Защита от потери данных (DLP) — это служба, которая в основном используется для снижения информационных рисков, помогая предотвратить выход конфиденциальной информации из среды. Политики защиты от потери данных можно настроить на основе:
Расположение или служба: например, SharePoint или Exchange.
Условие или набор условий. Например, содержит метку или конфиденциальную информацию.
Действие. Например, блокировать передачу или общий доступ к элементу.
Читатели должны ознакомиться с этой информацией, прежде чем изучать приведенные здесь советы, которые более конкретно относятся к конфигурации для австралийских государственных организаций.
Варианты использования защиты от потери данных, относящиеся к требованиям государственных организаций
В контексте требований австралийского правительства служба защиты от потери данных Microsoft Purview используется для:
Применение необходимых метаданных к электронной почте (x-protect-маркировка x-headers).
Применение маркировки темы к электронной почте.
Блокировка передачи сообщений электронной почты с неправильной меткой.
Блокировка передачи или предотвращение недопустимого распространения конфиденциальной информации безопасности.
Блокировка или предупреждение о запрете распространения или совместного использования элементов по электронной почте для пользователей, у которых нет необходимости знать.
Реализация оперативного контроля для предотвращения потери информации, которая может привести к повреждению физического лица, организации или правительства.
Клиенты организации и максимальный уровень безопасности для каждого клиента.
Требования неавтралийского государственного служащего (APS), гостя и подрядчика.
Следующие разделы относятся к подходу защиты от потери данных во всех интегрированных службах защиты от потери данных. Государственные организации должны принять решение о своей стратегии обратной связи с пользователями и управления событиями защиты от потери данных. Затем стратегии, которые были приняты, можно применять в конфигурациях защиты от потери данных, которые далее рассматриваются в следующих целях:
Решения, касающиеся отзывов пользователей о нарушении политики защиты от потери данных
При условии, что организации согласуются с рекомендациями, приведенными в этом руководстве, когда пользователь пытается отправить информацию, существует четыре причины, по которым активируется политика защиты от потери данных:
У пользователя есть неправильный получатель электронной почты (случайный).
Неправильная конфигурация, и в список исключений необходимо добавить другой домен.
Соответствующая внешняя организация может быть подходящей для получения информации, но бизнес-процесс заключения официальных соглашений и связанной с ними конфигурации еще не завершен.
Пользователь пытается выфильтровать секретную информацию (вредоносную).
Когда политики защиты от потери данных активируются из-за действий, согласующихся с одним из первых трех сценариев, обратная связь с пользователем имеет ценность. Обратная связь позволяет пользователю исправить свою ошибку, вашей организации исправить конфигурацию или выполнить необходимый бизнес-процесс. Если политика активируется из-за вредоносных действий, обратная связь с пользователем оповещает пользователя о том, что его действие было замечено. Организациям необходимо учитывать риск и преимущества отзывов пользователей и выбрать оптимальный подход к своей ситуации.
Советы по политике защиты от потери данных перед нарушением
Если вы решили предоставить отзывы пользователей, советы по политике — это отличный способ помочь пользователям при запуске непосредственно в клиентах Outlook. Они предупреждают пользователей о проблемах перед отправкой сообщения электронной почты и активацией нарушения политики, потенциально избегая дисциплины или неловкой ситуации. Советы политики настраиваются с помощью параметра советы политики в конфигурации правила защиты от потери данных. При применении к сценариям электронной почты конечный пользователь в этой конфигурации получает предупреждение в верхней части сообщения электронной почты о том, что он разрабатывает:
Если пользователи игнорируют подсказку политики, активируются другие действия политики защиты от потери данных, например действие блокировки. Также доступен ряд вариантов уведомлений, включая уведомления, которые отображаются в режиме реального времени и уведомляют пользователя о том, что его электронная почта заблокирована.
Также следует учитывать преимущества советов по политике для рабочей нагрузки событий защиты от потери данных. События риска защиты от потери данных уменьшаются с помощью подсказок политики перед действием блокировки и соответствующим оповещением. Преимущество заключается в том, что группы безопасности имеют меньше инцидентов для управления.
