DLP в Microsoft 365: Как да защитите чувствителните си данни с Microsoft Purview

Размерът на поверителни данни, с които компаниите боравят днес Това се увеличи драстично: финансова информация, лични данни, интелектуална собственост... и всичко това се разпространи в имейл, Teams, SharePoint, устройства, приложения в облака, а сега и Инструменти с изкуствен интелект като CopilotВ този контекст, загубата на контрол върху това къде се разпространява тази информация е само въпрос на време, ако не бъдат взети сериозни мерки.

Ето къде Предотвратяване на загуба на данни (DLP) в Microsoft 365 с помощта на Microsoft ViewНе става въпрос само за блокиране на файлове от време на време, а за наличието на централизирана система, способна да открива чувствително съдържание, да следи как се използва и да задейства интелигентни спирачки, когато някой се опита да го сподели неподходящо, без това да нарушава ежедневната производителност.

Какво е DLP в Microsoft 365 и защо е толкова важно?

Когато говорим за DLP в Microsoft 365, имаме предвид набор от директиви, които помагат да се предотврати изтичането на чувствителна информация на грешно мястоТой е интегриран в Microsoft Purview, платформата за управление на данни и съответствие на Microsoft, и действа върху почти всичко, което вашите потребители използват ежедневно.

Организациите управляват особено чувствителни данни като например номера на кредитни карти, данни за банкови сметки, медицински досиета, номера на социално осигуряване, данни за служителите, търговски тайни или документация, защитена от договори и разпоредби (GDPR, HIPAA, PCI-DSS и др.). Случайно предаване в имейл, файл, споделен с външни страни, или копиране и поставяне на грешен сайт може да доведе до нарушение с огромни правни и репутационни последици.

С Microsoft Purview DLP можете дефиниране на централизирани политики които идентифицират това чувствително съдържание, наблюдават го, където и да се намира, и прилагат автоматични действия за защита: от уведомяване на потребителя до пълно блокиране на действие или изпращане на файла под карантина.

Ключът е, че DLP в Microsoft 365 не търси само отделни думи, а извършва задълбочен анализ на съдържанието комбиниране на типове чувствителна информация (SIT), регулярни изрази, ключови думи, вътрешни валидации и в много случаи алгоритми за машинно обучение за намаляване на фалшивите положителни резултати.

Области на защита: бизнес приложения, устройства и уеб трафик

Една от големите предимства на Microsoft Purview DLP е, че обхваща и двете данни в покой, в употреба и в движение на различни места. Това не спира до Exchange или SharePoint, а се простира до устройства, приложения на Office, облачни приложения на трети страни, уеб трафик, Copilot и много други.

DLP в корпоративни приложения и устройства

В сферата на приложенията и устройствата, DLP може Мониторинг и защита на информацията в ключови работни натоварвания на Microsoft 365 и в други допълнителни източници, които са конфигурирани от портала Purview.

Сред поддържани местоположения Сред другите, откриваме следното:

• Обмен онлайн (корпоративен имейл).
• SharePointOnline (сайтове за сътрудничество и хранилища за документи).
• OneDrive за бизнеса (лични папки на потребителите).
• Microsoft Teams (чат съобщения, стандартни, споделени и частни канали).
• офис приложения (Word, Excel, PowerPoint, както за настолни компютри, така и за уеб).
• Устройства с Windows 10, Windows 11 и macOS (последните три версии), включително портативен, съвместими настолни компютри и VDI системи.
• Облачни приложения, които не са на Microsoft, интегриран чрез Defender за облачни приложения.
• Локални хранилища като например споделени файлови ресурси и локална SharePoint, използвайки анализатори на Information Protection.
• Работни пространства на Fabric и Power BI, обхващащи доклади и набори от данни.
• Microsoft 365 Copilot (предварителна версия в някои сценарии) и чат на Copilot.

За тези произходи, които създавате DLP директиви, насочени към „корпоративни приложения и устройства“Това позволява последователен контрол на правилата във всички тези местоположения от един панел.

DLP за неуправляем уеб трафик и облачни приложения

Освен „вътрешните“ услуги, Purview DLP може също контролирайте данните, напускащи вашата мрежа към неуправлявани облачни приложенияособено когато потребителите имат достъп с Microsoft Edge за бизнеса или чрез мрежови контроли.

Тук се намират директивите, насочени към „вмъкнат уеб трафик“ и „мрежова активност“ (функции в режим на предварителен преглед в някои среди), които позволяват например да се контролира какво се поставя в:

• OpenAI ChatGPT.
• Google Gemini.
• DeepSeek.
• Microsoft Copilot в мрежата
• И повече от 34 000 облачни приложения, каталогизирани в Defender for Cloud Apps.

По този начин, дори ако потребител се опита да копира чувствителна информация от вътрешен документ към външно приложение, Директивата DLP може да открие съдържанието и да блокира или одитира действието. според конфигурацията, която сте дефинирали.

Основни характеристики на Microsoft Purview DLP

Purview DLP не е просто филтър за съдържание: той е централна част от стратегията на защита на данните и управление от Microsoft. Проектиран е да се интегрира с други функции на Purview и да осигурява последователен подход, от класификацията до реагирането на инциденти.

Сред неговите Основните функции включват:

• Единен център за администриране на политики от портала на Microsoft Purview, за да създавате, редактирате и внедрявате DLP политики в глобален мащаб.
• Интеграция със защитата на информацията в Purview, повторно използване на готови за употреба, персонализирани или разширени етикети за поверителност и типове чувствителна информация (включително обучими класификатори).
• Унифицирани сигнали и корекции което може да се види както в панела Purview DLP, така и в Microsoft Defender XDR или Microsoft Sentinel за сценарии SIEM/SOAR.
• ботуш бърз Благодарение на шаблоните за директиви, няма нужда да се настройват сложни облачни инфраструктури.
• Адаптивна защита, с политики, чиято строгост се променя в зависимост от нивото на риск (високо, умерено или ниско) и контекста.
• Намаляване на фалшиво положителните резултати чрез контекстуален анализ на съдържанието и машинно обучение.

Всичко това прави Purview DLP решение особено интересни за регулираните сектори (здравеопазване, банково дело, публична администрация, образование, технологии) и за всяка организация, която трябва да спазва строги изисквания като GDPR или HIPAA.

Жизнен цикъл на внедряване на DLP: от идеята до производството

Случайното настройване на DLP обикновено е перфектната рецепта за блокират критични процеси и ядосват всичкиMicrosoft очертава ясен жизнен цикъл, който трябва да се спазва, за да се гарантира успешното внедряване и да се избегнат главоболия.

Фаза на планиране

По време на етапа на планиране трябва да помислите и за двете технологии, както и бизнес процеси и организационна култураНякои важни етапи:

• Идентифицирайте заинтересовани страни: мениджъри по сигурност, правни, бизнес, ИТ, човешки ресурси и др.
• Определете категории поверителна информация които трябва да защитите (лични данни, финансови данни, интелектуална собственост и др.).
• Реши цели и стратегиякакво точно искате да избегнете (изпращане отвън, копиране в USBкачване в определени приложения и др.).
• Оценете места, където ще прилагате DLPУслуги на Microsoft 365, устройства, локални хранилища, външни облачни приложения…

Освен това, трябва да вземем предвид въздействие върху бизнес процеситеDLP може да блокира често срещани действия (например изпращане на определени отчети по имейл до доставчик) и това включва договаряне на изключения, създаване на алтернативни работни потоци или адаптиране на навици.

Накрая, не забравяйте частта за културна промяна и обучениеПотребителите трябва да разбират защо определени действия са блокирани и как да работят безопасно. Предложенията за правила в приложението са много полезен инструмент за обучение на потребителите, без да бъдат прекалено ограничаващи.

Подгответе средата и предварителните изисквания

Преди да активирате правила, които блокират неща, трябва да се уверите, че Всички места са правилно подготвени и свързан с Purview:

• Exchange Online, SharePoint, OneDrive и Teams изискват само дефиниране на правила, които ги включват.
• Локалните хранилища на файлове и локалната SharePoint платформа трябва да внедрят Анализатор на защитата на информацията.
• Устройствата с Windows, macOS и виртуализираните среди се интегрират чрез специфични процедури за внедряване.
• Облачните приложения на трети страни се управляват чрез Microsoft Defender за облачни приложения.

