設計資料外洩防護原則

  • 發行項

在實作原則之前花點時間設計原則,可讓您更快速地取得所需的結果,減少非預期的問題,而不是單獨建立原則,然後依試用和錯誤進行微調。 記錄您的原則設計也會協助您進行通訊、原則審查、疑難排解和進一步調整。

如果您不熟悉 Microsoft Purview DLP,在開始設計原則之前,先完成這些文章會很有説明:

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

開始之前

如果您不熟悉 Microsoft Purview DLP,以下是您在實作 DLP 時所需的核心文章清單:

  1. 管理單位
  2. 瞭解 Microsoft Purview 資料外洩防護 - 本文將介紹數據外泄防護專業領域和 Microsoft 的 DLP 實作
  3. 規劃數據外洩防護 (DLP) - 透過本文,您將:
    1. 識別專案關係人
    2. 描述要保護的敏感性資訊類型
    3. 設定目標和策略
  4. 數據外洩防護原則參考 - 本文介紹 DLP 原則的所有元件,以及每個元件如何影響原則的行為
  5. 設計 DLP 原則 - 本文 (您正在閱讀的原則,) 逐步引導您建立原則意圖語句,並將它對應至特定的原則組態。
  6. 建立和部署數據外洩防護原則 - 本文提供一些您對應至設定選項的常見原則意圖案例,然後會逐步引導您設定這些選項。
  7. 瞭解如何調查數據外洩防護警示 - 本文將介紹從建立到最終補救和原則微調的警示生命週期。 它也會向您介紹用來調查警示的工具。

原則設計概觀

設計原則 主要是為了清楚 定義您的商務需求、將它們記錄在原則意圖語句中,然後將 這些需求對應至原則設定。 您可以使用您在規劃階段所做的決策來通知一些原則設計決策。

定義原則的意圖

您應該能夠在單一語句中摘要說明您擁有之每個原則的商業意圖。 開發此語句會在您的組織中推動交談,而當完整擴充時,此語句會直接將原則連結至商務用途,並提供原則設計的藍圖。 規劃數據外洩防護 (DLP) 一文中的步驟可協助您開始使用原則意圖聲明。

請記住,如 DLP 原則設定概觀中所述,所有 DLP 原則都需要您:

  • 選擇您想要監視的項目
  • 選擇原則 範圍 (預覽)
  • 選擇您想要監視的位置
  • 選擇原則必須符合的條件,以將原則套用至項目
  • 選擇當符合原則條件時要採取的動作

例如,以下是意圖陳述式的首個虛構草稿,提供所有四個問題的解答:

「我們在美國是一個以美國為基礎的組織,而且我們需要偵測 Office 檔,其中包含儲存在 OneDrive/SharePoint 中 HIPPA 所涵蓋的敏感性醫療保健資訊,並防止該資訊在 Teams 聊天和頻道訊息中共用,並限制每個人與未經授權的第三方共用這些資訊」。

當您開發一個原則設計時,可能會修改並延伸陳述式。

將商業需求對應到原則設定

讓我們細分範例草稿語句,並將它對應至 DLP 原則設定點。 此範例假設您使用的是不受限制的 DLP 系統管理員帳戶,而且未設定管理單位。

重要事項

開始之前,請務必先閱讀管理單位,以瞭解不受限制的系統管理員受管理單位限制的系統管理員之間的差異。

陳述式 已回答設定問題與設定對應
「我們在美國是以美國為基礎的組織,而且我們需要偵測包含 HIPAA 所涵蓋敏感性醫療保健資訊的 Office 檔... - 要監視的內容:Office 檔,使用 美國健康保險法案 (HIPAA) 範本
- 條件進行比對: (預先設定但可編輯的) - 專案包含美國 SSN 和藥物強制執行機構 (DEA) 編號、國際疾病分類 (ICD-9-CM) 、國際疾病分類 (ICD-10-CM) ,內容會與組織
外部人員共用- 驅動交談以釐清偵測的觸發臨界值,例如 信賴等級,以及稱為外洩容錯 (實例 計數) 。
...儲存在 OneDrive/SharePoint 中,並防止在 Teams 聊天和頻道訊息中共用該資訊... - 監視位置:包含或排除 OneDrive 和 SharePoint 網站以及 Teams 聊天/頻道帳戶或通訊群組來設定 位置範圍原則範圍 (預覽) : 完整目錄
...並限制所有人與未經授權的協力廠商共用這些項目。」 - 要採取的動作: 新增限制存取或加密 Microsoft 365 位置
中的內容 - 推動對話以瞭解觸發原則時應採取哪些動作,包括共用限制等保護動作、通知和警示等感知動作,以及用戶權力動作,例如允許使用者覆寫封鎖動作

