DLP diegimas sistemoje „Microsoft 365“: taisyklės, išimtys ir geriausia praktika

  • Efektyviam DLP diegimui „Microsoft 365“ reikia planavimo su verslo sritimis, jautrių duomenų kategorijų apibrėžimo ir susitarimo dėl faktinio nutekėjimo ir veiklos poveikio tolerancijos lygio.
  • DLP strategijos sujungia vietas, sąlygas, veiksmus ir išimtis, kad valdytų paštą, svetaines, įrenginius, debesies programas ir žiniatinklio srautą, integruodamos jas su konfidencialumo ir šifravimo žymomis.
  • Diegimas turėtų būti atliekamas etapais: modeliavimas, modeliavimas su pasiūlymais ir visiškas pritaikymas, remiantis bandomųjų grupių, autorizavimo grupių ir įspėjimų bei ataskaitų grupių atliktais pakeitimais.
  • Galinių įrenginių duomenų apsaugos kontrolė (DLP) ir programų, domenų bei įrenginių grupių apribojimai padeda apsaugoti duomenis nuo USB, neleistinų debesų ir generatyvinio dirbtinio intelekto svetainių, tuo pačiu metu atliekant vartotojų auditą ir mokymą.
Joaquin Romero

22 minučių

„Microsoft 365“ duomenų perdavimo sparta

Norint teisingai įgyvendinti Duomenų praradimo prevencija (DLP) sistemoje „Microsoft 365“ Tai ne tik kelių politikų aktyvavimas ir pirštų sukryžiavimas. Tam reikia gilaus supratimo apie tai, kokius duomenis tvarkote, kas juos naudoja, kur jie juda ir kokį poveikį turi tam tikrų veiksmų blokavimas arba leidimas. Jei DLP politika nėra kruopščiai sukurta, ji gali sustabdyti pagrindinius verslo procesus, generuoti daugybę klaidingai teigiamų rezultatų ir galiausiai būti deaktyvuota, „kad žmonės galėtų dirbti“.

Šiame straipsnyje labai išsamiai paaiškinsiu, kaip elgtis DLP diegimas sistemoje „Microsoft 365“ („Exchange“, „SharePoint“, „OneDrive“, „Teams“, įrenginiai, debesies programos ir žiniatinklio srautas), kaip taisyklės, sąlygos, veiksmai ir išimtysIr kokios strategijos laikytis, kad ją būtų galima įdiegti netrikdant kasdienių operacijų. Ji pritaikyta realioms aplinkoms, kuriose taikomi reglamentai, skubantiems vartotojams ir IT komandoms, kurios neturi laiko gaišti.

Pagrindinės DLP sąvokos „Microsoft 365“ ir „Microsoft Purview“

„Microsoft 365“ ekosistemoje DLP funkcijos yra integruotos į „Microsoft Purview“.kuris yra atitikties, informacijos apsaugos ir duomenų valdymo skėtis. „Purview“ portale galite kurti politikas, kurios aptikti, stebėti ir apsaugoti konfidencialūs duomenys keliose vietose ir skirtingose ​​situacijose:

  • Įmonės programos ir įrenginiai„Exchange Online“ el. paštas, „SharePoint“ svetainės, „OneDrive“ paskyros, „Teams“ pokalbiai ir kanalai, „Office“ programos („Word“, „Excel“, „PowerPoint“), „Windows 10/11“ ir „macOS“ įrenginiai, vietinės failų saugyklos ir vietinė „SharePoint“, „Fabric“ ir „Power BI“ darbo sritys, „Microsoft 365 Copilot“, integruotos „SaaS“ programos per „Defender for Cloud Apps“.
  • Patikrintas interneto srautasduomenys, kurie siunčiami tinklu ir per „Microsoft Edge“ verslui nevaldomos debesijos programos, pavyzdžiui, saugojimo paslaugas, bendradarbiavimo įrankius arba generatyvinės dirbtinio intelekto platformos („ChatGPT“, „Google Gemini“, „DeepSeek“ ir kt.).
programėlės su integruotu antruoju pilotu
Susijęs straipsnis:
„Copilot“: semantinės paieškos naudotojo vadovas

Šios direktyvos naudoja pažangią turinio analizę, kuri apima daug daugiau nei vien teksto eilučių paiešką. Jos sujungia konfidencialios informacijos rūšys (pvz., kreditinės kortelės, asmens sveikatos duomenys, nacionaliniai identifikatoriai, apmokomi klasifikatoriai, tikslus duomenų atitikimas, įvardyti subjektai, kredencialų klasifikatoriai...) atsižvelgiant į naudojimo kontekstą (kas bendrina, su kuo, iš kurios programos ar įrenginio, į kurį domeną ir kt.). Tada inicijuojami automatizuoti veiksmai: blokuoti, audituoti, šifruoti, pranešti, reikalauti pagrindimopersikelti į karantiną ir pan.

Prieš pradėdami: licencijos, leidimai ir pagrindiniai komponentai

Norint rimtai diegti DLP, pirmiausia reikia peržiūrėti. licencijavimas ir leidimaiDaugelis išplėstinių funkcijų (pvz., galinių taškų duomenų perdavimo sparta (DLP), išplėstinė klasifikacija, EDM, apmokomi klasifikatoriai arba tikrinamas žiniatinklio srautas) yra susietos su „Microsoft 365“ ir „Microsoft Purview“ planai vidutinės ir aukštos klasės (E5, atitikties priedai ir kt.). Patartina peržiūrėti „Microsoft 365“ saugos ir atitikties licencijavimo vadovą, nes net ir toje pačioje funkcijoje parinktys skiriasi priklausomai nuo plano.

