Meer informatie over preventie van gegevensverlies

Organisaties hebben gevoelige informatie onder hun controle, zoals financiële gegevens, eigen gegevens, creditcardnummers, gezondheidsdossiers of burgerservicenummers. Om deze gevoelige gegevens te beschermen en risico's te verminderen, hebben ze een manier nodig om te voorkomen dat hun gebruikers deze ongepast delen met personen die deze niet mogen hebben. Deze praktijk heet preventie van gegevensverlies (DLP).

In Microsoft Purview implementeert u preventie van gegevensverlies door DLP-beleid te definiëren en toe te passen. Met een DLP-beleid kunt u gevoelige items identificeren, bewaken en automatisch beveiligen in:

  • Microsoft 365-services zoals Teams, Exchange, SharePoint en OneDrive
  • Office-toepassingen zoals Word, Excel en PowerPoint
  • Windows 10-, Windows 11- en macOS-eindpunten (drie nieuwste uitgebrachte versies)
  • niet-Microsoft-cloud-apps
  • on-premises bestandsshares en on-premises SharePoint.

DLP detecteert gevoelige items met behulp van een diepgaande inhoudsanalyse, niet door alleen een eenvoudige tekstscan. Inhoud wordt geanalyseerd voor primaire gegevensovereenkomsten met trefwoorden, door de evaluatie van reguliere expressies, door interne functievalidatie en door secundaire gegevensovereenkomsten die zich in de buurt van de primaire gegevensovereenkomst bevinden. Daarnaast gebruikt DLP ook machine learning-algoritmen en andere methoden om inhoud te detecteren die overeenkomt met uw DLP-beleid.

Tip

Als u geen E5-klant bent, kunt u alle premium-functies in Microsoft Purview gratis uitproberen. Gebruik de 90-daagse proefversie van Purview-oplossingen om te ontdekken hoe robuuste Purview-mogelijkheden uw organisatie kunnen helpen bij het beheren van gegevensbeveiliging en nalevingsbehoeften. Begin nu bij de hub Microsoft Purview-nalevingsportal proefversies. Meer informatie over registratie- en proefvoorwaarden.

Voordat u begint

Als u nieuw bent bij Microsoft Purview DLP, volgt hier een lijst met de belangrijkste artikelen die u nodig hebt bij het implementeren van DLP:

  1. Meer informatie over Microsoft Purview-preventie van gegevensverlies : in het artikel dat u nu leest, maakt u kennis met de discipline preventie van gegevensverlies en de implementatie van DLP door Microsoft
  2. Plan voor preventie van gegevensverlies (DLP) - door dit artikel te doorlopen, krijgt u het volgende:
    1. Belanghebbenden identificeren
    2. Beschrijf de categorieën gevoelige informatie die u wilt beveiligen
    3. Doelen en strategie instellen
  3. Naslaginformatie over beleid voor preventie van gegevensverlies : in dit artikel worden alle onderdelen van een DLP-beleid beschreven en wordt uitgelegd hoe elk beleid het gedrag van een beleid beïnvloedt
  4. Een DLP-beleid ontwerpen : in dit artikel wordt uitgelegd hoe u een beleidsintentieverklaring maakt en deze toewijst aan een specifieke beleidsconfiguratie.
  5. Beleid voor preventie van gegevensverlies maken en implementeren : in dit artikel vindt u enkele veelvoorkomende scenario's voor beleidsintentie die u toewijst aan configuratieopties. Vervolgens wordt u begeleid bij het configureren van deze opties.

DLP maakt deel uit van het grotere Microsoft Purview-aanbod

DLP is slechts een van de Microsoft Purview-hulpprogramma's die u gebruikt om uw gevoelige items te beschermen, waar ze ook wonen of reizen. U moet de andere hulpprogramma's in de set Microsoft Purview-hulpprogramma's begrijpen, hoe ze met elkaar in contact komen en beter samenwerken. Zie Microsoft Purview-hulpprogramma's voor meer informatie over het proces voor gegevensbeveiliging.

