DLP Microsoft 365-s: kuidas kaitsta oma tundlikke andmeid Microsoft Purview abil

Summa konfidentsiaalsed andmed, mida ettevõtted tänapäeval haldavad See on hüppeliselt kasvanud: finantsteave, isikuandmed, intellektuaalomand… ja kõik see levis e-posti, Teamsi kaudu, SharePoint, seadmed, apps pilves ja nüüd ka Tehisintellekti tööriistad nagu CopilotSelles kontekstis on kontrolli kaotamine selle üle, kus see teave levib, vaid aja küsimus, kui tõsiseid meetmeid ei võeta.

Seal ongi Andmete kadumise ennetamine (DLP) Microsoft 365-s, kasutades Microsoft PurviewAsi pole ainult failide aeg-ajalt blokeerimises, vaid tsentraliseeritud süsteemis, mis on võimeline tuvastama tundlikku sisu, jälgima selle kasutamist ja rakendama intelligentseid pidureid, kui keegi üritab seda sobimatult jagada, ilma et see hävitaks igapäevast tootlikkust.

Mis on DLP Microsoft 365-s ja miks see nii oluline on?

Kui räägime Microsoft 365-s DLP-st, peame silmas kogumit direktiivid, mis aitavad vältida tundliku teabe sattumist valesse kohtaSee on integreeritud Microsoft Purview'sse, Microsofti andmehalduse ja vastavusplatvormi, ning see toimib peaaegu kõige puhul, mida teie kasutajad iga päev kasutavad.

Organisatsioonid haldavad eriti tundlikud andmed Näiteks krediitkaardi numbrid, pangakonto andmed, haiguslood, sotsiaalkindlustusnumbrid, töötajate andmed, ärisaladused või lepingute ja määrustega (GDPR, HIPAA, PCI-DSS jne) kaitstud dokumendid. Juhuslik edastamine e-kirjas, väliste osapooltega jagatud failis või kopeerimine ja kleepimine valele saidile võib viia rikkumiseni, millel on tohutud õiguslikud ja mainega seotud tagajärjed.

Microsoft Purview DLP abil saate määratleda tsentraliseeritud poliitikad mis tuvastavad tundliku sisu, jälgivad seda asukohast olenemata ja rakendavad automaatseid kaitsemeetmeid: alates kasutaja teavitamisest kuni toimingu täieliku blokeerimise või faili karantiini saatmiseni.

Peamine on see, et Microsoft 365 DLP ei otsi ainult üksikuid sõnu, vaid teeb ka põhjalik sisuanalüüs tundlike teabetüüpide (SIT), regulaaravaldiste, märksõnade, sisemiste valideerimiste ja paljudel juhtudel masinõppe algoritmide kombineerimine valepositiivsete tulemuste vähendamiseks.

Kaitsevaldkonnad: ärirakendused, seadmed ja veebiliiklus

Üks Microsoft Purview DLP suuri tugevusi on see, et see hõlmab mõlemat andmed puhkeolekus, kasutuses ja liikumises erinevates asukohtades. See ei piirdu ainult Exchange'i või SharePointiga, vaid laieneb seadmetele, Office'i rakendustele, kolmandate osapoolte pilverakendustele, veebiliiklusele, Copilotile ja paljule muule.

DLP ettevõtte rakendustes ja seadmetes

Rakenduste ja seadmete valdkonnas saab DLP-ga Jälgige ja kaitske teavet Microsoft 365 olulistes töökoormustes ja muudes täiendavates allikates, mis on konfigureeritud Purview portaalist.

hulgast toetatud asukohad Muuhulgas leiame järgmist:

• Exchange Online (ettevõtte e-post).
• SharePointOnline (koostöökeskused ja dokumendihoidlad).
• OneDrive for Business (kasutajate isiklikud kaustad).
• Microsoft Teams (vestlussõnumid, tavalised, jagatud ja privaatsed kanalid).
• kontorirakendused (Word, Excel, PowerPoint, nii töölaua- kui ka veebiversioon.
• Windows 10, Windows 11 ja macOS-seadmed (kolm viimast versiooni), sealhulgas kaasaskantavad, ühilduvad lauaarvutid ja VDI-süsteemid.
• Mitte-Microsofti pilverakendused, integreeritud Defender for Cloud Appsi kaudu.
• Kohalikud repositooriumid näiteks jagatud failiressursid ja kohapealne SharePoint, kasutades teabekaitse analüsaatoreid.
• Fabric ja Power BI tööruumid, hõlmates aruandeid ja andmekogumeid.
• Microsoft 365 Copilot (mõnes olukorras eelvaateversioon) ja Copiloti vestlus.

