建立、測試及調整 DLP 原則

Microsoft Purview 資料外洩防護 (DLP) 可協助您防止意外或意外共用敏感性資訊。

DLP 會檢查電子郵件訊息和檔案中的敏感性資訊,例如信用卡號碼。 使用 DLP,您可以偵測敏感性資訊,並採取下列動作:

  • 記錄事件以供稽核之用
  • 向傳送電子郵件或共用檔案的使用者顯示警告
  • 主動封鎖電子郵件或檔案共用發生

提示

如果您不是 E5 客戶,您可以免費試用 Microsoft Purview 中的所有進階功能。 使用 90 天的 Purview 解決方案試用版,探索健全的 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料

權限

您的規範小組中將建立 DLP 原則的成員必須具備規範中心的權限。 根據預設,您的租使用者系統管理員將可讓合規性人員和其他人員存取權。 依照下列步驟執行:

  1. 在 Microsoft 365 中建立一個群組,並將法務遵循人員新增至此群組。

  2. 在Microsoft Purview 合規性入口網站的 [權] 頁面上建立角色群組。

  3. 建立角色群組時,請使用 [ 選擇 角色] 區段,將下列角色新增至角色群組: DLP 合規性管理

  4. 使用 [選擇成員] 區段,將您建立的 Microsoft 365 群組新增至角色群組。

使用 僅限檢視 DLP 合規性管理 角色來建立具有 DLP 原則和 DLP 報告僅供檢視許可權的角色群組。

如需詳細資訊,請 參閱將使用者新增至合規性角色群組

需要這些許可權,才能建立和套用 DLP 原則,而不強制執行原則。

角色和角色群組

您可以使用角色和角色群組來微調存取控制。

以下是可用來微調存取控制的適用角色清單。 若要深入瞭解,請參閱Microsoft Purview 合規性入口網站中的許可權

  • 資訊保護系統管理員
  • 資訊保護分析員
  • 資訊保護調查人員
  • 資訊保護讀者

以下是您可以使用的適用角色群組清單。 若要深入瞭解,請參閱Microsoft Purview 合規性入口網站中的許可權

  • 資訊保護
  • 資訊保護系統管理員
  • 資訊保護分析員
  • 資訊保護調查人員
  • 資訊保護讀者

DLP 偵測到敏感性資訊的方式

DLP 會根據正則運算式 (RegEx 尋找敏感性資訊,) 模式比對,以及其他指標,例如特定關鍵字與相符模式的鄰近性。 例如,一個在一張的行卡卡片號碼中有 16 位數。 但是,這些數位可以用不同的方式寫入,例如 1111-1111-1111-1111、1111 1111 1111 1111 或 1111111111111111。

任何 16 位數的字串不一定是信用卡號碼、可能是來自技術支援中心系統的票證號碼,或硬體片段的序號。 為了分辨信用卡號碼與無害的 16 位數位符串之間的差異,會在總和檢查碼) (執行計算,以確認數位符合來自各種信用卡品牌的已知模式。

如果 DLP 找到關鍵字,例如 「VISA」 或 「AMEX」,接近可能是信用卡到期日的日期值,DLP 也會使用該資料來協助它決定字串是否為信用卡號碼。

換句話說,DLP 非常聰明,能夠辨識電子郵件中這兩個文字字串之間的差異:

  • 「您可以訂購新的膝上型電腦嗎? 使用我的連絡號碼 1111-1111-1111-1111、到期日 11/22,並在您擁有預估的傳遞日期時傳送給我。」
  • 「我的膝上型電腦序號是 2222-2222-2222-2222,且是在 2010 年 11 月 11 日購買。 順便說一下, 我的旅遊申請表是否已核准?」

