了解資料外洩防護

組織在其控制下具有敏感性資訊,例如財務數據、專屬數據、信用卡號碼、健康記錄或社會安全號碼。 為了協助保護此敏感數據,並降低過度共享的風險,他們需要一種方式來協助防止使用者與不應該擁有敏感數據的人員不當共用敏感數據。 此做法稱為資料外洩防護 (DLP)。

在 Microsoft Purview 中,您可以定義並套用 DLP 原則來實作數據外洩防護。 透過 DLP 原則,您可以識別、監視及自動保護敏感性專案:

  • Microsoft 365 服務,例如 Teams、Exchange、SharePoint 和 OneDrive 帳戶
  • Word、Excel 和 PowerPoint 等 Office 應用程式
  • Windows 10、Windows 11 和macOS (三個最新發行的版本) 端點
  • 非 Microsoft 雲端應用程式
  • 內部部署檔案共享和內部部署 SharePoint
  • Power BI

DLP 會使用深度內容分析來偵測敏感性專案,而不只是簡單的文字掃描。 內容會進行分析:

  • 針對與關鍵詞相符的主要數據。
  • 透過正則表達式的評估
  • 透過內部函式驗證
  • 由接近主要數據比對的次要數據相符專案。
  • DLP 也會使用機器學習演算法和其他方法來偵測符合 DLP 原則的內容。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

開始之前

如果您不熟悉 Microsoft Purview DLP,以下是您在實作 DLP 時所需的核心文章清單:

  1. 管理單位
  2. 瞭解 Microsoft Purview 資料外洩防護 - 您正在閱讀的文章現在會介紹數據外泄防護專業領域和 Microsoft 的 DLP 實作
  3. 規劃資料外洩防護 (DLP) - 透過本文,您將:
    1. 識別專案關係人
    2. 描述要保護的敏感性資訊類型
    3. 設定目標和策略
  4. 資料外洩防護原則參考資料 - 本文介紹 DLP 原則的所有元件,以及每個元件如何影響原則的行為
  5. 設計 DLP 原則 - 本文會逐步引導您建立原則意圖語句,並將它對應至特定的原則設定。
  6. 建立和部署數據外洩防護原則 - 本文提供一些您將對應至設定選項的常見原則意圖案例,然後會逐步引導您設定這些選項。
  7. 瞭解如何調查數據外洩防護警示 - 本文將介紹從建立到最終補救和原則微調的警示生命週期。 它也會向您介紹用來調查警示的工具。

授權和訂用帳戶

如需支援 DLP 之訂用帳戶的詳細資訊,請參閱 安全性 & 合規性的 Microsoft 365 指導方針

DLP 是大型 Microsoft Purview 供應專案的一部分

DLP 只是其中一個 Microsoft Purview 工具,您將用來協助保護敏感性專案,無論它們在何處存取或移動。 您應該瞭解 Microsoft Purview 工具集中的其他工具、它們如何相互關聯,並更有效地共同運作。 若要深入瞭解資訊保護程式,請參閱 Microsoft Purview 工具

DLP 原則的保護動作

DLP 原則是您監視使用者對待用敏感性專案、傳輸中敏感性專案或使用中敏感性專案所採取的活動,然後採取保護動作的方式。 例如,當使用者嘗試禁止的動作,例如將敏感性項目複製到未核准的位置或在電子郵件中共用醫療資訊時,DLP 可以:

  • 向用戶顯示快顯原則提示,警告他們可能嘗試不當共用敏感性專案
  • 封鎖共用,並透過原則提示,允許使用者覆寫區塊並擷取使用者的理由
  • 封鎖不含覆寫選項的共用
  • 針對待用數據,敏感性專案可以鎖定並移至安全的隔離位置
  • 對於 Teams 聊天,不會顯示敏感性資訊

根據預設,所有受 DLP 監視的活動都會記錄到 Microsoft 365 稽核記錄 檔,並路由傳送至 活動總管

DLP 生命週期

DLP 實作通常會遵循這些主要階段。

規劃 DLP

DLP 監視和保護是使用者每天使用的應用程式原生。 這有助於保護貴組織的敏感性專案免於有風險的活動,即使您的使用者不自定義數據外泄防護思考和做法也一般。 如果您的組織和使用者不熟悉數據外泄防護做法,採用 DLP 可能需要變更您的商務程式,而且您的使用者會有文化轉變。 但是,透過適當的規劃、測試和調整,您的 DLP 原則會保護您的敏感性專案,同時將任何潛在的商務程式中斷降至最低。

