从设备收集与数据丢失防护策略匹配的文件入门

  • 项目

本文将指导你完成设备上文件活动证据收集的先决条件和配置步骤,并介绍如何查看复制和保存的项目。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

下面是为设备上的文件活动配置和使用证据收集的高级步骤。

  1. 载入设备
  2. 了解你的要求
  3. 创建托管 Azure 存储帐户
  4. 将 Azure 存储 Blob 添加到帐户
  5. 配置终结点 DLP 设置
  6. 配置 DLP 策略
  7. 预览收集的证据

开始之前

在开始这些过程之前,应查看 了解设备上文件活动的证据收集

许可和订阅

有关支持 DLP 的订阅的详细信息,请参阅信息保护的许可要求

请参阅创建自定义基于角色的访问控制所需的 Azure Active Directory P1 或 P2 的先决条件许可要求 , (RBAC) 。

权限

需要标准Microsoft Purview 数据丢失防护 (DLP) 权限。 有关详细信息,请参阅权限

载入设备

在使用复制匹配项之前,必须先将 Windows 10/11 设备加入 Purview,请参阅将 Windows 设备载入 Microsoft 365 概述

了解你的要求

重要

每个容器继承其所处存储帐户的权限。 不能为每个容器设置不同的权限。 如果需要为不同区域配置不同的权限,则必须创建多个存储帐户,而不是多个容器。

在设置 Azure 存储并将功能范围限定为用户之前,应该有以下问题的答案。

是否需要按照角色或部门划分项目和访问权限?

例如,如果组织希望有一组管理员或 DLP 事件调查人员可以查看高级领导保存的文件,以及另一组管理员或 DLP 事件调查人员用于人力资源中保存的项目,则应为高级领导创建一个 Azure 存储帐户,为人力资源创建另一个 Azure 存储帐户。 这可确保 Azure 存储管理员或 DLP 事件调查人员只能查看其各自组中与 DLP 策略匹配的项。

是否要使用容器来组织保存的项目?

可以在同一存储帐户中创建多个证据容器,以便对保存的文件进行排序。 例如,一个用于从人力资源部门保存的文件,另一个用于 IT 部门的文件。

防止删除或修改保存的项目的策略是什么?

在 Azure 存储中,数据保护是指保护存储帐户及其内数据免遭删除或修改的策略,以及删除或修改数据后还原数据的策略。 Azure 存储还提供灾难恢复选项(包括多个级别的冗余),以保护数据免受硬件问题或自然灾害导致的服务中断,以及在主要区域中的数据中心不可用时进行客户管理的故障转移。 有关详细信息,请参阅 数据保护概述

还可以为 Blob 数据配置不可变性策略,以防止被覆盖或删除的已保存项。 有关详细信息,请参阅 使用不可变存储存储业务关键 Blob 数据

将匹配项保存到 Azure Blob 存储

若要保存 Microsoft Purview 检测到何时应用数据丢失防护策略的证据,需要设置 Azure Blob 存储。 若要详细了解如何创建自己的托管存储帐户,请参阅 创建自己的托管 Azure 存储帐户

创建托管 Azure 存储帐户

Azure 文档集中记录了设置 Azure 存储帐户、容器和 Blob 的过程。 下面是相关文章的链接,可参考这些文章来帮助你入门:

  1. Azure Blob 存储简介
  2. 创建存储帐户
  3. 使用 Azure Active Directory 默认访问 Blob 并授权访问 blob
  4. 使用 Azure 门户管理 Blob 容器
  5. 使用 PowerShell 管理块 Blob

请务必保存 Azure Blob 容器的名称和 URL。 若要查看 URL,请打开 Azure 存储门户 > **主 >存储帐户>容器>属性

Azure Blob 容器 URL 的示例格式为 https://storageAccountName.blob.core.windows.net/containerName

将 Azure 存储 Blob 添加到帐户

从 Microsoft Purview 合规门户中添加 Azure Blob 存储

  1. 从合规性门户的左侧导航窗格开始,导航到 “数据丢失防护>终结点 DLP 设置”。
  2. 将设备上 文件活动的安装程序证据收集 切换为 “打开”。
  3. “在设备上设置证据缓存 ”字段中,选择设备脱机时应在本地保存证据的时间量。 可以选择 73060 天。
  4. 选择“ + 添加存储”。
  5. 在浮出控件窗格中,输入存储 Blob 的名称和相应的连接字符串,然后选择 “添加”。
  6. 对所需的任何其他 Blob 重复步骤 3 和 4。

从 DLP 创建工作流中添加 Azure Blob 存储

  1. 在左侧导航窗格中,导航到 “数据丢失防护>策略”。
  2. 选择编辑现有策略或创建新策略。
  3. 完成策略向导。 在 “策略设置” 页上,选择“创建或自定义高级 DLP 规则”。
  4. 选择“ + 创建规则”。
  5. 像往常一样通过规则生成器,选择以下选项:
    1. 在“ 位置” 部分中,确保规则的范围仅限定为 “设备”。
    2. “事件报告 ”部分中,将 “发生规则匹配时向管理员发送警报 ”选项切换为 “开”。
    3. 选中“ 收集原始文件作为终结点上所有选定文件活动的证据”旁边的复选框。
    4. 选择 “添加存储”。 将在新窗口中打开 “终结点 DLP 设置 ”页。
    5. “终结点 DLP 设置” 页上,展开 “设置设备上文件活动的证据收集 ”,并确保将选项切换为“ ”。
    6. 对于 “在设备上设置证据缓存”,指定设备与服务器断开连接时文件应保留的天数。
    7. 选择“ + 添加存储”。
    8. “添加帐户” 浮出控件中,输入 Blob 的名称和 URL。
    9. 选择“保存”。
    10. 返回到规则生成器,选择每次 活动与规则匹配时发送警报
    11. 选择" 保存"。
  6. 完成创建或编辑规则,然后选择“提交”。