Организациям, реализующим защиту от потери данных, следует рассмотреть свой подход к управлению событиями защиты от потери данных, в том числе:
Какое средство следует использовать для управления событиями защиты от потери данных?
Какие серьезности событий защиты от потери данных требуют действий администратора и какое время нужного разрешения?
Какая команда отвечает за управление событиями защиты от потери данных (например, группы безопасности, данных или конфиденциальности)?
Какие необходимые возможности?
Существует четыре решения Майкрософт, которые помогут в мониторинге событий защиты от потери данных и управлении ими:
Microsoft Defender XDR
Панель мониторинга оповещений защиты от потери данных
Обозреватель действий
Microsoft Sentinel
Microsoft Defender XDR
Microsoft Defender XDR — это комплексное решение безопасности, которое обеспечивает защиту от угроз между доменами и реагирование на все конечные точки, электронную почту, удостоверения, облачные приложения и инфраструктуру. Она обеспечивает упрощенную и эффективную защиту от сложных атак, предоставляя группам безопасности полное представление о ландшафте угроз, обеспечивая более эффективные исследования и автоматическое исправление. Microsoft Defender XDR рекомендуется для управления инцидентами защиты от потери данных в Microsoft 365.
Панель мониторинга оповещений защиты от потери данных
Панель мониторинга оповещений Microsoft Purview отображается в Портал соответствия требованиям Microsoft Purview. Панель мониторинга предоставляет администраторам видимость инцидентов защиты от потери данных. Сведения о настройке оповещений в политиках защиты от потери данных и использовании панели мониторинга управления оповещениями О DLP см. в статье Начало работы с информационной панелью оповещений DLP.
Обозреватель действий
Обозреватель действий — это панель мониторинга, доступная в Портал соответствия требованиям Microsoft Purview и предоставляющая другое представление о событиях защиты от потери данных. Это средство предназначено не для управления событиями, а для предоставления администраторам более глубокой информации, более широких фильтров и продольного поведения. Дополнительные сведения о Обозреватель действий см. в разделе Обозреватель действий.
Microsoft Sentinel
Microsoft Sentinel — это масштабируемое облачное управление информационной безопасностью и событиями безопасности (SIEM), которое предоставляет интеллектуальное и комплексное решение для SIEM и оркестрации безопасности, автоматизации и реагирования (SOAR). Соединители можно настроить для импорта сведений об инцидентах защиты от потери данных из Microsoft Defender XDR в Microsoft Sentinel. Установка этого подключения позволяет использовать более сложные возможности исследования и автоматизации Sentinel для управления инцидентами защиты от потери данных. Дополнительные сведения об использовании Sentinel для управления событиями защиты от потери данных см. в статье Изучение оповещений защиты от потери данных с помощью Microsoft Sentinel.
Microsoft Purview Data Loss Prevention (DLP) helps safeguard sensitive information by monitoring and preventing accidental data leaks across your organization's digital platforms. In this module, you'll learn how to plan, deploy, and adjust DLP policies to protect sensitive data in your organization, ensuring security without disrupting daily work.
Продемонстрировать основы безопасности данных, управления жизненным циклом, информационной безопасности и соответствия требованиям для защиты развертывания Microsoft 365.
Рекомендации по настройке автоматической маркировки на основе служб Microsoft Purview для обеспечения соответствия требованиям PSPF и ISM для государственных организаций Австралии.
Рекомендации по защите от потери данных (DLP) и связанные средства управления для предотвращения кражи секретной информации для обеспечения соответствия австралийского правительства PSPF и ISM.
Общие сведения об использовании возможностей автоматической маркировки Microsoft Purview для обеспечения соответствия требованиям PSPF и ISM для государственных организаций Австралии.
Рекомендации по использованию возможностей классификации данных Microsoft Purview для выявления конфиденциальной и конфиденциальной информации, классифицированной для обеспечения соответствия австралийского правительства PSPF и ISM.
Стратегии маркировки Microsoft Purview для конфиденциальной информации для австралийских государственных организаций в соответствии с политикой PSPF 8.
Рекомендации по настройке меток конфиденциальности SharePoint и Teams для обеспечения соответствия требованиям PSPF и ISM для государственных организаций Австралии.
