了解终结点数据丢失防护

  • 项目

组织在其控制下拥有敏感信息,例如财务数据、专有数据、信用卡号码、健康记录或社会保险号码。 为了帮助保护此敏感数据并降低风险,他们需要一种方法来防止其用户与不应拥有该数据的人进行不当共享。 这种做法称为数据丢失防护 (DLP)。

在 Microsoft Purview 中,可以通过定义和应用 DLP 策略来实现数据丢失防护。 使用 DLP 策略,可以识别、监视和自动保护以下各项的敏感项:

  • Microsoft 365 服务,例如 Teams、Exchange、SharePoint 和 OneDrive 帐户
  • Word、Excel 和 PowerPoint 等 Office 应用程序
  • Windows 10、Windows 11 和 macOS (三个最新版本) 终结点
  • 非 Microsoft 云应用
  • 本地文件共享和本地 SharePoint
  • Power BI

DLP 通过使用深度内容分析(而不仅仅是简单的文本扫描)来检测敏感项。 通过正则表达式的计算、内部函数验证以及与主要数据匹配接近的辅助数据匹配来分析主要数据匹配项的内容。 除此之外,DLP 还使用机器学习算法和其他方法来检测与 DLP 策略匹配的内容。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

开始之前

如果你不熟悉 Microsoft Purview DLP,下面是实现 DLP 时需要的核心文章列表:

  1. 管理单元(预览版)
  2. 了解Microsoft Purview 数据丢失防护 - 你正在阅读的文章介绍了数据丢失防护规则和 Microsoft DLP 的实现
  3. 规划数据丢失防护 (DLP) - 通过完成本文,你将:
    1. 确定利益干系人
    2. 描述要保护的敏感信息类别
    3. 设置目标和策略
  4. 数据丢失防护策略参考 - 本文介绍 DLP 策略的所有组件以及每个组件如何影响策略的行为
  5. 设计 DLP 策略 - 本文指导你创建策略意向语句并将其映射到特定策略配置。
  6. 创建和部署数据丢失防护策略 - 本文介绍将映射到配置选项的一些常见策略意向方案,然后指导你配置这些选项。

许可和订阅

有关支持 DLP 的订阅的详细信息,请参阅信息保护的许可要求

DLP 是更大的 Microsoft Purview 产品/服务的一部分

DLP 只是 Microsoft Purview 工具之一,你将使用它来帮助保护敏感物品,无论它们位于何处或旅行。 你应该了解 Microsoft Purview 工具集中的其他工具,以及它们如何相互关联,并更好地协同工作。 有关信息保护过程的详细信息,请参阅 Microsoft Purview 工具

DLP 策略的保护操作

DLP 策略是监视用户对静态敏感项、传输中的敏感项或使用中的敏感项执行的活动并采取保护措施的方式。 例如,当用户尝试采取禁止的操作时,例如将敏感项目复制到未经批准的位置或在电子邮件中共享医疗信息或策略中列出的其他条件时,DLP 可以:

  • 向用户显示弹出策略提示,警告他们可能尝试不当共享敏感项
  • 阻止共享,并通过策略提示允许用户替代阻止并捕获用户的理由
  • 在没有替代选项的情况下阻止共享
  • 对于静态数据,可以锁定敏感项并将其移动到安全隔离位置
  • 对于 Teams 聊天,不会显示敏感信息

默认情况下,所有 DLP 监视的活动都记录到 Microsoft 365 审核日志 ,并路由到 活动资源管理器。 当用户执行符合 DLP 策略条件的操作,并且你配置了警报时,DLP 会在 DLP 警报管理仪表板中提供警报。

DLP 生命周期

DLP 实现通常遵循这些主要阶段。

DLP 计划

DLP 监视和保护是用户每天使用的应用程序的本机功能。 这有助于保护组织的敏感项目免受风险活动的影响,即使用户不习惯于数据丢失防护思维和做法。 如果你的组织和用户不熟悉数据丢失防护做法,则采用 DLP 可能需要更改业务流程,并且你的用户将发生区域性转变。 但是,通过适当的规划、测试和优化,DLP 策略将保护敏感项,同时最大程度地减少任何潜在的业务流程中断。

DLP 的技术规划

请记住,DLP 作为一种技术可以跨 Microsoft 365 服务、Windows 10、Windows 11和 macOS (三个最新版本() 设备、本地文件共享和本地 SharePoint)监视和保护静态数据、使用数据和动态数据。 对不同位置、要监视和保护的数据类型以及发生策略匹配时要执行的操作具有规划意义。