Kalbant apie teises, paskyra, kurianti ir tvarkanti politikas, turi priklausyti vaidmenų grupėms, tokioms kaip Atitikties administratorius, atitikties duomenų administratorius, informacijos apsaugos administratorius arba saugumo administratoriusBe to, yra specifiniai detalūs DLP ir informacijos apsaugos vaidmenys (administratoriaus, analitiko, tyrėjo, skaitytojo), kurie leidžia paskirstyti pareigas ir apriboti prieigą pagal mažiausių privilegijų principą. Šis atskyrimas yra labai svarbus, kai šie veiksniai yra svarbūs. itin jautrūs duomenys ir auditai.

Kitas svarbus komponentas yra administraciniai vienetai „Microsoft Purview“ leidžia segmentuoti administravimo apimtį pagal regionus, dukterines įmones, skyrius arba vartotojų grupes, kad regiono administratorius valdytų tik savo verslo dalies strategijas. DLP strategijos gali būti apribotos šiais padaliniais, siekiant užtikrinti atitiktį reikalavimams. organizacinės ir reguliavimo ribos.

DLP įgyvendinimo planavimas: suinteresuotosios šalys, duomenys ir strategija

Tvirtas DLP diegimas visada prasideda nuo etapo struktūrinis planavimasBūtent čia dažnai kyla problemų dėl pernelyg greito veikimo. Nuo pat pradžių reikia suderinti keturis dalykus: pagrindinius asmenis, duomenų kategorijas, apsaugos tikslus ir diegimo planą.

Suinteresuotųjų šalių identifikavimas

Nepakanka, kad IT nuspręstų, kas blokuojama, o kas ne. DLP politikos veikia įvairius verslo procesus, todėl visi turi dalyvauti. atitiktis, teisinė informacija, rizikos, saugumas, duomenų savininkai ir verslasJie yra tie, kurie gali:

  • Išvardykite reglamentai, įstatymai ir standartai taikomus teisės aktus (BDAR, HIPAA, CCPA, finansinius reglamentus, sektoriaus reglamentus ir kt.).
  • Apibrėžkite neskelbtinos informacijos kategorijos prioritetinės sritys (finansai, sveikata, privatumas, intelektinė nuosavybė, suasmeninti duomenys).
  • Apibūdinkite verslo procesai kur tie duomenys naudojami (sąskaitų išrašymas, auditas, klientų aptarnavimas, žmogiškieji ištekliai, moksliniai tyrimai ir plėtra, palaikymas ir kt.).
  • Nustatykite, ką rizikingas elgesys Jie turi būti ribojami (išorinis siuntimas, neleistinų debesų naudojimas, kopijavimas į USB atmintinę, spausdinimas, įklijavimas dirbtinio intelekto svetainėse ir kt.).
  • Nustatykite apsaugos prioritetas: kokius duomenų ir procesų tipus reikėtų aptarti pirmiausia.
  • Sukurkite peržiūros ir atsakymo procesas Reaguojant į DLP įspėjimus: kas tiria, kas priima sprendimus, reagavimo laikas ir eskalavimo eiga.

Praktiškai daugelis organizacijų daro išvadą, kad paklausa pirmiausia yra skirta atitiktis norminiams ir teisiniams reikalavimams (asmens, finansinių, klinikinių duomenų apsauga...) ir, mažesniu mastu, intelektinės nuosavybės apsauga. Jūsų strategijoje turėtų būti abu aspektai, tačiau su skirtingu svoriu, priklausomai nuo jūsų sektoriaus.

Apibūdinkite konfidencialios informacijos kategorijas

Kitas žingsnis – naudojant verslo terminologiją apibrėžti, kurie duomenys patenka į kiekvieną kategoriją. „Microsoft Purview“, be kita ko, išskiria duomenis finansiniai, sveikatos, privatumo ir suasmenintiBet jūs turite tai pritaikyti savo realybėje. Tipiniai pavyzdžiai:

  • „Mes elgėmės taip, duomenų valdytojaiTodėl privalome įvesti kontrolę visiems suinteresuotųjų šalių duomenims ir finansiniams duomenims, kuriuos mums pateikia mūsų klientai.“
  • „Mūsų prioritetas – apsaugoti brėžiniai, šaltinio kodas, techninė dokumentacija ir mokslinių tyrimų bei plėtros tyrimus, taip pat užkertant kelią raktų ir slaptažodžių išleidimui iš sistemos.“

Tada šis apibrėžimas atitinka konfidencialios informacijos rūšys vietiniai duomenys (kredito kortelių numeriai, IBAN, SSN, JAV, ES asmens duomenys ir kt.), apmokomi klasifikatoriai (pvz., „darbo sutartys“, „tinklo dokumentai“), tikslus duomenų atitikimas pagrindiniams įrašams arba klientų duomenims ir konfidencialumo žymos.

