在预览版中,Microsoft Purview 网络数据安全性使组织能够从第三方网络安全解决方案引入 http 和 https 网络流量并对其进行分类。 此功能利用Microsoft Purview 数据丢失防护 (DLP) 功能,以及已在其他 Microsoft Purview 策略中使用的分类器,以及 (预览) 的收集策略,让你深入了解与生成 AI 和其他非托管云应用共享的敏感数据。
借助网络数据安全性,可以识别通过以下交互共享的敏感项:
- 通过浏览器、应用和加载项(如聊天 GPT、Gemini 和 Claude)与生成 AI 交互。
- 上传到未批准的云存储提供商(包括 Dropbox、Box 和 Google Drive)的文件。
- 与云电子邮件提供商(如 Gmail)共享的电子邮件和文件附件。
- 通过在线表单服务(包括 Google Forms)提交表单。
- Facebook和 X 等常见服务的社交媒体帖子
开始之前
如果你不熟悉Microsoft Purview 收集策略、Microsoft Purview 即用即付计费模型,或者之前Microsoft Purview DLP,则应熟悉以下文章中的信息:
授权
有关许可的信息,请参阅
网络数据安全性需要 E5 每席位许可证和即用即付计费模型。 如果组织没有针对 Microsoft 365 租户的即用即付设置,则必须先配置此设置,然后才能使用网络数据安全功能。 即用即付计费模型允许你为使用并启用的 Microsoft Purview 功能付费。 此模型设计灵活且经济高效,可根据需要纵向扩展或缩减使用量。
有关设置即用即付计费模型的信息,请参阅 为新客户启用 Microsoft Purview 即用即付功能。
网络数据安全的工作原理
从宽泛的角度来看,Purview 网络数据安全解决方案Microsoft是两个组件的组合:
网络安全解决方案
网络数据安全解决方案将安全访问服务边缘 (SASE) 解决方案直接集成到 Microsoft Purview 中。 网络安全解决方案负责监视网络流量并将数据发送到 purview Microsoft。 然后,使用在其他 Microsoft Purview 策略中使用的相同分类器对数据进行分类。 网络安全解决方案以异步方式将日期发送到 Microsoft Purview。
有关支持哪些 SASE 解决方案的详细信息,请参阅Microsoft Purview 数据丢失防护集成页。
Microsoft Purview
在“DLP 设置集成”选项卡中配置 Microsoft Purview 与网络安全解决方案之间的集成。此集成在网络安全解决方案与 Microsoft Purview 之间建立双向信道。
下一步是配置 收集策略 (预览) ,该策略定义希望网络安全解决方案收集并发送到 Microsoft Purview 的网络数据的条件、活动和数据源。 有关如何创建网络数据安全的收集策略的详细信息,请参阅 方案 1 检测通过网络 (预览版与非托管云应用共享的敏感数据) 。
Microsoft Purview 会将收集策略配置发送到 SASE 解决方案,SASE 解决方案会将敏感数据匹配项异步发送到 Microsoft Purview 进行分类。 如果在收集策略中配置内容捕获,则会捕获用户与 AI 应用之间发生的对话并将其发送到 Microsoft Purview。
对数据进行分类后,可以在活动资源管理器和 DSPM for AI 中的活动资源管理器中使用这些数据。
成功配置 Microsoft Purview 与网络安全解决方案之间的集成后,最多需要 24 小时才能将收集策略分发到网络安全解决方案,并显示第一个数据。 两个服务完全相互通信后,最多可能需要 30 分钟的时间,有关从客户端到网站或云应用的请求的数据才会显示在审核日志和活动资源管理器中。
支持的网络数据安全收集策略配置
配置Microsoft Purview 端是通过收集策略完成的。 下面是公共预览版中支持的配置选项:
- 条件 - 可以在网络数据安全收集策略中使用的条件与其他Microsoft Purview 策略中使用的条件相同。 例如,可以使用 “内容包含>敏感信息类型 ”条件对与生成 AI 和其他非托管云应用共享的敏感项目进行分类。
注意
网络数据安全不支持文件大小和文件扩展名条件。
-
活动 - 网络数据安全支持四项活动:
- 发送到云或 AI 应用或与云或 AI 应用共享的文本。
- 上传到云或 AI 应用或与云或 AI 应用共享的文件。
- 从云或 AI 应用接收的文本。
- 从云或 AI 应用下载的文件。
注意
支持的活动可能因集成 SASE 解决方案而异。 有关支持的活动的详细信息,请咨询 SASE 解决方案提供商。
-
数据源 - 这些是终结点设备与之通信的位置。
- 非托管云应用 - 网络数据安全收集策略支持Microsoft Defender for Cloud Apps云应用目录中的所有源,其中包括 34,000 多个可发现的云应用。
- 自适应范围 - 分类为生成 AI 的所有应用。
Microsoft Purview 适用于 AI 的数据安全状况管理的默认策略
Microsoft Purview 适用于 AI 的数据安全状况管理 (DSPM ai) 提供了帮助监视与生成 AI 应用的通信的建议。 选择建议“扩展 AI 应用交互中的敏感数据见解”,以创建名为 DSPM for AI 的一键式策略- 检测通过网络与 AI 共享的敏感信息。 创建后,可以像编辑任何收集策略一样编辑此默认网络数据安全策略。
支持的网络协议
在公共预览版中,网络数据安全性支持对从终结点设备通过 http 和 https 协议发送到网站、云应用和生成 API 的流量进行分类。
访问网络数据安全数据
来自网络数据安全性的数据显示在活动资源管理器中,适用于 AI 的数据安全状况管理活动资源管理器事件中。
活动资源管理器
在活动资源管理器中,可以根据设置为“网络”的强制平面进行筛选。 这将显示从网络数据安全收集策略生成的分类事件。
计费模型
网络数据安全性将 请求 用作即用即付计费的度量单位。 请求定义为从设备或浏览器对网站或 API 发出的每个网络调用。 这不包括对请求的响应。 有关网络数据安全性的即用即付计费的详细信息,请参阅使用即用 即付的其他Microsoft Purview 解决方案 和 请求
下面是一些示例:
| 活动 | 数据类型 | 示例 |
|---|---|---|
| 发送到云应用或与 AI 应用共享的文本 | 内联传输的可读字符串 | - 提交包含文本信息的 表单 - 向生成 AI 发送原始文本或提示 - 电子邮件 正文 - 将 JSON 数据发送到 API |
| 上传到云或 AI 应用或与云或 AI 应用共享的文件 | 字节流,包括基于文本的文件、二进制文件、txt 文件、源代码、文档、图像、视频、.exe、.pdf、存档文件 | - 将个人资料图片上传到社交媒体 - 以电子邮件附件 的形式发送文档或 .pdf 文件 - 使用生成 AI 共享文档 - 将文档或 .zip 文件传输到云存储解决方案 |