DLP 的业务流程规划

DLP 策略可以阻止禁止的活动,例如通过电子邮件不当共享敏感信息。 规划 DLP 策略时,必须确定涉及敏感项的业务流程。 业务流程所有者可帮助你识别应允许的相应用户行为和应受到保护的不当用户行为。 应规划策略并将其部署在测试模式下,并首先通过 活动资源管理器 评估其影响,然后再在限制性更严格的模式下应用它们。

DLP 的组织文化规划

成功的 DLP 实现在很大程度上取决于让用户接受数据丢失防护实践的训练和适应,以及它是否在精心规划和优化的策略上。 由于用户参与其中非常频繁,因此请务必为他们规划培训。 在将策略实施从测试模式更改为限制性更高的模式之前,可以战略性地使用策略提示来提高用户的认识。

准备 DLP

可以将 DLP 策略应用于静态数据、正在使用的数据以及位置中的动态数据,例如:

  • Exchange Online电子邮件
  • SharePoint Online 站点
  • OneDrive 帐户
  • Teams 聊天和通道消息
  • Microsoft Defender for Cloud Apps
  • Windows 10、Windows 11和 macOS (三个最新发布的版本) 设备
  • 本地存储库
  • Power BI 网站

每个组件都有不同的先决条件。 某些位置(如 Exchange Online)中的敏感项只需配置适用于它们的策略即可将其置于 DLP 保护之下。 其他如本地文件存储库需要部署 Azure 信息保护 (AIP) 扫描程序。 在激活任何阻止操作之前,需要准备环境、编写策略草案并对其进行全面测试。

在生产环境中部署策略

设计策略

首先定义控制目标,以及它们如何应用于每个各自的工作负载。 起草体现目标的策略。 可以随意从一次一个工作负载开始,也可以跨所有工作负载开始 ,目前尚无任何影响。

在测试模式下实现策略

通过在测试模式下使用 DLP 策略实现控件来评估控件的影响。 策略处于测试模式时,不会应用策略中定义的操作。 可以将策略应用于测试模式下的所有工作负载,以便获得完整的结果范围,但如果需要,可以从一个工作负载开始。

监视结果并微调策略

在测试模式下,监视策略的结果并对其进行微调,使其符合控制目标,同时确保不会对有效的用户工作流和工作效率产生不利影响或无意中影响。 下面是一些需要微调的内容示例:

  • 调整在范围内或范围外的位置和人员/地点
  • 优化用于确定某个项及其正在执行的操作是否与策略匹配的条件
  • 敏感信息定义/秒
  • 添加新控件
  • 添加新人员
  • 添加新受限应用
  • 添加新的受限网站

注意

停止处理更多规则 在测试模式下不起作用,即使它已打开。

启用控制和优化策略

策略满足所有目标后,请将其打开。 继续监视策略应用程序的结果,并根据需要进行优化。

注意

一般情况下,策略在启用后大约一小时生效。

DLP 策略配置概述

可以灵活地创建和配置 DLP 策略。 可以从预定义模板开始,只需单击几下即可创建策略,也可以从头开始设计自己的策略。 无论你选择哪种,所有的 DLP 策略都需要你提供相同的信息。

  1. 选择要监视的内容 - DLP 附带许多预定义的策略模板,可帮助你入门,或者可以创建自定义策略。

    • 预定义的策略模板: 适用于各个国家和地区的财务数据、医疗和健康数据和隐私数据。
    • 使用可用的敏感信息类型、保留标签和敏感度标签的自定义策略。

  2. 选择管理范围 - DLP 支持将 管理单元 分配给策略 (预览) 。 分配到管理单元的管理员只能为分配到的用户、组、通讯组和帐户创建和管理策略。 因此,策略可由不受限制的管理员应用于所有用户和组,也可以将其范围限定为管理单元。 有关 DLP 特定的详细信息,请参阅 策略范围 。 有关跨Microsoft Purview 信息保护管理单元的详细信息,请参阅管理单元 (预览)

  3. 选择要监视的位置 - 选择要 DLP 监视敏感信息的一个或多个位置。 可以监视:

位置 包含/排除方式
Exchange 电子邮件 通讯组
SharePoint 网站 网站
OneDrive 账户 帐户或通讯组
Teams 聊天和通道消息 帐户或通讯组
Windows 10、Windows 11和 macOS (三个最新发布的版本) 设备 用户或组
Microsoft Cloud App Security 实例
本地存储库 存储库文件路径
Power BI (预览版) 工作区
  1. 选择策略要应用于项必须匹配的条件 - 可以接受预配置条件或定义自定义条件。 示例如下:
  • item 包含特定上下文中使用的指定敏感信息类型。 例如,95 个社会保险号码通过电子邮件发送给组织外部的收件人。
  • 项具有指定的敏感度标签
  • 具有敏感信息的项在内部或外部共享
  1. 选择在满足策略条件时要执行的操作 - 操作取决于活动发生的位置。 示例如下:
  • SharePoint/Exchange/OneDrive:阻止组织外部的人员访问内容。 向用户显示提示,并向他们发送电子邮件通知,告知他们正在执行 DLP 策略禁止的操作。
  • Teams 聊天和频道:阻止在聊天或频道中共享敏感信息
  • Windows 10、Windows 11和 macOS (三个最新版本) 设备:审核或限制将敏感项复制到可移除的 USB 设备
  • Office 应用:显示一个弹出窗口,通知用户他们正在从事有风险的行为,并阻止或阻止,但允许替代。
  • 本地文件共享:将文件从存储到隔离文件夹

注意

条件和要执行的操作是在名为“规则”的对象中定义的。

创建和部署 DLP 策略

所有 DLP 策略都在 Microsoft Purview 中心创建和维护。 有关详细信息,请参阅 创建和部署数据丢失防护策略

在合规性门户中创建 DLP 策略后,它会存储在中央策略存储中,然后同步到各种内容源,包括:

  • Exchange Online,并从它同步到 Outlook 网页版和 Outlook。
  • OneDrive for Business 网站。
  • SharePoint Online 网站。
  • Office 桌面程序(Excel、PowerPoint 和 Word)。
  • Microsoft Teams 频道和聊天消息。

该策略同步到正确的位置后,它将开始评估内容并强制执行操作。

查看策略应用程序结果

DLP 从监视、策略匹配和操作以及用户活动向 Microsoft Purview 报告大量信息。 你需要使用该信息并对其执行操作,以优化策略和对敏感项目采取的会审操作。 遥测数据首先进入Microsoft Purview 合规门户审核日志,然后进行处理,并转到不同的报告工具。 每个报告工具都有不同的用途。

DLP 警报仪表板

当 DLP 对敏感项执行操作时,可以通过可配置的警报通知该操作。 合规性门户使这些警报在 DLP 警报管理仪表板中可用,而不是将这些警报堆积在邮箱中供你筛选。 使用 DLP 警报仪表板配置警报、查看警报、对其进行会审并跟踪 DLP 警报的解决。 下面是策略匹配项和活动从Windows 10设备生成的警报示例。

警报信息。

你还可以在同一仪表板中查看关联事件的详细信息以及丰富元数据

事件信息。

报表

DLP 报告显示一段时间内的广泛趋势,并提供以下特定见解:

  • DLP 策略随时间推移匹配 ,并按日期范围、位置、策略或操作进行筛选
  • DLP 事件匹配 也显示一段时间内的匹配项,但会透视项而不是策略规则。
  • DLP 误报和替代 显示误报的计数,以及用户替代以及用户理由(如果已配置)。

DLP 活动资源管理器

DLP 页上的“活动资源管理器”选项卡将 “活动 筛选器”预设为 DLPRuleMatch。 使用此工具可以查看与包含敏感信息或已应用标签的内容相关的活动,例如更改了哪些标签、修改了哪些文件以及与规则匹配。

DLPRuleMatch 作用域活动资源管理器的屏幕截图。

上下文摘要

可以看到匹配内容周围的文本,例如活动资源管理器中 DLPRuleMatch 事件中的信用卡编号。 为此,必须先启用 高级分类扫描和保护

DLPRuleMatch 事件与用户活动事件配对。 应紧挨 (或至少非常接近活动资源管理器中的彼此) 。 你需要查看这两者,因为 用户活动事件 包含有关匹配策略的详细信息, DLPRuleMatch 事件包含有关匹配内容周围文本的详细信息。

对于终结点,请确保已对Windows 10设备应用 KB5016688,对Windows 11或更高版本的设备应用 KB5016691

有关详细信息,请参阅 活动资源管理器入门

若要详细了解 Microsoft Purview DLP,请参阅:

若要了解如何使用数据丢失防护来遵守数据隐私法规,请参阅 使用 Microsoft Purview (aka.ms/m365dataprivacy) 为数据隐私法规部署信息保护