Beschermende acties van DLP-beleid

DLP-beleid is de wijze waarop u de activiteiten bewaakt die gebruikers uitvoeren op gevoelige items in rust, gevoelige items in transit of gevoelige items die in gebruik zijn en beschermende acties uitvoeren. Wanneer een gebruiker bijvoorbeeld probeert een verboden actie te ondernemen, zoals het kopiëren van een gevoelig item naar een niet-goedgekeurde locatie of het delen van medische informatie in een e-mail of andere voorwaarden die zijn vastgelegd in een beleid, kan DLP:

  • een pop-upbeleidstip weergeven voor de gebruiker die hen waarschuwt dat ze mogelijk een gevoelig item op ongepaste wijze proberen te delen
  • het delen blokkeren en, via een beleidstip, de gebruiker toestaan om de blokkering te overschrijven en de reden van de gebruiker vast te leggen
  • het delen zonder de onderdrukkingsoptie blokkeren
  • voor data-at-rest kunnen gevoelige items worden vergrendeld en verplaatst naar een beveiligde quarantainelocatie
  • voor Teams-chat wordt de gevoelige informatie niet weergegeven

Alle door DLP bewaakte activiteiten worden standaard vastgelegd in het Microsoft 365-auditlogboek en doorgestuurd naar Activity Explorer. Wanneer een gebruiker een actie uitvoert die voldoet aan de criteria van een DLP-beleid en u waarschuwingen hebt geconfigureerd, biedt DLP waarschuwingen in het dashboard voor DLP-waarschuwingsbeheer.

DLP-levenscyclus

Een DLP-implementatie volgt doorgaans deze belangrijke fasen.

Plan voor DLP

DLP-bewaking en -beveiliging zijn systeemeigen voor de toepassingen die gebruikers elke dag gebruiken. Dit helpt om gevoelige items van uw organisatie te beschermen tegen riskante activiteiten, zelfs als uw gebruikers niet gewend zijn aan het denken en gebruiken van preventie van gegevensverlies. Als uw organisatie en uw gebruikers nog niet zo goed zijn op het gebied van preventie van gegevensverlies, kan de acceptatie van DLP een wijziging in uw bedrijfsprocessen vereisen en zal er een cultuurom shift zijn voor uw gebruikers. Maar met de juiste planning, test en afstemming beschermt uw DLP-beleid uw gevoelige items en minimaliseert u potentiële onderbrekingen van bedrijfsprocessen.

Technologieplanning voor DLP

Houd er rekening mee dat DLP als technologie uw data-at-rest, gegevens in gebruik en gegevens in beweging in Microsoft 365-services, Windows 10-, Windows 11- en macOS-apparaten (drie nieuwste uitgebrachte versies) kan bewaken en beveiligen, on-premises bestandsshares en on-premises SharePoint. Er zijn planningsgevolgen voor de verschillende locaties, het type gegevens dat u wilt bewaken en beveiligen en de acties die moeten worden uitgevoerd wanneer een beleidsovereenkomst plaatsvindt.

Bedrijfsprocessen plannen voor DLP

DLP-beleid kan verboden activiteiten blokkeren, zoals het ongepast delen van gevoelige informatie via e-mail. Bij het plannen van uw DLP-beleid moet u de bedrijfsprocessen identificeren die uw gevoelige items raken. De eigenaren van bedrijfsproces kunnen u helpen bij het identificeren van het juiste gebruikersgedrag dat moet worden toegestaan en ongepast gebruikersgedrag waartegen moet worden beveiligd. Plan uw beleid en implementeer ze in de testmodus en evalueer de impact ervan eerst via Activity Explorer , voordat u ze toepast in meer beperkende modi.

