DLP v Microsoftu 365: Jak chránit citlivá data pomocí Microsoft Purview

Částka důvěrná data, se kterými dnes firmy nakládají Prudce se to rozrostlo: finanční informace, osobní údaje, duševní vlastnictví… a to vše se rozšířilo napříč e-mailem, Teams, SharePoint, zařízení, aplikace v cloudu a nyní také Nástroje umělé inteligence, jako je CopilotV této souvislosti je ztráta kontroly nad tím, kudy tyto informace kolují, jen otázkou času, pokud nebudou přijata závažná opatření.

To je místo, kde Prevence ztráty dat (DLP) v Microsoft 365 pomocí Microsoft PurviewNejde jen o občasné blokování souborů, ale o centralizovaný systém schopný detekovat citlivý obsah, monitorovat jeho používání a inteligentně brzdit, když se ho někdo pokusí nevhodně sdílet, aniž by to narušilo každodenní produktivitu.

Co je DLP v Microsoftu 365 a proč je tak důležité?

Když mluvíme o DLP v Microsoft 365, máme na mysli sadu směrnice, které pomáhají zabránit tomu, aby citlivé informace opustily nesprávné místoJe integrován do Microsoft Purview, platformy společnosti Microsoft pro správu dat a dodržování předpisů, a působí na téměř vše, co vaši uživatelé denně používají.

Organizace spravují obzvláště citlivá data jako jsou čísla kreditních karet, údaje o bankovních účtech, lékařské záznamy, čísla sociálního zabezpečení, údaje o zaměstnancích, obchodní tajemství nebo dokumentace chráněná smlouvami a předpisy (GDPR, HIPAA, PCI-DSS atd.). Náhodný přenos v e-mailu, soubor sdílený s externími stranami nebo kopírování a vkládání na nesprávnou stránku může vést k narušení bezpečnosti s obrovskými právními a reputačními následky.

S Microsoft Purview DLP můžete definovat centralizované zásady které identifikují citlivý obsah, monitorují ho, ať se nachází kdekoli, a aplikují automatické ochranné akce: od upozornění uživatele až po úplné zablokování akce nebo odeslání souboru do karantény.

Klíčové je, že DLP v Microsoft 365 neprohledává pouze jednotlivá slova, ale provádí… hloubková analýza obsahu kombinování typů citlivých informací (SIT), regulárních výrazů, klíčových slov, interních validací a v mnoha případech algoritmů strojového učení pro snížení počtu falešně pozitivních výsledků.

Oblasti ochrany: obchodní aplikace, zařízení a webový provoz

Jednou z velkých silných stránek Microsoft Purview DLP je, že pokrývá obojí. data v klidu, při používání a v pohybu napříč různými místy. Nekončí to u Exchange nebo SharePointu, ale rozšiřuje se to na zařízení, aplikace Office, cloudové aplikace třetích stran, webový provoz, Copilot a mnoho dalšího.

DLP v podnikových aplikacích a zařízeních

V oblasti aplikací a zařízení může DLP Monitorování a ochrana informací v klíčových úlohách Microsoft 365 a v dalších dalších zdrojích, které jsou konfigurovány z portálu Purview.

Mezi podporované lokality Mimo jiné zde nacházíme následující:

• Výměna online (firemní e-mail).
• SharePoint Online (weby pro spolupráci a úložiště dokumentů).
• OneDrive pro firmy (osobní složky uživatelů).
• Týmy společnosti Microsoft (chatové zprávy, standardní, sdílené a soukromé kanály).
• kancelářské aplikace (Word, Excel, PowerPoint, desktopová i webová verze).
• Zařízení s Windows 10, Windows 11 a macOS (poslední tři verze), včetně notebooky, kompatibilní stolní počítače a systémy VDI.
• Cloudové aplikace jiných výrobců než Microsoftu, integrovaný prostřednictvím Defenderu pro cloudové aplikace.
• Lokální repozitáře například sdílené souborové prostředky a místní SharePoint, pomocí analyzátorů ochrany informací.
• Pracovní prostory Fabric a Power BI, zahrnující zprávy a datové sady.
• Microsoft 365 Copilot (verze Preview v některých scénářích) a chat s druhým pilotem.

Pro tyto původy vytváříte Směrnice DLP zaměřené na „podnikové aplikace a zařízení“To umožňuje konzistentní kontrolu nad pravidly napříč všemi těmito místy z jednoho panelu.

DLP pro nespravovaný webový provoz a cloudové aplikace

Kromě „interních“ služeb nabízí Purview DLP také kontrolujte data odcházející z vaší sítě do nespravovaných cloudových aplikacízejména když uživatelé přistupují pomocí Microsoft hran pro firmy nebo prostřednictvím síťových ovládacích prvků.

