从设备收集与数据丢失防护策略匹配文件的入门
本文将引导你完成设备上文件活动证据收集的先决条件和配置步骤,并介绍如何查看复制和保存的项。
提示
开始使用 Microsoft Copilot for Security,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的安全性Microsoft Copilot。
下面是为设备上的文件活动配置和使用证据收集的高级步骤。
开始之前
在开始这些过程之前,应查看 了解设备上文件活动的证据收集。
许可和订阅
在开始使用 DLP 策略之前,请确认 Microsoft 365 订阅 和任何加载项。
有关许可的信息,请参阅 Microsoft 365、Office 365、企业移动性 + 安全性 和 Windows 11 企业订阅。
请参阅创建自定义基于角色的访问控制所需的Microsoft Entra ID P1 或 P2 的先决条件许可要求, (RBAC) 。
权限
需要标准Microsoft Purview 数据丢失防护 (DLP) 权限。 有关详细信息,请参阅权限。
载入设备
在使用复制匹配项之前,必须先将 Windows 10/11 设备加入 Purview,请参阅将 Windows 设备载入 Microsoft 365 概述。
了解你的要求
重要
每个容器继承其所处存储帐户的权限。 不能为每个容器设置不同的权限。 如果需要为不同区域配置不同的权限,则必须创建多个存储帐户,而不是多个容器。
在设置 Azure 存储并将功能范围限定为用户之前,应该有以下问题的答案。
是否需要按照角色或部门划分项目和访问权限?
例如,如果组织希望有一组管理员或 DLP 事件调查人员可以查看高级领导保存的文件,以及另一组管理员或 DLP 事件调查人员用于人力资源中保存的项目,则应为组织的高级领导创建一个 Azure 存储帐户,为人力资源部门创建另一个 Azure 存储帐户。 这可确保 Azure 存储管理员或 DLP 事件调查人员只能查看其各自组中与 DLP 策略匹配的项。
是否要使用容器来组织保存的项目?
可以在同一存储帐户中创建多个证据容器,以便对保存的文件进行排序。 例如,一个用于从人力资源部门保存的文件,另一个用于 IT 部门的文件。
防止删除或修改保存的项目的策略是什么?
在 Azure 存储中,数据保护是指保护存储帐户及其内部数据不被删除或修改的策略,以及删除或修改数据后还原数据的策略。 Azure 存储还提供灾难恢复选项(包括多个级别的冗余),以保护数据免受硬件问题或自然灾害导致的服务中断的影响。 如果主要区域中的数据中心不可用,它还可以使用客户管理的故障转移来保护数据。 有关详细信息,请参阅 数据保护概述。
还可以为 Blob 数据配置不可变性策略,以防止被覆盖或删除的已保存项。 有关详细信息,请参阅 使用不可变存储存储业务关键 Blob 数据
支持用于存储和预览证据的文件类型
可以存储 | 可预览 |
---|---|
终结点 DLP 监视的所有文件类型 | 支持在 OneDrive、SharePoint 和 Teams 中预览文件的所有文件类型 |
将匹配项保存到首选存储
若要保存 Microsoft Purview 检测到何时应用数据丢失防护策略的证据,需要设置存储。 可以通过两种方式来执行此操作:
有关详细信息和这两种类型的存储的比较,请参阅[在检测到敏感信息时存储证据 (预览版) ] (dlp-copy-match-items-learn.md#storing-evidence-when-sensitive-information-is-detected-on-policy match-preview) 。
创建客户管理的存储
Azure 文档集中记录了设置 Azure 存储帐户、容器和 Blob 的过程。 下面是相关文章的链接,可参考这些文章来帮助你入门:
- Azure Blob 存储简介
- 创建存储帐户
- 默认为 并使用 Microsoft Entra ID 授权访问 blob
- 使用 Azure 门户管理 Blob 容器
- 使用 PowerShell 管理块 Blob
注意
创建存储帐户时,请务必选择“ 启用来自所有网络的公共访问”。 不支持虚拟网络和 IP 地址以及使用专用访问
请务必保存 Azure Blob 容器的名称和 URL。 若要查看 URL,请打开 Azure 存储门户 >主页>存储帐户>容器>属性
Azure Blob 容器 URL 的格式为:https://storageAccountName.blob.core.windows.net/containerName
。
将 Azure 存储 Blob 添加到帐户
可通过多种方式将 Azure 存储 Blob 添加到帐户。 选择以下方法 之一 。
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
若要使用 Microsoft Purview 门户添加 Azure Blob 存储,请执行以下操作:
- 登录到 Microsoft Purview 门户,然后选择菜单栏中的 “设置” 齿轮。
- 选择 “数据丢失防护”。
- 选择 “终结点 DLP 设置”。
- 展开 “为设备上的文件活动设置证据收集”。
- 将开关从 “关” 更改为 “开”。
- 在 “在设备上设置证据缓存 ”字段中,选择设备脱机时应在本地保存证据的时间量。 可以选择 7、 30 或 60 天。
- (客户托管存储或Microsoft托管存储 (预览) ) 选择存储类型,然后选择“+ 添加存储”。
- 对于 客户管理的存储:
- 选择 “客户托管存储:”,然后选择“ + 添加存储”。
- 输入 为帐户指定名称,并输入存储 Blob 的 URL 。
- 选择“保存”。
- 对于 Microsoft托管存储:
- 选择Microsoft托管存储 (预览)
- 对于 客户管理的存储:
设置对 Azure Blob 存储的权限
使用Microsoft Entra授权,必须在 blob 上配置两组权限 (角色组) :
- 一个用于管理员和调查人员,以便他们可以查看和管理证据
- 一个适用于需要从其设备将项上传到 Azure 的用户
最佳做法是为所有用户强制实施 最低特权 ,而不考虑角色。 通过强制实施最低权限,可以确保用户权限仅限于其角色所需的权限。 若要配置用户权限,请在 Microsoft Defender for Office 365 中创建角色和角色组,Microsoft Purview。
管理员和调查人员对 Azure Blob 的权限
