DLP în Microsoft 365: Cum să vă protejați datele sensibile cu Microsoft Purview

Suma de date confidențiale pe care companiile le gestionează astăzi A crescut vertiginos: informații financiare, date personale, proprietate intelectuală... și toate acestea s-au răspândit prin e-mail, Teams, SharePoint, dispozitive, Apps în cloud și acum și Instrumente de inteligență artificială precum CopilotÎn acest context, pierderea controlului asupra locului în care circulă aceste informații este doar o chestiune de timp dacă nu se iau măsuri serioase.

Acolo se află Prevenirea pierderii de date (DLP) în Microsoft 365 utilizând Microsoft PurviewNu este vorba doar de blocarea fișierelor din când în când, ci de a avea un sistem centralizat capabil să detecteze conținutul sensibil, să monitorizeze modul în care este utilizat și să pună frâne inteligente atunci când cineva încearcă să îl partajeze în mod necorespunzător, fără a distruge productivitatea zilnică.

Ce este DLP în Microsoft 365 și de ce este atât de important?

Când vorbim despre DLP în Microsoft 365, ne referim la un set de directive care ajută la prevenirea părăsirii informațiilor sensibile în locurile nepotriviteEste integrat în Microsoft Purview, platforma de guvernanță și conformitate a datelor de la Microsoft, și acționează asupra a aproape tot ceea ce utilizatorii tăi folosesc zilnic.

Organizațiile gestionează date deosebit de sensibile cum ar fi numerele cardurilor de credit, detaliile contului bancar, dosarele medicale, numerele de asigurări sociale, datele angajaților, secretele comerciale sau documentația protejată prin contracte și reglementări (GDPR, HIPAA, PCI-DSS etc.). O transmitere accidentală printr-un e-mail, un fișier partajat cu părți externe sau o copiere pe un site greșit poate duce la o încălcare a securității datelor cu repercusiuni juridice și reputaționale enorme.

Cu Microsoft Purview DLP puteți definiți politicile centralizate care identifică acel conținut sensibil, îl monitorizează oriunde s-ar afla și aplică acțiuni automate de protecție: de la notificarea utilizatorului până la blocarea completă a unei acțiuni sau trimiterea fișierului în carantină.

Cheia este că DLP în Microsoft 365 nu caută doar cuvinte individuale, ci efectuează o analiză aprofundată a conținutului combinând tipurile de informații sensibile (SIT), expresiile regulate, cuvintele cheie, validările interne și, în multe cazuri, algoritmii de învățare automată pentru a reduce rezultatele fals pozitive.

Domenii de protecție: aplicații de business, dispozitive și trafic web

Unul dintre marile puncte forte ale Microsoft Purview DLP este faptul că acoperă ambele date în repaus, în utilizare și în mișcare în diferite locații. Nu se oprește la Exchange sau SharePoint, ci se extinde la dispozitive, aplicații Office, aplicații cloud terțe, trafic web, Copilot și multe altele.

DLP în aplicații și dispozitive enterprise

În domeniul aplicațiilor și dispozitivelor, DLP poate Monitorizați și protejați informațiile din sarcinile de lucru cheie Microsoft 365 și în alte surse suplimentare configurate din portalul Purview.

Printre locații acceptate Printre altele, găsim următoarele:

• Schimbă online (e-mailul companiei).
• SharePoint Online (site-uri de colaborare și depozite de documente).
• OneDrive pentru afaceri (dosarele personale ale utilizatorilor).
• Echipele Microsoft (mesaje de chat, canale standard, partajate și private).
• aplicații de birou (Word, Excel, PowerPoint, atât pentru desktop, cât și pentru web).
• Dispozitive Windows 10, Windows 11 și macOS (ultimele trei versiuni), inclusiv portabil, desktop-uri compatibile și sisteme VDI.
• Aplicații cloud non-Microsoft, integrat prin Defender for Cloud Apps.
• Depozite locale cum ar fi resurse de fișiere partajate și SharePoint local, utilizând analizoare de protecție a informațiilor.
• Spații de lucru Fabric și Power BI, acoperind rapoarte și seturi de date.
• Microsoft 365 Copilot (versiune preliminară în anumite scenarii) și chatul Copilot.

Pentru aceste origini pe care le creezi Directivele DLP care vizează „aplicațiile și dispozitivele enterprise”Acest lucru permite un control consistent al regulilor în toate aceste locații dintr-un singur panou.

