Создание и развертывание политик защиты от потери данных

В политике Защита от потери данных Microsoft Purview (DLP) существует множество параметров конфигурации. Каждый параметр изменяет поведение политики. В этой статье представлены некоторые распространенные сценарии намерений для политик, которые будут сопоставлены с параметрами конфигурации. Затем вы сможете настроить эти параметры. После ознакомления с этими сценариями вы сможете использовать пользовательский интерфейс создания политики защиты от потери данных для создания собственных политик.

Развертывание политики также важно. У вас есть несколько вариантов управления развертыванием политики. В этой статье показано, как использовать эти параметры, чтобы политика достигла вашего намерения, избегая дорогостоящих сбоев в работе.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Подготовка к работе

Если вы не знакомы с Microsoft Purview DLP, вот список основных статей, с которыми вы должны быть знакомы при реализации DLP:

1. Административные единицы
2. Сведения о Защита от потери данных Microsoft Purview. В этой статье рассказывается о дисциплине защиты от потери данных и реализации защиты от потери данных корпорацией Майкрософт.
3. Планирование защиты от потери данных (DLP) — работая с этой статьей, вы:
   1. Определение заинтересованных лиц
   2. Описание категорий конфиденциальной информации для защиты
   3. Установка целей и стратегии
4. Справочник по политике защиты от потери данных . В этой статье описаны все компоненты политики защиты от потери данных, а также сведения о том, как каждый из них влияет на поведение политики.
5. Разработка политики защиты от потери данных . В этой статье описано, как создать инструкцию намерения политики и сопоставить ее с определенной конфигурацией политики.
6. Создание и развертывание политик защиты от потери данных . В этой статье, которую вы сейчас читаете, представлены некоторые распространенные сценарии намерения политики, которые вы будете сопоставлять с параметрами конфигурации. Затем в нем описывается настройка этих параметров и приводятся рекомендации по развертыванию политики.

Лицензирование SKU/подписки

Прежде чем приступить к работе с политиками защиты от потери данных, необходимо подтвердить подписку на Microsoft 365 и все надстройки.

Полные сведения о лицензировании см. в статье Руководство по лицензированию Microsoft 365 по обеспечению соответствия требованиям к безопасности&.

Разрешения

Учетная запись, используемая для создания и развертывания политик, должна быть членом одной из этих групп ролей.

• Администратор соответствия требованиям
• Администратор данных о соответствии требованиям
• Защита информации
• Администратор Information Protection
• Администратор безопасности

Важно!

Перед началом работы убедитесь, что вы понимаете разницу между неограниченным администратором и администратором с ограниченным доступом к административной единице .

Детализированные роли и группы ролей

Существуют роли и группы ролей, которые можно использовать для точной настройки элементов управления доступом.

Ниже приведен список применимых ролей. Дополнительные сведения см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.

• Управление соответствием требованиям DLP
• Администратор Information Protection
• Аналитик Information Protection
• Исследователь Information Protection
• Читатель Information Protection

Ниже приведен список применимых групп ролей. Дополнительные сведения см. в статье Дополнительные сведения о них см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.

• Защита информации
• Администраторы Information Protection
• Аналитики Information Protection
• Исследователи Information Protection
• Читатели Information Protection

Сценарии создания политик

В предыдущей статье Разработка политики защиты от потери данных вы познакомили вас с методологией создания оператора намерения политики, а затем сопоставления этого оператора намерения с параметрами конфигурации политики. В этом разделе рассматриваются эти примеры, а также несколько дополнительных сведений о фактическом процессе создания политики. Эти сценарии следует использовать в тестовой среде, чтобы ознакомиться с пользовательским интерфейсом создания политики.

Существует так много параметров конфигурации в потоке создания политики, что невозможно охватить каждую или даже большинство конфигураций. Поэтому в этой статье рассматриваются несколько наиболее распространенных сценариев политики защиты от потери данных. При их использовании вы сможете получить практический опыт в различных конфигурациях.

Сценарий 1 Блокировка электронных писем с номерами кредитов карта

Важно!

Это гипотетический сценарий с гипотетическими значениями. Это только в иллюстративных целях. Следует заменить собственные типы конфиденциальной информации, метки конфиденциальности, группы рассылки и пользователей.

