Поделиться через

Начало работы с JIT-защитой Защита от потери данных Microsoft Purview

Используйте JIT-защиту от потери данных конечных точек (DLP) для обнаружения и блокировки действий исходящего трафика в отслеживаемых файлах во время оценки политики.

JIT выполняет аудит и блокирует следующие действия пользователей в защищенных файлах:

  • Копирование на съемный носитель
  • Копирование в общую сетевую папку
  • Print
  • Копирование или перемещение с помощью протокола удаленного рабочего стола (RDP)
  • Копирование или перемещение с помощью заблокированного приложения Bluetooth
  • Копирование в буфер обмена: JIT-аудит по умолчанию
  • Отправка в домен облачной службы с ограниченным доступом

Если JIT включен для устройств, все действия пользователей проверяются, даже действия пользователей, которые не находятся в область политики. Действия исходящего трафика проверяются и блокируются для пользователей, которые находятся в область политики.

Условия

Изучите следующие термины:

  • JIT-файл-кандидат: файлы, которые не классифицируются или классифицируются с устаревшей политикой.
  • JIT-аудит. После включения JIT DLP конечной точки создает событие в обозревателе действий для каждого JIT-файла-кандидата. В событии обозревателя JIT-действий поле JIT-триггера имеет значение true, а значение режима принудительного примененияAudit.
  • JIT-блок. После включения JIT DLP конечной точки блокирует действие и создает событие в обозревателе действий для каждого JIT-файла-кандидата. В событии обозревателя JIT-действий поле JIT-триггера имеет значение true, а поле Режим принудительного применения — значение Block.

Примечание.

Конечная точка защиты от потери данных не создает DLPRuleMatch событие или оповещение.

  • JIT-уведомление выполняется. Когда пользователи, которые находятся в область JIT, пытаются выполнить исходящее действие в JIT-файле-кандидате, защита от потери данных конечной точки может заблокировать действие исходящего трафика и отобразить всплывающее уведомление. Это всплывающее уведомление называется JIT в процессе выполнения.
  • Полное уведомление об оценке JIT. Когда конечная точка DLP завершает оценку политики для JIT-файла-кандидата, конечная точка защиты от потери данных отображает всплывающее уведомление, чтобы сообщить пользователю. Это уведомление называется всплывающее всплывающее уведомление о завершении оценки JIT.
  • JIT-событие. Конечная точка защиты от потери данных записывает и отображает событие JIT в обозревателе действий при активации JIT-аудита или действий блокировки JIT. Для события задано JIT triggeredtrueзначение .

Снимок экрана: событие обозревателя действий, показывающее JIT-активацию, для которой задано значение true, а для режима принудительного применения задано значение Блокировать.

Сфера применения

JIT-защита для конечной точки DLP поддерживает следующие устройства:

  • Windows 10
  • Windows 11
  • macOS (три последние версии)

Рекомендации по развертыванию JIT-защиты

Примечание.

Разрешите по крайней мере час обновления параметров JIT, включая отключение отправки JIT-кода на клиентские устройства.

Шаг 1. Подготовка среды

Перед развертыванием JIT-защиты необходимо сначала развернуть клиент защиты от вредоносных программ версии 4.18.23080 или более поздней. В версии 4.18.25080 или более поздних версиях улучшена JIT-защита конечных пользователей.

Подключение page_Defender версии Mocamp

Примечание.

Для компьютеров с устаревшей версией антивредоносного клиента рекомендуется отключить JIT-защиту, установив один из следующих KB:

  1. Чтобы узнать, на каких устройствах есть необходимый антивредоносный клиент, перейдите в раздел Исследование портала> безопасности& ответ>Расширенный поиск и выполните этот запрос.
`DeviceRegistryEvents`
| where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe" and Timestamp >= ago(60d)
| summarize arg_max(Timestamp, *) by DeviceId
| distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion
| extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version
| extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement
| project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion
| summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion
// | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version
// | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements
| order by dcount_DeviceId desc

Ниже приведен пример выходных данных запроса.