DLP 的技術規劃

請記住,DLP 即技術可以監視和保護待用數據、使用中的數據,以及跨 Microsoft 365 服務、Windows 10、Windows 11 和 macOS 移動的數據, (三個最新發行的版本,) 裝置、內部部署檔案共用和內部部署 SharePoint。 對於不同位置、您想要監視和保護的數據類型,以及原則比對時所要採取的動作,都有規劃影響。

DLP 的商務程序規劃

DLP 原則可能會封鎖使用者執行禁止的活動,例如透過電子郵件不當共用敏感性資訊。 當您規劃 DLP 原則時,您必須識別觸控敏感性專案的商務程式。 商務程式擁有者可協助您識別應該允許的適當用戶行為,以及應該受到保護的不當用戶行為。 您應該先規劃原則並以 模擬模式部署原則,並評估其影響,再以更嚴格的模式執行。

DLP 的組織文化規劃

成功的 DLP 實作與妥善規劃和微調的原則一樣,都與讓使用者定型並適應數據外洩防護做法一樣多。 因為您的使用者涉及很多,所以也請務必為其規劃訓練。 在將原則狀態從模擬模式變更為更嚴格的模式之前,您可以策略性地使用原則提示來提高用戶的認知。

準備 DLP

您可以將 DLP 原則套用至待用數據、使用中的數據,以及位置中移動中的數據,例如:

  • Exchange Online 電子郵件
  • SharePoint Online 網站
  • OneDrive 帳戶
  • Teams 聊天和頻道訊息
  • Microsoft Defender for Cloud Apps (實例)
  • Windows 10、Windows 11 和macOS (三個最新發行的裝置版本)
  • 內部部署存放庫
  • Power BI 網站

每一個都有不同的必要條件。 某些位置中的敏感性專案,例如 Exchange Online,只要設定套用至這些敏感性項目的原則,即可納入 DLP 保護之下。 其他專案,例如內部部署檔案存放庫,則需要部署 Microsoft Purview 資訊保護掃描器。 您必須準備環境、撰寫程式代碼原則,並徹底測試它們,然後再啟用任何封鎖動作。

在生產環境中部署原則

設計原則

首先,請定義您的控制目標,以及它們如何套用到每個個別的工作負載。 草擬包含您目標的原則。 您可以隨意從一次一個工作負載開始,或跨所有工作負載開始 , 目前沒有任何影響。 如需詳細資訊,請 參閱建立和部署數據外泄防護原則

在模擬模式中實作原則

使用 模擬模式中的 DLP 原則實作控件,以評估控件的影響。 當原則處於模擬模式時,不會套用原則中定義的動作。 您可以在模擬模式中將原則套用至所有工作負載,以便取得完整的結果,但您可以視需要從一個工作負載開始。 如需詳細資訊,請參閱 原則部署

監視結果並微調原則

在模擬模式中,監視原則的結果並進行微調,使其符合您的控制目標,同時確保您不會對有效的使用者工作流程和生產力造成負面影響或不慎影響。 以下是一些要微調的範例:

  • 調整位於或超出範圍的位置和人員/地點
  • 微調用來判斷專案及其執行方式是否符合原則的條件
  • 敏感性資訊定義/秒
  • 新增控制件
  • 新增人員
  • 新增新的受限制應用程式
  • 新增受限制的網站

注意事項

停止處理更多規則 無法在模擬模式中運作,即使已開啟也一樣。

啟用控件並調整原則

一旦原則符合您的所有目標,請將其開啟。 繼續監視原則應用程式的結果,並視需要進行微調。

注意事項

一般而言,原則會在開啟后大約一小時生效。

DLP 原則設定概述

您對於如何建立並設定 DLP 原則方面具有彈性。 您可以從預先定義的範本開始,按幾下以建立原則,或者您也可以從頭開始設計自己的原則。 無論您選擇哪一個,所有 DLP 原則都需要您提供相同的資訊。

