Серия решений для обнаружения электронных данных: сценарий утечки данных — Поиск и очистка

  • Статья

Что такое утечка данных и зачем это важно? Утечка данных происходит, когда конфиденциальный документ попадает в ненадежную среду. При обнаружении инцидента утечки данных важно быстро оценить размер и расположение разлива, изучить действия пользователей вокруг него, а затем окончательно очистить разлитые данные из системы.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Сценарий утечки данных

Вы являетесь ведущим сотрудником по информационной безопасности компании Contoso. Вы будете проинформированы о ситуации утечки данных, когда сотрудник неосознанно предоставил по электронной почте строго конфиденциальный документ нескольким людям. Вы хотите быстро оценить, кто получил этот документ внутри и за ее пределами. После обнаружения вы хотите поделиться результатами дела с другими следователями для проверки, а затем окончательно удалить данные из Office 365. После завершения исследования необходимо создать отчет с доказательствами окончательного удаления и другими сведениями о случае для любых дальнейших справок.

Область действия этой статьи

В этом документе приведен список инструкций по окончательному удалению сообщения из Microsoft 365, чтобы оно не было доступно или можно было восстановить. Сведения об удалении сообщения и его восстановлении до истечения срока хранения удаленных элементов см. в статье Поиск для и удаления сообщений электронной почты в организации.

Рабочий процесс для управления инцидентами утечки данных

Вот как управлять инцидентом утечки данных:

8-ступенчатый рабочий процесс для управления инцидентами утечки данных.

Шаг 1. Управление доступом к делу и установка границ соответствия требованиям (необязательно)
Шаг 2. Создание дела обнаружения электронных данных
Шаг 3. Поиск для разлитых данных
Шаг 4. Проверка и проверка результатов обращения
Шаг 5. Использование журнала трассировки сообщений для проверка способа совместного использования разливаемых данных
Шаг 6. Подготовка почтовых ящиков
Шаг 7. Окончательное удаление разлитого данных
Шаг 8. Проверка, предоставление подтверждения удаления и аудит

Что нужно знать, прежде чем приступить к

  • Рабочий процесс утечки данных, описанный в этой статье, не удаляет сообщения чата в Microsoft Teams. Сведения о поиске и удалении сообщений чата Teams см. в статье Поиск и очистка сообщений чата в Teams.
  • Когда почтовый ящик находится на удержании, удаленное сообщение остается в папке "Элементы с возможностью восстановления", пока не истечет срок хранения или удержание не будет освобождено. На шаге 6 описано, как удалить удержание из почтовых ящиков. Прежде чем удалять удержание, обратитесь в отделы управления записями или юридические отделы. В вашей организации может быть политика, которая определяет, является ли почтовый ящик на удержании или инцидент утечки данных имеет приоритет.
  • Чтобы контролировать почтовые ящики пользователей, следователь по утечке данных может искать и управлять доступом к делу, можно настроить границы соответствия требованиям и создать пользовательскую группу ролей, которая описана в шаге 1. Для этого необходимо быть членом группы ролей "Управление организацией" или быть назначена роль управления ролями. Если вы или администратор в организации уже установили границы соответствия требованиям, можно пропустить шаг 1.
  • Чтобы создать дело, необходимо быть членом группы ролей диспетчера обнаружения электронных данных или членом настраиваемой группы ролей, которая назначена роль "Управление обращениями". Если вы не являетесь участником, попросите администратора Microsoft 365 добавить вас в группу ролей диспетчера электронных данных.
  • Создавать и выполнять поиск контента могут только члены группы ролей "Диспетчер eDiscovery" и пользователи с ролью "Управление поиском соответствия". Удалять сообщения могут только члены группы ролей "Управление организацией" и пользователи с ролью "Управление поиском и очисткой". Сведения о добавлении пользователей в группу ролей см. в разделе Назначение разрешений на обнаружение электронных данных.
  • Чтобы выполнить поиск действий по обнаружению электронных данных в журнале аудита на шаге 8, аудит должен быть включен для вашей организации. Можно искать действия, выполненные за последние 90 дней. Дополнительные сведения о включении и использовании аудита см. в разделе Аудит процесса исследования утечки данных на шаге 8.

(Необязательно) Шаг 1. Управление доступом к делу и установка границ соответствия требованиям

В зависимости от вашей организационной практики необходимо контролировать, кто может получить доступ к делу обнаружения электронных данных, используемому для расследования инцидента утечки данных, и настройки границ соответствия требованиям. Самый простой способ сделать это — добавить следователей в качестве членов существующей группы ролей в Портал соответствия требованиям Microsoft Purview, а затем добавить группу ролей в качестве участника дела eDiscovery. Сведения о встроенных группах ролей обнаружения электронных данных и о том, как добавить участников в случай обнаружения электронных данных, см. в разделе Назначение разрешений на обнаружение электронных данных.