Organisatiecultuurplanning voor DLP

Een succesvolle DLP-implementatie is evenzeer afhankelijk van het trainen en acclimateren van uw gebruikers voor het voorkomen van gegevensverlies als het gaat om goed geplande en afgestemde beleidsregels. Aangezien uw gebruikers erg betrokken zijn, moet u ook voor hen training plannen. U kunt strategisch beleidstips gebruiken om uw gebruikers bewust te maken voordat u de beleidsafdwinging wijzigt van de testmodus naar meer beperkende modi.

Voorbereiden op DLP

U kunt DLP-beleid toepassen op data-at-rest, gegevens in gebruik en gegevens in beweging op locaties, zoals:

  • e-mail Exchange Online
  • SharePoint Online-sites
  • OneDrive-accounts
  • Teams-chat- en kanaalberichten
  • Microsoft Defender for Cloud Apps
  • Windows 10-, Windows 11- en macOS-apparaten (drie nieuwste uitgebrachte versies)
  • On-premises opslagplaatsen
  • PowerBI-sites

Elke heeft verschillende vereisten. Gevoelige items op sommige locaties, zoals Exchange Online, kunnen onder de DLP-paraplu worden gebracht door alleen een beleid te configureren dat op hen van toepassing is. Voor andere, zoals on-premises bestandsopslagplaatsen, is een implementatie van AIP-scanner (Azure Information Protection) vereist. U moet uw omgeving voorbereiden, het conceptbeleid coderen en deze grondig testen voordat u blokkeringsacties activeert.

Uw beleid implementeren in productie

Uw beleid ontwerpen

Begin met het definiëren van uw controledoelstellingen en hoe deze van toepassing zijn op elke respectieve workload. Stel een beleid op dat uw doelstellingen belichaamt. U kunt gerust met één workload tegelijk of voor alle workloads beginnen. Dit heeft nog geen invloed.

Beleid implementeren in de testmodus

Evalueer de impact van de besturingselementen door ze te implementeren met een DLP-beleid in de testmodus. Acties die in een beleid zijn gedefinieerd, worden niet toegepast terwijl het beleid zich in de testmodus bevindt. Het is prima om het beleid toe te passen op alle workloads in de testmodus, zodat u de volledige breedte van de resultaten kunt krijgen, maar u kunt desgewenst met één workload beginnen.

Resultaten bewaken en het beleid verfijnen

Controleer in de testmodus de resultaten van het beleid en pas het aan zodat het voldoet aan uw controledoelstellingen, terwijl u ervoor zorgt dat u geen negatieve of onbedoelde invloed hebt op geldige werkstromen en productiviteit van gebruikers. Hier volgen enkele voorbeelden van dingen die u kunt verfijnen:

  • de locaties en personen/plaatsen aanpassen die binnen of buiten het bereik vallen
  • de voorwaarden afstemmen die worden gebruikt om te bepalen of een item en wat ermee wordt gedaan, overeenkomt met het beleid
  • de definitie(s) van gevoelige informatie
  • nieuwe besturingselementen toevoegen
  • nieuwe personen toevoegen
  • nieuwe beperkte apps toevoegen
  • nieuwe beperkte sites toevoegen

Opmerking

Stoppen met verwerken van meer regels werkt niet in de testmodus, zelfs niet wanneer deze is ingeschakeld.

Het besturingselement inschakelen en uw beleid afstemmen

Zodra het beleid aan al uw doelstellingen voldoet, schakelt u het in. Ga door met het bewaken van de resultaten van de beleidstoepassing en stem zo nodig af.

Opmerking

Over het algemeen worden beleidsregels ongeveer een uur na het inschakelen van kracht.

Overzicht van configuratie van DLP-beleid

U hebt flexibiliteit bij het maken en configureren van uw DLP-beleid. U kunt beginnen met een vooraf gedefinieerde sjabloon en met slechts een paar klikken een beleid maken, of u kunt uw eigen beleid vanaf de basis ontwerpen. Ongeacht welke u kiest, alle DLP-beleidsregels vereisen dezelfde informatie van u.