Nende päritolude jaoks lood sa DLP direktiivid, mis on suunatud ettevõtte rakendustele ja seadmeteleSee võimaldab reegleid kõigis neis asukohtades ühelt paneelilt järjepidevalt hallata.

DLP haldamata veebiliikluse ja pilverakenduste puhul

Lisaks ettevõttesisestele teenustele saab Purview DLP ka kontrollige andmeid, mis lahkuvad teie võrgust haldamata pilverakendustesseeriti kui kasutajad pääsevad ligi Microsoft Edge ettevõtete jaoks või võrgukontrollide kaudu.

Siin on direktiivid, mille eesmärk on „sisestatud veebiliiklus” ja „võrgutegevus” (funktsioonid on mõnes keskkonnas eelvaates saadaval), mis võimaldavad näiteks kontrollida, mis kleebitakse järgmistesse kohtadesse:

• OpenAI ChatGPT.
• Google Gemini.
• DeepSeek.
• Microsoft Copilot veebis
• Ja Defender for Cloud Appsis on kataloogitud üle 34 000 pilverakenduse.

Seega, isegi kui kasutaja proovib tundlikku teavet sisemisest dokumendist välisesse rakendusse kopeerida, DLP-direktiivi abil saab sisu tuvastada ja toimingut blokeerida või auditeerida. vastavalt teie määratletud konfiguratsioonile.

Microsoft Purview DLP põhifunktsioonid

Purview DLP ei ole lihtsalt sisufilter: see on strateegia keskne osa. andmekaitse ja -haldus Microsoftilt. See on loodud integreeruma teiste Purview funktsioonidega ja pakkuma ühtset lähenemisviisi alates klassifitseerimisest kuni intsidentidele reageerimiseni.

Tema hulgas põhijooned sisaldama:

• Ühtne poliitika haldamise keskus Microsoft Purview portaalist DLP-poliitikate loomiseks, muutmiseks ja juurutamiseks globaalsel tasandil.
• Integratsioon Purview teabekaitsega, taaskasutades kasutusvalmis, kohandatud või täiustatud konfidentsiaalsusmärgiseid ja tundlikke teabetüüpe (sh treenitavaid klassifikaatoreid).
• Ühendatud hoiatused ja parandused mida saab näha nii Purview DLP paneelil kui ka Microsoft Defender XDR-is või Microsoft Sentinelis SIEM/SOAR stsenaariumide jaoks.
• Käivitus kiiresti Tänu direktiivimallidele pole vaja keerukaid pilveinfrastruktuure seadistada.
• Adaptiivne kaitse, mille poliitika rangus muutub sõltuvalt riskitasemest (kõrge, mõõdukas või madal) ja kontekstist.
• Valepositiivsete arvu vähendamine kontekstuaalse sisuanalüüsi ja masinõppe abil.

Kõik see teeb Purview DLP-st lahenduse eriti huvitav reguleeritud sektorite jaoks (tervishoid, pangandus, avalik haldus, haridus, tehnoloogia) ja iga organisatsiooni jaoks, mis peab järgima rangeid nõudeid, näiteks GDPR või HIPAA.

DLP juurutamise elutsükkel: ideest tootmiseni

DLP juhuslik seadistamine on tavaliselt ideaalne retsept blokeerida kriitilisi protsesse ja vihastada kõikiMicrosoft kirjeldab selget elutsüklit, mida tuleks eduka juurutamise tagamiseks ja peavalude vältimiseks järgida.