Zde se nacházejí směrnice zaměřené na „vložený webový provoz“ a „síťová aktivita“ (funkce v náhledu v některých prostředích), které umožňují například kontrolu nad tím, co se vkládá do:

• OpenAI ChatGPT.
• Google Gemini.
• DeepSeek.
• Microsoft Copilot na webu
• A více než 34 000 cloudových aplikací katalogizovaných v Defenderu pro cloudové aplikace.

Takže i když se uživatel pokusí zkopírovat citlivé informace z interního dokumentu do externí aplikace, Direktiva DLP dokáže detekovat obsah a blokovat nebo auditovat akci. podle vámi definované konfigurace.

Klíčové vlastnosti Microsoft Purview DLP

Purview DLP není jen filtr obsahu: je to ústřední součást strategie ochrana a správa dat od společnosti Microsoft. Je navržen tak, aby se integroval s dalšími funkcemi Purview a poskytoval konzistentní přístup, od klasifikace až po reakci na incidenty.

Mezi vámi Hlavní rysy patří:

• Jednotné centrum pro správu zásad z portálu Microsoft Purview, k vytváření, úpravě a nasazování zásad DLP v globálním měřítku.
• Integrace s ochranou informací Purview, opětovné použití připravených, přizpůsobených nebo pokročilých štítků důvěrnosti a typů citlivých informací (včetně trénovatelných klasifikátorů).
• Sjednocená upozornění a opravy což lze vidět jak na panelu Purview DLP, tak i v aplikaci Microsoft Defender XDR nebo Microsoft Sentinel pro scénáře SIEM/SOAR.
• Boot rápido Díky šablonám směrnic není nutné nastavovat složité cloudové infrastruktury.
• Adaptivní ochranas politikami, jejichž přísnost se mění v závislosti na úrovni rizika (vysoké, střední nebo nízké) a kontextu.
• Snížení falešně pozitivních výsledků prostřednictvím kontextové obsahové analýzy a strojového učení.

Díky tomu všemu je Purview DLP řešením obzvláště zajímavé pro regulované sektory (zdravotnictví, bankovnictví, veřejná správa, vzdělávání, technologie) a pro jakoukoli organizaci, která musí splňovat přísné požadavky, jako je GDPR nebo HIPAA.

Životní cyklus implementace DLP: od nápadu po produkci

Náhodné nastavení DLP je obvykle perfektním receptem pro blokovat kritické procesy a rozzlobit všechnySpolečnost Microsoft jasně stanoví životní cyklus, který by měl být respektován, aby byla zajištěna úspěšná implementace a předešlo se problémům.

Fáze plánování

Během fáze plánování byste měli myslet na obojí technologie, stejně jako obchodní procesy a organizační kulturaNěkteré důležité milníky:

• Identifikujte dotčené strany: bezpečnostní, právní, obchodní, IT, HR atd. manažeři.
• Definujte kategorie důvěrných informací které potřebujete chránit (osobní údaje, finanční údaje, duševní vlastnictví atd.).
• Rozhodni se cíle a strategiečemu přesně se chcete vyhnout (externí odesílání, kopírování do USBnahrávání do určitých aplikací atd.).
• Vyhodnoťte místa, kde budete aplikovat DLPSlužby Microsoft 365, zařízení, lokální repozitáře, externí cloudové aplikace…

Dále musíme zvážit, dopad na obchodní procesyDLP může blokovat běžné akce (například odesílání určitých reportů e-mailem dodavateli), což zahrnuje vyjednávání výjimek, vytváření alternativních pracovních postupů nebo úpravu návyků.

Nakonec nezapomeňte na část o kulturní změna a vzděláváníUživatelé musí pochopit, proč jsou určité akce blokovány a jak s nimi bezpečně pracovat. Návrhy zásad v aplikaci jsou velmi užitečným nástrojem pro vzdělávání uživatelů, aniž by byly příliš omezující.

Příprava prostředí a předpokladů

Před aktivací zásad, které blokují věci, se musíte ujistit, že Všechna místa jsou řádně připravena a připojeno k Purview:

• Exchange Online, SharePoint, OneDrive a Teams vyžadují pouze definování zásad, které je zahrnují.
• Místní úložiště souborů a místní SharePoint je nutné nasadit Analyzátor ochrany informací.
• Zařízení s Windows, macOS a virtualizovaná prostředí jsou integrována prostřednictvím specifických onboardingových postupů.
• Cloudové aplikace třetích stran jsou spravovány prostřednictvím Microsoft Defender pro cloudové aplikace.

Jakmile jsou místa připravena, doporučeným dalším krokem je Konfigurace návrhů zásad a jejich testování důkladně předtím, než začnou blokovat.

Inkrementální implementace: simulace, úpravy a aktivace

Implementace směrnice DLP by měla probíhat postupně a měla by využívat tři řídicí osy: stav, rozsah a akce.

L hlavní státy Prvky směrnice jsou:

• Nechte to vypnuté: návrh a recenze, bez skutečného dopadu.
• Spusťte direktivu v simulačním režimuUdálosti se zaznamenávají, ale nepoužívají se žádné blokovací akce.
• Simulace s návrhy politikStále to není blokováno, ale uživatelé dostávají oznámení a e-maily (v závislosti na případu), které je proškolují.
• Aktivujte to okamžitě: režim plné shody, použijí se všechny nakonfigurované akce.

Během fází simulace můžete upravovat oblast působnosti směrniceZačněte s malou sadou uživatelů nebo lokalit (pilotní skupina) a rozšiřujte ji s upřesňováním podmínek, výjimek a uživatelských zpráv.

Vzhledem k tomu, akceNejlepší je začít s neinvazivními možnostmi, jako je „Povolit“ nebo „Pouze auditovat“, postupně zavádět oznámení a nakonec přejít k blok s možností zneplatnění a v nejkritičtějších případech k trvalé blokádě.

Součásti zásad DLP v Microsoft 365

Všechny direktivy Microsoft Purview DLP sdílejí logickou strukturu: co se monitoruje, kde, za jakých podmínek a co se dělá, když je to zjištěnoPři jeho vytváření (od nuly nebo podle šablony) budete muset učinit rozhodnutí v každé z těchto oblastí.

Co sledovat: vlastní šablony a zásady

Nabídky Purview připravené šablony zásad DLP pro běžné scénáře (podle země, nařízení, odvětví atd.), které zahrnují typy důvěrných informací typických pro dané nařízení, včetně metadata v PDF souborechPokud chcete, můžete si také vytvořit vlastní zásady a zvolit požadované SIT nebo podmínky.

Administrativní působnost a administrativní jednotky

Ve velkých prostředích je běžné delegovat správu na různé oblasti. K tomu můžete použít administrativní jednotky V rámci kompetence: správce přiřazený k jednotce může vytvářet a spravovat zásady pouze pro uživatele, skupiny, lokality a zařízení v rámci své působnosti.

To funguje dobře, když chcete například, aby bezpečnostní tým regionu spravoval své vlastní zásady DLP, aniž by to ovlivnilo zbytek klienta.

Místa pro směrnice

Dalším krokem je výběr kde bude rada sledovatMezi nejběžnější možnosti patří:

Umístění	Kritéria pro zařazení/vyloučení
Výměnná pošta	Distribuční skupiny
SharePointové weby	Konkrétní weby
Účty OneDrive	Účty nebo distribuční skupiny
Chaty a kanály v Teams	Účty nebo distribuční skupiny
Zařízení s Windows a macOS	Uživatelé, skupiny, zařízení a skupiny zařízení
Cloudové aplikace (Defender pro cloudové aplikace)	Instance
Lokální repozitáře	Cesty ke složkám
Fabric a Power BI	Pracovní oblasti
Microsoft 365 Copilot	Účty nebo distribuční skupiny

Shodující se podmínky

the podmínky Definují, co musí být splněno, aby se pravidlo DLP „spustilo“. Některé typické příklady:

• Obsah obsahuje jeden nebo více typy důvěrných informací (např. 95 čísel sociálního zabezpečení v e-mailu externím příjemcům).
• Prvek má štítek důvěrnosti specifické (např. „Extrémně důvěrné“).
• Obsah je sdílení mimo organizaci z Microsoftu 365.
• Citlivý soubor se kopíruje do USB nebo síťová sdílená položka.
• Důvěrný obsah je vložen do Chat v Teams nebo nespravovaná cloudová aplikace.

Ochranná opatření

Jakmile je podmínka splněna, může direktiva provést různé akce. ochranná opatřeníV závislosti na lokalitě:

• En Exchange, SharePoint a OneDrive: zabránit přístupu externím uživatelům, blokovat sdílení, zobrazit uživateli návrh zásad a poslat mu oznámení.
• En týmy: blokuje zobrazování citlivých informací v chatu nebo zprávách kanálu; pokud je zpráva sdílena, může být smazána nebo se nezobrazí.
• En Zařízení s Windows a macOSauditovat nebo omezovat akce, jako je kopírování na USB, tisk, kopírování na schránky, nahrávání na internet, synchronizace s externími klienty atd.
• En Kancelář (Word, Excel, PowerPoint)zobrazit vyskakovací varování, zablokovat ukládání nebo odeslání, povolit zneplatnění s odůvodněním.
• En lokální repozitáře: přesunout soubory do zabezpečené karanténní složky, pokud jsou zjištěny citlivé informace.