Вы также можете создать новую группу ролей, соответствующую потребностям своей организации. Например, может потребоваться, чтобы группа следователей утечки данных в организации могла получать доступ ко всем случаям утечки данных и совместно работать над ними. Это можно сделать, создав группу ролей "Следователь разлива данных", назначив соответствующие роли (экспорт, расшифровка RMS, проверка, предварительная версия, соответствие Поиск и управление делами), добавив следователей утечки данных в группу ролей, а затем добавив группу ролей в качестве участника дела обнаружения электронных данных. Подробные инструкции о том, как это сделать, см. в статье Настройка границ соответствия для исследований обнаружения электронных данных в Office 365.

Шаг 2. Создание дела обнаружения электронных данных

Случай внутреннего риска eDiscovery обеспечивает эффективный способ управления исследованием утечки данных. Вы можете добавить участников в группу ролей, созданную на шаге 1, добавить группу ролей в качестве участника нового дела обнаружения электронных данных, выполнить итеративный поиск для поиска разлитых данных, экспортировать отчет для совместного использования, отслеживать состояние дела, а затем при необходимости обращаться к подробным сведениям о случае. Рассмотрите возможность создания соглашения об именовании для случаев обнаружения электронных данных, используемых для инцидентов утечки данных, и предоставьте как можно больше информации в имени и описании дела, чтобы при необходимости можно было найти и ссылаться на нее в будущем.

Чтобы создать новый случай, можно использовать обнаружение электронных данных в Портал соответствия требованиям Microsoft Purview. См. раздел Создание нового дела в статье Начало работы с обнаружением электронных данных (стандартный).

Шаг 3. Поиск для разлитых данных

Теперь, когда вы создали дело и управляемый доступ, вы можете использовать его для итеративного поиска, чтобы найти разлитые данные и определить почтовые ящики, содержащие разлитые данные. Вы будете использовать тот же поисковый запрос, который использовался для поиска сообщений электронной почты, чтобы удалить те же сообщения на шаге 7.

Сведения о создании поиска контента, связанного с делом обнаружения электронных данных, см. в разделе Поиск для содержимого в случае обнаружения электронных данных (стандартный).

Важно!

Ключевые слова, используемые в поисковом запросе, могут содержать реальные утекшие данные, которые вы ищете. Например, если вы ищете документы, содержащие номер социального страхования, и используете его в качестве ключевое слово поиска, вы должны удалить запрос после этого, чтобы избежать дальнейшего разлива. См. раздел Удаление поискового запроса на шаге 8.

Шаг 4. Проверка и проверка результатов обращения

После создания поиска контента необходимо проверить результаты поиска и убедиться, что они состоят только из сообщений электронной почты, которые необходимо удалить. При поиске содержимого можно просмотреть случайную выборку из 1000 сообщений электронной почты без экспорта результатов поиска, чтобы избежать дальнейшего утечки данных. Дополнительные сведения об ограничениях предварительной версии см. в разделе Ограничения для Поиск содержимого.

Если у вас есть более 1000 почтовых ящиков или более 100 сообщений электронной почты на каждый почтовый ящик, вы можете разделить первоначальный поиск на несколько поисковых запросов с помощью дополнительных ключевых слов или условий, таких как диапазон дат, отправитель или получатель, и просмотреть результаты каждого поиска по отдельности. Обязательно запишите все поисковые запросы, которые будут использоваться при удалении сообщений на шаге 7.

При обнаружении сообщений электронной почты, содержащих разлитые данные, проверьте получателей сообщения, чтобы определить, не было ли оно опубликовано извне. Для дальнейшей трассировки сообщения можно собирать сведения об отправителе и диапазоны дат, чтобы использовать журналы трассировки сообщений. Этот процесс описан в шаге 5.

После проверки результатов поиска может потребоваться поделиться результатами с другими для повторной проверки. Люди, которым вы назначили случай на шаге 1, могут просматривать его содержимое как в eDiscovery, так и в Microsoft Purview eDiscovery (Premium) и одобрять результаты случая. Вы также можете создать отчет без экспорта фактического содержимого. Этот же отчет также можно использовать в качестве подтверждения удаления, которое описано на шаге 8.

Чтобы создать статистический отчет, выполните приведенные далее действия.

  1. Перейдите на страницу Поиск в случае обнаружения электронных данных и выберите поиск, для которого нужно создать отчет.

  2. На всплывающей странице выберите Дополнительно > экспорт отчета.