Apsaugos tikslai ir nuotėkio tolerancija

Aiškiai nustačius kategorijas ir identifikavus procesus, suinteresuotosios šalys turi apibrėžti konkretūs tikslai ir rizikos tolerancijaKeletas esminių klausimų:

  • Kokių reglamentų laikymosi turiu įrodyti ir kokio išsamumo įrodymus turiu pateikti?
  • Kas Toks nutekėjimas yra nepriimtinas. (pavyzdžiui, niekada nesiųsti kreditinių kortelių, niekada netalpinti medicininių įrašų debesyje ir pan.)?
  • Kiek esu pasirengęs priimti melagingi teiginiai Arba poveikis produktyvumui mainais už didesnę apsaugą?
  • Kokiais atvejais vartotojai turėtų galėti anuliuoti bloką Kurie iš jų yra pagrįsti, o kurie ne?

Tipinis pavyzdys: saugumo ir teisinės tarnybos reikalauja, kad kredito kortelių numeriai nebūtų nutekinti už organizacijos ribų, tačiau vidaus audito skyrius Jums reikia juos nusiųsti išorės auditoriams. periodiškai. Jei taikote griežtą bloką be išimčių, nutraukiate procesą ir patiriate papildomų išlaidų. Sprendimas apima sujungimą bendroji blokada su kontroliuojamos išimtys (tam tikri vartotojai ar grupės, tik auditui skirti režimai, žymėjimas ir šifravimas, leidžiami domenai ir kt.). Tokie incidentai kaip nutekėjimas, dėl kurio buvo atskleisti naudotojų duomenys Jie iliustruoja realią riziką ir kodėl svarbu planuoti išimtis.

  Kaip naudoti „Stable Diffusion 3“ kompiuteryje

Apibrėžkite įgyvendinimo planą

Kai pamatai aiškūs, laikas parengti planą pradinė būsena, tikslinė būsena ir tarpinius veiksmus. Į išsamų planą paprastai įeina:

  • Žemėlapis Dabartinė situacijakokie duomenys yra prieinami, kur jie yra (M365, vietinės sistemos, trečiųjų šalių debesys), kokios apsaugos egzistuoja, kuo dalijamasi.
  • Požiūris į atrasti ir klasifikuoti Duomenys: „Purview“ duomenų klasifikavimas, turinio ir veiklos naršyklė, vietinių saugyklų informacijos analizatorius, integracija su „Defender for Cloud Apps“ ir kt.
  • Strategija direktyvinis dizainas: diegimo tvarka (pagal platformą, pagal vartotojų grupę, pagal duomenų tipą), naudotini šablonai, prioritetiniai scenarijai.
  • Planas techninės prielaidos„Windows“ ir „macOS“ versijos, galinių taškų agento diegimas, analizatoriaus konfigūracija vietinėms saugykloms, naršyklės plėtinys, skirtas „Chrome“ / „Firefox“, reikalingi žinių bazės failai ir kt.
  • seka modeliavimo režimas → modeliavimas su užuominomis → pilnas pritaikymassu aiškiais kriterijais, kaip pereiti į kitą etapą.
  • Planas mokymai ir komunikacija galutiniam vartotojui: pranešimai, DUK, pavyzdžiai, politikos pasiūlymų paaiškinimai ir pakeitimų priežastys.
  • Ciklas nuolatinė peržiūra ir koregavimas: peržiūros dažnumas, ataskaitų naudojimas, veiklos naršyklė, įspėjimai ir telemetrija tiksliam derinimui.

Konfidencialių duomenų atradimas ir klasifikavimas

Prieš nuspręsdami, ką blokuoti, turėtumėte žinoti Kokius jautrius duomenis turite ir kur jie saugomi?Čia praverčia kelios „Microsoft Purview“ galimybės:

  • Duomenų klasifikavimas su grafiniais ir statistiniais M365 sistemoje ir, išplėstiniu būdu, trečiųjų šalių debesyse bei vietoje aptiktos konfidencialios informacijos tipų vaizdais.
  • Turinio naršyklė kad pamatytumėte, kur yra elementai, kuriuose yra tam tikros rūšies informacija arba konfidencialumo žymos.
  • Veiklos naršyklė peržiūrėti, kas daroma su tais elementais: kas juos atidaro, bendrina, perkelia, žymi ir pan.
  • Informacijos apsaugos analizatorius peržiūrėti vietines saugyklas (failų bendrinimo aplankus, vietinį „SharePoint“ ir kt.) ir taikyti klasifikavimą bei apsaugą.
  • Integracija su Defender debesies programoms atrasti, klasifikuoti ir žymėti duomenis debesies saugykloje, pvz., „Box“ ar „Google“ diske.

Apibrėždami savo strategiją, galite pradėti palaipsniui apsisaugoti rankinis, automatinis ir numatytasis ženklinimasPavyzdžiui, galite konfigūruoti konfidencialumo žymas su šifravimo veiksmais, turinio žymėjimais, prieigos apribojimais ir privalomu pagrindimu grąžinant į žemesnę versiją. Tada šias žymas susiejate su DLP politikomis, kurios jas naudoja kaip sąlygą („jei dokumentas pažymėtas kaip „Itin konfidencialus“, neleisti bendrinti, spausdinti ar kopijuoti į USB išorėje“).

DLP politikos architektūra: vietos, sąlygos, veiksmai ir išimtys

„Microsoft 365“ duomenų perdavimo sparta

„Microsoft Purview“ DLP politikos turi bendrą bendra struktūra Tai taikoma el. paštui, „SharePoint“, „OneDrive“ ir „Teams“, taip pat įrenginiams, debesies programoms ir žiniatinklio srautui. Kiekviena politika apibrėžia:

  • Ką norite stebėti? (iš anksto apibrėžtas šablonas arba pasirinktinė direktyva).
  • Administracinė taikymo sritis (visas administracinis vienetas arba jo dalis).
  • Vietos kuriems tai taikoma („Exchange“, „SharePoint“, „OneDrive“, „Teams“, įrenginiai, vietinės saugyklos, „Fabric“ / „Power BI“, „Copilot“, „Defender for Cloud Apps“, žiniatinklio srautas).
  • Sąlygos kurių reikia laikytis (konfidencialios informacijos tipai, etiketės, kas siunčia ir gauna, domenai, dydis, slaptažodžio apsauga ir kt.).
  • Išimtys (tos pačios sąlygos, bet atvirkštinės: siuntėjai, gavėjai, vieta ir kt., kurie turi būti neįtraukti į taisyklę).
  • veiksmai kurie vykdomi, kai įvykdoma sąlyga (blokuoti, blokuoti su nepaisymu, tik audituoti, šifruoti, peradresuoti, karantinuoti, rodyti politikos užuominas, modifikuoti antraštes, pridėti tekstą prie temos ir kt.).

Priimtinos vietos ir taikymo sritis

Politikos kūrimo vedlyje pasirenkate, kur norite, kad būtų „Purview“. Stebėti ir taikyti valdikliusKiekviena vieta turi savo įtraukimo / neįtraukimo parinktis:

Vieta Apimties filtravimas
„Exchange Online“ paštas Pagal vartotojus, grupes ir paskirstymo grupes.
SharePoint svetainės Pagal konkrečias svetaines arba visas jas.
„OneDrive“ paskyros Pagal atskiras paskyras arba paskirstymo grupes.
„Teams“ pranešimai (pokalbiai ir kanalai) Vartotojų arba grupių.
„Windows 10/11“ ir „macOS“ įrenginiai Pagal vartotojus ir grupes, bei pagal įrenginius ir įrenginių grupes.
Defender debesies programoms Kiekvienam debesies programos egzemplioriui.
Vietinės saugyklos Pagal failų kelius arba aplankus.
„Fabric“ ir „Power BI“ Pagal darbo zonas.
„Microsoft 365 Copilot“. Vartotojų arba grupių.

Toks detalumo lygis leidžia, pavyzdžiui, sukurti politiką, kuri taikoma tik vidaus auditoriai jų darbo vietose arba skambučių centro komandų galinių taškų politiką ir užkirsti joms, pavyzdžiui, galimybę pridėti tam tikrų tipų failus ar duomenis prie el. laiškų ar pokalbių.

Sąlygos ir išimtys: kaip aptinkami scenarijai

The sąlygos DLP taisyklės sąlygos apibrėžia duomenų modelį ir kontekstą, kurie turi būti įvykdyti, kad būtų suaktyvintas veiksmas. „Exchange“, „SharePoint“, „OneDrive“ ir „Teams“ yra daug sąlygų; kai kurios orientuotos į siuntėjus / gavėjus, kitos – į turinį, temą, priedus arba pranešimo ypatybes. Kiekvienai sąlygai paprastai yra atitikmuo, pvz., sąlyga. išimtis, su kuriuo galite patikslinti ir išvengti klaidingų teigiamų rezultatų.

Kai kurios svarbios grupės sąlygų biržoje (taip pat galioja kaip išimtys):

  • Siuntėjai„Siuntėjas yra“, „Siuntėjas yra narys“, „Siuntėjo domenas yra“, „Siuntėjo taikymo sritis (vidinė/išorinė)“, savybės. Įveskite siuntėjo ID, kuriame yra žodžių arba atitinka šablonus, siuntėjo adresą, kuriame yra žodžių arba atitinka reguliariąsias išraiškas. Be to, galite pasirinkti, ar vertinimas atliekamas antraštės adresas, SMTP vokas arba abu.
  • Gavėjai„Gavėjas yra“, „Gavėjo domenas yra“, „Išsiųsta nariui“, ypatybės, pvz., gavėjo ID, unikalių gavėjų skaičius, gavėjų domenų skaičius ir gavėjo apimtis (vidinis / išorinis). Kai kurie suaktyvina šakutė pranešimo (jis pristatomas tik kai kuriems gavėjams).
  • Turinys, tema ir tekstas: tema arba tekstas, kuriame yra žodžių arba šablonų; turinys, kuriame yra konfidencialios informacijos tipų; turinys be konfidencialumo žymos; temos arba teksto ir reguliariųjų išraiškų derinys.
  • Priedai: slaptažodžiu apsaugoti priedai, konkretūs failų plėtiniai, neatpažinti priedai arba priedai, kurių analizė viršija ribas, dokumento pavadinimas, kuriame yra žodžių ar šablonų, pasirinktinės ypatybės, priedo dydis, priedo turinys, kuriame yra žodžių ar šablonų.
  • Pranešimo ypatybės: svarba, simbolių rinkiniai, pranešimai su ankstesniu siuntėjo anuliavimu, pranešimo tipas (automatinis atsakymas, persiuntimas, šifravimas, kalendorius, balso paštas, IRM ir kt.), pranešimo dydis.

Pavyzdžiui, galite sukurti taisyklę, kuri atitinka, kada vidinis el. laiškas Finansų vartotojo el. laiškas su temos eilute „finansinė ataskaita“ ir pridėtas „Excel“ failas, didesnis nei X MB, išsiunčiamas į nepatvirtintą išorinį domeną, o skaičiuoklėje yra tam tikros rūšies konfidencialios informacijos. Ir atvirkščiai, išimtis galėtų neįtraukti išorės auditorių grupė jau yra specifinė socialinė sritis, leidžianti tą bendravimą.

Galimi veiksmai: blokavimas, šifravimas, peradresavimas ir kita

Kai sąlygos yra įvykdytos (ir netaikomos jokios išimtys), taisyklė vykdo vieną ar daugiau veiksmaiKai kurie yra susiję tik su el. pašto perdavimu, o kiti turi įtakos tam, kaip turinį galima pasiekti „Microsoft 365“ paslaugose.

Kas yra semantinė paieška „Copilot“ sistemoje?
Susijęs straipsnis:
„Microsoft“ iš esmės keičia kibernetinį saugumą naudodama naujus dirbtinio intelekto pagrindu veikiančius išmaniuosius agentus
  • Blokuoti prieigą arba užšifruoti turinį M365 vietose naudojant RMS šablonus („BlockAccess“ ir susijusią taikymo sritį).
  • Peradresuoti Pranešimai konkretiems vartotojams, nepristatant jų pradiniams gavėjams ir nepranešant siuntėjui (naudinga karantinui pagal taisykles).
  • Išsiųsti dar kartą patvirtinimui siuntėjo vadovui arba konkretiems tvirtintojams (moderavimas).
  • pridėti gavėjus laukuose „Kam“ / „Kopija“ / „Nematomoji kopija“ arba pridėkite tiesiai siuntėjo administratoriui.
  • Keisti antraštes: pridėti (SetHeader) arba pašalinti (RemoveHeader) konkrečius antraštės laukus.
  • Modifikuoti temą: pridėkite tekstą, kad pažymėtumėte jautrius el. laiškus, arba netgi pakeiskite / perrašykite šablonus temos eilutėje.
  • Taikyti HTML atsakomybės apribojimus laiško tekste, su vietos parinktimis (pradžia / pabaiga) ir atsarginiu elgesiu, jei klientas nepalaiko šio įterpimo.
  • Pašalinti šifravimą pritaiko „Purview“, kai tinkama („RemoveRMSTemplate“) arba, atvirkščiai, taiko prekės ženklo šablonai užšifruotuose pranešimuose.
  • Įpareigoti naudoti šifruotą pranešimų portalą išoriniams gavėjams.
  • Siųsti žinutę į karantiną talpinama „Microsoft 365“.
  Kaip įjungti 3D piktogramas sistemoje „Windows 11“: jaustukai, „PowerPoint“ ir 3D peržiūros programa

Konkrečiu „užšifruoto turinio leidimo ir neužšifruoto turinio blokavimo“ kontekstu galite naudoti šių funkcijų derinį: turinio sąlygos (konfidencialios informacijos tipai), patikrina, ar „turinys pažymėtas / užšifruotas“, ir peradresuoja arba blokuoja. Jei norite, kad el. laiškas būtų blokuojamas tik tada, kai SSN keliauja paprastu tekstu, turite užtikrinti, kad sąlyga arba išimtis atsižvelgtų į žymės ar taikomo šifravimo buvimą ir kad šifravimo perdavimo srautas (pvz., automatinis žymėmis pagrįstas šifravimas) įvyktų prieš įvertinant blokavimo taisyklę.

Galinio taško DLP: įrenginiai, neįtraukti maršrutai ir išplėstinė klasifikacija

Galingiausia (ir tuo pačiu metu subtiliausia) DLP dalis „Microsoft 365“ sistemoje yra komponentas Prisijungimo taškas, kuri prižiūri archyvavimo veiklą „Windows 10/11“ ir „macOS“Čia matote ne tik el. laiškus ar svetaines, bet ir bet kokius veiksmus su įrenginyje esančiais failais: kopijavimą į USB atmintinę, kopijavimą į tinklo bendrinimus, spausdinimą, kopijavimą į iškarpinę, įkėlimą į debesies paslaugas, „Bluetooth“, RDP naudojimą ir kt.

Iš centrinių nustatymų DLP prijungimo taške „Purview“ portale galite koreguoti:

  • Išplėstinė klasifikacija (debesų kompiuterijos diegimas tokioms technologijoms kaip EDM, apmokomi klasifikatoriai, OCR, įvardyti objektai), su galimybe apriboti dienos pralaidumą vienam įrenginiui.
  • Pažangi apsauga pagal etiketeskuri leidžia dirbti su pažymėtais failais (net ir ne „Office“ bei PDF failais) neužšifruotai vietoje, tačiau užtikrina, kad jie būtų užšifruoti prieš pat paliekant įrenginį.
  • Failo kelio išskyrimas Siekiant sumažinti triukšmą ir apkrovą: konkretūs šablonai ir aplinkos kintamieji sistemoje „Windows“, rekomenduojami keliai sistemoje „macOS“. Kai kurie keliai pagal numatytuosius nustatymus neįtraukiami (laikini aplankai, naršyklės talpyklos ir kt.).
  • Tinklo bendrų išteklių aprėptis ir išimtis, taip pat sąveiką su vietinėmis DLP saugyklomis ir „Just-In-Time“ apsauga.
  • Apribotos programos ir programų grupės: programų, kurių veiksmus su apsaugotais failais galite tikrinti arba blokuoti, rinkiniai (įskaitant žiniatinklio variantus, pasiekiamus iš „Edge“).
  • „Bluetooth“ neleidžiamas, nepalaikomi failų plėtiniaiUSB įrenginių grupės, spausdintuvų grupės ir tinklo bendrinimo grupės, skirtos tiksliam valdymui.
  • VPN konfigūracija: taikyti skirtingus veiksmus, kai srautas praeina per konkretų įmonės tinklą.