为 DLP 事件调查人员创建角色组后,必须配置后面的 “调查员操作 ”和“ 调查员数据操作 ”部分中所述的权限。
有关配置 Blob 访问的详细信息,请参阅以下文章:
调查人员操作
为调查员角色配置以下对象和操作权限:
Object | 权限 |
---|---|
Microsoft.Storage/storageAccounts/blobServices | 读取:列出 Blob 服务 |
Microsoft.Storage/storageAccounts/blobServices | 读取:获取 Blob 服务属性或统计信息 |
Microsoft.Storage/storageAccounts/blobServices/containers | 读取:获取 Blob 容器 |
Microsoft.Storage/storageAccounts/blobServices/containers | 读取:Blob 容器列表 |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | 读取:读取 blob |
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | 其他:生成用户委托密钥 |
调查员数据操作
Object | 权限 |
---|---|
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | 读取:读取 Blob |
调查员角色组的 JSON 应如下所示:
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
],
"notDataActions": []
}
]
用户对 Azure Blob 的权限
为用户角色的 Azure Blob 分配以下对象和操作权限:
用户操作
Object | 权限 |
---|---|
Microsoft.Storage/storageAccounts/blobServices | 读取:列出 Blob 服务 |
Microsoft.Storage/storageAccounts/blobServices/containers | 读取:获取 Blob 容器 |
Microsoft.Storage/storageAccounts/blobServices/containers | 写入:放置 Blob 容器 |
用户数据操作
Object | 权限 |
---|---|
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | 写入:写入 Blob |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | 其他:添加 Blob 内容 |
用户角色组的 JSON 应如下所示:
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
],
"notDataActions": []
}
]
在由 Microsoft (预览版) 管理的存储帐户上启用和配置证据收集
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
若要在 Microsoft Purview 门户中对由 Microsoft 管理的存储帐户启用和配置证据收集,请执行以下操作:
- 登录到菜单栏中 的 Microsoft Purview 门户>设置 齿轮。
- 选择 “数据丢失防护”。
- 选择 “终结点 DLP 设置”。
- 展开 “为设备上的文件活动设置证据收集 ”,并将开关设置为“ 打开”。
- 在 “选择存储类型”下,选择 “Microsoft托管存储”。
配置 DLP 策略
像平常一样创建 DLP 策略。 有关策略配置示例,请参阅 创建和部署数据丢失防护策略。
使用以下设置配置策略:
- 确保 “设备 ”是唯一选定的位置。
- 在 “事件报告”中,将 规则匹配发生时向管理员发送警报 切换为 “开”。
- 在 “事件报告”中,选择“ 收集原始文件”作为终结点上所有选定文件活动的证据。
- 选择所需的存储帐户。
- 选择要将匹配项复制到 Azure 存储的活动,例如:
- 粘贴到支持的浏览器
- 上传到云服务域或访问未注册的浏览器
- 复制到可移动 USB 设备
- 复制到网络共享
- 使用未安装蓝牙应用复制或移动
- 使用 RDP 复制或移动
预览证据
有多种方法可以预览证据,具体取决于选择的存储类型。
存储类型 | 预览选项 |
---|---|
客户托管 |
-
使用活动资源管理器 - 使用合规性门户 |
Microsoft托管 (预览版) |
-
使用活动资源管理器 - 使用合规性门户 |
通过活动资源管理器预览证据
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
- 登录到 Microsoft Purview 门户>数据丢失防护>活动资源管理器。
- 使用“ 日期 ”下拉列表,选择你感兴趣的时间段的 “开始 ”和“ 结束 日期”。
- 在结果列表中,双击要调查的活动的行项。
- 在浮出控件窗格中,指向存储证据的 Azure Blob 的链接显示在 “证据文件”下。
- 选择 Azure Blob 存储链接以显示匹配的文件。
通过合规性门户“警报”页预览证据
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
- 登录到 Microsoft Purview 门户>数据丢失防护>警报。
- 使用“ 日期 ”下拉列表,选择你感兴趣的时间段的 “开始 ”和“ 结束 日期”。
- 在结果列表中,双击要调查的活动的行项。
- 在浮出控件窗格中,选择“ 查看详细信息”。
- 选择“ 事件 ”选项卡。
- 在“ 详细信息 ”窗格中,选择“ 源”选项卡。将显示匹配的文件。
注意
如果已匹配的文件已存在于 Azure 存储 Blob 中,则在对文件进行更改并且用户对该文件执行操作之前,不会再次上传该文件。
已知行为
- 如果系统崩溃或重启,存储在设备缓存中的文件不会保留。
- 可从设备上传的文件的最大大小为 500 MB。
- 如果在扫描的文件上触发了 实时保护 ,或者如果文件存储在网络共享上,则不会收集证据文件。
- 在同一进程中打开多个文件时, (非 Office 应用) 且其中一个与策略匹配的文件被传出时,会为所有文件触发 DLP 事件。 未捕获任何证据。
- 如果在单个文件中检测到多个策略规则,则仅当最严格的策略规则配置为收集证据时,才会存储证据文件。