След като местата са подготвени, препоръчителната следваща стъпка е Конфигурирайте чернови на правила и ги тествайте обстойно, преди да започнат да блокират.

Поетапно внедряване: симулация, корекции и активиране

Внедряването на DLP директива трябва да следва поетапен подход, използвайки три контролни оси: статус, обхват и действия.

Лос големи щати Елементите на една директива са:

• Дръжте го изключено: дизайн и преглед, без реално въздействие.
• Изпълнете директивата в режим на симулацияСъбитията се регистрират, но не се прилагат блокиращи действия.
• Симулация с предложения за политикиВсе още не е блокирано, но потребителите получават известия и имейли (в зависимост от случая), които ги обучават.
• Активирайте го веднага: режим на пълно съответствие, прилагат се всички конфигурирани действия.

По време на фазите на симулация можете да регулирате обхват на директиватаЗапочнете с малък набор от потребители или местоположения (пилотна група) и разширявайте групата, докато прецизирате условията, изключенията и потребителските съобщения.

Относно меркиНай-добре е да започнете с неинвазивни опции като „Разрешаване“ или „Само одит“, постепенно да въвеждате известия и накрая да преминете към блок с възможност за анулиране и, в най-критичните случаи, до постоянна блокада.

Компоненти на DLP политика в Microsoft 365

Всички директиви на Microsoft Purview DLP споделят логическа структура: какво се наблюдава, къде, при какви условия и какво се прави, когато бъде откритоКогато го създавате (от нулата или от шаблон), ще трябва да вземете решения във всяка от тези области.

Какво да се наблюдава: персонализирани шаблони и правила

Оферти от обхвата готови шаблони за DLP политики за често срещани сценарии (по държава, регулация, сектор и др.), които включват видове поверителна информация, типични за всяка регулация, включително метаданни в PDF файловеАко предпочитате, можете също да създадете своя собствена персонализирана политика и да изберете желаните от вас SIT или условия.

Административен обхват и административни единици

В големи среди е обичайно управлението да се делегира на различни области. За тази цел можете да използвате административни единици В обхвата си: администратор, назначен към дадено звено, може да създава и управлява политики само за потребители, групи, сайтове и устройства в рамките на своя обхват.

Това работи добре, когато искате например екипът по сигурността на даден регион да управлява собствените си DLP политики, без да засяга останалата част от клиента.

Местоположения на директивите

Следващата стъпка е да изберете където бордът ще наблюдаваНякои от най-често срещаните опции са:

Място	Критерии за включване/изключване
Обменна поща	Групи за разпространение
Сайтове на SharePoint	Конкретни сайтове
OneDrive акаунти	Акаунти или групи за разпространение
Чатове и канали в Teams	Акаунти или групи за разпространение
Устройства с Windows и macOS	Потребители, групи, устройства и групи устройства
Облачни приложения (Defender за облачни приложения)	Екземпляри
Локални хранилища	Пътища към папки
Fabric и Power BI	Работни зони
Microsoft 365 Copilot	Акаунти или групи за разпространение

Условия за съвпадение

на условия Те определят какво трябва да бъде изпълнено, за да се „задейства“ едно DLP правило. Някои типични примери:

• Съдържанието съдържа едно или повече видове поверителна информация (напр. 95 номера на социална осигуровка в имейл до външни получатели).
• Елементът има етикет за поверителност специфични (напр. „Изключително поверително“).
• Съдържанието е споделяне извън организацията от Microsoft 365.
• Чувствителен файл се копира в USB или мрежово споделяне.
• Поверителното съдържание се поставя в Чат в Teams или неуправлявано облачно приложение.

Действия за защита

След като условието е изпълнено, директивата може да изпълни различни действия. защитни действияВ зависимост от местоположението:

• En Exchange, SharePoint и OneDrive: предотвратяване на достъп от външни потребители, блокиране на споделянето, показване на предложение за политика на потребителя и изпращане на известие.
• En Отбори: блокиране на показването на чувствителна информация в съобщенията в чата или канала; ако бъде споделена, съобщението може да бъде изтрито или да не се показва.
• En Устройства с Windows и macOS: одит или ограничаване на действия като копиране на USB, печат, копиране на клипборда, качване в интернет, синхронизиране с външни клиенти и др.
• En Офис (Word, Excel, PowerPoint): показване на изскачащо предупреждение, блокиране на запазването или изпращането, разрешаване на анулиране с обосновка.
• En локални хранилища: преместване на файлове в защитена папка под карантина, когато бъде открита чувствителна информация.

Освен това, всички контролирани дейности се записват в Дневник за одит на Microsoft 365 и може да се види в DLP Activity Explorer.

DLP в Microsoft Teams: съобщения, документи и обхвати

Microsoft Teams се превърна в епицентър на сътрудничеството, което означава, че е и... критична точка за потенциални изтичания на данниDLP в Teams разширява правилата на Purview до съобщения и файлове, споделени в платформата.

Защита на съобщения и документи в Teams

С Microsoft Purview DLP можете предотвратяване на споделянето на поверителна информация от потребител в чат или каналособено когато са замесени гости или външни потребители. Някои често срещани сценарии:

• Ако някой се опита да публикува номер на социална осигуровка или данни за кредитна карта, съобщението може да бъде автоматично блокирано или изтрито.
• Ако споделите документ с чувствителна информация В канал с гости, политиката за DLP може да попречи на тези гости да отворят файла (благодарение на интеграцията с SharePoint и OneDrive).
• En споделени каналиПолитиката на екипа на хоста се прилага, дори ако каналът е споделен с друг вътрешен екип или с различна организация (различен клиент).
• En чатове с външни потребители (външен достъп), всяко лице се управлява от DLP на собствения си клиент, но крайният резултат е, че чувствителното съдържание на вашата компания е защитено от вашите политики, дори ако другата страна има различни.

Защитени зони за DLP в Teams

DLP покритието в Teams зависи от вид на организацията и обхват на директивата, Например:

• Ако целта ви е индивидуални потребителски акаунти За групи за сигурност можете да защитите чатове 1:1 или групови чатове, но не непременно съобщения в стандартни или частни канали.
• Ако целта ви е Групи на Microsoft 365Защитата може да обхваща както чатове, така и съобщения от стандартни, споделени и частни канали, свързани с тези групи.

За да се защити „всичко, което се движи“ в Teams, често се препоръчва да се конфигурира обхватът на всички местоположения или се уверете, че потребителите на Teams са в групи, които са добре съгласувани с правилата.

Предложения за правила за екипи

Вместо просто да блокира, DLP в Teams може да показва предложения за директиви Когато някой направи нещо потенциално опасно, като например изпращане на регулирани данни, тези предложения обясняват причината и предлагат на потребителя опции: коригиране на съдържанието, заявка за преглед или, ако политиката позволява, отмяна на правилото с обосновка.

Тези предложения са силно персонализируеми от портала Purview: можете адаптирайте текста, решете в кои услуги да се показват и дали ще се показват и в режим на симулация.

Endpoint DLP: Контрол в Windows, macOS и виртуални среди

Компонентът на DLP точка на свързване Той разширява защитата до устройствата, използвани от служителите, както физически, така и виртуални. Позволява ви да знаете какво се случва, когато чувствителен файл бъде копиран, отпечатан, качен в облака или прехвърлен през „невидими“ канали от страна на сървъра.

Endpoint DLP поддържа Windows 10 и 11, както и macOS (трите най-нови версии). Работи и на виртуализирани среди като например виртуален работен плот на Azure, Windows 365, виртуални приложения и настолни компютри на Citrix, работни пространства на Amazon или виртуални машини Hyper-V, с някои специфични функции. Може да се допълни и с технологии като Credential Guard в Windows за засилване на защитата на крайните точки.

В VDI среди, USB устройствата обикновено се третират като споделени мрежови ресурсиСледователно, политиката трябва да включва дейността „Копиране в мрежов дял“, за да обхване копирането на USB. В лог файловете тези операции се отразяват като копия в споделени ресурси, въпреки че на практика това е USB устройство.