請參閱 敏感性資訊類型實體定義 ,說明如何偵測每個資訊類型。

資料外泄防護的起點

當資料外泄的風險不完全明顯時,很難確切地從實作 DLP 開始著手。 幸運的是,DLP 原則可以在「測試模式」中執行,可讓您在開啟之前先測量其有效性和精確度。

Exchange Online的 DLP 原則可透過 Exchange 系統管理中心進行管理。 但您可以透過Microsoft Purview 合規性入口網站設定所有工作負載的 DLP 原則,因此我將在本文中用於示範。 在Microsoft Purview 合規性入口網站中,您會在 [資料外泄防護> 原則] 底下找到 DLP原則。 選擇 [建立 原則] 以啟動。

Microsoft 365 提供一系列可用來建立原則的 DLP 原則範本 。 假設您是澳洲企業。 您可以篩選澳洲的範本,然後選擇 [財務]、[醫療與健康情況] 和 [隱私權]。

選擇國家或地區的選項。

在此示範中,我將選擇 [澳大利亞個人識別資訊] (PII) 資料,其中包含澳大利亞稅務檔案編號 (TFN) 和驅動程式授權號碼的資訊類型。

選擇原則範本的選項。

為您的新 DLP 原則命名。 預設名稱會與 DLP 原則範本相符,但您應該選擇更具描述性的名稱,因為可以從相同的範本建立多個原則。

為您的原則命名的選項。

選擇要套用原則的位置。 DLP 原則可以套用至 Exchange Online、SharePoint Online 和 商務用 OneDrive。 我即將將此原則保留為套用至所有位置。

選擇所有位置的選項。

在第一個原則 設定 步驟中,目前只接受預設值。 您可以自訂 DLP 原則,但預設值是不錯的開始位置。

自訂要保護之內容類型的選項。

按一下 [下一步] 之後,您會看到更多具有更多自訂選項的原則 設定 頁面。 針對您剛要測試的原則,您可以在這裡開始進行一些調整。

  • 我目前已關閉原則提示,如果您只是測試專案,但還不想向使用者顯示任何專案,這是合理的步驟。 原則提示會向使用者顯示他們即將違反 DLP 原則的警告。 例如,Outlook 使用者會看到警告,指出他們附加的檔案包含信用卡號碼,並會導致其電子郵件遭到拒絕。 原則秘訣的目標是在發生不符合規範的行為之前停止該行為。
  • 我也已將實例數目從 10 減少為 1,因此此原則會偵測任何澳大利亞 PII 資料共用,而不只是大量共用資料。
  • 我也已將另一個收件者新增至附隨報告電子郵件。

其他原則設定。

最後,我已將此原則設定為一開始以測試模式執行。 請注意,在測試模式中,這裡也有停用原則提示的選項。 這可讓您彈性地在原則中啟用原則提示,然後決定是否要在測試期間顯示或隱藏它們。

先測試原則的選項。

在最後一個檢閱畫面上,按一下 [ 建立] 以完成建立原則。

測試 DLP 原則

您可以靜坐等候一般使用者活動觸發原則,也可以嘗試自行觸發。 我稍早連結到 敏感性資訊類型實體定義,提供如何觸發 DLP 相符專案的相關資訊。

例如,我為本文建立的 DLP 原則會偵測澳大利亞稅務檔案編號 (TFN) 。 根據檔,比對是以下列準則為基礎。

澳洲稅務檔案編號的檔。

若要以相當單調的方式示範 TFN 偵測,具有「稅務檔案編號」和九位數位符串的電子郵件將會順利通過,而不會有任何問題。 它不會觸發 DLP 原則的原因是,九位數位符串必須通過總和檢查碼,指出它是有效的 TFN,而不只是一個無害的數位字串。

未通過總和檢查碼的澳洲稅務檔案編號。

相較之下,含有「稅務檔案號碼」一詞的電子郵件,以及通過總和檢查碼的有效 TFN,將會觸發原則。 針對此處的記錄,我使用的 TFN 取自可產生有效但非正版 TFN 的網站。 這類網站很有用,因為測試 DLP 原則時最常見的錯誤之一是使用不正確假數位,而且不會通過總和檢查碼 (,因此不會觸發原則) 。

