Справочник по защите от потери данных

Важно!

Этот справочный раздел больше не является основным ресурсом для Защита от потери данных Microsoft Purview (DLP). Набор содержимого защиты от потери данных обновляется и реструктурирован. Темы, рассматриваемые в этой статье, будут перемещены в новые обновленные статьи. Дополнительные сведения о защите от потери данных см. в статье "Защита от потери данных".

Примечание

Функции защиты от потери данных были недавно добавлены в сообщения чата и каналов Microsoft Teams для пользователей с лицензиями на продукт Office 365 Advanced Compliance, который доступен в качестве отдельной функции и включен в планы Office 365 E5 и "Соответствие требованиям Microsoft 365 E5". Дополнительные сведения о требованиях к лицензированию см. в статье Рекомендации по лицензированию служб на уровне клиента Microsoft 365.

Создание политик защиты от потери данных и управление ими

Политики защиты от потери данных создаются и управляются на странице защиты от потери данных в Портал соответствия требованиям Microsoft Purview.

Страница защиты от потери данных в Портал соответствия требованиям Microsoft Purview

Настройка более или менее строгих правил

После создания и включения политик защиты от потери данных иногда могут возникать указанные ниже проблемы.

  • Правилам соответствует слишком больше количество контента, не являющегося конфиденциальным, то есть возникает слишком много ложных срабатываний.

  • Правилам соответствует слишком малое количество контента, который является конфиденциальной информацией. Другими словами, в этом случае не применяются защитные действия для конфиденциальной информации.

Чтобы решить эти проблемы, можно настроить правила, изменив количество экземпляров и точность совпадений. Эти параметры можно задать для каждого типа конфиденциальной информации, который используется в правиле.

Число экземпляров

Это количество экземпляров определенного типа конфиденциальной информации, которые должны присутствовать в контенте. Например, контент будет соответствовать приведенному ниже правилу, если выявлено от 1 до 9 уникальных номеров паспортов США или Соединенного Королевства.

Примечание

Обратите внимание, что количество экземпляров включает только уникальные совпадения для типов конфиденциальной информации и ключевых слов. Например, если в сообщении электронной почты 10 раз упоминается один номер кредитной карты, это будет считаться одним совпадением.

Настроить количество экземпляров очень просто.

  • Чтобы правило стало менее строгим, уменьшите минимальное или увеличьте максимальное количество. Вы также можете задать для параметра максимум значение любое, удалив число.

  • Чтобы сделать правило более строгим, увеличьте минимальное количество.

Обычно для правил с небольшим количеством экземпляров (например, 1–9) используются менее строгие действия, например отправка уведомлений пользователям. Более строгие действия, например ограничение доступа к контенту без возможности переопределения, применяются для правил с большим количеством экземпляров (например, от 10).

Число экземпляров в редакторе правил.

Точность совпадения

Как говорилось выше, каждый тип конфиденциальных данных определяется на основе свидетельств различного типа. Как правило, тип конфиденциальной информации определяется несколькими такими сочетаниями, которые называются шаблонами. Шаблон, который требует меньше свидетельств, имеет более низкую точность совпадения (вероятность), чем шаблон, требующий больше свидетельств. Дополнительные сведения о фактических шаблонах и вероятностях, используемых для каждого типа конфиденциальной информации, см. в статье Определения объектов типов конфиденциальной информации.

Например, тип конфиденциальной информации для номеров кредитных карт определяется двумя шаблонами:

  • Шаблон с вероятностью 65%, для которого требуются:

    • Число в формате номера кредитной карты.

    • Число, соответствующее контрольной сумме.

  • Шаблон с вероятностью 85%, для которого требуются:

    • Число в формате номера кредитной карты.

    • Число, соответствующее контрольной сумме.

    • Ключевое слово или дата окончания срока действия в правильном формате.

Эти значения вероятности (точности совпадения) можно использовать в правилах. Обычно для правил с низкой точностью совпадения используются менее строгие действия, такие как отправка уведомлений пользователям. Более строгие действия, например ограничение доступа к контенту без возможности переопределения, применяются для правил с высокой точностью совпадения.

Важно понимать, что при выявлении определенного типа конфиденциальной информации, например номера кредитной карты, система возвращает только одно значение вероятности.

