Изучение политик защиты от потери данных
- 7 мин
Политика защиты от потери данных Microsoft Purview объединяет различные шаблоны поиска для поиска, расположения для защиты или исключения, условия и действия.
- Условие может применяться к содержимому, содержая конфиденциальные сведения, которыми пользователь поделился с кем-то за пределами организации. Например, кредит карта номер, номер социального страхования, идентификатор здоровья и т. д.
- Действие может включать блокировку доступа к документу, а затем отображение подсказки политики или отправку пользователю и сотруднику по обеспечению соответствия требованиям уведомления по электронной почте.
Политика защиты от потери данных может находить и защищать конфиденциальную информацию в Microsoft 365. Не имеет значения, где находятся данные. Политики защиты от потери данных можно применять к неактивным, используемым данным и данным в движении в таких расположениях, как:
- Exchange Online адрес электронной почты
- Сайты SharePoint
- Учетные записи OneDrive
- сообщения в чатах и каналах Teams
- Microsoft Defender for Cloud Apps (экземпляры)
- устройства Windows 10, Windows 11 и macOS (три последние выпущенные версии)
- Локальные репозитории файлов
- Сайты Power BI
Для каждого расположения есть разные предварительные требования. Конфиденциальные элементы в некоторых местах, например Exchange Online, можно использовать под зонтиком защиты от потери данных, просто настроив политику, которая применяется к ним. Для других, таких как локальные репозитории файлов, требуется развертывание Защита информации Microsoft Purview сканера. Учитывая различные предварительные требования к расположению, необходимо подготовить среду, кодировать черновики политики и тщательно протестировать их перед активацией каких-либо блокирующих действий. Вы можете легко защитить все расположения, исключить различные службы или даже исключить элементы из служб.
Правила, условия и действия
Правила — это то, что обеспечивает соблюдение бизнес-требований организации к хранямой информации. Политика может содержать одно или несколько правил, и каждое правило состоит из условий и действий. Когда система проверяет условия для выполнения правила, она автоматически выполняет действия.
Conditions
Условия фокусируются на содержимом и контексте. Примером содержимого является тип конфиденциальной информации, которую вы ищете. Примером контекста является пользователь, которому пользователь предоставил общий доступ к документу.
С помощью условий можно назначать разные действия для разных уровней риска. Например, конфиденциальное содержимое, совместно используемое внутри организации, может иметь более низкий риск и требовать меньше действий, чем конфиденциальное содержимое, к которым предоставлен доступ пользователям за пределами организации.
Условия могут определять, если:
- Содержимое содержит любой из более чем 80 встроенных типов конфиденциальной информации.
- Пользователь предоставил общий доступ к содержимому людям за пределами организации или внутри нее.
- Свойства документа содержат определенные значения. Например, к документам, отправленным в Microsoft 365 с файлового сервера на основе Windows Server, могут применяться свойства инфраструктуры классификации файлов (FCI). Для электронной почты это условие работает для документов, вложенных в сообщения.
Действия
Если содержимое соответствует условию в правиле, система автоматически завершает действия, назначенные правилу. Действия обычно используются для защиты документа или содержимого. Вы можете выполнить такие действия, как:
- Блокировать доступ к содержимому. Для содержимого сайта система ограничивает разрешения на документ для всех, кроме основного администратора семейства веб-сайтов, владельца документа и пользователя, который в последний раз изменял документ. Для содержимого электронной почты это действие блокирует отправку сообщения пользователями. В зависимости от того, как вы настраиваете правило защиты от потери данных, отправитель видит отчет о недоставке (NDR) или использует ли правило действие Отправить уведомление , подсказку политики и уведомление по электронной почте.
-
Отправка уведомления. Вы можете отправлять уведомления пользователю, который предоставил общий доступ, отправил по электронной почте или в последний раз изменил содержимое. Для содержимого сайта можно также отправлять уведомления администратору семейства веб-сайтов и владельцу документа. Помимо отправки уведомления по электронной почте, вы также можете отобразить подсказку политики в следующих сценариях:
- В Outlook 2013 и более поздних версиях и в Outlook в Интернете.