通過總和檢查碼的澳洲稅務檔案編號。

附隨報告電子郵件包含偵測到的敏感性資訊類型、偵測到的實例數目,以及偵測的信賴等級。

附隨報告,顯示偵測到的稅務檔案編號。

如果您將 DLP 原則保留在測試模式中並分析附隨報告電子郵件,您可以開始瞭解 DLP 原則的精確度,以及強制執行時的效果。 除了附隨報告之外,您還可以 使用 DLP 報告 來查看整個租使用者的原則相符專案的匯總檢視。

調整 DLP 原則

當您分析原則叫用時,您可能會想要對原則的行為進行一些調整。 簡單來說,您可能會判斷電子郵件中的一個 TFN 不是問題, (我認為它仍然是,但為了示範) ,讓我們繼續進行,但兩個或多個實例是個問題。 多個實例可能是有風險的案例,例如員工透過電子郵件將 CSV 從 HR 資料庫匯出至外部合作物件,例如外部會計服務。 您一定會想要偵測和封鎖某些專案。

在合規性中心,您可以編輯現有的原則來調整行為。

編輯原則的選項。

您可以調整位置設定,讓原則只套用至特定工作負載,或套用至特定網站和帳戶。

選擇特定位置的選項。

您也可以調整原則設定並編輯規則,以更符合您的需求。

編輯規則的選項。

在 DLP 原則內編輯規則時,您可以變更:

  • 條件,包括將觸發規則的敏感性資料實例類型和數目。
  • 所採取的動作,例如限制對內容的存取。
  • 使用者通知,這是在電子郵件用戶端或網頁瀏覽器中顯示給使用者的原則提示。
  • 使用者覆寫會決定使用者是否可以選擇繼續進行電子郵件或檔案共用。
  • 附隨報告,通知系統管理員。

編輯規則部分的選項。

在此示範中,我已將使用者通知新增至原則 (請小心執行此動作,而不需要適當的使用者認知訓練) ,並允許使用者以商業理由覆寫原則,或將其標示為誤判。 如果您想要包含貴組織原則的任何其他資訊,也可以自訂電子郵件和原則提示文字,或在使用者有問題時提示他們連絡支援人員。

使用者通知和覆寫的選項。

此原則包含兩個處理大量和低磁片區的規則,因此請務必使用您想要的動作來編輯這兩個規則。 這是根據案例特性以不同方式處理案例的機會。 例如,您可能會允許覆寫低磁片區違規,但不允許覆寫大量違規。

一個適用于高磁片區的規則,以及一個適用于低磁片區的規則。

此外,如果您想要實際封鎖或限制對違反原則之內容的存取,您必須設定規則上的動作才能這麼做。

限制內容存取的選項。

將這些變更儲存至原則設定之後,我也需要返回原則的主要設定頁面,並啟用選項,以便在原則處於測試模式時,向使用者顯示原則提示。 這是將 DLP 原則導入使用者並進行使用者認知訓練的有效方式,而不會造成太多影響其生產力的錯誤誤判風險。

在測試模式中顯示原則提示的選項。

如果您偏好在伺服器端 (或雲端) ,變更可能不會因為各種處理間隔而立即生效。 如果您要進行 DLP 原則變更,以向使用者顯示新的原則提示,使用者可能不會看到變更立即在其 Outlook 用戶端中生效,這會每隔 24 小時檢查一次原則變更。 如果您想要加快測試速度,您可以使用此登錄修正, 從 PolicyNudges 機碼清除上次下載時間戳記。 Outlook 會在下次重新開機時下載最新的原則資訊,並開始撰寫電子郵件訊息。

