创建和部署数据丢失防护策略

  • 项目

Microsoft Purview 数据丢失防护 (DLP) 策略中有许多配置选项。 每个选项都会更改策略的行为。 本文介绍将映射到配置选项的策略的一些常见意向方案。 然后指导你配置这些选项。 熟悉这些方案后,可以使用 DLP 策略创建 UX 来创建自己的策略。

部署策略的方式与策略设计一样重要。 有多个 选项可用于控制策略部署。 本文介绍如何使用这些选项,以便策略在避免代价高昂的业务中断的同时实现你的意图。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

开始之前

如果你不熟悉 Microsoft Purview DLP,下面是实现 DLP 时应熟悉的核心文章列表:

  1. 管理单元
  2. 了解Microsoft Purview 数据丢失防护 - 本文介绍数据丢失防护规则和 Microsoft DLP 的实现。
  3. 规划数据丢失防护 (DLP) - 通过本文,你将:
    1. 确定利益干系人
    2. 描述要保护的敏感信息类别
    3. 设置目标和策略
  4. 数据丢失防护策略参考 - 本文介绍 DLP 策略的所有组件以及每个组件如何影响策略的行为。
  5. 设计 DLP 策略 - 本文将指导你创建策略意向语句并将其映射到特定策略配置。
  6. 创建和部署数据丢失防护策略 - 本文介绍将映射到配置选项的一些常见策略意向方案。 然后,它将指导你配置这些选项,并提供有关部署策略的指导。
  7. 了解如何调查数据丢失防护警报 - 本文介绍从创建到最终修正和策略优化的警报的生命周期。 它还介绍了用于调查警报的工具。

SKU/订阅许可

在开始使用 DLP 策略之前,应确认 Microsoft 365 订阅 和任何加载项。

有关完整的许可详细信息,请参阅: Microsoft 365 安全 & 合规性许可指南

权限

用于创建和部署策略的帐户必须是其中一个角色组的成员

  • 合规性管理员
  • 合规性数据管理员
  • 信息保护
  • 信息保护管理员
  • 安全管理员

重要

在开始之前,请确保了解不受限制的管理员和管理单元之间的区别

细化角色和角色组

可以使用一些角色和角色组来微调访问控制。

下面是适用角色的列表。 若要了解详细信息,请参阅Microsoft Purview 合规门户中的权限

  • DLP 合规性管理
  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者

下面是适用角色组的列表。 若要了解详细信息,请参阅要详细了解它们,请参阅Microsoft Purview 合规门户中的权限

  • 信息保护
  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者

策略创建方案

上一篇文章 设计 DLP 策略 介绍了创建策略意向语句,然后将该意向语句映射到策略配置选项的方法。 本部分采用这些示例以及更多示例,并指导你完成实际的策略创建过程。 应在测试环境中完成这些方案,以熟悉策略创建 UI。

策略创建流程中的配置选项太多,无法涵盖每个配置,甚至大多数配置。 因此,本文介绍了几种最常见的 DLP 策略方案。 完成这些操作将为你提供跨各种配置的实践经验。

方案 1 阻止具有信用卡数字的电子邮件

重要

这是一个具有假设值的假设方案。 它仅用于说明目的。 应替换自己的敏感信息类型、敏感度标签、通讯组和用户。

方案 1 先决条件和假设

此方案使用 高度机密 敏感度标签,因此需要创建并发布了敏感度标签。 若要了解详细信息,请参阅:

此过程使用位于 Contoso.com 的假设通讯组 财务团队 和假设的 SMTP 收件人 adele.vance@fabrikam.com

此过程使用警报,请参阅: 数据丢失防护警报入门

方案 1 策略意向声明和映射

我们需要阻止向包含信用卡号码或应用了“高度机密”敏感度标签的所有收件人发送电子邮件,除非电子邮件是从财务团队adele.vance@fabrikam.com中的某人发送到 的。 我们希望在每次电子邮件被阻止时通知合规性管理员,并通知发送项目的用户,任何人都不能覆盖该阻止。 在日志中跟踪此高风险事件的所有事件,我们希望捕获并可用于调查的任何事件的详细信息