  1. Kies wat u wilt bewaken : DLP wordt geleverd met veel vooraf gedefinieerde beleidssjablonen om u op weg te helpen of u kunt een aangepast beleid maken.
    • Een vooraf gedefinieerde beleidssjabloon: financiële gegevens, medische en gezondheidsgegevens, privacygegevens allemaal voor verschillende landen en regio's.
    • Een aangepast beleid dat gebruikmaakt van de beschikbare typen gevoelige informatie, retentielabels en vertrouwelijkheidslabels.
  2. Kiezen waar u wilt controleren : u kiest een of meer locaties die door DLP moeten worden gecontroleerd op gevoelige informatie. U kunt het volgende controleren:
locatie opnemen/uitsluiten door
Exchange-e-mail distributiegroepen
SharePoint-sites Sites
OneDrive-accounts accounts of distributiegroepen
Teams-chat- en kanaalberichten account of distributiegroep
Windows 10-, Windows 11- en macOS-apparaten (drie nieuwste uitgebrachte versies) gebruiker of groep
Microsoft Cloud App Security Exemplaar
On-premises opslagplaatsen pad naar opslagplaatsbestand
PowerBI (preview) Werkruimten
  1. Kies de voorwaarden waaraan moet worden voldaan om een beleid toe te passen op een item : u kunt vooraf geconfigureerde voorwaarden accepteren of aangepaste voorwaarden definiëren. Enkele voorbeelden zijn:
  • item bevat een bepaald soort gevoelige informatie die in een bepaalde context wordt gebruikt. Bijvoorbeeld 95 burgerservicenummers die per e-mail worden verzonden naar de ontvanger buiten uw organisatie.
  • item heeft een opgegeven vertrouwelijkheidslabel
  • item met gevoelige informatie wordt intern of extern gedeeld
  1. Kies de actie die moet worden uitgevoerd wanneer aan de beleidsvoorwaarden wordt voldaan : de acties zijn afhankelijk van de locatie waar de activiteit plaatsvindt. Enkele voorbeelden zijn:
  • SharePoint/Exchange/OneDrive: Hiermee kunt u voorkomen dat personen buiten uw organisatie toegang hebben tot de inhoud. Geef de gebruiker een tip weer en stuur hem/haar een e-mailmelding dat deze een actie onderneemt die is verboden door het DLP-beleid.
  • Teams-chat en -kanaal: voorkomen dat gevoelige informatie wordt gedeeld in de chat of het kanaal
  • Windows 10-, Windows 11- en macOS-apparaten (drie nieuwste versies): het kopiëren van een gevoelig item naar een verwijderbaar USB-apparaat controleren of beperken
  • Office-apps: een pop-up weergeven waarin de gebruiker wordt gewaarschuwd dat ze riskant gedrag vertonen en blokkeren of blokkeren, maar onderdrukking toestaan.
  • On-premises bestandsshares: verplaats het bestand van waar het is opgeslagen naar een quarantainemap

Opmerking

De voorwaarden en de acties die moeten worden uitgevoerd, worden gedefinieerd in een object dat een regel wordt genoemd.

Nadat u een DLP-beleid hebt gemaakt in het Compliancecentrum, wordt het opgeslagen in een centraal beleidsarchief en vervolgens gesynchroniseerd met de verschillende inhoudsbronnen, waaronder:

  • Exchange Online en van daaruit naar webversie van Outlook en Outlook.
  • OneDrive voor Bedrijven sites.
  • SharePoint Online-sites.
  • Office-bureaubladprogramma's (Excel, PowerPoint en Word).
  • Microsoft Teams-kanalen en chatberichten.

Nadat het beleid is gesynchroniseerd met de juiste locaties, begint het met het evalueren van inhoud en het afdwingen van acties.