DLP pentru traficul web negestionat și aplicațiile cloud

Dincolo de serviciile „interne”, Purview DLP poate, de asemenea, controlează datele care părăsesc rețeaua ta către aplicațiile cloud negestionatemai ales când utilizatorii accesează cu Microsoft Edge pentru afaceri sau prin controale de rețea.

Aici se află directivele care vizează „trafic web introdus” și „activitate în rețea” (funcții în previzualizare în anumite medii), care permit, de exemplu, controlul a ceea ce este lipit în:

• OpenAI Chat GPT.
• Google Gemeni.
• DeepSeek.
• Microsoft Copilot pe web
• Și peste 34.000 de aplicații cloud catalogate în Defender for Cloud Apps.

Astfel, chiar dacă un utilizator încearcă să copieze informații sensibile dintr-un document intern într-o aplicație externă, Directiva DLP poate detecta conținutul și bloca sau audita acțiunea. conform configurației pe care ați definit-o.

Caracteristici cheie ale Microsoft Purview DLP

Purview DLP nu este doar un filtru de conținut: este o piesă centrală a strategiei protecția datelor și guvernanța de la Microsoft. Este conceput pentru a se integra cu alte funcții Purview și pentru a oferi o abordare consistentă, de la clasificare până la răspunsul la incidente.

Printre lui caracteristici principale iesi in evidenta:

• Centru unic de administrare a politicilor din portalul Microsoft Purview, pentru a crea, edita și implementa politici DLP la scară globală.
• Integrare cu Purview Information Protection, reutilizând etichete de confidențialitate gata de utilizare, personalizate sau avansate și tipuri de informații sensibile (inclusiv clasificatori antrenabili).
• Alerte și corecții unificate care poate fi văzut atât în ​​panoul Purview DLP, cât și în Microsoft Defender XDR sau Microsoft Sentinel pentru scenarii SIEM/SOAR.
• Începeți rapid Datorită șabloanelor de directive, nu este nevoie să configurați infrastructuri cloud complexe.
• Protecție adaptivă, cu politici a căror rigoare se schimbă în funcție de nivelul de risc (ridicat, moderat sau scăzut) și de context.
• Reducerea rezultatelor fals pozitive prin analiza contextuală a conținutului și învățarea automată.

Toate acestea fac din Purview DLP o soluție deosebit de interesant pentru sectoarele reglementate (sănătate, servicii bancare, administrație publică, educație, tehnologie) și pentru orice organizație care trebuie să respecte cerințe stricte precum GDPR sau HIPAA.

Ciclul de viață al implementării DLP: de la idee la producție

Configurarea DLP la întâmplare este de obicei o rețetă perfectă pentru blochează procesele critice și îi înfurie pe toțiMicrosoft prezintă un ciclu de viață clar care ar trebui respectat pentru a asigura o implementare cu succes și a evita dificultățile.

Faza de planificare

În etapa de planificare, ar trebui să vă gândiți la ambele tehnologia, precum și procesele de afaceri și cultura organizaționalăCâteva etape importante:

• Identificați părțile interesate: manageri din domeniul securității, juridic, afacerilor, IT, resurselor umane etc.
• Definiți categorii de informații confidențiale pe care trebuie să le protejați (date cu caracter personal, date financiare, proprietate intelectuală etc.).
• Decide obiective și strategiece anume vrei să eviți (trimiterea externă, copierea către USBîncărcarea în anumite aplicații etc.).
• Evaluează locații unde veți aplica DLPServicii, dispozitive, depozite locale, aplicații cloud externe Microsoft 365…

În plus, trebuie să luăm în considerare impactul asupra proceselor de afaceriDLP poate bloca acțiuni comune (de exemplu, trimiterea anumitor rapoarte prin e-mail către un furnizor) și asta implică negocierea excepțiilor, crearea de fluxuri de lucru alternative sau adaptarea obiceiurilor.

În cele din urmă, nu uitați partea despre schimbarea culturală și formareaUtilizatorii trebuie să înțeleagă de ce anumite acțiuni sunt blocate și cum să funcționeze în siguranță. Sugestiile privind politicile din aplicație sunt un instrument foarte util pentru educarea utilizatorilor, fără a fi excesiv de restrictive.