语句 配置问题解答和配置映射
“我们需要阻止发送给所有收件人的电子邮件...” - 监视位置:Exchange
- 管理范围:完整目录
- 操作:限制访问或加密 Microsoft 365 位置 > 中的内容 阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive 和 Teams 文件 > 阻止所有人
"...包含信用卡数字或应用了“高度机密”敏感度标签...” - 要监视的内容 使用自定义模板
- 匹配条件 对其进行编辑以添加 高度机密 敏感度标签
"...除非...” 条件组配置 - 使用布尔 AND 创建联接到第一个条件的嵌套布尔 NOT 条件组
"...电子邮件是从财务团队中的某人发送的...” 匹配条件:发件人是 的成员
"...和...” 匹配条件:向 NOT 组添加第二个条件
"...到 adele.vance@fabrikam.com...” 匹配条件:发件人为
"...通知...” - 用户通知:已启用
- 策略提示:已启用
"...每次阻止电子邮件时合规性管理员,并通知发送项目的用户...“。 策略提示:选择“
- 通知这些人”:选择
发送、共享或修改内容的人员:选择
- “向这些其他人发送电子邮件:添加合规性管理员的电子邮件地址”
"...并且不允许任何人替代该块... 允许从 M365 服务替代:未选择
"...在日志中跟踪此高风险事件的所有事件,我们希望捕获并可用于调查的任何事件的详细信息。” - 在管理员警报和报告中使用此严重性级别
- 发生规则匹配时,高向管理员发送警报:选择每次
- 活动与规则匹配时发送警报:已选择

为方案 1 创建策略的步骤

重要

出于此策略创建过程的目的,你将接受默认的 include/exclude 值,并使策略保持关闭状态。 部署策略时,你将更改这些策略。

  1. 登录到Microsoft Purview 合规门户

  2. 在Microsoft Purview 合规门户>左侧导航>解决方案>数据丢失防护>策略>+ 创建策略

  3. “类别”列表中选择“自定义”。

  4. “模板”列表中选择“自定义”。

  5. 为策略指定 名称。

    重要

    无法重命名策略。

  6. 填写说明。 可在此处使用策略意向语句。

  7. 选择“下一步”。

  8. 选择“管理员单位”下的“完整目录”。

  9. Exchange 电子邮件 位置状态设置为 “打开”。 将所有其他位置状态设置为 “关闭”。

  10. 接受“全部包括” = 和“排除” = 的默认值。

  11. 选择“下一步”。

  12. 应已选择 “创建或自定义高级 DLP 规则 ”选项。

  13. 选择“下一步”。

  14. 选择“ 创建规则”。 命名规则并提供说明。

  15. “条件 ”下,选择“ 添加条件>内容包含>添加>敏感信息类型>信用卡号”。 选择添加

  16. 选择 “添加>敏感度标签>高度机密”。 选择添加

  17. 选择“添加组>”和>“>添加条件”。

  18. 选择“发件人是添加或删除通讯组>财务团队”的成员>。

  19. 选择 “添加条件>>收件人为”。 添加 adele.vance@fabrikam.com 并选择“ 添加”。

  20. 选择“添加并操作>限制访问或加密 Microsoft 365 位置>中的内容限制访问或加密 Microsoft 365 位置>中的内容阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive 和 Teams 文件。>阻止所有人

  21. “用户通知” 设置为 “开”。

  22. 选择Email通知>通知这些人员:>发送、共享或修改内容的人员

  23. “向这些其他人发送电子邮件 ”下,添加合规性管理员的电子邮件地址。

  24. 确保选择“允许从 M365 服务替代”。

  25. “在管理员警报和报表中使用此严重性级别 ”设置为 “高”。

  26. 在“ 事件报告” 下,将 规则匹配发生时向管理员发送警报 设置为 “开”。

  27. 每次活动与规则匹配时,选择“发送警报”。

  28. 选择“保存”。

  29. 选择 “下一步>”“使其关闭>下一次>提交”。

部署

成功的策略部署不仅仅是将策略引入环境以强制控制用户操作。 杂乱无章的、匆忙的部署可能会对业务流程产生负面影响,并惹恼用户。 这些后果将减缓组织中 DLP 技术的接受速度,以及它促进的更安全的行为。 从长远来看,最终降低敏感项的安全性。

在开始部署之前,请确保已通读 策略部署。 它提供策略部署过程的广泛概述和一般指南。

本部分将更深入地探讨你将在一起用于管理生产策略的三种类型的控制。 请记住,你可以随时更改其中任何一项,而不仅仅是在策略创建期间。

部署管理的三个轴

可以使用三个轴来控制策略部署过程、范围、策略状态和操作。 应始终采用增量方法来部署策略,从影响最小/模拟模式 到完全实施。

当策略状态为 策略范围可以是 策略操作的影响
在模拟模式下运行策略 位置的策略范围可以是窄或宽 - 可以配置任何操作
- 配置的操作
不会影响用户 - 管理员查看警报并可以跟踪活动
使用策略提示在模拟模式下运行策略 应将策略的范围限定为面向试点组,然后在优化策略时扩展范围 - 可以配置任何操作
- 配置的操作
不会影响用户 - 用户可以接收策略提示和警报
- 管理员查看警报并可以跟踪活动
将其打开 所有目标位置实例 - 对用户活动
强制实施所有配置的操作 - 管理员可查看警报并可以跟踪活动
将其关闭 不适用 不适用