Kromě toho jsou všechny dohlížené činnosti zaznamenávány v Protokol auditu Microsoft 365 a lze si je prohlédnout v Průzkumníku aktivit DLP.

DLP v Microsoft Teams: zprávy, dokumenty a rozsahy

Microsoft Teams se stal centrem spolupráce, což znamená, že je také kritický bod pro potenciální úniky datDLP v Teams rozšiřuje zásady Purview na zprávy a soubory sdílené v rámci platformy.

Ochrana zpráv a dokumentů v Teams

S Microsoft Purview DLP můžete zabránit uživateli ve sdílení důvěrných informací v chatu nebo kanáluzejména pokud jsou zapojeni hosté nebo externí uživatelé. Některé běžné scénáře:

• Pokud se někdo pokusí zveřejnit číslo sociálního zabezpečení nebo údaje o kreditní kartě, může být zpráva automaticky zablokována nebo smazána.
• Pokud sdílíte dokument s citlivými informacemi V kanálu s hosty může zásada DLP zabránit těmto hostům v otevření souboru (díky integraci se SharePointem a OneDrivem).
• En sdílené kanályZásady hostitelského týmu platí, i když je kanál sdílen s jiným interním týmem nebo s jinou organizací (jiným klientem).
• En chatuje s externími uživateli (externí přístup) se každá osoba řídí DLP svého vlastního klienta, ale konečným výsledkem je, že citlivý obsah vaší společnosti je chráněn vašimi zásadami, i když druhá strana má jiné zásady.

Oblasti ochrany DLP v Teams

Krytí DLP v Teams závisí na typ subjektu a oblast působnosti směrnice. Například:

• Pokud máte v úmyslu individuální uživatelské účty U bezpečnostních skupin můžete chránit individuální nebo skupinové chaty, ale ne nutně zprávy ve standardních nebo soukromých kanálech.
• Pokud máte v úmyslu Skupiny Microsoftu 365Ochrana se může vztahovat jak na chaty, tak na zprávy ze standardních, sdílených i soukromých kanálů spojených s těmito skupinami.

Pro ochranu „všeho, co se hýbe“ v Teams se často doporučuje nakonfigurovat rozsah tak, aby všechna místa nebo zajistěte, aby uživatelé Teams byli ve skupinách, které jsou v souladu se zásadami.

Návrhy zásad pro Teams

Místo pouhého blokování může DLP v Teams zobrazovat návrhy směrnic Když někdo provede něco potenciálně nebezpečného, ​​například odešle regulovaná data, tyto návrhy vysvětlí důvod a nabídnou uživateli možnosti: opravit obsah, požádat o kontrolu nebo, pokud to zásady umožňují, pravidlo s odůvodněním přepsat.

Tyto návrhy jsou vysoce přizpůsobitelné z portálu Purview: můžete upravit text, rozhodněte se, ve kterých službách se budou zobrazovat a zda se budou zobrazovat i v simulačním režimu.

Endpoint DLP: Ovládání v prostředí Windows, macOS a virtuálních prostředích

Součást Bod připojení DLP Rozšiřuje ochranu na zařízení používaná zaměstnanci, a to jak fyzická, tak virtuální. Umožňuje vám vědět, co se stane, když je citlivý soubor zkopírován, vytištěn, nahrán do cloudu nebo přenesen „neviditelnými“ kanály ze strany serveru.

Endpoint DLP podporuje Windows 10 a 11 a také macOS (tři nejnovější verze). Funguje také na virtualizovaná prostředí jako například Azure Virtual Desktop, Windows 365, Citrix Virtual Apps and Desktops, Amazon Workspaces nebo virtuální počítače Hyper-V s některými specifickými funkcemi. Lze jej také doplnit technologiemi, jako je Ochrana přihlašovacích údajů ve Windows k posílení ochrany koncových bodů.

V prostředích VDI, Zařízení USB jsou obvykle považována za sdílené síťové prostředky.Zásady by proto měly zahrnovat aktivitu „Kopírovat do síťové sdílené složky“, která by zahrnovala i kopírování na USB. V protokolech se tyto operace projeví jako kopie do sdílených prostředků, i když se v praxi jedná o USB disk.