    Отобразится страница Экспорт отчета.

    Выберите поиск, а затем на всплывающей странице выберите Дополнительный > отчет экспорт.

  3. Выберите Все элементы, включая элементы с нераспознанным форматом, зашифрованы или не индексированы по другим причинам, а затем выберите Создать отчет.

  4. В случае обнаружения электронных данных выберите Экспорт , чтобы отобразить список заданий экспорта. Возможно, потребуется выбрать Обновить , чтобы обновить список, чтобы отобразить созданное задание экспорта.

  5. Выберите задание экспорта, а затем на всплывающей странице выберите Скачать отчет.

    На странице Экспорт выберите экспорт и нажмите кнопку

Отчет Экспорт сводки содержит количество найденных расположений с результатами и размер результатов поиска. Его можно использовать для сравнения с отчетом, созданным после удаления, и предоставить в качестве доказательства удаления. Отчет Результаты содержит более подробную сводку результатов поиска, включая тему, отправителя, получателей, если сообщение было прочитано, даты и размер каждого сообщения. Если какие-либо сведения в этом отчете содержат фактические разлитые данные, обязательно окончательно удалите файл Results.csv после завершения исследования.

Дополнительные сведения об экспорте отчетов см. в статье Экспорт отчета Поиск содержимого.

Шаг 5. Использование журнала трассировки сообщений для проверка способа совместного использования разливаемых данных

Чтобы узнать, было ли предоставлено сообщение электронной почты с разлитыми данными, при необходимости можно запросить журналы трассировки сообщений с информацией об отправителе и диапазоном дат, собранными на шаге 4. Период хранения для трассировки сообщений составляет 30 дней для данных в реальном времени и 90 дней для исторических данных.

Вы можете использовать трассировку сообщений в Портал соответствия требованиям Microsoft Purview или соответствующие командлеты в Exchange Online PowerShell. Важно отметить, что трассировка сообщений не дает полных гарантий полноты возвращаемых данных. Дополнительные сведения об использовании трассировки сообщений см. в разделе:

Шаг 6. Подготовка почтовых ящиков

После проверки и проверки того, что результаты поиска содержат только сообщения, которые необходимо удалить, необходимо собрать список адресов электронной почты затронутых почтовых ящиков, которые будут использоваться на шаге 7 при удалении разлитых данных. Вам также может потребоваться подготовить почтовые ящики, прежде чем можно будет окончательно удалить сообщения электронной почты в зависимости от того, включено ли восстановление одного элемента в почтовых ящиках, содержащих разлитые данные, или если какой-либо из этих почтовых ящиков находится на удержании.

Получение списка адресов почтовых ящиков с разлитыми данными

Существует два способа сбора списка адресов электронной почты почтовых ящиков с разлитыми данными.

Вариант 1. Получение списка адресов почтовых ящиков с разлитыми данными

  1. Откройте дело обнаружения электронных данных, перейдите на страницу Поиск и выберите соответствующий поиск контента.

  2. На всплывающей странице выберите Просмотреть результаты.

  3. В раскрывающемся списке Отдельные результаты выберите Поиск статистику.

  4. В раскрывающемся списке Тип выберите Основные расположения.

    Получите список почтовых ящиков, содержащих результаты поиска на странице Основные расположения в статистике Поиск.

    Отобразится список почтовых ящиков, содержащих результаты поиска. Также отображается количество элементов в каждом почтовом ящике, соответствующих поисковому запросу.

  5. Скопируйте сведения из списка и сохраните их в файл или нажмите кнопку Скачать , чтобы скачать информацию в CSV-файл.

Вариант 2. Получение расположений почтовых ящиков из отчета об экспорте

Откройте отчет Экспорт сводки, скачанный на шаге 4. В первом столбце отчета адрес электронной почты каждого почтового ящика указан в разделе Расположения.

Подготовьте почтовые ящики, чтобы можно было удалить разлитые данные

Если включено восстановление одного элемента или почтовый ящик помещен на удержание, сообщение, окончательно удаленное (очищенное) будет храниться в папке "Элементы с возможностью восстановления". Поэтому перед очисткой разлитых данных необходимо проверка существующие конфигурации почтовых ящиков, отключить восстановление одного элемента и удалить любую политику удержания или хранения. Помните, что можно подготовить один почтовый ящик одновременно, а затем выполнить одну и ту же команду в разных почтовых ящиках или создать сценарий PowerShell для одновременной подготовки нескольких почтовых ящиков.

Важно!

Прежде чем удалять политику удержания или хранения, обратитесь в отделы управления записями или юридические отделы. В вашей организации может быть политика, которая определяет, является ли почтовый ящик на удержании или инцидент утечки данных имеет приоритет.