Planeerimisetapp

Planeerimisetapis peaksite mõtlema mõlemale tehnoloogia, samuti äriprotsessid ja organisatsioonikultuurMõned olulised verstapostid:

• Tuvastage asjassepuutuvatele isikutele: turva-, õigus-, äri-, IT-, personalijuhtimise jne juhid.
• Määratlege konfidentsiaalse teabe kategooriad mida peate kaitsma (isikuandmed, finantsandmed, intellektuaalomand jne).
• Otsustama eesmärgid ja strateegia: mida täpselt sa vältida tahad (väline saatmine, kopeerimine USBteatud rakendustesse üleslaadimine jne).
• Hinda asukohad, kus te DLP-d rakendateMicrosoft 365 teenused, seadmed, kohalikud andmehoidlad, välised pilverakendused…

Lisaks peame arvestama sellega, mõju äriprotsessideleDLP saab blokeerida tavalisi toiminguid (näiteks teatud aruannete saatmine tarnijale e-posti teel) ja see hõlmab erandite üle läbirääkimisi, alternatiivsete töövoogude loomist või harjumuste kohandamist.

Lõpuks ärge unustage seda osa, mis räägib kultuurimuutus ja koolitusKasutajad peavad aru saama, miks teatud toimingud on blokeeritud ja kuidas ohutult töötada. Rakendusesisesed poliitikasoovitused on väga kasulik tööriist kasutajate harimiseks ilma liigselt piiravatena.

Keskkonna ja eeltingimuste ettevalmistamine

Enne blokeerivate poliitikate aktiveerimist peate veenduma, et Kõik kohad on korralikult ette valmistatud ja ühendatud Purview'ga:

• Exchange Online'i, SharePointi, OneDrive'i ja Teamsi jaoks on vaja määratleda ainult neid sisaldavaid poliitikaid.
• Kohalikud failihoidlad ja kohapealne SharePoint peavad juurutama Infokaitse analüsaator.
• Windowsi seadmed, macOS ja virtualiseeritud keskkonnad integreeritakse spetsiaalsete sisseelamisprotseduuride kaudu.
• Kolmandate osapoolte pilverakendusi hallatakse läbi Microsoft Defender pilverakenduste jaoks.

Kui asukohad on ette valmistatud, on soovitatav järgmine samm Konfigureerige mustandipoliitikaid ja testige neid ulatuslikult enne, kui nad blokeerima hakkavad.

Järkjärguline rakendamine: simulatsioon, kohandused ja aktiveerimine

DLP-direktiivi rakendamine peaks toimuma etapiviisiliselt, kasutades kolme juhtimistelge: staatus, ulatus ja tegevused.

osa suuremad osariigid Käskkirja elemendid on järgmised:

• Hoia see välja lülitatuna: disain ja ülevaade, ilma tegeliku mõjuta.
• Käivita direktiiv simulatsioonirežiimisSündmused logitakse, kuid blokeerivaid toiminguid ei rakendata.
• Simulatsioon poliitiliste ettepanekutegaSee pole ikka veel blokeeritud, kuid kasutajad saavad teateid ja e-kirju (olenevalt juhtumist), mis neid koolitavad.
• Aktiveeri see koheTäieliku vastavuse režiim, rakendatakse kõiki konfigureeritud toiminguid.

Simulatsioonifaaside ajal saate reguleerida direktiivi kohaldamisalaalustage väikese kasutajate või asukohtade hulgaga (pilootgrupp) ja laiendage seda tingimuste, erandite ja kasutajasõnumite täpsustamisega.

Kuna meetmeidParim on alustada mitteinvasiivsete valikutega, näiteks „Luba” või „Ainult audit”, seejärel järk-järgult teavitused sisse viia ja lõpuks edasi liikuda blokeerimine kehtetuks tunnistamise võimalusega ja kõige kriitilisematel juhtudel püsiva blokaadini.

DLP-poliitika komponendid Microsoft 365-s

Kõigil Microsoft Purview DLP direktiividel on loogiline struktuur: Mida jälgitakse, kus, millistel tingimustel ja mida tehakse, kui see avastatakseSelle loomisel (nullist või malli põhjal) peate kõigis neis valdkondades otsuseid langetama.

Mida jälgida: kohandatud mallid ja poliitikad

Purview pakkumised valmis DLP-poliitika mallid tavaliste stsenaariumide puhul (riigi, regulatsiooni, sektori jne kaupa), mis hõlmavad iga regulatsiooni puhul tüüpilisi konfidentsiaalseid teabeliike, sealhulgas PDF-failide metaandmedSoovi korral saate luua ka oma kohandatud poliitika ja valida soovitud SIT-id või tingimused.