Jei įjungsite išplėstinė klasifikacijaAtkreipkite dėmesį į dydžio apribojimus (64 MB tekstui, 50 MB vaizdams su OCR) ir „Windows“ versijų suderinamumą. Kai viršijama sukonfigūruota pralaidumo riba, klientas nustoja siųsti turinį į debesį ir grįžta prie sumažintos vietinės klasifikacijos, todėl kai kurie išplėstiniai failų tipai gali būti neaptikti, kol pralaidumo riba nesumažės. Dėl galinių taškų ir privatumo problemų žr. [nuoroda į atitinkamą dokumentaciją]. Kaip valdyti telemetriją sistemoje „Windows 11“.

Programų valdymas, debesies saugykla ir generatyvinis dirbtinis intelektas

Vis svarbesnis scenarijus yra užkirsti kelią jautrių duomenų patekimui į neteisėtos programos (trečiųjų šalių debesys, sinchronizavimo klientai, darbalaukio programos arba neleistinos naršyklės) ir, svarbiausia, kad jie laikytųsi arba įkeltų duomenis generatyvinio dirbtinio intelekto svetainėsNorėdama tai pasiekti, „Microsoft Purview“ siūlo kelis kombinuotus mechanizmus:

  • Apribotos programosVykdomųjų failų sąrašas (ir, peržiūros režimu, jų žiniatinklio sąsajos „Edge“ naršyklėje), kurie, bandant pasiekti apsaugotą failą, suaktyvina tokius veiksmus kaip „tik auditas“, „blokuoti su nepaisymu“ arba „blokuoti“. Pavyzdžiui, galite pažymėti ne įmonės debesies sinchronizavimo programas kaip ribojamas.
  • Apribotos programų grupėsprogramų rinkiniai su vienoda apribojimų politika. Galite netgi sukurti „baltojo sąrašo“ modelį: leisti konkrečiai grupei naudojant veiksmą „Leisti“, o visas kitas programas nustatyti kaip „blokuoti“.
  • Automatinis karantinasKai apribota programa bando pasiekti slaptą failą pagal blokavimo politiką, DLP gali perkelti tą failą į vietinį karantino aplanką ir palikti vartotojui vietos rezervavimo pranešimą, taip išvengiant pranešimų ciklų (kaip nutinka su kai kuriomis sinchronizavimo programomis, kurios bando pasiekti duomenis vėl ir vėl).
  • Naršyklės ir domeno apribojimaiApibrėžkite, kurios naršyklės yra leidžiamos (pagal numatytuosius nustatymus – „Edge“) ir kurios debesies paslaugų sritys yra leisti arba blokuotiTai valdys veiksmus „įkelti į apribotą debesies paslaugos domeną“, taip pat „įklijuoti į palaikomas naršykles“, „spausdinti svetainę“, „kopijuoti svetainės duomenis“ ir „įrašyti kaip“.
  • Konfidencialios paslaugų domenų grupėsSvetainių, kurioms taikomas specialus DLP apdorojimas, rinkiniai. Pavyzdžiui, iš anksto sukonfigūruota grupė, skirta generatyvinio dirbtinio intelekto svetainės kur galite blokuoti arba tikrinti jautraus turinio įklijavimą ir failų įkėlimą.

Paslaugų domenų logika skiria sąrašus režimu Leisti (apribojimai netaikomi tik toms sritims, visa kita yra kontroliuojama) ir režimas Blokuoti (Tik šie domenai yra aiškiai kontroliuojami, o likusieji – leidžiami.) Yra labai aiški elgesio lentelė, kurioje domeno režimas (Leisti/Blokuoti) sujungiamas su pasirinktu DLP veiksmu („Tik auditas“, „Blokuoti su nepaisymu“, „Blokuoti“), kad būtų rodoma, ar generuojami įspėjimai, taikoma politika, ar atliekamas tik auditas.

DLP direktyvų projektavimas ir kūrimas: nuo ketinimų iki konfigūracijos

„Microsoft“ rekomenduoja kiekvieną politiką pradėti nuo ketinimų nurodymasFrazė, natūralia kalba apibūdinanti, ko norite pasiekti. Pavyzdžiui: „Neleisti skambučių centro komandai siųsti slaptų failų išoriniams gavėjams, išskyrus įgaliotus PDF failus ir vaizdus“ arba „Neleisti darbuotojams kopijuoti kredito kortelių informacijos į ne įmonės USB įrenginius“.