- Для документа на сайте SharePoint Online или OneDrive.
- В Excel, PowerPoint и Word (2016 или более поздней версии), когда пользователь сохраняет документ на сайте, включенном в политику защиты от потери данных.
Вы также можете разрешить пользователям переопределять настроенное действие. Это может свести к минимуму влияние на бизнес возможное ложноположительное попадание настроенных условий. В этом случае система регистрирует переопределение с необязательным обоснованием переопределения пользователей.
Обзор конфигурации политики защиты от потери данных
Организации обладают гибкостью в создании и настройке политик защиты от потери данных. Они могут начинаться с предопределенного шаблона и создавать политику всего за несколько щелчков мыши. Кроме того, они могут разработать собственную настраиваемую политику с нуля. Независимо от выбранного метода все политики защиты от потери данных требуют одинаковых сведений.
Выберите, что нужно отслеживать. Защита от потери данных поставляется со множеством стандартных шаблонов политик, которые помогут вам приступить к работе. Вы также можете создать настраиваемую политику.
- Предопределенные шаблоны политик включают финансовые данные, медицинские и медицинские данные, а также данные о конфиденциальности. Все шаблоны предназначены для различных стран и регионов.
- Пользовательская политика использует доступные типы конфиденциальной информации, метки хранения и метки конфиденциальности.
Выберите административную область. Защита от потери данных поддерживает назначение политику административных единиц . Администраторы, назначенные административной единице, могут создавать политики и управлять ими только для пользователей, групп, групп рассылки и учетных записей, которым они назначены. Таким образом, политики могут применяться ко всем пользователям и группам неограниченным администратором или могут быть ограничены административными единицами. Дополнительные сведения о защите от потери данных см. в разделе Определение области политики . Сведения об административных единицах в Защита информации Microsoft Purview см. в статье Административные единицы.
Выберите место для мониторинга. Организации могут выбрать одно или несколько расположений, которые они хотят, чтобы защита от потери данных отслеживала конфиденциальные сведения. В следующей таблице показан список расположений, которые можно отслеживать.
Location Включить или исключить: электронная почта Exchange группы рассылки сайты SharePoint сайты учетные записи OneDrive учетные записи или группы рассылки сообщения в чатах и каналах Teams учетная запись или группа рассылки устройства Windows 10, Windows 11 и macOS (Catalina 10.15 и более поздних версий) пользователь или группа Microsoft Cloud App Security экземпляр Локальные репозитории путь к файлу репозитория Power BI (предварительная версия) рабочие области Выберите условия, которые должны соответствовать Microsoft Purview для применения политики к элементу. Организации могут принимать предварительно настроенные условия или определять пользовательские условия. Ниже приведен ряд примеров.
- Элемент содержит конфиденциальную информацию, используемую в определенном контексте. Например, 95 номеров социального страхования, которые пользователь отправил получателю за пределами организации.
- Элемент имеет указанную метку конфиденциальности.
- Пользователь предоставил доступ к элементу с конфиденциальной информацией как внутренне, так и за ее пределами.
Выберите действие, выполняеме при выполнении условий политики. Действия зависят от расположения, в котором происходит действие. Вот некоторые примеры:
- SharePoint,Exchange/OneDrive. Запретить доступ к содержимому пользователям за пределами вашей организации. Покажите пользователю подсказку и отправьте ему уведомление по электронной почте. В уведомлении должно быть указано, что политика защиты от потери данных запрещает предпринятое действие.
- Чат и канал Teams. Запретить пользователям делиться конфиденциальной информацией в чате или канале.
- Windows 10, Windows 11 и macOS (Catalina 10.15 и более поздних версий). Аудит или ограничение копирования конфиденциального элемента на извлекаемое USB-устройство.
- Приложения Office. Отображение всплывающего сообщения с уведомлением пользователя о том, что он участвует в рискованном поведении. Затем либо заблокируйте действие, либо заблокируйте действие, но разрешите пользователю переопределить блок.