Сценарий 1. Предварительные требования и допущения

В этом сценарии используется метка конфиденциальности , поэтому требуется, чтобы вы создали и опубликовали метки конфиденциальности. Дополнительные сведения см. в статьях

• Сведения о метках конфиденциальности
• Начало работы с метками конфиденциальности
• Создание и настройка меток конфиденциальности и соответствующих политик

В этой процедуре используется гипотетическая группа распределения Finance team at Contoso.com и гипотетический получатель adele.vance@fabrikam.comSMTP.

Сценарий 1. Оператор намерения политики и сопоставление

Нам необходимо заблокировать сообщения электронной почты всем получателям, которые содержат номера кредитов карта или к которым применена метка конфиденциальности, за исключением случаев, когда электронное письмо отправляется от кого-то из финансовой команды по адресу adele.vance@fabrikam.com. Мы хотим уведомлять администратора соответствия требованиям каждый раз, когда сообщение электронной почты блокируется, и уведомлять пользователя, отправившего элемент, и никому не может быть разрешено переопределить блокировку. Отслеживайте все случаи этого события с высоким риском в журнале.

Statement	Ответы на вопрос о конфигурации и сопоставление конфигурации
"Нам нужно заблокировать сообщения электронной почты всем получателям..."	- Мониторинг: Административный область Exchange- : Действие полного каталога - : ограничение доступа или шифрование содержимого в расположениях > Microsoft 365 Блокировать получение электронной почты или доступ к общим файлам > SharePoint, OneDrive и Teams Блокировать всех
"... которые содержат кредитные карта числа или имеют метку конфиденциальности " строго конфиденциальности..."	- Что следует отслеживать, с помощью настраиваемых условий шаблона - для сопоставления измените его, чтобы добавить метку конфиденциальности
"... за исключением случаев, если..."	Конфигурация группы условий . Создание вложенной логической группы условий NOT, присоединенной к первым условиям, с помощью логического И
"... сообщение электронной почты отправляется от кого-то из финансовой команды..."	Условие соответствия: Отправитель является членом
"... и ..."	Условие соответствия: добавление второго условия в группу NOT
"... в ..."adele.vance@fabrikam.com	Условие для соответствия: Sender is
"... Уведомить..."	Уведомления пользователей: включено
"... администратор соответствия требованиям каждый раз, когда сообщение электронной почты блокируется, и уведомляет пользователя, отправившего элемент..."	Уведомление пользователей в службе Office 365 с помощью подсказки политики: выбрано - Уведомление этих пользователей: выберите Пользователь, который отправил, предоставил или изменил содержимое: выберите - Отправить сообщение электронной почты этим дополнительным пользователям: добавьте адрес электронной почты администратора соответствия требованиям.
"... и никто не может быть разрешен переопределить блок...	Разрешить переопределения из служб M365: не выбран
"... Отслеживайте все случаи этого события с высоким риском в журнале".	- Используйте этот уровень серьезности в оповещениях и отчетах администратора: высокий уровень - Отправка оповещения администраторам при совпадении правила: выбран параметр - Отправить оповещение каждый раз, когда действие соответствует правилу: выбрано значение

Действия по созданию политики для сценария 1

Важно!

Для целей этой процедуры создания политики вы примите значения включения и исключения по умолчанию и оставить политику отключенной. Вы будете изменять их при развертывании политики.

1. Войдите в Портал соответствия требованиям Microsoft Purview.

2. В Портал соответствия требованиям Microsoft Purview левой >области навигации> Решения Политики >защиты от>> потери данных+ Создать политику.

3. Выберите Настраиваемые в списке Категории .

4. Выберите Настраиваемые в списке Шаблоны .

5. Присвойте политике имя.

   Важно!

   Политики не могут быть переименованы.

6. Заполните описание. Инструкцию намерения политики можно использовать здесь.

7. Нажмите кнопку Далее.

8. Выберите Полный каталогв разделе Администратор единиц.

9. Установите состояние расположения электронной почты Exchange в положение Вкл. Задайте для всех остальных расположений значение Выкл.

10. Нажмите кнопку Далее.

11. Примите значения по умолчанию для значений Включить = все и Исключить = нет.

12. Уже должен быть выбран параметр Создать или настроить расширенные правила защиты от потери данных .

13. Нажмите кнопку Далее.

14. Выберите Создать правило. Назовите правило и укажите описание.

15. Выберите Добавить условие>Содержимое содержит>добавить> типы >конфиденциальной информацииНомер кредитной карты. Нажмите кнопку Добавить.

16. Выберите Добавить условие>Метки>конфиденциальности Строго конфиденциальные. Нажмите кнопку Добавить.