  1. 選擇您想要監視的內容 - DLP 隨附許多預先定義的原則範本,可協助您開始使用或建立自定義原則。

  2. 選擇系統管理範圍 - DLP 支援將 管理單位 指派給原則。 指派給管理單位的系統管理員只能建立和管理指派給其使用者、群組、通訊群組和帳戶的原則。 因此,原則可由不受限制的系統管理員套用至所有使用者和群組,也可以限定為管理單位。 如需更多 DLP 特定詳細數據,請參閱原則 範圍 。 如需跨 Microsoft Purview 資訊保護 之管理單位的詳細數據,請參閱管理單位

  3. 選擇您要監視的位置 - 您可以挑選一或多個要 DLP 監視敏感性資訊的位置。 您可以監視:

    位置 包含/排除依據
    Exchange 電子郵件 通訊群組
    SharePoint 網站 網站
    OneDrive 帳戶 帳戶或通訊群組
    Teams 聊天和頻道訊息 帳戶或通訊群組
    Windows 10、Windows 11 和macOS (三個最新發行的裝置版本) 使用者或群組
    Microsoft Cloud App Security 執行個體
    內部部署存放庫 存放庫檔案路徑
    Power BI (預覽) 工作區
  4. 選擇必須符合才能將原則套用至項目的條件 - 您可以接受預先設定的條件,也可以定義自定義條件。 部分範例如下:

    • 專案包含特定內容中所使用的指定敏感性信息類型。 例如,95 個社會安全碼會以電子郵件傳送給組織外部的收件者。
    • 專案具有指定的敏感度標籤
    • 具有敏感性信息的專案會在內部或外部共用
  5. 選擇符合原則條件時要採取的動作 - 動作取決於活動發生的位置。 部分範例如下:

    • SharePoint/Exchange/OneDrive:封鎖組織外部的人員存取內容。 向用戶顯示提示,並傳送電子郵件通知給他們,告知他們正在採取 DLP 原則禁止的動作。
    • Teams 聊天和頻道:封鎖在聊天或頻道中共用敏感性資訊。
    • Windows 10、Windows 11 和macOS (三個最新發行的版本) 裝置:稽核或限制將敏感性專案複製到卸載式USB裝置。
    • Office 應用程式:顯示彈出視窗,通知用戶他們參與有風險的行為,並封鎖或封鎖,但允許覆寫。
    • 內部部署檔案共享:將檔案從儲存至隔離資料夾的位置移動。

    注意事項

    條件和要採取的動作會定義在稱為 規則的物件中。

建立和部署 DLP 原則

所有 DLP 原則都會在 Microsoft Purview 合規性入口網站 中建立和維護。 如需詳細資訊,請參閱 建立和部署數據外泄防護 原則。

在合規性入口網站中建立 DLP 原則之後,它會儲存在中央原則存放區中,然後同步至各種內容來源,包括:

  • Exchange,以及從該處到 Outlook 網頁版 和 Outlook
  • OneDrive
  • SharePoint 網站
  • Office 桌上型電腦程式 (Excel、PowerPoint 及 Word)
  • Microsoft Teams 頻道和聊天訊息

將原則同步至正確位置之後,就會開始評估內容並強制執行動作。

檢視原則應用程式結果

DLP 會向 Microsoft Purview 報告大量資訊,從監視到原則比對和動作,到用戶活動。 您必須取用並處理該資訊,以調整您對敏感性專案採取的原則和分級動作。 遙測會先進入 Microsoft Purview 合規性入口網站 稽核記錄、進行處理,並進入不同的報告工具。 每個報告工具都有不同的用途。

在外部共用或儲存大量敏感性資訊

Microsoft 365 可讓您瞭解 DLP 原則之外有風險的用戶活動。 DLP 首頁上 共用或儲存的大量敏感性資訊 會顯示用戶擁有的敏感性項目計數:

  • 已上傳至可疑網域
  • 使用可疑的應用程式存取
  • 複製到卸載式磁碟驅動器

Microsoft 365 會掃描稽核記錄中是否有有風險的活動,並透過相互關聯引擎加以執行,以尋找大量發生的活動。 不需要 DLP 原則。

若要取得使用者在組織外部複製或移動的專案詳細數據, (稱為輸出活動或外流) ,請選取卡片上的 [ 深入瞭解] 連結以開啟詳細數據窗格。 您可以從 Microsoft Defender 入口網站事件 & 警示>事件調查 Microsoft Purview 資料外洩防護 (DLP) 的事件。 請參閱使用 Microsoft Defender 全面偵測回應 調查數據遺失事件調查 Microsoft Defender 全面偵測回應 中的警示

DLP 警示

當使用者執行符合 DLP 原則準則的動作,而且您已設定 事件報告 來產生警示時,DLP 會產生警示。 DLP 會在 DLP 警示儀錶板中張貼警示以進行調查。 使用 DLP 警示儀錶板來檢視警示、分類警示、設定調查狀態,以及追蹤解決方式。 警示也會路由傳送至 Microsoft Defender 入口網站,您可以在其中執行所有警示儀錶板工作等等。

提示

DLP 警示可在 Microsoft Defender 入口網站中使用六個月。 它們只能在 Microsoft Purview DLP 警示儀錶板中使用 30 天。

注意事項

如果您是受管理單位限制的系統管理員,您只會看到管理單位的 DLP 警示。

以下是原則相符專案所產生的警示範例,以及來自 Windows 10 裝置的活動。

警示資訊。

您還可以在同一個儀表板中檢視具有豐富中繼資料的關聯事件的詳細資訊

事件資訊。

注意事項

針對電子郵件產生的警示,與針對 SharePoint 或 OneDrive 專案產生警示的方式不同。 在 SharePoint 和 OneDrive 中,DLP 會掃描現有專案以及新的專案,並在找到相符專案時產生警示。 在 Exchange 中,系統會掃描新的電子郵件訊息,如果有原則相符專案,則會產生警示。 DLP 不會 掃描或比對儲存在信箱或封存中的先前現有電子郵件專案。

如需警示的詳細資訊,請參閱:

DLP 活動總管和報告

DLP 頁面上的 [活動總管] 索引標籤具有多個篩選條件,可用來檢視 DLP 事件。 使用此工具來檢閱包含敏感性資訊或已套用標籤之內容的相關活動,例如哪些標籤已變更、檔案已修改,以及符合規則。

您可以使用這些預先設定的篩選,在 活動總管 中檢視過去 30 天的 DLP 資訊:

  • 端點 DLP 活動
  • 包含敏感性資訊類型的檔案
  • 輸出活動
  • 偵測到活動的 DLP 原則
  • 偵測到活動的 DLP 原則規則
若要查看此資訊 選取此活動
使用者覆寫 DLP 規則復原
符合 DLP 規則的專案 符合的 DLP 規則

您也可以透過安全性 & 合規性 PowerShell 中的這些 Cmdlet 來存取 DLP 報告。

  1. 連線到安全性與合規性 PowerShell

使用下列 Cmdlet:

不過,DLP 報告需要從整個 Microsoft 365 提取數據,包括 Exchange。 因此,下列適用於 DLP 報告的 Cmdlet 可在 Exchange Powershell 中使用。 若要針對這些 DLP 報告使用 Cmdlet,請採取下列步驟:

  1. 聯機到 Exchange PowerShell

使用下列 Cmdlet:

內容摘要

您可以在活動總管中看到圍繞相符內容的文字,例如 DLPRuleMatch 事件中的信用卡號碼。

DLPRuleMatch 事件會與使用者輸出活動配對,例如 “CopyToClipboard” 或 “CloudEgress”。 它們應該位於 (旁邊,或至少非常接近活動總管中彼此) 。 您會想要同時查看這兩者,因為 用戶活動 包含相符原則的詳細數據, 而 DLPRuleMatch 事件包含相符內容周圍文字的詳細數據。

針對端點,請確定您已針對 Windows 10 裝置套用KB5016688,並針對 Windows 11 裝置或更新版本套用KB5016691

如需詳細資訊, 請參閱開始使用活動總管

若要深入瞭解 Microsoft Purview DLP,請參閱:

若要瞭解如何使用數據外洩防護來遵守數據隱私權法規,請參閱使用 Microsoft Purview (aka.ms/m365dataprivacy) 部署數據隱私權法規的資訊保護