Не забудьте отменить изменения почтовый ящик в предыдущие конфигурации после проверки окончательного удаления разлитых данных. Дополнительные сведения см. в шаге 7.

Шаг 7. Окончательное удаление разлитого данных

Используя расположения почтовых ящиков, собранные и подготовленные на шаге 6, и поисковый запрос, созданный и уточненный на шаге 3, для поиска сообщений электронной почты, содержащих разлитые данные, теперь можно безвозвратно удалить разброленные данные. Как упоминалось ранее, чтобы удалить сообщения, необходимо быть членом группы ролей "Управление организацией" или назначить ему роль управления Поиск и очистки. Сведения о добавлении пользователей в группу ролей см. в разделе Назначение разрешений на обнаружение электронных данных.

Сведения об удалении разливаемых сообщений см. в разделе Поиск для и удаления сообщений электронной почты.

При удалении разливаемых данных учитывайте следующие ограничения:

  • Максимальное количество почтовых ящиков в поиске, которое можно использовать для удаления элементов путем выполнения действия поиска и очистки, составляет 50 000. Если поиск, создаваемый на шаге 3, ищет более 50 000 почтовых ящиков, действие очистки завершится ошибкой. Поиск более 50 000 почтовых ящиков за один раз обычно может выполняться при настройке поиска для всех почтовых ящиков в вашей организации. Это ограничение применяется, даже если менее 50 000 почтовых ящиков содержат элементы, соответствующие поисковому запросу.

  • За один раз можно удалить не более 10 элементов из одного почтового ящика. Так как возможность поиска и удаления сообщений предназначена для реагирования на инциденты, это ограничение обеспечивает быстрое удаление сообщений из почтовых ящиков. Эта возможность не предназначена для очистки почтовых ящиков пользователей.

Важно!

Элементы электронной почты в наборе для проверки в деле eDiscovery (премиум) невозможно удалить, используя процедуры, описанные в этой статье. Это связано с тем, что элементы в наборе для проверки являются копиями элементов в динамической службе, которые копируются и хранятся в расположении службы хранилища Azure. Это означает, что они не будут возвращены при поиске контента, созданном на шаге 3. Чтобы удалить элементы в наборе для проверки, необходимо удалить дело eDiscovery (премиум), содержащее этот набор для проверки. Дополнительные сведения см. в статье Закрытие или удаление дела eDiscovery (премиум).

Шаг 8. Проверка, предоставление подтверждения удаления и аудит

Последний шаг в рабочем процессе по управлению инцидентом утечки данных — проверка того, что разлитые данные были окончательно удалены из почтового ящика, перейдя в дело обнаружения электронных данных и повторно выполнив тот же поисковый запрос, который использовался для удаления данных, чтобы убедиться, что результаты не возвращаются. После того, как вы подтвердите, что утекшие данные безвозвратно удалены, вы можете экспортировать отчет и включить его (вместе с исходным отчетом) в качестве доказательства удаления. Затем вы можете закрыть дело , которое позволит вам снова открыть его, если вы будете ссылаться на него в будущем. Кроме того, можно также отменить изменения почтовые ящики в предыдущее состояние, удалить поисковый запрос, используемый для поиска разлитых данных, и найти записи аудита задач, выполненных при управлении инцидентом утечки данных.

Возврат почтовых ящиков в прежнее состояние

Если вы изменили любую конфигурацию почтового ящика на шаге 6, чтобы подготовить почтовые ящики до удаления разлитых данных, необходимо будет отменить изменения их предыдущее состояние. См. раздел Шаг 6. Возврат почтового ящика к предыдущему состоянию в разделе Удаление элементов в папке "Элементы с возможностью восстановления" облачных почтовых ящиков при удержании.

Удаление поискового запроса

Если ключевые слова в поисковом запросе, созданном и использованном на шаге 3, содержат некоторые из всех фактически разлитых данных, следует удалить поисковый запрос, чтобы предотвратить дальнейшее утечку данных.

  1. В Портал соответствия требованиям Microsoft Purview откройте дело обнаружения электронных данных, перейдите на страницу Поиск и выберите соответствующий поиск контента.

  2. На всплывающей странице выберите Удалить.

    Выберите поиск и выберите Удалить на всплывающей странице.

Аудит процесса исследования утечки данных

В журнале аудита можно найти действия обнаружения электронных данных, выполненные во время исследования. Вы также можете выполнить поиск в журнале аудита, чтобы вернуть записи аудита для команды New-ComplianceSearchAction -Purge , выполненной на шаге 7, чтобы удалить разлитые данные. Дополнительные сведения см. в разделе: