規劃資料外洩防護 (DLP)

每個組織都以不同的方式規劃和實作資料外洩防護 (DLP) 。 為什麼？ 因為每個組織的業務需求、目標、資源和情況都是獨一無二的。 然而，所有成功的 DLP 實作還是有通用的元素。 本文提供規劃 DLP 部署的最佳做法。

提示

開始使用 Microsoft Security Copilot，探索使用 AI 的力量更聰明、更快速地工作的新方法。 深入了解 Microsoft Purview 中的 Microsoft Security Copilot。

開始之前

如果您是 Microsoft Purview DLP 的新手，以下是實作 DLP 時所需的核心文章清單：

1. 管理單位
2. 瞭解 Microsoft Purview 資料外洩防護 - 本文會向您介紹資料外洩防護紀律和 Microsoft 的 DLP 實作。
3. 規劃資料外洩防護 (DLP) - 藉由完成您現在正在閱讀的文章，您將：
   1. 識別專案關係人
   2. 描述要保護的敏感性資訊類型
   3. 設定目標和策略
4. 資料外洩防護原則參考 - 本文介紹 DLP 原則的所有元件，以及每個元件如何影響原則的行為。
5. 設計 DLP 原則 - 本文會逐步引導您建立原則意圖陳述式，並將它對應至特定原則設定。
6. 建立和部署資料外洩防護原則 - 本文提供一些常見的原則意圖案例，您將對應至組態選項。 然後，它會引導您完成這些選項的配置。
7. 瞭解如何調查資料外洩防護警示 - 本文會向您介紹警示的生命週期，從建立到最終補救和原則調整。 它也會向您介紹用來調查警示的工具。

多個起點

許多組織選擇實施 DLP 以遵守各種政府或行業法規。 例如，歐盟的《通用數據保護規範》 (GDPR) ，或 HIPAA) (《健康保險流通與責任法案》，或 CCPA) (《加州消費者隱私法》。 他們還實施資料外洩防護以保護其智慧財產權。 然而，DLP 旅程的起點和最終目的地各不相同。

組織可以從幾個不同的點開始他們的 DLP 之旅：

• 以平臺為中心，例如想要保護 Teams 聊天和頻道訊息或 Windows 10 或 11 裝置上的資訊
• 了解他們想要優先保護的敏感資訊，例如醫療保健記錄，並直接定義保護這些資訊的政策
• 不知道他們的敏感資訊是什麼、在哪裡，或者誰在用它做什麼;因此，他們從發現和分類開始，並採取更有條理的方法
• 在不知道他們的敏感資訊是什麼、它在哪裡或誰在用這些資訊做什麼的情況下，他們直接定義政策，然後使用這些結果來完善它們
• 知道他們需要實作完整的 Microsoft Purview 資訊保護堆疊，以及採取長期、有系統的方法的計劃

這些只是客戶如何處理 DLP 的一些範例。 你從哪裡開始並不重要;DLP 足夠靈活，可以適應各種類型的資訊保護旅程，從開始到完全實現的資料外洩防護策略。

規劃流程概覽

瞭解 Microsoft Purview 資料外洩防護 介紹 DLP 規劃程式的三個不同層面。 我們在這裡更詳細地介紹了所有 DLP 計劃的共同元素。

識別專案關係人

實作時，DLP 原則可以套用至組織的大部分。 您的 IT 部門無法自行制定廣泛的計劃而不會產生負面影響。 您需要確定能夠：

• 確定您的組織所遵守的法規、法律和行業標準
• 識別要保護的敏感項目類別
• 識別它們使用的業務流程
• 識別應限制的風險行為
• 根據項目的敏感性和所涉及的風險，確定應首先保護哪些資料的優先順序
• 概述 DLP 原則比對事件檢閱和補救程式

一般來說，這些需求往往是 85% 的監管和合規保護，以及 15% 的智慧財產權保護。 以下是有關規劃過程中應包含的角色的一些建議：

• 監管和合規官員
• 首席風險官
• 法律人員
• 安全與合規官
• 資料項目的企業擁有者
• 商業用戶
• IT

描述要保護的敏感性資訊類型

一旦確定，利害關係人就會描述要保護的敏感資訊類別以及它們所使用的業務流程。 例如，DLP 會定義下列類別：

• 財務
• 醫療健康資訊
• 隱私權
• 自訂

利害關係人可能會將敏感資訊識別為「我們是資料處理者，因此我們必須對資料主體資訊和財務資訊實施隱私保護」。

設定目標和策略

一旦您確定了利害關係人，知道哪些敏感資訊需要保護，以及這些資訊的使用位置，利害關係人就可以設定其保護目標，IT 可以制定實施計劃。

設定實施計劃

您的實施計劃應包括：

• 您的起始狀態、期望的結束狀態以及從一個狀態到另一個狀態的步驟的地圖
• 如何處理敏感性項目探索的計劃
• 制定政策的計劃以及實施這些政策的順序
• 如何解決任何先決條件的計劃
• 在實施政策以實施之前如何模擬政策的計劃
• 如何訓練使用者的計劃
• 如何調整政策的計劃
• 如何根據不斷變化的法規、法律、行業標準或知識產權保護和業務需求審查和更新數據外洩防護策略的計劃