Изображение выходных данных запроса, показывающее, сколько устройств имеют версию клиента защиты от вредоносных программ

Вы также можете перейти настраницу диагностика защиты > от потери данныхи выбрать Конечная точка защиты от потери данных не работает карта, чтобы проверка, соответствует ли определенное устройство требованиям JIT.

Снимок экрана: всплывающее окно проверки диагностика, в котором показана версия клиента для защиты от вредоносных программ для выбранного устройства

Шаг 2. Развертывание JIT-защиты

  1. Войдите на портал Microsoft Purview.

  2. Выберите Параметры Защита> от >потери данныхJIT-защита.

  3. В разделе Выберите расположения для мониторинга установите флажок рядом с элементом Устройства.

  4. В разделе Резервное действие в случае сбоя выберите Разрешить пользователям выполнять действия. Это позволяет пользователю выполнить действие в случае сбоя классификации.

DLP конечной точки создает события JIT-аудита для всех действий исходящего трафика пользователей независимо от того, находятся ли они в область или нет.

Предостережение

Не выбирайте параметр Блокировать выполнение действий пользователями , пока не будете полностью понимать влияние этой функции.

При выборе параметра Разрешить пользователям выполнять действия или Запретить пользователям выполнять действия здесь не изменится, активируется ли JIT-блокировка . Блокировка JIT применяется, если пользователь находится в область. Принудительное применение защиты от потери данных при сбое классификации контролируется параметром Разрешить пользователям выполнять действия или Запретить пользователям выполнять действия. Если выбрать Разрешить пользователям выполнять действия, то при сбое классификации DLP конечной точки разрешит действие исходящего трафика. Если выбрать параметр Блокировать выполнение действий пользователями, защита от потери данных конечной точки разрешит действие исходящего трафика при сбое классификации.

Следует проверять параметры на каждом этапе, пока количество событий не будет стабильным, и вы не будете иметь представление о возможном размере группы пользователей, к которой вы хотите применить режим принудительного применения, на основе следующих вычислений телеметрии.

Шаг 3. Оценка количества событий JIT-защиты для развертывания

Оцените влияние развертывания JIT-защиты, выполнив следующее вычисление на основе событий в обозревателе действий:

  • N = количество уникальных компьютеров, запускаемых JIT-событиями.

  • S = общее количество компьютеров в область развертывания.

N/S возвращает процент компьютеров, которые могут столкнуться с событием блокировки JIT-защиты.

Используя эти сведения, вы должны знать, сколько компьютеров будет затронуто реализацией режима JIT-блокировки при развертывании область и сколько возможных запросов в службу поддержки вы можете увидеть. Затем вы можете решить, следует ли расширять область.

Шаг 4. Тонкая настройка JIT-защиты с помощью других дополнительных параметров

В дополнение к откату в случае сбоя, как описано в шаге 1, можно также использовать следующие параметры для точной настройки JIT-защиты:

  • Управление копированием в буфер обмена. Включите этот параметр, если вы хотите запретить пользователям копировать содержимое в буфер обмена, пока JIT-защита оценивает файл.

Примечание.

Включение элемента Управления копированием в буфер обмена может повлиять на производительность пользователя. Перед включением этого параметра обязательно проверьте влияние на производительность.

  • Исключения приложений для Windows. Приложения, которые вы здесь включаете, не будут оцениваться JIT-защитой на устройствах Windows.
  • Исключения приложений для Mac. Приложения, которые вы здесь включаете, не будут оцениваться JIT-защитой на устройствах macOS.
  • Исключения расширений файлов. Файлы с добавленными здесь расширениями не будут оцениваться JIT-защитой.
  • Исключения пути к файлам для Windows. Файлы в этих расположениях не будут оцениваться JIT-защитой.
  • Исключения пути к файлам для Mac. Файлы в этих расположениях не будут оцениваться JIT-защитой.

Если вы хотите изменить область JIT-защиты после настройки всех этих параметров, можно вернуться к шагу 2.

Дополнительные сведения об исключениях

Параметры исключения пути к файлу в JIT-интерфейсе отличаются от исключений пути к файлу для Windows, найденных с помощью параметра защиты > от потери данныхПараметры конечных>>точек Параметрыисключения пути к файлу для Windows.

