Сведения о сборе свидетельств действий с файлами на устройствах.
При расследовании инцидента защиты от потери данных (DLP) в Microsoft Purview или устранении неполадок политики защиты от потери данных может быть полезно иметь полную копию элемента, соответствующего политике, на который следует ссылаться. DLP может скопировать элемент, соответствующий политике защиты от потери данных, с подключенных устройств Windows в учетную запись хранения Azure. Следователи инцидентов защиты от потери данных и администраторы, которым были предоставлены соответствующие разрешения на большой двоичный объект хранилища Azure, могут получить доступ к файлам.
Чтобы приступить к настройке и использованию этой функции, см. статью Начало работы со сбором файлов, соответствующих политикам защиты от потери данных с устройств.
Совет
Начните работу с Microsoft Copilot for Security, чтобы изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Copilot for Security в Microsoft Purview.
Если вы не знакомы с Microsoft Purview DLP, вот список основных статей, необходимых для реализации DLP:
- Административные единицы
- Сведения о защите от потери данных в Microsoft Purview . Эта статья знакомит вас с дисциплиной защиты от потери данных и реализацией DLP корпорацией Майкрософт.
- Спланируйте защиту от потери данных (DLP) — проработав эту статью, вы:
- Справочник по политике защиты от потери данных . В этой статье описаны все компоненты политики защиты от потери данных, а также сведения о том, как каждый из них влияет на поведение политики.
- Разработка политики защиты от потери данных . В этой статье описано, как создать инструкцию намерения политики и сопоставить ее с определенной конфигурацией политики.
- Создание и развертывание политик защиты от потери данных . В этой статье представлены некоторые распространенные сценарии намерения политики, которые будут сопоставлены с параметрами конфигурации, а затем приведены инструкции по настройке этих параметров.
Место, где сбор доказательств для действий с файлами на устройствах помещается в Purview
Защита от потери данных конечных точек является частью более широкого предложения защиты от потери данных и частью более широкого спектра служб, предлагаемых в Microsoft Purview. Вы должны понять, как сбор доказательств для действий с файлами на устройствах вписывается в более широкий набор предложений служб.
Сбор доказательств для действий с файлами на устройствах и обнаружения электронных данных
Эта функция создает копии элементов, соответствующих политикам защиты от потери данных на подключенных устройствах Windows, и помещает эти копии в учетную запись хранения Azure. Эти копии не хранятся в изменяемом состоянии и не являются доказательствами в юридическом смысле этого термина. Если вам нужно найти и хранить элементы в юридических целях, следует использовать решения Microsoft Purview для обнаружения электронных данных. Обнаружение электронных данных — это процесс определения и предоставления электронной информации, которая может использоваться в качестве доказательств в судебных разбирательствах.
Сбор доказательств для действий с файлами на устройствах и контекстная сводка
Если элемент и действия, которые пользователь выполняет с этим элементом, соответствуют условиям, определенным в политике защиты от потери данных, в обозревателе действий отображается событие DLPRuleMatch. Это справедливо для всех расположений, которые поддерживает защита от потери данных. Событие DLPRuleMatch содержит ограниченный объем текста, который окружает соответствующее содержимое. Этот ограниченный объем текста называется контекстной сводной.
Важно понимать разницу между сбором доказательств для действий с файлами на устройствах и контекстной сводкой. Сбор доказательств для действий с файлами на устройствах доступен только для подключенных устройств Windows. Он сохраняет копию всего элемента, который соответствует политике учетной записи хранения Azure. Контекстная сводка записывается для каждого соответствия правилу политики защиты от потери данных и содержит только ограниченный объем текста, который окружает целевой текст, который активировал совпадение.
Действия охваченных пользователей
Вы можете настроить сбор доказательств для действий с файлами на устройствах, чтобы сохранить копию соответствующего элемента в учетной записи хранения Azure, когда пользователь пытается выполнить одно из следующих действий с соответствующим элементом:
- Копирование на съемный USB-порт
- Копирование в сетевую папку
- Печать
- Копирование или перемещение с использованием запрещенного приложения Bluetooth
- Копирование или перемещение по протоколу RDP
- Отправка в домены облачной службы или доступ из не разрешенного браузера
- Вставка в поддерживаемые браузеры
Обнаружение этих действий настраивается в политике защиты от потери данных. Дополнительные сведения о создании политики защиты от потери данных см. в разделах Создание и развертывание политик защиты от потери данных и Использование защиты от потери данных в конечной точке.
Охваченные действия
Когда вы включаете сбор доказательств для действий с файлами на устройствах в параметрах защиты от потери данных в конечной точке и настраиваете политику защиты от потери данных для использования этой функции, она сохраняет копию соответствующего элемента для следующих действий:
- Только аудит
- Блокировать с переопределением
- Блокировка
Эти действия настраиваются в политике защиты от потери данных. Дополнительные сведения о создании политики защиты от потери данных см. в разделах Создание и развертывание политик защиты от потери данных и Использование защиты от потери данных в конечной точке.
Особенности дизайна
Регионы для учетных записей хранения Azure
Чтобы соответствовать нормативным требованиям, убедитесь, что используемые учетные записи хранения Azure находятся в той же геополитической или нормативной границах, что и устройства, с которых они копируются. Кроме того, следует помнить о геополитическом расположении следователей защиты от потери данных, которые будут получать доступ к конфиденциальным элементам после их сохранения. Рассмотрите возможность использования административных единиц для администрирования пользователей и устройств в соответствии с каждой политикой защиты от потери данных. Сведения о том, как использовать защиту от потери данных в соответствии с правилами конфиденциальности данных, см. в статье Развертывание защиты информации для правил конфиденциальности данных с помощью Microsoft Purview. Сбор доказательств для действий с файлами на устройствах поддерживает до 10 учетных записей хранения Azure.