繪製從開始到所需結束狀態的路徑

記錄您的組織將如何從其起始狀態到所需的最終狀態對於與利益相關者溝通和設置項目範圍至關重要。 以下是一組常用來部署 DLP 的步驟。 您需要比圖形顯示更多的詳細信息，但您可以使用它來構建您的 DLP 採用路徑。

敏感性項目探索

有多種方法可以發現單個敏感項目是什麼以及它們的位置。 您可能已部署敏感度標籤，或者您可能已決定將廣泛的 DLP 原則部署至僅探索和稽核專案的所有位置。 若要深入瞭解，請參閱 瞭解您的資料。

政策規劃

當您開始採用 DLP 時，您可以使用這些問題來集中您的原則設計和實作工作。

您的組織必須遵守哪些法律、法規和行業標準？

由於許多組織以法規合規性為目標來使用 DLP，因此回答這個問題是規劃 DLP 實作的自然起點。 但是，作為 IT 實施者，您可能無法回答這個問題。 相反，您應該諮詢您的法律團隊和企業主管以獲得答案。

例 您的組織受英國財務法規的約束。

您的組織必須保護哪些敏感項目免於洩漏？

一旦您了解您的組織在法規遵循需求方面所處的位置，您就會對哪些敏感項目需要防止洩漏有所了解。 您也會瞭解如何排定原則實作的優先順序，以保護這些專案。 這些知識可協助您選擇最適當的 DLP 原則範本。 Microsoft Purview 隨附財務、醫療和健康，以及隱私權原則範本的預先設定 DLP 範本。 此外，您可以使用自訂範本建立自己的範本。 當您設計和建立實際的 DLP 原則時，瞭解您需要保護的敏感性專案可協助您選擇正確的 敏感性資訊類型。

例若要快速開始使用，您可以選擇預先設定U.K. Financial Data的原則範本，其中包括 Credit Card Number、 和EU Debit Card NumberSWIFT Code敏感性資訊類型。

您想要如何設定原則範圍

如果您的組織已實作 管理單位，您可以依管理單位設定 DLP 原則的範圍，或保留範圍預設值，這會將原則套用至完整目錄。 如需詳細資訊，請參閱 原則範圍設定。

敏感項目在哪裡，它們涉及哪些業務流程？

包含貴組織敏感性資訊的專案每天都會在開展業務的過程中使用。 您必須知道該敏感資訊的實例可能發生的位置，以及它們用於哪些商務程式。 瞭解這一點有助於您選擇正確的位置來套用 DLP 原則。 DLP 原則可套用至下列位置：

• Exchange 線上電子郵件
• SharePoint 網站
• OneDrive 帳戶
• Teams 聊天和頻道訊息
• Windows 10、11 和 macOS 裝置
• Microsoft Defender for Cloud Apps
• 內部部署存放庫

例 您組織的內部稽核員正在追蹤一組信用卡號碼。 他們在安全的 SharePoint 網站中保留他們的電子表格。 幾名員工製作副本並將它們保存到他們的工作 OneDrive 站點，該站點同步到他們的 Windows 10 設備。 其中一名員工將 14 個信用卡號的清單貼到電子郵件中，並嘗試將其發送給外部審計師進行審查。 在此情況下，您會想要將原則套用至安全的 SharePoint 網站、所有內部稽核員 OneDrive 帳戶、其 Windows 10 裝置和 Exchange 電子郵件。

貴組織對洩漏的容忍度如何？

組織中的不同群組可能對可接受的敏感項目洩漏層級有不同的觀點。 實現零洩漏的完美可能會給企業帶來過高的成本。

例 您組織的安全小組和法律團隊都認為不應與組織外部的任何人共用信用卡號碼。他們堅持零洩漏。 但是，作為定期審查信用卡號碼活動的一部分，內部稽核員必須與第三方稽核員共用一些信用卡號碼。 如果您的 DLP 原則禁止在組織外部共用所有信用卡號，則將發生重大的業務流程中斷，並增加成本來減輕中斷，以便內部稽核員完成追蹤。 這種額外的成本是行政領導層無法接受的。 為了解決這個問題，需要進行內部對話來確定可接受的洩漏程度。 一旦決定，該政策可以為某些個人提供共享資訊的例外情況，或者，它可以在僅審計模式下應用。