Haldusulatus ja haldusüksused

Suurtes keskkondades on tavaline delegeerida haldamine erinevatele valdkondadele. Selleks saate kasutada haldusüksused Halduspiirkonnas: üksusele määratud administraator saab luua ja hallata poliitikaid ainult oma ulatusse kuuluvate kasutajate, rühmade, saitide ja seadmete jaoks.

See toimib hästi näiteks siis, kui soovite, et piirkonna turbemeeskond haldaks oma DLP-poliitikaid ilma ülejäänud rentnikku mõjutamata.

direktiivi asukohad

Järgmine samm on valimine kus juhatus jälgibMõned kõige levinumad valikud on:

Asukoht	Kaasamise/välistamise kriteeriumid
Exchange'i e-post	Levigrupid
SharePointi saidid	Konkreetsed saidid
OneDrive'i kontod	Kontod või levitusgrupid
Teamsi vestlused ja kanalid	Kontod või levitusgrupid
Windowsi ja macOS-i seadmed	Kasutajad, rühmad, seadmed ja seadmerühmad
Pilverakendused (Defender pilverakenduste jaoks)	Instantsid
Kohalikud repositooriumid	Kaustade teed
Fabric ja Power BI	Trabajo alad
Microsoft 365 kopiloot	Kontod või levitusgrupid

Sobivuse tingimused

The tingimuste Need määratlevad, mis peab olema täidetud, et DLP-reegel "käivituks". Mõned tüüpilised näited:

• Sisu sisaldab ühte või mitut konfidentsiaalse teabe tüübid (nt 95 sotsiaalkindlustusnumbrit välistele adressaatidele saadetud e-kirjas).
• Elemendil on konfidentsiaalsusmärgis spetsiifiline (nt „Äärmiselt konfidentsiaalne”).
• Sisu on jagamine väljaspool organisatsiooni Microsoft 365-st.
• Tundlikku faili kopeeritakse USB või võrgujagamine.
• Konfidentsiaalne sisu kleebitakse Teamsi vestlus või haldamata pilverakendus.

Kaitsemeetmed

Kui tingimus on täidetud, saab direktiiv käivitada erinevaid toiminguid. kaitsemeetmedSõltuvalt asukohast:

• En Exchange, SharePoint ja OneDrive: väliste kasutajate juurdepääsu takistamine, jagamise blokeerimine, kasutajale poliitikaettepaneku kuvamine ja talle teate saatmine.
• En Võistkonnad: blokeerib tundliku teabe ilmumise vestluses või kanali sõnumites; jagamise korral võidakse sõnum kustutada või seda ei kuvata.
• En Windowsi ja macOS-i seadmed: auditeerige või piirake toiminguid, näiteks USB-mälupulgale kopeerimist, printimist, kopeerimist lõikelauale, üles laadida internetti, sünkroonida väliste klientidega jne.
• En Kontor (Word, Excel, PowerPoint): kuva hüpikaken, blokeeri salvestamine või saatmine, luba kehtetuks tunnistamine koos põhjendusega.
• En kohalikud repositooriumid: failide teisaldamine turvalisse karantiinikausta, kui tuvastatakse tundlikku teavet.

Lisaks registreeritakse kõik järelevalve all olevad tegevused Microsoft 365 auditilogi ja seda saab vaadata DLP tegevuste uurijas.

DLP Microsoft Teamsis: sõnumid, dokumendid ja ulatused

Microsoft Teamsist on saanud koostöö keskpunkt, mis tähendab, et see on ka kriitiline punkt võimalike andmelekete jaoksDLP Teamsis laiendab Purview'i poliitikaid platvormil jagatud sõnumitele ja failidele.

Sõnumite ja dokumentide kaitsmine Teamsis

Microsoft Purview DLP abil saate takistada kasutajal vestluses või kanalis konfidentsiaalse teabe jagamisteriti kui tegemist on külaliste või väliste kasutajatega. Mõned levinud stsenaariumid:

• Kui keegi proovib postitada isikukood või krediitkaardi andmeid, võidakse sõnum automaatselt blokeerida või kustutada.
• Kui jagate tundliku teabega dokument Külalistega kanalis saab DLP-poliitika takistada külalistel faili avamist (tänu SharePointi ja OneDrive'i integratsioonile).
• En jagatud kanalidHostimeeskonna poliitika kehtib isegi siis, kui kanalit jagatakse teise sisemise meeskonna või teise organisatsiooniga (teise rentnikuga).
• En vestlused väliste kasutajatega (väline juurdepääs) on iga isiku suhtes kohaldatav tema enda rentniku DLP, kuid lõpptulemusena kaitsevad teie ettevõtte tundlikku sisu teie poliitikad isegi siis, kui teisel poolel on erinevad poliitikad.

DLP-kaitsealad Teamsis

DLP katvus Teamsis sõltub üksuse tüüp ja direktiivi kohaldamisala. Näiteks:

• Kui teie eesmärk on individuaalsed kasutajakontod Turbegruppide puhul saate kaitsta 1:1 või grupivestlusi, kuid mitte tingimata sõnumeid tavalistes või privaatsetes kanalites.
• Kui teie eesmärk on Microsoft 365 rühmadKaitse võib hõlmata nii vestlusi kui ka sõnumeid nende gruppidega seotud tavalistest, jagatud ja privaatsetest kanalitest.

Teamsis kõige liikumise kaitsmiseks on sageli soovitatav ulatus konfigureerida järgmiselt: kõik asukohad või veenduge, et Teamsi kasutajad kuuluvad gruppidesse, mis on poliitikatega hästi kooskõlas.

Teamsi poliitikaettepanekud

Lihtsalt blokeerimise asemel saab DLP Teamsis kuvada direktiiviettepanekud Kui keegi teeb midagi potentsiaalselt ohtlikku, näiteks saadab reguleeritud andmeid, selgitavad need soovitused põhjust ja pakuvad kasutajale valikuid: sisu parandamine, ülevaatamise taotlemine või, kui poliitika lubab, reegli tühistamine põhjendusega.

Neid soovitusi saab Purview portaalist väga hästi kohandada: saate kohanda teksti, otsustage, millistel teenustel neid kuvatakse ja kas neid kuvatakse ka simulatsioonirežiimis.

Lõpp-punkti DLP: kontroll Windowsis, macOS-is ja virtuaalsetes keskkondades

Komponent DLP ühenduspunkt See laiendab kaitset töötajate füüsilistele ja virtuaalsetele seadmetele. See annab teile teada, mis juhtub, kui tundlikku faili kopeeritakse, prinditakse, laaditakse pilve üles või edastatakse serveripoolselt "nähtamatute" kanalite kaudu.

Endpoint DLP toetab Windows 10 ja 11, samuti macOS-i (kolme uusimat versiooni). See töötab ka järgmistel platvormidel: virtualiseeritud keskkonnad näiteks Azure Virtual Desktop, Windows 365, Citrix Virtual Apps and Desktops, Amazon Workspaces või Hyper-V virtuaalmasinad, millel on mõned spetsiifilised funktsioonid. Seda saab täiendada ka selliste tehnoloogiatega nagu Volikirjade valvur Windowsis lõpp-punkti kaitse tugevdamiseks.

VDI-keskkondades USB-seadmeid käsitletakse tavaliselt jagatud võrguressurssidenaSeega peaks poliitika hõlmama ka USB-le kopeerimise toimingut „Kopeeri võrgukettale“. Logides kajastuvad need toimingud kopeerimisena jagatud ressurssidesse, kuigi praktikas on tegemist USB-draiviga.

Samuti on mõned teadaolevad piirangud, näiteks võimetus jälgida teatud lõikelauale kopeerimise tegevusi brauseri kaudu Azure'i virtuaaltöölaual, kuigi sama toiming on nähtav ka RDP-seansi kaudu tehes.

DLP ja Microsoft 365 Copilot / Copiloti vestlus

Copiloti tulekuga on organisatsioonid mõistnud, et Tundlikud andmed võivad sattuda ka päringutesse ja suhtlusse IAMicrosoft on Purview'sse lisanud Copiloti-spetsiifilised DLP-juhtelemendid, nii et saate piirata, millist teavet päringutesse lisatakse ja milliseid andmeid vastuste koostamiseks kasutatakse.