状态

State 是用于推出策略的主要控件。 创建完策略后,将策略的状态设置为 “使其关闭”。 在处理策略配置时,应将其保留为此状态,直到获得最终评审并注销为止。 状态可以设置为:

  • 在模拟模式下运行策略:不强制实施任何策略操作,对事件进行审核。 处于此状态时,可以在 DLP 模拟模式概述和 DLP 活动资源管理器 控制台中监视策略的影响。
  • 在模拟模式下运行策略,并在模拟模式下显示策略提示:不会强制实施任何操作,但用户将收到策略提示和通知电子邮件,以提高其认知度并对其进行培训。
  • 立即将其打开:这是完全强制模式。
  • 将其关闭:策略处于非活动状态。 在部署前开发和查看策略时使用此状态。

可以随时更改策略的状态。

操作

操作是策略在响应敏感项上的用户活动时执行的操作。 由于可以随时更改这些内容,因此可以从影响最小、 允许 设备) (和 仅审核 所有其他位置) (开始,收集和查看审核数据,并在移动到限制性更严格的操作之前使用它来优化策略。

  • 允许:允许发生用户活动,因此不会影响任何业务流程。 你将收到审核数据,并且没有任何用户通知或警报。

    注意

    “允许”操作仅适用于作用域为“设备”位置的策略。

  • 仅审核:允许发生用户活动,因此不会影响任何业务流程。 你将获得审核数据,并可以添加通知和警报,以提高用户的认识,并培训用户知道他们正在执行的操作是一种有风险的行为。 如果你的组织打算稍后强制实施更严格的操作,你也可以告诉用户这一点。

  • 使用替代阻止:默认情况下会阻止用户活动。 可以审核事件、引发警报和通知。 这会影响业务流程,但用户可以选择替代块并提供替代原因。 由于你从用户那里获得直接反馈,因此此操作可以帮助你识别误报匹配项,可用于进一步优化策略。

    注意

    对于 Exchange online 和 SharePoint Online,将在用户通知部分中配置替代。

  • 阻止:无论什么,用户活动都将被阻止。 可以审核事件、引发警报和通知。

策略范围

每个策略的范围限定为一个或多个位置,例如 Exchange、SharePoint Online、Teams 和设备。 默认情况下,选择某个位置时,该位置的所有实例都属于该范围,并且不会排除任何实例。 通过配置位置的包含/排除选项,可以进一步优化位置 (实例(如站点、组、帐户、通讯组、邮箱和设备)) 应用策略。 若要详细了解包括/排除范围选项,请参阅 位置

通常,在策略处于 模拟模式状态下运行策略 时,可以更灵活地确定范围,因为不会采取任何操作。 可以仅从为策略设计的范围开始,也可以广泛了解策略将如何影响其他位置的敏感项。

然后,将状态更改为 “在模拟模式下运行策略”并显示策略提示时,应将范围缩小到一个试点组,该试点组可以提供反馈,成为早期采用者,当其他人加入时,他们可以成为他们的资源。

移动策略以 立即将其打开时,将扩大范围,以包括设计策略时所需的所有位置实例。

策略部署步骤

  1. 创建策略并将其状态设置为 “禁用”后,请与利益干系人进行最终评审。
  2. 将状态更改为 在模拟模式下运行策略。 此时,位置范围可能很宽,因此可以跨多个位置收集有关策略行为的数据,或者仅从单个位置开始。
  3. 根据行为数据优化策略,使其更好地满足业务意图。
  4. 将状态更改为 在模拟模式下运行策略并显示策略提示。 根据需要优化位置范围以支持试点组,并利用包含/排除,以便策略首先推出到该试点组。
  5. 收集用户反馈以及警报和事件数据,如果需要,请进一步优化策略和计划。 请确保解决用户提出的所有问题。 你的用户很可能遇到问题,并提出你在设计阶段没有想到的问题。 此时开发一组超级用户。 当策略范围增加且加入更多用户时,它们可以是帮助培训其他用户的资源。 在转到下一阶段部署之前,请确保策略实现了控制目标。
  6. 将状态更改为 立即将其打开。 策略已完全部署。 监视 DLP 警报和 DLP 活动资源管理器。 地址警报。