此範例並未涵蓋 DLP 原則的所有設定點;它必須展開。 不過,當您開發自己的 DLP 原則意圖語句時,應該會讓您思考正確的方向。

重要事項

請記住,您選擇的位置 () 會影響您是否可以使用敏感性資訊類型、敏感度標籤和保留標籤。 您挑選 () 的位置也會影響可用的動作。 如需詳細資訊,請參閱 數據外泄防護原則參考

複雜的規則設計

SharePoint 和 OneDrive 中的上述 HIPPA 內容是 DLP 原則的簡單範例。 DLP 規則產生器支援布爾邏輯 (AND、OR、NOT) 和巢狀群組。

重要事項

  • 所有現有的 例外狀況 都會取代為條件內巢狀群組中的NOT 條件
  • 您必須建立群組,才能使用多個運算符。

重要事項

當 Office 桌面用戶端應用程式、 (Word、Outlook、Excel 和 PowerPoint) 中的動作符合使用複雜條件的原則時,使用者只會看到使用內容包含敏感性資訊條件之規則的原則提示。

  • 範例 1 我們需要封鎖電子郵件給所有包含信用卡號碼的收件者,或已套用「高度機密」敏感度卷標的收件者,但如果電子郵件是從財務小組的某人傳送給 adele.vance@contoso.com

  • 範例 2 Contoso 必須封鎖包含密碼保護檔案或 zip 檔擴展名 ('zip' 或 '7z') 的所有電子郵件,但如果收件者位於 contoso.com 網域或 fabrikam.com 網域,或發件者是 Contoso HR 群組的成員,則請勿封鎖電子郵件。

重要事項

  • 在巢狀群組中使用NOT條件會取代 例外狀況 功能。
  • 您必須建立群組,才能使用多個運算符。

重要事項

當 Office 桌面用戶端應用程式 (Word、Outlook、Excel 和 PowerPoint) 中的動作符合使用複雜條件的原則時,使用者只會看到使用內容包含敏感性資訊條件之規則的原則提示。

原則設計程序

  1. 完成 規劃數據外洩防護 (DLP) 中的步驟 - 透過完成本文,您將:

    1. 找出您的專案關係人
    2. 描述要保護的敏感性資訊類型
    3. 設定目標和策略
    4. 定義您的原則部署計劃

  2. 熟悉資料外洩防護原則參考資料 - 以便了解 DLP 原則的所有元件,以及每個元件如何影響原則的行為。

  3. 熟悉 DLP 原則範本包含的內容

  4. 與重要專案關係人一起開發您的原則意圖陳述式。 請參閱本文稍早的範例。

  5. 決定此原則如何符合整體 DLP 原則策略。

重要事項

建立之後,無法重新命名原則。 如果您必須重新命名原則,必須使用想要的名稱建立一個新的原則,並淘汰舊的原則。 因此,從一開始,決定您所有原則將使用的命名結構。

  1. 將您原則意圖陳述式中的項目對應到設定選項。

  2. 決定您將從哪個原則範本開始:預先定義或自定義。

  3. 在建立原則之前,請瀏覽範本並組合所有需要的資訊。 您可能發現有一些設定點未涵蓋在原則意圖陳述式中。 這是正常的。 請返回至您的專案關係人,以找出任何遺失的設定點需求。

  4. 記錄所有原則設定組態,並和專案關係人一起檢閱。 您可以重新使用對應到設定點 (現在已完全排除) 的原則意圖陳述式。

  5. 建立草稿原則,並參考您的原則部署計劃。

另請參閱