Existují také některá známá omezení, jako je například nemožnost monitorovat určité aktivity kopírování schránky prostřednictvím prohlížeče ve službě Azure Virtual Desktop, i když stejná akce je viditelná, pokud je provedena prostřednictvím relace RDP.

DLP a Microsoft 365 Copilot / Copilot Chat

S příchodem systému Copilot si organizace uvědomily, že citlivá data se mohou také dostat do požadavků a interakcí s IASpolečnost Microsoft začlenila do Purview ovládací prvky DLP specifické pro Copilot, takže můžete omezit, jaké informace se odesílají do požadavků a jaká data se používají k formulování odpovědí.

Blokování citlivých typů informací ve zprávách pro Copilot

V náhledu můžete vytvářet direktivy DLP určené pro umístění „Microsoft 365 Copilot a Copilot Chat“ které blokují použití určitých typů citlivých informací (SIT) v aplikacích. Například:

• Zabraňte jejich zahrnutí čísla kreditních karetprůkazy totožnosti pasu nebo čísla sociálního zabezpečení na základě pokynů.
• Zabraňte odesílání poštovních adres z konkrétní země nebo regulovaných finančních identifikátorů.

Když dojde ke shodě, pravidlo může zabránit aplikaci Copilot ve zpracování obsahuUživatel tak obdrží zprávu s varováním, že jeho požadavek obsahuje data blokovaná organizací a nebudou provedena ani použita pro interní nebo webové vyhledávání.

Zabránění použití označených souborů a e-mailů v souhrnech

Další schopností je tomu zabránit soubory nebo e-maily s určitými štítky důvěrnosti se používají ke generování souhrnu odpovědí Copilota, i když se mohou stále zobrazovat jako citace nebo odkazy.

Direktiva, opět zaměřená na umístění Copilota, používá podmínku „Obsah obsahuje > Štítky citlivosti“ k detekci položek označených například jako „Osobní“ nebo „Vysoce důvěrné“ a aplikuje akci „Zabránit Copilotu ve zpracování obsahu“. V praxi Copilot nečte obsah těchto položek pro konstrukci odpovědi, i když naznačuje jejich existenci.

Zprávy o aktivitě DLP, upozornění a analýzy

Stanovení zásad je jen polovina příběhu: ta druhá polovina je vidět, co se děje, a včas reagovatPurview DLP odesílá veškerou telemetrii do protokolu auditu Microsoft 365 a odtud je distribuována do různých nástrojů.

Panel s obecnými informacemi

Stránka s přehledem DLP na portálu Purview nabízí Rychlý přehled stavu vašich pojistných smluvSynchronizace, stav zařízení, hlavní detekované aktivity a celková situace. Odtud můžete přejít k podrobnějším zobrazením.

Upozornění na ochranu před únikem informací (DLP)

Pokud je pravidlo DLP nakonfigurováno ke generování incidentů, aktivity, které splňují kritéria, je spustí. alertas které se zobrazují v panelu upozornění Purview DLP a také na portálu Microsoft Defender.

Tato upozornění mohou seskupit podle uživatele, časového okna nebo typu pravidlaV závislosti na vašem předplatném to pomáhá odhalovat rizikové vzorce chování. Purview obvykle nabízí 30 dní dat, zatímco Defender umožňuje uchovávat data až šest měsíců.

Průzkumník aktivit DLP

Průzkumník aktivit DLP umožňuje filtrovat a analyzovat podrobné události za posledních 30 dníZahrnuje předkonfigurované pohledy, jako například:

• Aktivity DLP v bodech připojení.
• Soubory, které obsahují různé typy důvěrných informací.
• Výstupní aktivity.
• Zásady a pravidla, která detekovala aktivity.

Je také možné vidět zneplatnění uživatelů (když se někdo rozhodne porušit povolené pravidlo) nebo shody specifických pravidel. V případě událostí DLPRuleMatch lze dokonce zobrazit kontextové shrnutí textu obklopujícího odpovídající obsah, a to s ohledem na zásady ochrany osobních údajů a minimální požadavky na verzi systému.

Díky celému tomuto ekosystému zásad, upozornění, průzkumníků aktivit a ovládacích prvků pro aplikace, zařízení, Teams, Copilot a webový provoz se Microsoft Purview DLP stává klíčovou součástí pro Mějte citlivá data pod kontrolou v Microsoftu 365, snížit riziko útěku, dodržovat předpisy a zároveň umožnit lidem pracovat s relativní svobodou, aniž by museli žít v neustálém stavu karantény.