Iš ten tas ketinimas perkeliamas į politikos konfigūracija:

  1. Pasirinkite šabloną (finansinį, medicininį, privatumo, suasmenintą...) arba tuščią direktyvą.
  2. Nustatykite administracinė taikymo sritis (visiškas nuomininkas arba konkretūs administraciniai vienetai).
  3. Pasirinkti vietos paskirties vieta („Exchange“, „SharePoint“, „OneDrive“, „Teams“, įrenginiai, žiniatinklio srautas, vietinės saugyklos ir kt.).
  4. Apibrėžti sąlygos: konfidencialios informacijos tipai, žymos, bendrinimo kontekstas (vidinis / išorinis), domenai, atitikmenų skaičius, dydis, maršrutai, programos, VPN ir kt.
  5. Konfigūruoti veiksmai Kiekvienai taisyklei: leisti/audituoti, blokuoti, blokuoti su nepaisymu, šifruoti, perkelti į karantiną, apriboti tik tam tikrą veiklą (kopijuoti į USB atmintinę, spausdinti, įklijuoti ir kt.).
  6. Papildyti pranešimai (el. laiškas vartotojams, administratoriams, SOC) ir direktyvų pasiūlymai (iššokantys pranešimai „Office“, „Edge“ ir kituose klientuose).
  7. Pasirinkite įgyvendinimo būsena: išlaikyti išjungtą, modeliavimo režimas, modeliavimas su užuominomis arba visiškas aktyvavimas.
  Štai kaip veikia naujasis „Google“ mygtukas „+“, skirtas vaizdams ir dokumentams įkelti į paieškos sistemą

Praktiniu atveju, kai blokuojami neskelbtini duomenys tik nešifruotuose el. laiškuose, patikimas metodas būtų toks: 1) automatiškai žymėti ir šifruoti (arba reikalauti, kad vartotojas tai padarytų), kai aptinkami tam tikro tipo duomenys, 2) taikyti DLP taisyklę, kuri blokuoja tų duomenų siuntimą, jei pranešimas ar priedas ne Jie turi konkrečią etiketę arba šifravimą, derindami konfidencialios informacijos sąlygas su „nepažymėtu turiniu“ arba IRM šifravimo atributais, ir 3) naudoja išimtis konkretiems patikimiems domenams arba grupėms.

Įgyvendinimo strategija: statusas, veiksmai ir apimtis

„Microsoft 365“ duomenų perdavimo sparta

Norint išvengti DLP tapimo galvos skausmu, svarbu gerai valdyti tris įgyvendinimo ašis: politikos būsena, sukonfigūruoti veiksmai ir vietų / asmenų aprėptisRekomenduojamas metodas visada yra laipsniškas.

Direktyvos valstybės

Galimos būsenos Jie leidžia kontroliuoti poveikį:

  • Laikykite jį išjungtąJis naudojamas kuriant ir peržiūrint politiką. Niekas nevertinama ir neužfiksuojama.
  • Vykdyti direktyvą modeliavimo režimuTaisyklės įvertinamos, generuojami audito įvykiai ir įspėjimai, tačiau netaikomi jokie blokavimo veiksmai ar vartotojų pranešimai. Idealiai tinka norint patikrinti tikrąjį poveikį visoms sistemoms netrikdant vartotojų darbo.
  • Paleisti modeliavimo režimu ir rodyti politikos pasiūlymusTas pats vertinimas atliekamas be blokavimo, tačiau dabar vartotojas informuojamas iššokančiais langais arba kontekstualizuotais pranešimais, taip pat gali būti siunčiami el. laiškai. Tai yra edukacinis etapas, padedantis jiems suprasti, kad jų elgesys yra rizikingas.
  • Aktyvuokite jį nedelsdami: visiško atitikimo režimas, blokavimo arba apribojimo veiksmai iš tikrųjų vykdomi.

Galite pakeisti savo būseną, kai reikia, bet geriausia laikytis vienos. etapais sudarytas planas su įmone suderinta: kiek laiko likti modeliavime, kokius rodiklius stebėti (atitikmenų skaičius, klaidingai teigiami rezultatai, numatomas poveikis), kokios ribos pateisina perėjimą prie ribojančio režimo.

Veiksmai ir sunkumo lygis

Įrenginių ir saugyklų vietose veiksmai, naudojami kaip „kietumo svirtys"yra:

  • LeistiVeiksmas leidžiamas, bet jis audituojamas. Nėra jokių automatinių pranešimų ar įspėjimų.
  • Tik auditasPanašiai kaip ir leidžiant, bet galite pridėti pranešimus ir įspėjimus. Tai naudinga norint didinti informuotumą ir paruošti organizaciją griežtesnei politikai.
  • Blokuoti su perrašymuVeiksmas pagal numatytuosius nustatymus yra blokuojamas, tačiau vartotojas gali jį pakeisti pateikdamas pagrindimą. Tai naudinga renkant atsiliepimus apie teisėtus atvejus ir derinant klaidingus teigiamus rezultatus.
  • BlokuotiNėra jokios išeities; veiksmas yra visiškai draudžiamas. Jis turi būti skirtas tik labai aiškiems, sutartiems ir išbandytiems scenarijams.

Politikos pasiūlymuose galite nuspręsti, ką pagrindimo parinktys Rodymas: laisvas tekstas, iš anksto nustatytų priežasčių sąrašas arba abiejų derinys. Tinkamai sukonfigūravus šiuos pranešimus (kalba, tonas, trumpas sistemos blokavimo priežasties ir veiksmų paaiškinimas), gerokai pagerėja priėmimas.

