Microsoft Defender for Cloud Apps 中内置的 DLP 内容检查
重要
从 2023 年 3 月开始,我们将停用内置的 DLP 内容检查引擎。 为了确保平稳过渡,我们强烈建议开始将策略转换为使用数据分类服务 (DCS) 内容检查引擎。 虽然内置的 DLP 引擎将继续工作,但我们强烈建议将策略移动到 DCS 引擎,以利用其经过改进的功能。
下面是迁移说明:
禁用包含内置引擎内容检查条件的策略。 这将确保所有匹配的文件在指定的转换日期之前保持不变。
创建包含以下两个条件的新策略:
- 具有“开始日期”的元数据条件,避免从头开始扫描所有文件。
- 使用 DCS 引擎的内容检查条件。
有关详细信息,请参阅 Microsoft 数据分类服务集成。
本文介绍了 Microsoft Defender for Cloud Apps 在对云中的数据运行内置 DLP 内容检查时遵循的过程。
Defender for Cloud Apps 内容检查的工作方式如下:
- 首先,Defender for Cloud Apps 对检测到的新的或已更改的驱动器和事件执行准实时 (NRT) 扫描。
- 扫描完成后,Defender for Cloud Apps 对所有驱动器中的所有相关文件执行连续扫描。
NRT 扫描和连续扫描中的文件都会添加到队列以备检查。 扫描队列中的文件顺序是根据文件和驱动器扫描上的每个活动设置的。 仅当文件元数据显示它是受支持的 MIME 类型(文档、演示文稿、电子表格、文本和 zip/存档文件)时,才会扫描文件内容。
扫描文件后,将执行以下操作:
Defender for Cloud Apps 将应用所有与元数据相关,但与内容本身无关的自定义策略。 例如,文件超过 20 MB 时,发出警报的策略,或 docx 文件保存到 OneDrive 时,发出警报的策略。
如果有要求内容检查的策略并且该文件具有内容检查的资格,内容将会排队进行检查。 队列长度取决于租户的大小和需要扫描的文件数量。
此时,通过转到“调查”>“文件”并单击文件,可查看内容检查的状态。 在随文件详细信息打开的文件抽屉中,“内容检查状态”将显示“已完成”、“挂起”、“不适用”(如果文件类型不受支持,或如果没有策略要求对该文件进行内容检查),或显示一条失败消息。 有关内容扫描失败消息的信息,请参阅内容检查疑难解答。
注意
如果在扫描状态中存在短划线,这表示该文件未排队进行扫描。 请参阅文件策略了解有关设置内容检查策略的信息。
内置内容检查扫描策略可搜索以下项目:
- 电子邮件地址
- 信用卡号
- 所有信用卡公司(Visa、MasterCard、American Express、Diners Club、Discover、JCB、Dankort、UnionPay)
- 分隔符 - 空格、句点或破折号
- 此扫描还包括 Luhn 验证
- SWIFT 代码
- 国际护照编号
- 驾驶证编号
- 日期
- 银行 ABA 汇款路线号码
- 银行标识代码
- HIPAA HICN 健康保险索赔编号
- HIPAA NPI 全国提供商标识符
- PHI 全名和出生日期
- 加利福尼亚州身份证或驾驶证编号
- 驾驶证编号
- 家庭地址
- 护照卡
- 社会保障号
支持的语言
Defender for Cloud Apps 内容检查引擎:
- 支持所有 Unicode 字符
- 覆盖超过 100 种文件类型
- 支持多种语言,特别是使用 Unicode 字符集的文件。 请确保定义策略以对应这些语言。 例如,如果要查找关键字,则必须在要使用的所有语言中添加关键字。
- 在使用非 Unicode 编码的基于文本的文件类型中(例如中文 GB2312),与 Unicode 中文关键字进行比较将无法按预期取得结果。
- 对于依赖第三方库的文件类型,匹配的字符串和字词并不总是按预期工作。 这在内容检查依赖于为语言和字符集返回 Java 字符串的第三方库的文件(例如二进制文件类型)中最常见。
后续步骤
如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。