设置对 Azure Blob 存储的权限

使用 Azure Active Directory 授权,必须对 blob 配置两组权限:一个用于管理员和调查人员,以便他们可以查看和管理证据,另一个用于设备需要将项目上传到 Azure 的用户。 你应该 在 Microsoft Purview 合规性中创建自定义角色组 ,通过在分配帐户时强制实施最低权限,将所有用户(无论角色如何)限制为其角色所需的权限。

管理员和调查人员对 Azure Blob 的权限

创建 DLP 事件调查人员将使用的角色组后,该角色组必须对 Azure Blob 具有以下权限。 有关配置 Blob 访问的详细信息,请参阅如何授权访问Azure 门户中的 blob 数据分配共享级别权限

调查人员操作

为调查员角色配置以下对象和操作权限:

Object 权限
Microsoft.Storage/storageAccounts/blobServices 读取:列出 Blob 服务
Microsoft.Storage/storageAcccounts/blobServices 读取:获取 Blob 服务属性或统计信息
Microsoft.Storage/storageAccounts/blobServices/containers 读取:获取 Blob 容器
Microsoft.Storage/storageAccounts/blobServices/containers 读取:Blob 容器列表
Microsoft.Storage/storageAccounts/blobServices/containers/blobs 读取:读取 blob
调查员数据操作
Object 权限
Microsoft.Storage/storageAccounts/blobServices/containers/blobs 读取:读取 Blob

调查员角色组的 JSON 应如下所示:

"permissions": [
     {
         "actions": [
             "Microsoft.Storage/storageAccounts/blobServices/containers/read",
             "Microsoft.Storage/storageAccounts/blobServices/read"
       ],
       "notActions": [],
       "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
       ],
       "notDataActions": []
     }
 ]

用户对 Azure Blob 的权限

为用户角色的 Azure Blob 分配以下对象和操作权限:

用户操作
Object 权限
Microsoft.Storage/storageAccounts/blobServices 读取:列出 Blob 服务
Microsoft.Storage/storageAccounts/blobServices/containers 读取:获取 Blob 容器
Microsoft.Storage/storageAccounts/blobServices/containers 写入:放置 Blob 容器
用户数据操作
Object 权限
Microsoft.Storage/storageAccounts/blobServices/containers/blobs 写入:写入 Blob
Microsoft.Storage/storageAccounts/blobServices/containers/blobs 其他:添加 Blob 内容

用户角色组的 JSON 应如下所示:

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

配置终结点 DLP 设置

  1. 登录到Microsoft Purview 合规门户

  2. 在左侧导航Microsoft Purview 合规门户 >>解决方案>数据丢失防护>终结点 DLP 设置>设置设备上文件活动的证据收集

  3. 将开关设置为 “开”。

  4. 设置设备无法访问 Azure 存储帐户时在设备上缓存文件的持续时间。 可以选择 7 天、 30 天或 60 天。

  5. 选择“ + 添加存储 ”,并提供 Azure 存储帐户的名称和 URL。 URL 格式是存储帐户 FQDN/containerName。 使用 Azure Active Directory 授权时,不需要 SAS 令牌。

配置 DLP 策略

像平常一样创建 DLP 策略。 有关策略配置示例,请参阅 创建和部署数据丢失防护策略

使用以下设置配置策略:

  • 确保 “设备 ”是唯一选定的位置。
  • “事件报告”中,将 规则匹配发生时向管理员发送警报 切换为 “开”。
  • “事件报告”中,选择“ 收集原始文件”作为终结点上所有选定文件活动的证据
  • 选择所需的存储帐户。
  • 选择要将匹配项复制到 Azure 存储的活动 (复制到可移动 USB 设备复制到网络共享使用未启用的蓝牙应用打印、复制或移动使用 RDP) 复制或移动

预览收集的证据

通过活动资源管理器预览证据

  1. 从合规性门户的左侧导航窗格开始,导航到 数据丢失防护>活动资源管理器
  2. 使用“ 日期 ”下拉列表,选择你感兴趣的时间段的 “开始 ”和“ 结束 日期”。
  3. 在结果列表中,选择要调查的活动。
  4. 在浮出控件窗格中,指向已保存证据的 Azure Blob 存储的链接显示在 “证据文件”下。
  5. 选择 Azure Blob 存储链接以显示匹配的文件。

通过合规性门户警报页预览证据

  1. 从合规性门户的左侧导航窗格开始,导航到 “数据丢失防护>警报”。
  2. 使用“ 日期 ”下拉列表,选择你感兴趣的时间段的 “开始 ”和“ 结束 日期”。
  3. 在结果列表中,选择要调查的活动。
  4. 在浮出控件窗格中,选择“ 查看详细信息”。
  5. 选择“ 事件 ”选项卡。
  6. 在“ 详细信息 ”窗格中,选择“ ”选项卡。将显示匹配的文件。

注意

如果已匹配的文件已存在于 Azure 存储 Blob 中,则在对文件进行更改并且用户对该文件执行操作之前,不会再次上传该文件。

已知限制

  • 如果系统崩溃或重启,存储在设备缓存中的文件不会保留。
  • 可从设备上传的文件的最大大小为 500 MB。