Blokeeri tundliku teabe tüübid Copilotile saadetavates sõnumites

Eelvaates saate luua DLP-direktiive, mis on mõeldud asukoht „Microsoft 365 Copilot ja Copiloti vestlus“ mis blokeerivad teatud tüüpi tundliku teabe (SIT) kasutamist rakendustes. Näiteks:

• Takistada nende kaasamist krediitkaardi numbridpassi isikutunnistust või sotsiaalkindlustusnumbrit küsimisel.
• Takistada postiaadresside saatmist konkreetsest riigist või reguleeritud finantsidentifikaatorite abil.

Kui vaste leiab aset, saab reegel takistada Copilotil sisu töötlemistSeega saab kasutaja teate, mis hoiatab, et tema päring sisaldab organisatsiooni poolt blokeeritud andmeid ning seda ei täideta ega kasutata sise- ega veebiotsinguteks.

Sildistatud failide ja meilide kasutamise takistamine kokkuvõtetes

Teine võime on seda ära hoida teatud konfidentsiaalsusmärgistega failid või meilid kasutatakse Copiloti vastuse kokkuvõtte genereerimiseks, kuigi need võivad siiski ilmuda tsitaatide või viidetena.

See direktiiv, mis keskendub taas Copiloti asukohale, kasutab tingimust „Sisu sisaldab > Tundlikkuse sildid“, et tuvastada näiteks „Isiklik“ või „Väga konfidentsiaalne“ märgistusega üksusi ja rakendab toimingut „Keela Copilotil sisu töötlemist“. Praktikas ei loe Copilot nende üksuste sisu vastuse koostamiseks, kuigi see viitab nende olemasolule.

DLP tegevusaruanded, hoiatused ja analüüs

Poliitikate kehtestamine on ainult pool lugu: teine ​​pool on näha, mis toimub, ja reageerida õigeaegseltPurview DLP saadab kogu oma telemeetria Microsoft 365 auditilogisse ja sealt edasi erinevatele tööriistadele.

Üldteabe paneel

Purview portaali DLP ülevaateleht pakub järgmist. Poliiside oleku kiire ülevaadeSünkroniseerimine, seadme olek, peamised tuvastatud tegevused ja üldine olukord. Sealt saate liikuda üksikasjalikumate vaadete juurde.

DLP-hoiatused

Kui DLP-reegel on konfigureeritud intsidente genereerima, käivitavad need kriteeriumidele vastavad tegevused. hoiatused mis kuvatakse Purview DLP hoiatuste paneelil ja ka Microsoft Defenderi portaalis.

Need hoiatused võivad rühmitamine kasutaja, ajavahemiku või reegli tüübi järgiSõltuvalt teie tellimusest aitab see tuvastada riskantseid käitumismustreid. Purview pakub tavaliselt 30 päeva andmeid, samas kui Defender võimaldab teil andmeid säilitada kuni kuus kuud.

DLP tegevuste uurija

DLP tegevuste uurija võimaldab teil filtreerida ja analüüsida viimase 30 päeva detailsed sündmusedSee sisaldab eelkonfigureeritud vaateid, näiteks:

• DLP tegevused ühenduspunktides.
• Failid, mis sisaldavad konfidentsiaalset teavet.
• Väljapääsutegevused.
• Poliitikad ja reeglid, mille puhul on tuvastatud tegevusi.

Samuti on võimalik näha kasutajate kehtetuks tunnistamised (kui keegi on otsustanud rikkuda lubatud reeglit) või konkreetsete reeglite vasteid. DLPRuleMatch-sündmuste puhul saab vaadata isegi vastava sisu ümbritseva teksti kontekstuaalset kokkuvõtet, järgides privaatsuspoliitikaid ja süsteemi minimaalseid versiooninõudeid.

Tänu kogu sellele poliitikate, teadete, tegevuste uurijate ja rakenduste, seadmete, meeskondade, Copiloti ning veebiliikluse kontrollide ökosüsteemile saab Microsoft Purview DLP-st võtmekomponent. Hoidke tundlikke andmeid Microsoft 365-s kontrolli all, vähendada põgenemisohtu, järgida eeskirju ja samal ajal võimaldada inimestel suhteliselt vabalt töötada ilma pidevas eriolukorras elamata.