重要事項

若要瞭解如何建立原則意圖陳述式並將其對應至原則組態，請參閱 設計資料外洩防護原則

規劃必要條件

在監控某些 DLP 位置之前，必須先滿足一些先決條件。 請參閱下列文章的開始 之前 一節：

• 開始使用資料外洩防護內部部署掃描器
• 開始使用端點資料外洩防護
• 開始使用 Microsoft 合規性延伸模組
• 針對非 Microsoft 雲端應用程式使用資料外洩防護原則

原則部署

當您建立 DLP 原則時，您應該考慮逐步推出它們，以便評估其影響並測試其有效性，然後再完全強制執行。 例如，您不希望新的 DLP 原則無意中封鎖對數千個檔的存取，或中斷現有的商務程式。

如果您正在建立的 DLP 原則可能有重大影響，建議依照下列順序進行：

1. 在模擬模式下執行原則，而不使用原則提示 ，然後使用 DLP 報告和任何事件報告來評估原則的影響。 您可以使用 DLP 報告來檢視原則相符項目的號碼、位置、類型和嚴重性。 根據結果，您可以視需要微調原則。 在模擬模式中，DLP 原則不會影響組織中工作人員的生產力。 使用此階段來測試 DLP 事件檢閱和問題補救的工作流程也很好。

2. 在模擬模式中執行原則，並包含通知和原則提示， 以便您可以開始教導使用者合規性原則，並為套用原則做好準備。 擁有組織原則頁面的連結會很有用，該頁面會在原則提示中提供原則的詳細資訊。 在這個階段，也可以要求使用者回報誤報，這樣可以進一步細化條件，減少誤報數量。 一旦您確信應用政策的結果符合利害關係人的想法，就進入此階段。

3. 啟動完整原則強制執行 ，以便套用規則中的動作並保護內容。 繼續監視 DLP 報告以及任何事件報告或通知，確保得到您想要的結果。

使用者訓練

您可以設定原則，以便在觸發 DLP 原則時， 自動傳送電子郵件通知，並向 系統管理員和終端使用者顯示原則提示。 原則提示是提高敏感性專案上風險行為的意識並訓練使用者避免未來這些行為的有用方法。

檢閱 DLP 需求和更新策略

您的組織所遵守的法規、法律和行業標準會隨著時間而變化，您的 DLP 業務目標也會隨時間而變化。 請務必定期檢閱所有這些區域，以便您的組織保持合規性，讓您的 DLP 實作繼續符合您的商務需求。

部署方法

客戶業務需求說明	方法
Contoso Bank 屬於高度管制的產業，在許多不同的位置有許多不同類型的敏感性專案。 Contoso： - 知道哪些類型的敏感性資訊是最優先 順序 - 在推出 原則時必須將業務中斷降到最低 - 已涉及商務流程擁有者 - 擁有 IT 資源，並且可以聘請專家來協助規劃、設計和部署 - 與 Microsoft 簽訂了頂級支援合約	- 花時間了解他們必須遵守哪些法規以及他們將如何遵守。 - 花點時間了解 Microsoft Purview 資訊保護堆疊 的「更好的組合」值 - 開發優先順序專案的敏感度標籤配置並套用它 - 設計和編碼原則、在模擬模式中部署它們，以及訓練使用者 - 重複和精簡原則
TailSpin Toys 不知道他們擁有哪些敏感數據或它在哪裡，而且他們幾乎沒有資源深度。 他們廣泛使用 Teams、OneDrive 和 Exchange。	- 從優先位置的簡單政策開始。 - 監視所識別 的內容 - 據以套用 敏感度標籤 - 精簡原則並訓練使用者
Fabrikam 是一家小型新創公司。 他們希望保護自己的智慧財產權，必須迅速採取行動。 他們願意投入一些資源，但無力聘請外部專家。 其他考慮： - 敏感性項目都在 Microsoft 365 OneDrive/SharePoint 中 - OneDrive 和 SharePoint 的採用速度很慢。 許多員工仍然使用 DropBox 和 Google Drive 來存儲和共享項目 - 員工更重視工作速度而不是數據保護紀律 - 所有 18 名員工都擁有新的 Windows 設備	- 利用 Teams 中的預設 DLP 原則 - 針對 SharePoint 專案 使用「預設限制」設定 - 部署防止外部共用 的原則 - 將原則部署至優先順序位置 - 將原則部署至 Windows 裝置 - 封鎖上傳至 OneDrive 以外的雲端儲存體解決方案

後續步驟

重要事項

若要深入瞭解 DLP 原則部署，請參閱 部署

另請參閱

• 深入了解資料外洩防護