如果您已啟用原則提示,使用者會開始在 Outlook 中看到提示,並且可以在發生錯誤時向您回報誤判。

具有報告誤判選項的原則提示。

調查誤判

DLP 原則範本並非完全無瑕疵地。 您可能會發現環境中發生一些誤判,這就是為什麼輕鬆進行 DLP 部署,花時間充分測試和調整原則非常重要的原因。

以下是誤判的範例。 這封電子郵件是無害的。 使用者正在向某人提供其行動電話號碼,並包含其電子郵件簽章。

Email顯示誤判資訊。

但使用者會看到原則提示,警告他們電子郵件包含機密資訊,特別是澳大利亞駕駛的授權號碼。

在原則提示中報告誤判的選項。

使用者可以回報誤判,而系統管理員可以查看其發生的原因。 在附隨報告電子郵件中,電子郵件會標示為誤判。

顯示誤判的附隨報告。

此驅動程式的授權案例是深入探討的好範例。 發生這個誤判的原因是「澳大利亞駕駛授權」類型會由任何 9 位數位符串觸發, (甚至是屬於 10 位數位符串) 一部分的字串,在接近關鍵字 「雪梨」 的 300 個字元內, (不區分大小寫) 。 因此,它是由電話號碼和電子郵件簽章所觸發,只因為使用者正好位於雪梨。

其中一個選項是從原則中移除澳大利亞駕駛的授權資訊類型。 它位於該處,因為它是 DLP 原則範本的一部分,但我們不會強制使用它。 如果您只對稅務檔案編號感興趣,而非驅動程式的授權,您可以直接移除它。 例如,您可以從原則中的低磁片區規則中移除它,但將其保留在大量規則中,以便仍然偵測到多個驅動程式授權的清單。

另一個選項是增加實例計數,以便只有在有多個實例時,才會偵測到少量的驅動程式授權。

編輯實例計數的選項。

除了變更實例計數,您也可以調整比對精確度 (或信賴等級) 。 如果您的敏感性資訊類型有多個模式,您可以調整規則中的比對精確度,讓規則只符合特定模式。 例如,若要協助減少誤判,您可以設定規則的比對精確度,使其只符合信賴等級最高的模式。 如需信賴等級的詳細資訊,請參閱 如何使用信賴等級來微調規則

最後,如果您想要取得更進階的一點,您可以自訂任何敏感性資訊類型 ,例如,您可以從 澳洲駕駛授權號碼的關鍵字清單中移除 「雪梨的單一登入」,以排除上述觸發的誤判。 若要瞭解如何使用 XML 和 PowerShell 來執行這項操作,請參閱 自訂內建敏感性資訊類型

開啟 DLP 原則

當您滿意 DLP 原則正確且有效率地偵測敏感性資訊類型,而且您的終端使用者已準備好處理已備妥的原則時,您可以啟用原則。

開啟原則的選項。

如果您正在等候原則何時生效,請 連線到安全 & 性合規性 PowerShell 並執行 Get-DlpCompliancePolicy Cmdlet 來查看 DistributionStatus。

Get-DlpCompliancePolicy "Testing -Australia PII" -DistributionDetail | Select distributionstatus

開啟 DLP 原則之後,您應該自行執行一些最終測試,以確定預期的原則動作正在發生。 如果您嘗試測試信用卡資料之類的專案,線上網站會提供如何產生範例信用卡或其他個人資訊的資訊,以傳遞總和檢查碼並觸發您的原則。

允許使用者覆寫的原則會將該選項顯示給使用者,作為原則提示的一部分。

允許使用者覆寫的原則提示。

限制內容的原則會在原則提示中向使用者顯示警告,並防止他們傳送電子郵件。

限制內容的原則提示。

摘要

資料外泄防護原則適用于所有類型的組織。 測試某些 DLP 原則是低風險練習,因為您可以控制原則提示、使用者覆寫和附隨報告等事項。 您可以嘗試測試一些 DLP 原則,以查看貴組織中已發生的違規類型,然後以低誤判率製作原則、教育使用者允許和不允許哪些專案,然後向組織推出您的 DLP 原則。