Purview Information Protection.

3. Scegliere il percorso da monitorare : selezionare una o più posizioni da monitorare da DLP per le informazioni riservate. È possibile monitorare:

posizione	includo/escluso da
Posta elettronica di Exchange	gruppi di distribuzione
Siti di SharePoint	siti
Account di OneDrive	account o gruppi di distribuzione
Messaggi di chat e canali di Teams	account o gruppo di distribuzione
Windows 10, Windows 11 e dispositivi macOS (tre versioni rilasciate più recenti)	utente o gruppo
Microsoft Cloud App Security	istanza
Repository locali	percorso del file repository
Power BI (anteprima)	Aree

4. Scegliere le condizioni che devono essere abbinate per applicare un criterio a un elemento . È possibile accettare condizioni preconfigurate o definire condizioni personalizzate. Ecco alcuni esempi:

• l'elemento contiene un tipo specificato di informazioni riservate che vengono usate in un determinato contesto. Ad esempio, 95 numeri di codice fiscale inviati tramite posta elettronica al destinatario esterno all'organizzazione.
• l'elemento ha un'etichetta di riservatezza specificata
• l'elemento con informazioni riservate viene condiviso internamente o esternamente

5. Scegliere l'azione da eseguire quando vengono soddisfatte le condizioni dei criteri: le azioni dipendono dalla posizione in cui si verifica l'attività. Ecco alcuni esempi:

• SharePoint/Exchange/OneDrive: impedisce agli utenti esterni all'organizzazione di accedere al contenuto. Mostra all'utente un suggerimento e invia una notifica tramite posta elettronica che indica che sta eseguendo un'azione non consentita dai criteri di prevenzione della perdita dei dati.
• Chat e canale di Teams: impedire la condivisione di informazioni sensibili nella chat o nel canale
• Windows 10, Windows 11 e macOS (tre versioni rilasciate più recenti): controllare o limitare la copia di un elemento sensibile in un dispositivo USB rimovibile
• App di Office: mostra un popup che informa l'utente che si sta impegnando in un comportamento rischioso e blocca o blocca, ma consente l'override.
• Condivisioni file locali: spostare il file da dove è archiviato in una cartella di quarantena

Nota

Le condizioni e le azioni da eseguire sono definite in un oggetto denominato Regola.

Creare e distribuire criteri DLP

Tutti i criteri DLP vengono creati e gestiti nel centro Microsoft Purview. Per altre informazioni, vedere Creare e distribuire criteri di prevenzione della perdita dei dati .

Dopo aver creato un criterio DLP nel portale di conformità, viene archiviato in un archivio criteri centrale e quindi sincronizzato con le varie origini contenuto, tra cui:

• Exchange Online e da qui con Outlook sul Web e Outlook.
• Siti di OneDrive for Business.
• Siti di SharePoint Online.
• Applicazioni desktop di Office (Excel, PowerPoint e Word).
• Messaggi di chat e canali di Microsoft Teams.

In seguito alla sincronizzazione del criterio con il percorso corretto, viene avviata la valutazione del contenuto e l'applicazione delle azioni.

Visualizzazione dei risultati dell'applicazione dei criteri

La prevenzione della perdita dei dati segnala una grande quantità di informazioni in Microsoft Purview dal monitoraggio, dalle corrispondenze ai criteri e dalle azioni e dalle attività degli utenti. Sarà necessario utilizzare e agire su tali informazioni per ottimizzare i criteri e valutare le azioni eseguite sugli elementi sensibili. I dati di telemetria vengono prima inseriti nella Portale di conformità di Microsoft Purview log di controllo, vengono elaborati e vengono usati diversi strumenti di creazione di report. Ogni strumento di creazione di report ha uno scopo diverso.

Dashboard avvisi DLP

Quando la prevenzione della perdita dei dati esegue un'azione su un elemento sensibile, è possibile ricevere una notifica di tale azione tramite un avviso configurabile. Invece di fare in modo che questi avvisi si accumulino in una cassetta postale, il portale di conformità li rende disponibili nel dashboard di gestione degli avvisi DLP. Usare il dashboard Avvisi DLP per configurare gli avvisi, esaminarli, valutare e tenere traccia della risoluzione degli avvisi DLP. Ecco un esempio di avvisi generati dalle corrispondenze dei criteri e dalle attività dai dispositivi Windows 10.

È anche possibile visualizzare i dettagli dell'evento associato con metadati completi nello stesso dashboard

Report

I report DLP mostrano tendenze generali nel tempo e forniscono informazioni specifiche su:

• Corrispondenze dei criteri di prevenzione della perdita dei dati nel tempo e filtro in base all'intervallo di date, alla posizione, ai criteri o all'azione
• Le corrispondenze degli eventi imprevisti DLP mostrano anche le corrispondenze nel tempo, ma i pivot sugli elementi anziché sulle regole dei criteri.
• I falsi positivi DLP e le sostituzioni mostrano il numero di falsi positivi e, se configurati, le sostituzioni dell'utente insieme alla giustificazione dell'utente.

Esplora attività DLP

Nella scheda Esplora attività della pagina DLP il filtro Attività è impostato su DLPRuleMatch. Usare questo strumento per esaminare l'attività relativa al contenuto che contiene informazioni riservate o a cui sono state applicate etichette, ad esempio le etichette modificate, i file modificati e una regola corrispondente.

Riepilogo contestuale

È possibile visualizzare il testo che circonda il contenuto corrispondente, ad esempio un numero di carta di credito in un evento DLPRuleMatch in Esplora attività. A tale scopo, è necessario prima abilitare l'analisi e la protezione della classificazione avanzata.

Gli eventi DLPRuleMatch sono associati all'evento dell'attività utente. Deve trovarsi accanto a (o almeno molto vicino) l'uno all'altro in Esplora attività. È consigliabile esaminare entrambi perché l'evento dell'attività utente contiene i dettagli sui criteri corrispondenti e l'evento DLPRuleMatch contiene i dettagli sul testo che circonda il contenuto corrispondente.

Per l'endpoint, assicurarsi di aver applicato KB5016688 per i dispositivi Windows 10 e KB5016691 per Windows 11 dispositivi o versioni successive

Per altre informazioni, vedere Introduzione a Esplora attività

Per altre informazioni sulla prevenzione della perdita dei dati di Microsoft Purview, vedere:

• Informazioni sulla prevenzione della perdita di dati degli endpoint
• Informazioni sul criterio predefinito per la prevenzione della perdita di dati in Microsoft Teams (anteprima)
• Informazioni sullo scanner locale per la prevenzione della perdita dei dati
• Informazioni sull'estensione di Conformità Microsoft
• Informazioni sulla dashboard degli avvisi per la prevenzione delle perdita dei dati

Per informazioni su come usare la prevenzione della perdita dei dati per rispettare le normative sulla privacy dei dati, vedere Distribuire la protezione delle informazioni per le normative sulla privacy dei dati con Microsoft Purview (aka.ms/m365dataprivacy).