Сведения о том, как использовать защиту от потери данных в соответствии с правилами конфиденциальности данных, см. в статье Развертывание защиты информации для правил конфиденциальности данных с помощью Microsoft Purview.
Локальное хранилище и пропускная способность
По умолчанию копии соответствующих элементов сохраняются асинхронно в настроенной учетной записи хранения Azure через существующее сетевое подключение. Если устройство не имеет подключения, сопоставленные элементы сохраняются локально до ограничения в 500 МБ. Вы можете сохранять элементы локально до 60 дней.
Хотя устройство подключено к URL-адресу учетной записи хранения Azure, ограничение на использование пропускной способности не ограничено. Пропускная способность, которая используется для сбора доказательств для действий с файлами на устройствах, не влияет на ограничения пропускной способности по умолчанию или настроенные для расширенной проверки классификации и защиты.
Учетные записи хранения Azure
Клиенты отвечают за создание собственных учетных записей хранения Azure и управление ими. Если вы не знакомы со службой хранилища Azure, ознакомьтесь со следующими разделами:
- Что такое хранилище BLOB-объектов Azure
- Общие сведения о службе хранилища Azure
- Создание учетной записи хранения
Элементы, соответствующие политике, копируются с устройства пользователя в большой двоичный объект учетной записи хранения Azure в контексте безопасности вошедшего пользователя. Таким образом, все пользователи, которые находятся в области политики, должны иметь разрешение на чтение и запись в хранилище BLOB-объектов. Дополнительные сведения см. в статье Начало работы со сбором файлов, соответствующих политикам защиты от потери данных с устройств.
Аналогичным образом все администраторы, которые просматривают сохраненные элементы, должны иметь read
разрешение на доступ к blob-объекту учетной записи хранения Azure. Дополнительные сведения см. в статье Начало работы со сбором файлов, соответствующих политикам защиты от потери данных с устройств.
Хранение доказательств при обнаружении конфиденциальной информации (предварительная версия)
Поддерживаемые типы файлов
Дополнительные сведения о поддерживаемых типах файлов см. в разделе Поддерживаемые типы файлов для хранения и предварительного просмотра доказательств.
Поддерживаемые типы хранилищ
У вас есть два варианта хранения доказательств, собираемых Purview при обнаружении конфиденциальной информации в содержимом. Вы можете использовать хранилище данных, управляемое клиентом , или хранилище данных, управляемое Корпорацией Майкрософт (предварительная версия). Выбор параметра зависит от ваших требований и вариантов использования. Чтобы помочь вам принять решение, просмотрите таблицу сравнения, которая приведена ниже.
Сравнение типов хранилища
Совпадающие файлы по-прежнему включаются в результаты оповещений даже после изменения типа хранилища, если разрешения управления доступом на основе ролей (RBAC) остаются неизменными. Так как управляемое клиентом хранилище принадлежит клиентам, администраторы защиты от потери данных могут продолжать скачивать файлы непосредственно из хранилища для каждого файла.
В следующей таблице указаны различия между хранилищем, управляемым клиентом, и хранилищем, управляемым Корпорацией Майкрософт, для сбора доказательств конфиденциальной информации, обнаруженной в вашем содержимом.
Элемент Feature | Управление клиентом | Microsoft Managed (предварительная версия) |
---|---|---|
Хранение файлов | Файлы можно хранить до тех пор, пока вам нужно или нужно. | Файлы хранятся не более 120 дней. |
Параметры конечной точки | Необходимо добавить хранилище BLOB-объектов (URL-адреса контейнеров) в параметры конечной точки, а затем использовать Центр администрирования Microsoft Entra для настройки явных разрешений пользователей на blob-объект для пользователей в области. | Все конфигурации и разрешения обрабатываются одним щелчком при настройке параметров конечной точки. |
Настройка политики и расположения | Необходимо добавлять и настраивать большие двоичные объекты хранилища на основе каждой политики для каждого расположения, в котором применяется политика. | Выбор хранилища для определенных расположений политики не требуется. |
Расположение или регион хранилища данных | Выбранный клиентом | Тот же регион, что и ваш клиент Microsoft Purview. |
Отчисления | Плата за хранение взимается в дополнение к стоимости подписки Entra. | Во время предварительной версии дополнительные затраты на хранение не взимается. |
Конфигурация сети | Необходимо разрешить URL-адресам контейнеров для больших двоичных объектов хранилища проходить через брандмауэр сети. | Необходимо включить compliancedrive.microsoft.com в список разрешенных, чтобы он проходил через брандмауэр сети. |
Изменение типов хранилища
Клиенты могут переключаться между типами хранилищ в любое время. Однако рекомендуется тщательно спланировать тип хранилища, который потребуется в долгосрочной перспективе, и выбрать подходящий вариант для вашего варианта использования. Дополнительные сведения о различиях между двумя типами хранилища см. в таблице сравнения типов хранилища.
Примечание.
При переключении типов хранилища необходимо обновить политики, чтобы убедиться, что они применяются к файлам в новом хранилище данных.
Влияние изменения типов хранилища на файлы подтверждений
Сопоставленные файлы по-прежнему включаются в результаты оповещений даже после изменения типа управления хранилищем при условии, что разрешения на управление доступом на основе ролей (RBAC) не изменяются.
Так как вы являетесь владельцем управляемого клиентом решения хранилища, администраторы защиты от потери данных могут продолжать скачивать файлы непосредственно для каждого файла после их перемещения в решение хранилища, управляемое Корпорацией Майкрософт.
Следующее действие
Следующий шаг — настройка сбора доказательств для действий с файлами на устройствах.
Дополнительные сведения см. в статье Начало работы со сбором файлов, соответствующих политикам защиты от потери данных с устройств.