Съществуват и някои известни ограничения, като например невъзможността за наблюдение на определени дейности по копиране в клипборда чрез браузър във виртуалния работен плот на Azure, въпреки че същото действие е видимо, ако се извършва чрез RDP сесия.

DLP и Microsoft 365 Copilot / Copilot Chat

С появата на Copilot, организациите осъзнаха, че чувствителни данни могат да попаднат и в заявки и взаимодействия с IAMicrosoft е включила специфични за Copilot DLP контроли в Purview, така че можете да ограничите каква информация се добавя към заявките и какви данни се използват за формулиране на отговори.

Блокиране на чувствителна информация в съобщенията до Copilot

В предварителен преглед можете да създавате DLP директиви, предназначени за местоположение „Microsoft 365 Copilot и Copilot Chat“ които блокират използването на определени видове чувствителна информация (SIT) в приложенията. Например:

• Предотвратете включването им номера на кредитни картипаспортни документи или номера на социално осигуряване при поискване.
• Предотвратете изпращането на пощенски адреси от определена държава или регулирани финансови идентификатори.

Когато възникне съвпадение, правилото може предотвратяване на обработката на съдържанието от Copilotтака потребителят получава съобщение, предупреждаващо, че заявката му съдържа данни, блокирани от организацията, и не се изпълнява или използва за вътрешни или уеб търсения.

Предотвратяване на използването на маркирани файлове и имейли в обобщения

Друга възможност е да се предотврати това файлове или имейли с определени етикети за поверителност се използват за генериране на обобщението на отговора на Copilot, въпреки че все още могат да се показват като цитати или препратки.

Директивата, отново фокусирана върху местоположението на Copilot, използва условието „Съдържанието съдържа > Етикети за чувствителност“, за да открие елементи, обозначени например като „Лично“ или „Силено поверително“, и прилага действието „Предотвратяване на обработката на съдържание от Copilot“. На практика Copilot не чете съдържанието на тези елементи, за да конструира отговора, въпреки че показва тяхното съществуване.

Отчети, предупреждения и анализи за дейността на DLP

Създаването на политики е само половината от историята: другата половина е вижте какво се случва и реагирайте навремеPurview DLP изпраща цялата си телеметрия към дневника за одит на Microsoft 365 и оттам тя се разпределя към различни инструменти.

Панел с обща информация

Страницата с общ преглед на DLP на портала Purview предлага Бърз преглед на състоянието на вашите полициСинхронизация, състояние на устройството, основни засечени дейности и обща ситуация. Оттам можете да преминете към по-подробни изгледи.

DLP известия

Когато дадено DLP правило е конфигурирано да генерира инциденти, дейностите, които отговарят на критериите, ги задействат. Известия които се показват в панела за предупреждения на Purview DLP, както и в портала на Microsoft Defender.

Тези сигнали могат групиране по потребител, времеви прозорец или тип правилоВ зависимост от вашия абонамент, това помага за откриване на рискови модели на поведение. Purview обикновено предлага 30 дни данни, докато Defender ви позволява да съхранявате данни до шест месеца.

DLP Activity Explorer

DLP Activity Explorer ви позволява да филтрирате и анализирате подробни събития от последните 30 дниВключва предварително конфигурирани изгледи, като например:

• DLP дейности в точките на свързване.
• Файлове, които съдържат видове поверителна информация.
• Изходни дейности.
• Политики и правила, които са открили дейности.

Също така е възможно да се види анулирания на потребители (когато някой е решил да наруши разрешено правило) или съвпадения на конкретни правила. В случай на събития DLPRuleMatch, може дори да се види контекстуално обобщение на текста около съответстващото съдържание, като се спазват правилата за поверителност и минималните изисквания за версия на системата.

С цялата тази екосистема от правила, предупреждения, изследователи на дейности и контроли върху приложения, устройства, Teams, Copilot и уеб трафик, Microsoft Purview DLP се превръща в ключов компонент за Дръжте чувствителните данни под контрол в Microsoft 365, намаляват риска от бягство, спазват разпоредбите и същевременно позволяват на хората да работят с относителна свобода, без да живеят в постоянно състояние на карантина.