Resultaten van beleidstoepassing weergeven

DLP rapporteert een enorme hoeveelheid informatie aan Microsoft Purview van bewaking, beleidsovereenkomsten en acties en gebruikersactiviteiten. U moet deze informatie gebruiken en erop reageren om uw beleid en triageacties voor gevoelige items af te stemmen. De telemetrie gaat eerst naar de Microsoft Purview-nalevingsportal auditlogboeken, wordt verwerkt en maakt zijn weg naar verschillende rapportagehulpprogramma's. Elk rapportageprogramma heeft een ander doel.

Dashboard DLP-waarschuwingen

Wanneer DLP een actie onderneemt op een gevoelig item, kunt u hiervan op de hoogte worden gesteld via een configureerbare waarschuwing. In plaats van deze waarschuwingen op te stapelen in een postvak dat u kunt doorzoeken, maakt het Compliancecentrum ze beschikbaar in het dashboard DLP-waarschuwingenbeheer. Gebruik het dashboard DLP-waarschuwingen om waarschuwingen te configureren, te controleren, te sorteren en de oplossing van DLP-waarschuwingen bij te houden. Hier volgt een voorbeeld van waarschuwingen die worden gegenereerd door beleidsovereenkomsten en activiteiten van Windows 10-apparaten.

Waarschuwingsgegevens.

U kunt ook details van de bijbehorende gebeurtenis met uitgebreide metagegevens in hetzelfde dashboard bekijken

gebeurtenisgegevens.

Rapporten

De DLP-rapporten tonen algemene trends in de loop van de tijd en geven specifiek inzicht in:

  • DLP-beleid komt in de loop van de tijd overeen en filtert op datumbereik, locatie, beleid of actie
  • DLP-incidentovereenkomsten tonen ook overeenkomsten in de loop van de tijd, maar draaien op de items in plaats van op de beleidsregels.
  • DLP-fout-positieven en onderdrukkingen toont het aantal fout-positieven en, indien geconfigureerd, gebruikersoverschrijven samen met de reden van de gebruiker.

DLP Activity Explorer

Op het tabblad Activiteitenverkenner op de DLP-pagina is het filter Activiteit ingesteld op DLPRuleMatch. Gebruik dit hulpprogramma om activiteiten te controleren met betrekking tot inhoud die gevoelige informatie bevat of labels heeft toegepast, zoals welke labels zijn gewijzigd, bestanden zijn gewijzigd en overeenkomen met een regel.

schermopname van activiteitenverkenner met DLPRuleMatch-bereik.

Contextuele samenvatting

U kunt de tekst rondom de overeenkomende inhoud zien, zoals een creditcardnummer in een DLPRuleMatch-gebeurtenis in Activity Explorer. Hiervoor moet u eerst Geavanceerde classificatiescans en -beveiliging inschakelen.

DLPRuleMatch-gebeurtenissen worden gekoppeld aan de gebruikersactiviteitsgebeurtenis. De moet zich direct naast elkaar (of in ieder geval heel dicht bij) elkaar in Activiteitenverkenner. U kunt beide bekijken omdat de gebeurtenis gebruikersactiviteit details bevat over het overeenkomende beleid en de DLPRuleMatch-gebeurtenis de details bevat over de tekst rond de overeenkomende inhoud.

Dit is in preview voor eindpunt-DLP. Zorg ervoor dat u kb5016688 hebt toegepast voor Windows 10-apparaten en KB5016691 voor Windows 11 apparaten.

Zie Aan de slag met activiteitenverkenner voor meer informatie

Zie voor meer informatie over Microsoft Purview DLP:

Zie Informatiebeveiliging implementeren voor regelgeving voor gegevensprivacy met Microsoft Purview (aka.ms/m365dataprivacy) voor meer informatie over het gebruik van preventie van gegevensverlies om te voldoen aan regelgeving voor gegevensprivacy.

Licenties en abonnementen

Zie de licentievereisten voor Information Protection voor meer informatie over de abonnementen die DLP ondersteunen.