  • Если все совпадения соответствуют одному шаблону, система возвращает значение вероятности для этого шаблона.

  • Если совпадают несколько шаблонов (т. е. имеются совпадения с разными значениями вероятности), система возвращает более высокое значение вероятности, чем у каждого из шаблонов. Важно обратить внимание на это. Например, если для кредитной карты совпали шаблоны с вероятностью 65 и 85%, для этого типа конфиденциальной информации возвращается точность совпадения более 90%, так как чем больше свидетельств, тем точнее определение.

Поэтому если вы хотите создать два взаимоисключающих правила для кредитных карт с точностью 65 и 85%, диапазоны точности совпадения будут такими: Первое правило получает только результаты для шаблона с вероятностью 65%. Второе правило получает по крайней мере один результат с вероятностью 85 % и может получить результаты с более низкой вероятностью.

Два правила с разными диапазонами для точности соответствия.

По этой причине при создании правил с разной точностью совпадения соблюдайте указанные ниже рекомендации.

  • Для самой низкой вероятности обычно используется одинаковые минимальное и максимальное значения (не диапазон).

  • Для самой высокой вероятности, как правило, используется диапазон от нижнего значения вероятности до 100.

  • Промежуточные уровни вероятности обычно либо чуть выше самой низкой вероятности, либо чуть ниже самой высокой вероятности.

Использование метки хранения в качестве условия в политике защиты от потери данных

При использовании ранее созданной и опубликованной метки хранения в качестве условия в политике защиты от потери данных необходимо учитывать следующие моменты:

  • Метку хранения необходимо создать и настроить, прежде чем использовать ее в качестве условия в политике DLP.

  • Синхронизация опубликованных меток хранения может занять от одного до семи дней. Дополнительные сведения см. в разделах Когда метки хранения становятся доступны для применения (для меток, опубликованных в политике хранения) и Срок вступления меток хранения в силу (для автоматически опубликованных меток).

  • Использование метки хранения в политике поддерживается только для элементов в SharePoint и OneDrive*.

    Метки в качестве условия.

    Вы можете использовать метку хранения в политике защиты от потери данных, если у вас есть элементы, предназначенные для хранения и ликвидации, и вы хотите применить к ним другие элементы управления, например:

    • Вы опубликовали метку хранения под названием налоговый 2018 год, которая после применения к налоговым документам за 2018 г., находящимся в SharePoint, обеспечивает их сохранение в течение 10 лет с последующим удалением. Кроме того, вы не хотите, чтобы эти элементы рассылались за пределы вашей организации, что можно сделать с помощью политики защиты от потери данных.

    Важно!

    Вы столкнетесь с этой ошибкой, если укажете метку хранения в качестве условия в политике защиты от потери данных и добавите Exchange и/или Teams в качестве расположения: "Защита содержимого с метками в электронной почте и сообщениях Teams не поддерживается. Удалите метку ниже или отмените выбор расположений Exchange и Teams". Это связано с тем, что транспорт Exchange не оценивает метаданные метки при отправке и доставке сообщения.

Использование метки конфиденциальности в качестве условия в политике защиты от потери данных

Узнайте больше об использовании метки конфиденциальности в качестве условия в политиках защиты от потери данных.

Связь с другими функциями

Контент, содержащий конфиденциальную информацию, допускает возможность применения нескольких функций.

  • И метки хранения, и политики хранения могут запускать действия хранения для этого контента.

  • Политика защиты от потери данных может применять действия защиты для этого контента. Для применения этих действий политике может потребоваться выполнение дополнительных условий (помимо наличия метки у контента).

Схема функций, которые могут применяться к конфиденциальной информации.

Обратите внимание: политика защиты от потери данных обеспечивает более широкие возможности для обнаружения, чем метка или политика хранения, примененные к конфиденциальной информации. Политика защиты от потери данных может применять действия защиты к контенту, содержащему конфиденциальную информацию, а в случае удаления конфиденциальной информации из контента отменять эти действия при следующей проверке контента. Применение политики хранения или метки к контенту, содержащему конфиденциальную информацию, — однократное действие, которое не будет отменено даже в случае удаления этой информации.

Используя метку в качестве условия в политике защиты от потери данных, можно применять как действия хранения, так и действия защиты к контенту, содержащему эту метку. Контент, содержащий метку, можно воспринимать точно так же, как контент, содержащий конфиденциальную информацию, так как и метка, и тип конфиденциальной информации — это свойства, используемые для классификации контента, чтобы к нему можно было применять действия.

Схема политики защиты от потери данных с использованием метки в качестве условия.

Простые и дополнительные параметры

При создании политики от защиты от потери данных можно выбирать простые или дополнительные параметры.

  • С помощью простых параметров можно легко создавать простые политики защиты от потери данных, не создавая и не редактируя правила с помощью редактора.

  • С помощью дополнительных параметров можно настраивать все аспекты применения политики в редакторе правил.

Не пугайтесь. На самом деле и простые, и дополнительные параметры работают по одному и тому же принципу: они применяют правила, состоящие из условий и действий. Разница заключается в том, что при работе с простыми параметрами вы не увидите на экране редактор правил. Это быстрый способ создания политики защиты от потери данных.

Простые параметры

Средства защиты от потери данных чаще всего используются для создания политик, которые предохраняют важную информацию от несанкционированного доступа к ней людей за пределами организации и реализуют соответствующие меры безопасности (например, блокируют доступ к контенту для определенных лиц, рассылают уведомления конечным пользователям и администраторам, а также позволяют проводить расследование происшествий). Инструменты защиты от потери данных позволяют исключить непреднамеренное раскрытие важных или конфиденциальных сведений.

Чтобы облегчить эту задачу, при создании политики защиты от потери данных можно использовать простые параметры. В этом режиме вы можете создать политику, в которой есть все необходимое, не используя редактор правил.

Параметры защиты от потери данных для простых и расширенных параметров.

Дополнительные параметры

Если вам необходимы расширенные настройки защиты от потери данных, используйте дополнительные параметры.

В этом режиме вам доступен редактор правил, в котором можно задать для каждого правила все возможные параметры, включая количество вхождений и точность совпадения (вероятность).

Чтобы быстро перейти к нужному разделу, выберите соответствующий элемент на верхней панели навигации редактора.

Меню навигации вверху редактора правил защиты от потери данных.

Шаблоны политики защиты от потери данных

Первое действие при создании политики защиты от потери данных — выбор информации, которую нужно защитить. Использование шаблона защиты от потери данных позволяет не создавать новый набор правил с нуля и не выяснять, какие типы информации необходимо включить по умолчанию. Затем вы можете добавить или изменить требования для точной настройки правила в соответствии с требованиями организации.

С помощью предварительно настроенного шаблона политики защиты от потери данных можно выявлять определенные типы конфиденциальной информации, например данные HIPAA, PCI-DSS, Акта Грэма-Лича-Блили или даже личные сведения в зависимости от региона. Чтобы упростить поиск и защиту распространенных типов конфиденциальной информации, шаблоны политик, включенные в Microsoft 365, уже содержат самые распространенные типы конфиденциальной информации, необходимые для начала работы.

Список шаблонов для политик защиты от потери данных с фокусом на шаблоне для действовать США.

У вашей организации могут быть собственные уникальные требования. В этом случае вы можете создать политику защиты от потери данных с нуля, выбрав вариант Пользовательская политика. Настраиваемая политика создается с нуля и не содержит никаких готовых правил.

Отчеты DLP

После создания и включения политик защиты от потери данных вам потребуется убедиться, что они работают так, как нужно, и помогают обеспечивать соответствие требованиям. В отчетах политики защиты от потери данных можно быстро просмотреть количество срабатываний политик и правил, а также количество ложных срабатываний и переопределений. Для каждого отчета можно отфильтровать эти совпадения по расположению, временному интервалу или даже конкретной политике, правилу или действию.

С помощью отчетов защиты от потери данных можно получить важные данные, а также:

  • Сконцентрироваться на определенных временных промежутках и определить причины скачков и тенденций.

  • Выявить бизнес-процессы, которые нарушают политики соответствия требованиям вашей организации.

  • Определить влияние политик защиты от потери данных на работу вашей организации.

Кроме того, вы можете использовать отчеты для точной настройки политик защиты от потери данных во время их работы.

Панель мониторинга отчетов в Центре безопасности и соответствия требованиям.

Принципы работы политик защиты от потери данных

Политика определяет конфиденциальные сведения с помощью глубокого анализа содержимого (а не простого сканирования текста). Для выявления содержимого, нарушающего ваши политики защиты от потери данных, при углубленном анализе применяются ключевые слова, словарные совпадения, оценка регулярных выражений, внутренние функции и другие методы. Ожидается, что лишь небольшой процент данных будет считаться конфиденциальной информацией. Политика защиты от потери данных может выявлять, отслеживать и автоматически защищать только эти данные, не мешая работе пользователей с остальным контентом.

Политики синхронизируются

После создания политики защиты от потери данных в Портал соответствия требованиям Microsoft Purview она сохраняется в центральном хранилище политик, а затем синхронизируется с различными источниками контента, включая:

  • Exchange Online и оттуда в Outlook в Интернете и Outlook;

  • Сайты OneDrive для бизнеса.

  • Сайты SharePoint Online.

  • Классические приложения Office (Excel, PowerPoint и Word).

  • Сообщениях каналов и чата Microsoft Teams.

После синхронизации политики с нужными расположениями она начинает оценивать контент и выполнять действия.

Оценки политики на сайтах OneDrive для бизнеса и SharePoint Online

Документы на всех ваших сайтах SharePoint Online и OneDrive для бизнеса постоянно изменяются — их непрерывно создают, редактируют, совместно используют, перемещают и т. д. Это означает, что в любой момент документы могут нарушить политику защиты от потери данных или вновь начать соответствовать ей. Например, пользователь может выложить на сайт группы документ, не содержащий конфиденциальной информации, но затем другой пользователь может изменить этот документ и добавить в него такие сведения.

По этой причине политики защиты от потери данных регулярно проверяют документы на совпадения с политиками в фоновом режиме. Это можно представить как асинхронный процесс оценки политики.

Принципы работы

По мере того как пользователи добавляют или редактируют документы на своих сайтах, поисковая система сканирует содержимое, чтобы его можно было найти позже. При этом система также сканирует контент на наличие конфиденциальной информации и предоставленного к нему доступа. Вся найденная конфиденциальная информация безопасно сохраняется в индексе поиска, чтобы она были доступна только группе специалистов по соответствию требованиям, а не обычным пользователям. Каждая включенная политика защиты от потери данных работает в фоновом режиме (асинхронно), регулярно проверяя контент на совпадения с условиями политики и применяя действия для защиты этого контента от непреднамеренного разглашения.

Схема, показывающая, как политика защиты от потери данных оценивает содержимое асинхронно.

И, наконец, документы могут не только нарушать политику защиты от потери данных, но и вновь начать соответствовать ей. Например, если пользователь добавляет в документ номера кредитных карт, политика защиты от потери данных может автоматически заблокировать доступ к документу. Но если затем пользователь удалит конфиденциальную информацию, примененное ранее действие (в этом случае блокировка) будет отменено при следующей оценки политики.

Система защиты от потери данных оценивает любой контент, который можно индексировать. Дополнительные сведения о типах файлов, для которых по умолчанию выполняется обход контента, см. в статье Анализируемые типы файлов и расширения имен файлов для обхода по умолчанию в SharePoint Server.

Примечание

Чтобы предотвратить общий доступ к документам до того, как политики защиты от потери данных имели возможность анализировать их, общий доступ к новым файлам в SharePoint можно заблокировать до тех пор, пока его содержимое не будет проиндексированно. Подробные сведения см. в статье По умолчанию помечать новые файлы как конфиденциальные.

Оценка политик в Exchange Online, Outlook и Outlook в Интернете

При создании политики защиты от потери данных, которая включает Exchange Online в качестве расположения, она синхронизируется с Портал соответствия требованиям Microsoft Purview на Exchange Online, а затем из Exchange Online в Outlook в Интернете и Outlook.

Когда пользователь создает сообщение в Outlook, система анализирует содержимое сообщения на соответствие политикам защиты от потери данных и отображает подсказки политик для пользователя. После отправки сообщения оно оценивается с помощью политик защиты от потери данных как обычной части потока обработки почты, а также правил потока обработки почты Exchange (также называемых правилами транспорта) и политик защиты от потери данных, созданных в Центре администрирования Exchange. Политики защиты от потери данных проверяют как само сообщение, так и все его вложения.

Оценка политик в классических приложениях Office

В Excel, PowerPoint и Word имеются такие же возможности для выявления конфиденциальной информации и применения политик защиты от потери данных, что и в SharePoint Online и OneDrive для бизнеса. Эти приложения Office синхронизируют свои политики защиты от потери данных непосредственно из центрального хранилища политик, а затем непрерывно проверяют контент на соответствие политикам, когда пользователи работают с документами, открытыми с сайта, включенного в политику.

Операции проверки, выполняемые политикой защиты от потери данных в Office, не влияют на производительность программ и эффективность работы сотрудников с контентом. Если пользователь работает с большим документом или его компьютер занят, подсказка политики может появиться спустя несколько секунд.

Оценка политик в Microsoft Teams

При создании политики защиты от потери данных, которая включает Microsoft Teams в качестве расположения, она синхронизируется с учетной записью Портал соответствия требованиям Microsoft Purview учетных записей пользователей, каналов и сообщений чата Microsoft Teams. В зависимости от параметров политик защиты от потери данных, когда какой-либо пользователь пытается поделиться конфиденциальной информацией в сообщении чата или канала Microsoft Teams, сообщение может быть заблокировано или отозвано. Кроме того, документы с конфиденциальной информацией, доступ к которым предоставлен гостевым (внешним) пользователям, не будут открываться для этих пользователей. Дополнительные сведения см. в статье Защита от потери данных и Microsoft Teams.

Разрешения

По умолчанию глобальные администраторы, администраторы безопасности и администраторы соответствия требованиям будут иметь доступ для создания и применения политики защиты от потери данных. Другим участникам группы соответствия требованиям, которые будут создавать политики защиты от потери данных, требуются разрешения для Портал соответствия требованиям Microsoft Purview. По умолчанию администратор клиента будет иметь доступ к этому расположению и может предоставить сотрудникам по обеспечению соответствия требованиям и другим пользователям доступ к Портал соответствия требованиям Microsoft Purview, не предоставляя им все разрешения администратора клиента. Для этого рекомендуется:

  1. Создайте группу в Microsoft 365 и добавьте в нее сотрудников, ответственных за обеспечение соответствия требованиям.

  2. Создайте группу ролей на странице разрешений Портал соответствия требованиям Microsoft Purview.

  3. При создании группы ролей используйте раздел Выбор ролей, чтобы добавить следующую роль в группу ролей: Управление соответствием требованиям защиты от потери данных.

  4. Используйте раздел Выбор участников, чтобы добавить созданную ранее группу Microsoft 365 в эту группу ролей.

Также можно создать группу ролей, обладающую правами только для просмотра политик и отчетов DLP, включив роль Только просмотр: управление соответствием требованиям защиты от потери данных.

Дополнительные сведения см. в статье Предоставление пользователям доступа к Центру безопасности и соответствия требованиям Office 365.

Эти разрешения необходимы только для создания и применения политики защиты от потери данных. Для применения политики не требуется доступ к контенту.

Найдите командлеты для защиты от потери данных

Чтобы использовать большинство командлетов для Портал соответствия требованиям Microsoft Purview, необходимо:

  1. Подключение к Безопасности и соответствию требованиям PowerShell

  2. Воспользуйтесь любыми из этих командлетов policy-and-compliance-dlp cmdlets

При этом, чтобы создавать отчеты со сведениями о защите от потери данных, системе потребуется получать данные из Microsoft 365, в том числе из Exchange Online. По этой причине командлеты для отчетов о защите от потери данных доступны в Exchange Online PowerShell, а не в Портал соответствия требованиям Microsoft Purview PowerShell. Поэтому, чтобы можно было использовать эти командлеты для отчетов со сведениями о защите от потери данных, необходимо выполнить указанные действия.

  1. Подключение к PowerShell для Exchange Online.

  2. Используйте следующие командлеты для отчетов со сведениями о защите от потери данных:

Дополнительные сведения