- Локальные общие папки. Переместите файл из текущего расположения хранилища в папку карантина.
При создании политики защиты от потери данных в Портал соответствия требованиям Microsoft Purview система сохраняет ее в центральном хранилище политик. Затем система синхронизирует политику с различными источниками содержимого, включая:
- Exchange Online и оттуда в Outlook в Интернете и Outlook;
- Сайты OneDrive.
- Сайты SharePoint Online.
- Классические приложения Office (Excel, PowerPoint и Word).
- Сообщениях каналов и чата Microsoft Teams.
После того как система синхронизирует политику с нужными расположениями, она начинает оценивать содержимое и применять действия.
Запуск политики защиты от потери данных в режиме имитации
Когда организация создает политику защиты от потери данных, она может запустить ее в режиме принудительного применения или в режиме имитации. Режим принудительного применения активирует политику для немедленного запуска. Однако, когда политика находится в режиме имитации, она выполняется так, как если бы она применялась, без какого-либо фактического применения. Все соответствующие элементы и оповещения отображаются на отдельной панели мониторинга. Такая конструкция позволяет легко увидеть влияние политики перед ее применением, сохраняя все результаты моделирования отдельно от результатов применяемых политик.
Режим имитации обеспечивает следующие возможности:
- Изолированный интерфейс для запуска и оценки политик.
- Сводная панель мониторинга, которая позволяет получить представление о влиянии политик в разных расположениях и показывает, какие элементы были сопоставлены.
- Плоский список соответствующих элементов на уровне политики.
Режим имитации для политик защиты от потери данных — это инструмент, который можно использовать для настройки политик защиты от потери данных в любое время. Корпорация Майкрософт рекомендует включить его в процесс создания и развертывания политики. Использование режима имитации для настройки полиции сокращает количество ложных срабатываний без влияния на пользователей или бизнес-процессы. Его можно использовать в процессе развертывания для новых политик или для тестирования изменений существующих политик перед применением этих изменений в рабочей среде.
Режим имитации позволяет отслеживать результаты политики. При этом вы можете настроить политику так, чтобы она соответствовала вашим целям управления, гарантируя, что вы не оказываете негативного или непреднамеренного влияния на допустимые рабочие процессы пользователей и производительность. Ниже приведены некоторые примеры вещей, которые необходимо настроить.
- Настройка расположений и людей/ мест, которые находятся в или вне область
- Настройка условий, используемых для определения того, соответствует ли элемент и его действия политике.
- Определения конфиденциальной информации
- Добавление новых элементов управления
- Добавление новых пользователей
- Добавление новых ограниченных приложений
- Добавление новых сайтов с ограниченным доступом
Рассмотрим следующий пример.
Администратор безопасности Microsoft 365 компании Contoso Холли Диксон создала политику защиты от потери данных под названием Защита финансовых данных версии 1. После того, как Холли активировала политику, она заметила через DLP ложноположительный и переопределенный отчет, что политика бросала слишком много ложноположительных результатов Сначала Холли думала, что она знала, что было не так. Тем не менее, она не хотела экспериментировать с изменениями политики в производстве, чтобы проверить свои подозрения. Вместо этого Холли сделала копию политики Защита финансовых данных версии 1 , озаглавленная защита финансовых данных версии 2, внесла изменения в настройку, а затем запустила политику версии 2 в режиме имитации. Холли заметила, что изменения имеют желаемый результат, поэтому она отключила политику версии 1 и изменила политику версии 2 с режима имитации на режим принудительного применения.
Важно!
Моделирование может выполняться в течение 15 дней, поэтому результаты не являются моментом времени snapshot. Для расположений SharePoint Online и OneDrive оцениваются все существующие и новые или измененные элементы. Для расположений Exchange, Teams и устройств оцениваются только новые элементы во время моделирования. Данные, полученные от выполнения имитации, хранятся в течение 30 дней.
Проверка знаний
Выберите лучший ответ на каждый из приведенных ниже вопросов.