Apimties ir autorizacijos grupės

El direktyvos taikymo sritis Jį valdo ne tik bendra vieta (Exchange, įrenginiai ir kt.), bet ir rinkinys konkrečios grupės kurie suteikia papildomo detalumo:

  • Spausdintuvų grupės: apriboti itin slaptų dokumentų spausdinimą iki patikimų spausdintuvų sąrašo (pvz., tik teisinio skyriaus arba centrinio archyvo spausdintuvų).
  • Išimamų USB įrenginių grupės: apibrėžkite, kurie išoriniai diskai yra autorizuoti (pvz., įmonės atsarginės kopijos), o kurie – blokuojami.
  • Tinklo bendrinamų išteklių grupės: apibrėžkite, kurie tinklo maršrutai yra „saugios“ saugyklos, o kuriuose draudžiama saugoti konfidencialius dokumentus.
  • Konfidencialios paslaugų domenų grupės: grupuoti svetaines pagal tipą (generatyvus dirbtinis intelektas, pardavimo SaaS, saugykla ir kt.) ir taikyti konkrečias politikas.
  • VPN sąrašai: atskirti elgseną, kai vartotojas prisijungia per įmonės VPN, ir elgseną, kai jis veikia namų ar viešajame tinkle.

Iš pradžių patartina pradėti nuo bandomoji vartotojų grupė ir konkrečias vietas, o ne visą įmonę. Ši bandomoji grupė tampa ankstyvuoju naudotoju ir padeda jums patikslinti taisykles prieš plečiant.

Stebėjimas, ataskaitų teikimas ir nuolatinis koregavimas

Kai jūsų politika bus įdiegta (net jei tik simuliacijoje), turėsite nuolatinį srautą telemetrija kurį turėtumėte mokėti skaityti. DLP teikia informaciją kelioms ataskaitų sritims ir įrankiams „Microsoft Purview“ ir „Defender“ portale:

  • DLP bendrosios informacijos puslapis: Aukšto lygio politikos sinchronizavimo būsenos, įrenginio būsenos, dažniausiai aptiktų veiklų ir tendencijų rodinys.
  • DLP įspėjimų skydelis „Microsoft Purview“ ir „Defender“ portale: įspėjimų, sugeneruotų suaktyvinus taisyklę pagal sukonfigūruotas ribas ir laiko intervalus, sąrašas. Galite juos peržiūrėti, įvertinti jų svarbą, priskirti būseną (naujas, tiriamas, išspręstas) ir sekti.
  • Veiklos naršyklėišsami konsolė, kurioje galite filtruoti pagal veiklos tipą (galinis taškas, išvestis, DLP veikla, taisyklės, strategijos, vartotojo pakeitimai ir kt.) ir peržiūrėti kiekvieną įvykį su išsamiu kontekstu (vartotojas, įrenginys, programa, domenas, tam tikrais atvejais atitinkamas tekstas).
  • „Microsoft 365“ audito žurnalai: centrinė įvykių saugykla, kuri vėliau panaudojama iš daugelio šių požiūrių.
  • Saugumo ir atitikties „PowerShell“ ir „Exchange“: konkrečios cmdlet'ai, skirti pasirinktinėms DLP ataskaitoms išgauti.

Ypač naudinga funkcija yra kontekstinė santrauka „DLPRuleMatch“ įvykiuose galite peržiūrėti tekstą aplink atitinkamą turinį (pvz., eilutes šalia kredito kortelės numerio), kai sistemoje „Windows 10/11“ įdiegtas atitinkamas žinių bazės naujinimas. Tai leidžia lengviau patvirtinti, ar atitikmuo yra teisėtas, ar klaidingai teigiamas. Taip pat svarbu stebėti naujas grėsmes, pvz.,... Dirbtinio intelekto valdomos finansinės kibernetinės grėsmėsdėl kurių gali pasikeisti rizikos modeliai ir prireikti korekcijų.

Turėdama šiuos duomenis, atitikties ir IT komanda turėtų nustatyti nuolatinio tobulinimo ciklasVietovių koregavimas, išimčių pridėjimas arba pašalinimas, veiksmų griežtinimas arba sušvelninimas, domenų ar programų sąrašų modifikavimas, autorizacijos grupių išplėtimas ir kt. Naudotojų patirtis, surinkta per nepaisymo pagrindimus ir palaikymą, yra neįkainojama tobulinant politikas.

„Google“ vieninga sauga
Susijęs straipsnis:
„Google Unified Security“: tai naujas „Google“ kibernetinio saugumo pasiūlymas.

Gerai suplanuotas DLP diegimas „Microsoft 365“ sistemoje yra iteracinisPradedate nuo duomenų, žymų ir politikų pažinimo, jų testavimo modeliavimo režimais ir bandomosiomis grupėmis, vartotojų apmokymo politikų pasiūlymais, valdiklių koregavimo pagal telemetriją ir palaipsniui griežtinimo ten, kur tai sukuria pridėtinę vertę ir verslas tai toleruoja, visada derindami taisykles, gerai pagrįstas išimtis, konfidencialumo žymas, šifravimą ir programų, įrenginių bei interneto srauto valdiklius, kad duomenys būtų tikrai apsaugoti nesulėtinant kasdienio darbo. Pasidalinkite šiuo vadovu ir daugiau vartotojų sužinos apie šią temą..