17. Выберите Добавить группу>И>НЕ>добавить условие.

18. Выберите Отправитель является членом команды по добавлению>или удалению групп>рассылки.

19. Выберите Добавить условие>И>получатель. Добавьте adele.vance@fabrikam.com и нажмите кнопку Добавить.

20. Выберите Добавить и действие>Ограничить доступ или зашифровать содержимое в расположениях> Microsoft 365Ограничить доступ или зашифровать содержимое в расположениях> Microsoft 365. Запретить пользователям получать электронную почту или получать доступ к общему файлу SharePoint, OneDrive и Teams.>Блокировать всех.

21. Установите для уведомления пользователей значение Включено.

22. Выберите Уведомлять пользователей в службе Office 365 с помощью подсказки> политикиУведомлять этих пользователей>— пользователь, отправивший, поделившийся или изменивший содержимое.

23. Выберите Отправить сообщение электронной почты этим дополнительным пользователям и добавьте адрес электронной почты администратора соответствия требованиям.

24. Убедитесь, что параметр Разрешить переопределение из служб M365не выбран.

25. Установите для параметра Использовать этот уровень серьезности в оповещениях и отчетах администратора на высокий.

26. Установите параметр Отправить оповещение администраторам при совпадении с правилом значение Включено.

27. Выберите Отправить оповещение каждый раз, когда действие соответствует правилу.

28. Выберите Сохранить.

29. Нажмите кнопку Далее>отключить следующую>>отправку.

Развертывание

Успешное развертывание политики — это не только получение политики в среде для применения элементов управления действиями пользователей. Случайное и торопливое развертывание может негативно повлиять на бизнес-процесс и раздражить пользователей. Эти последствия замедлит принятие технологии защиты от потери данных в вашей организации и ее безопасное поведение. В конечном итоге делает конфиденциальные элементы менее безопасными в долгосрочной перспективе.

Перед началом развертывания убедитесь, что вы ознакомились с развертыванием политики. В нем содержатся общие сведения о процессе развертывания политики и общие рекомендации.

В этом разделе подробно описаны три типа элементов управления, которые будут использоваться совместно для управления политиками в рабочей среде. Помните, что вы можете изменить любой из них в любое время, а не только во время создания политики.

Три оси управления развертыванием

Существует три оси, которые можно использовать для управления процессом развертывания политики, область, состоянием политики и действиями. Всегда следует применять добавочный подход к развертыванию политики, начиная с режима наименьшего влияния или тестирования до полного применения.

Рекомендуемые конфигурации элементов управления развертыванием

Если политика находится в состоянии	Политика область может быть	Влияние действий политики
Тест	Политика область расположений может быть узкой или широкой	— Вы можете настроить любое действие — настраиваемые действия не влияют на пользователя. Администратор видит оповещения и может отслеживать действия.
Тестирование с помощью подсказок политики	Политика должна быть ограничена для пилотной группы, а затем развернуть область по мере настройки политики.	— Вы можете настроить любое действие . Пользователь не влияет на пользователей от настроенных действий . Пользователи могут получать советы и оповещения политики. Администратор видит оповещения и может отслеживать действия.
Включите его	Все экземпляры целевого расположения	— Все настроенные действия применяются к действиям пользователей— Администратор видит оповещения и может отслеживать действия.
Не закрывать	н/д	н/д

Состояние

Состояние — это основной элемент управления, который будет использоваться для развертывания политики. Завершив создание политики, вы задали ее состояние так, чтобы она была отключена. Вы должны оставить его в этом состоянии, пока вы работаете над конфигурацией политики, пока не получите окончательную проверку и не выйдете. Для состояния можно задать следующее:

• Сначала протестируйте его: действия политики не применяются, события проверяются. Находясь в этом состоянии, вы можете отслеживать влияние политики в консоли оповещений о защите от потери данных и в консоли обозревателя действий DLP.
• Сначала протестируйте его и покажите советы политики в тестовом режиме: никакие действия не применяются, но пользователи будут получать советы по политикам и уведомления по электронной почте, чтобы повысить их осведомленность и обучить их.
• Включите его сразу: это режим полного принудительного применения.
• Не выключите ее: политика неактивна. Используйте это состояние при разработке и проверке политики перед развертыванием.

Состояние политики можно изменить в любое время.