  • Исключения пути к файлам в JIT-режиме исключают только определенные пути к файлам из JIT-защиты. Во всех остальных случаях Microsoft Purview по-прежнему применяет классификацию защиты от потери данных и защиту конечных точек для файлов в этих папках.

  • Исключения пути к файлам для параметра Windows не позволяют Purview применять классификацию и защиту конечной точки защиты от потери данных для файлов в указанных папках.

  • Исключения расширений файлов. Файлы с этими расширениями не оцениваются JIT-защитой.

Шаг 5. Развертывание JIT-защиты в параметре "Запретить пользователям выполнять действия" для параметра "Резервное действие в случае сбоя"

Эта конфигурация управляет режимом принудительного применения, который применяется при сбое классификации. Он не контролирует JIT-блок или JIT-аудит для JIT-файлов-кандидатов, JIT-блок или JIT-аудит контролируется область. Независимо от выбранного здесь значения соответствующие данные телеметрии отображаются в обозревателе действий.

Пользовательский интерфейс JIT-защиты

В этой статье описывается взаимодействие с клиентом для защиты от вредоносных программ версии 4.18.25080 или более поздней.

Возобновление поддержки для каждого действия

Защита от потери данных в конечной точке автоматически возобновляет эти действия, если оценка политики завершается в течение 3 секунд:

  • Копирование на съемный носитель
  • Копирование в общую сетевую папку

Если оценка политики занимает больше 3 секунд, необходимо повторить действие после того, как появится всплывающее всплывающее уведомление о завершении оценки политики JIT.

Повторите следующие действия после того, как конечная точка защиты от потери данных завершит оценку политики:

  • Print
  • Копирование или перемещение с помощью протокола удаленного рабочего стола (RDP)
  • Копирование или перемещение с использованием запрещенного приложения Bluetooth
  • Копирование в буфер обмена: JIT-аудит по умолчанию

Пользователю потребуется повторить эти действия после того, как конечная точка защиты от потери данных завершит оценку политики:

  • Print
  • Копирование или перемещение с помощью протокола удаленного рабочего стола (RDP)
  • Копирование или перемещение с использованием запрещенного приложения Bluetooth
  • Копирование в буфер обмена: JIT-аудит по умолчанию

Выполнение действия в одном файле

Когда пользователь выполняет действие в одном файле, защита от потери данных конечной точки выполняет действие JIT-аудита в следующих случаях:

  • пользователь не входит в параметр JIT-области
  • Для действия не существует блока или блока с переопределением
  • действие предназначено для разрешенного принтера, съемных носителей, общей сетевой папки или веб-сайта
  • Оценка политики для файла завершается в течение 5 секунд для действий, поддерживающих JIT-возобновление, или завершается в течение 2 секунд для действий, которые не поддерживают JIT-возобновление.

Конечная точка защиты от потери данных блокирует действие с уведомлением (без оповещения) и применяет JIT-блок только в том случае, если оценка политики занимает более 5 секунд.

Выполнение действия с несколькими файлами

Когда пользователь выполняет действие с несколькими файлами одновременно, конечная точка DLP принимает действие JIT-аудита в следующих случаях:

  • пользователь не входит в параметр JIT-области
  • Для выполненного действия не существует блока или блока с переопределением
  • действие выполняется на разрешенном принтере, на разрешенном съемном носителе или на разрешенном сетевом ресурсе.

Для JIT-файлов-кандидатов конечная точка DLP активирует оценку политики, объединяет уведомления для файлов, которые завершаются в течение 5 секунд для действий, поддерживающих возобновление, и автоматически возобновляет действие. Если действие не поддерживает возобновление, конечная точка защиты от потери данных активирует оценку политики и объединяет уведомления для файлов, которые завершаются в течение 2 секунд. В обоих случаях защита от потери данных в конечной точке не создает всплывающее уведомление JIT. Он показывает только окончательный вердикт политики в консолидированном тосте.

  • Last updated on