Действия

Действия — это действия, выполняемые политикой в ответ на действия пользователей с конфиденциальными элементами. Так как вы можете изменить их в любое время, вы можете начать с минимального влияния: Разрешить (для устройств) и Только аудит (для всех остальных расположений), собрать и просмотреть данные аудита и использовать их для настройки политики, прежде чем переходить к более строгим действиям.

• Разрешить. Действия пользователя разрешены, поэтому бизнес-процессы не затрагиваются. Вы получите данные аудита, и никаких уведомлений или оповещений от пользователей не будет.

  Примечание.

  Действие Разрешить доступно только для политик, ограниченных расположением устройств .

• Только аудит. Действия пользователя разрешены, поэтому бизнес-процессы не затрагиваются. Вы получите данные аудита и можете добавить уведомления и оповещения, чтобы повысить осведомленность и обучить пользователей понимать, что то, что они делают, является рискованным поведением. Если ваша организация намерена применить более строгие меры позже, вы также можете сообщить об этом своим пользователям.

• Блокировать с переопределением. Действия пользователя блокируются по умолчанию. Вы можете выполнять аудит события, создавать оповещения и уведомления. Это влияет на бизнес-процесс, но пользователям предоставляется возможность переопределить блок и указать причину для переопределения. Так как вы получаете прямые отзывы от пользователей, это действие может помочь вам определить ложноположительные совпадения, которые можно использовать для дальнейшей настройки политики.

  Примечание.

  Для Exchange Online и SharePoint Online переопределения настраиваются в разделе уведомления пользователя.

• Блокировать. Действия пользователя блокируются независимо от того, что. Вы можете выполнять аудит события, создавать оповещения и уведомления.

Политика область

Каждая политика ограничена одним или несколькими расположениями, такими как Exchange, SharePoint Online, Teams и устройства. По умолчанию при выборе расположения все экземпляры этого расположения попадают под область и ни один из них не исключается. Вы можете дополнительно уточнить, к каким экземплярам расположения (например, сайты, группы, учетные записи, группы рассылки, почтовые ящики и устройства), к которым применяется политика, настроив параметры включения и исключения для расположения. Дополнительные сведения о параметрах включения и исключения области см. в разделе Расположения.

Как правило, у вас есть больше гибкости с определением области, пока политика находится в первом состоянии тестирование , так как никакие действия не выполняются. Вы можете начать с область, для чего вы разработали политику, или ознакомиться с тем, как политика повлияет на конфиденциальные элементы в других местах.

Затем, когда вы измените состояние, чтобы сначала протестировать его и показать советы политики, вы должны сузить область до пилотной группы, которая может предоставить вам отзывы и быть ранними последователями, которые могут быть ресурсом для других пользователей, когда они вступят в систему.

При перемещении политики, чтобы включить ее сразу, вы расширите область, включив все экземпляры расположений, которые вы планировали при разработке политики.

Этапы развертывания политики

1. Создав политику и установив для нее состояние Не отключено, просмотрите ее с заинтересованными лицами.
2. Измените состояние, чтобы сначала протестировать его. Расположение область на этом этапе может быть широким, поэтому вы можете собирать данные о поведении политики в нескольких расположениях или просто начинать с одного расположения.
3. Настройте политику на основе данных о поведении, чтобы она лучше соответствовала бизнес-намерениям.
4. Измените состояние, чтобы сначала протестировать его и показать советы по политике. Уточните область расположений для поддержки пилотной группы, если это необходимо, и используйте включения и исключения, чтобы политика сначала была развернута в этой пилотной группе.
5. Соберите отзывы пользователей и данные об оповещениях и событиях, при необходимости настройте политику и свои планы. Убедитесь, что вы убираете все проблемы, возникающие у пользователей. Пользователи, скорее всего, столкнутся с проблемами и поднимут вопросы, о которых вы не думали на этапе проектирования. На этом этапе создайте группу суперпользователей. Они могут быть ресурсом для обучения других пользователей, так как область политики увеличивается и все больше пользователей вступают в состав. Прежде чем перейти к следующему этапу развертывания, убедитесь, что политика достигает ваших целей управления.
6. Измените состояние, чтобы включить его сразу. Политика полностью развернута. Мониторинг оповещений защиты от потери данных и обозреватель действий защиты от потери данных. Адреса оповещений.

См. также

• Сведения об использовании регулярных выражений (регулярных выражений) в политиках защиты от потери данных
• Сведения о локальном сканере для защиты от потери данных
• Использование локального сканера для защиты от потери данных
• Сведения о защите от потери данных
• Начало работы с обозревателем действий
• Подписка на Microsoft 365