Pregătiți mediul și condițiile preliminare

Înainte de a activa politici care blochează lucruri, trebuie să vă asigurați că Toate locațiile sunt pregătite corespunzător și conectat la Purview:

• Exchange Online, SharePoint, OneDrive și Teams necesită doar definirea politicilor care le includ.
• Depozitele de fișiere locale și SharePoint-ul local trebuie să implementeze Analizator de protecție a informațiilor.
• Dispozitivele Windows, macOS și mediile virtualizate sunt încorporate prin proceduri specifice de integrare.
• Aplicațiile cloud terțe sunt gestionate prin Microsoft Defender pentru aplicații cloud.

Odată ce locațiile sunt pregătite, următorul pas recomandat este Configurați politicile preliminare și testați-le extensiv înainte ca acestea să înceapă blocarea.

Implementare incrementală: simulare, ajustări și activare

Implementarea unei directive DLP ar trebui să urmeze o abordare etapizată, utilizând trei axe de control: stare, domeniu de aplicare și acțiuni.

L state majore Elementele unei directive sunt:

• Păstrează-l oprit: proiectare și revizuire, fără impact real.
• Executați directiva în modul de simulareEvenimentele sunt înregistrate, dar nu se aplică acțiuni de blocare.
• Simulare cu sugestii de politiciÎncă nu este blocat, dar utilizatorii primesc notificări și e-mailuri (în funcție de caz) care îi instruiesc.
• Activează-l imediatMod de conformitate completă, se aplică toate acțiunile configurate.

În timpul fazelor de simulare, puteți ajusta domeniul de aplicare al directiveiÎncepeți cu un set mic de utilizatori sau locații (grupul pilot) și extindeți pe măsură ce rafinați condițiile, excepțiile și mesajele utilizatorilor.

În ceea ce privește acțiuniCel mai bine este să începeți cu opțiuni neinvazive, cum ar fi „Permite” sau „Doar audit”, să introduceți treptat notificări și, în final, să treceți la bloc cu posibilitate de invalidare și, în cele mai critice cazuri, la o blocadă permanentă.

Componentele unei politici DLP în Microsoft 365

Toate directivele Microsoft Purview DLP au în comun o structură logică: ce se monitorizează, unde, în ce condiții și ce se face atunci când este detectatCând îl creați (de la zero sau dintr-un șablon) va trebui să luați decizii în fiecare dintre aceste domenii.

Ce trebuie monitorizat: șabloane și politici personalizate

Oferte Purview șabloane de politici DLP predefinite pentru scenarii comune (pe țară, reglementare, sector etc.) care includ tipuri de informații confidențiale tipice fiecărei reglementări, inclusiv metadate în PDF-uriDacă preferați, puteți crea propria poliță personalizată și puteți alege SIT-urile sau condițiile dorite.

Domeniul de aplicare administrativ și unitățile administrative

În mediile mari, este obișnuit să se delege managementul către diferite zone. Pentru aceasta, puteți utiliza unități administrative În domeniul de aplicare: un administrator atribuit unei unități poate crea și gestiona politici doar pentru utilizatori, grupuri, site-uri și dispozitive din domeniul său de aplicare.

Acest lucru funcționează bine atunci când doriți, de exemplu, ca echipa de securitate a unei regiuni să își gestioneze propriile politici DLP fără a afecta restul entității găzduite.

Locații directive

Următorul pas este să selectați unde consiliul va monitorizaUnele dintre cele mai comune opțiuni sunt:

Locație	Criterii de includere/excludere
Exchange Mail	Grupuri de distribuție
Site-uri SharePoint	Site-uri specifice
Conturi OneDrive	Conturi sau grupuri de distribuție
Chat-uri și canale Teams	Conturi sau grupuri de distribuție
Dispozitive Windows și macOS	Utilizatori, grupuri, dispozitive și grupuri de dispozitive
Aplicații cloud (Defender pentru aplicații cloud)	Instanțe
Depozite locale	Căi de foldere
Fabric și Power BI	Zonele de lucru
Microsoft 365 Copilot	Conturi sau grupuri de distribuție

Condiții de potrivire

Las termeni Acestea definesc ce trebuie îndeplinit pentru ca o regulă DLP să se „declanșeze”. Câteva exemple tipice:

• Conținutul conține unul sau mai multe tipuri de informații confidențiale (de exemplu, 95 de numere de asigurări sociale într-un e-mail către destinatari externi).
• Elementul are o etichetă de confidențialitate specifice (de exemplu, „Extrem de confidențial”).
• Conținutul este partajarea în afara organizației de la Microsoft 365.
• Un fișier sensibil este copiat într-un USB sau partajare de rețea.
• Conținutul confidențial este lipit într-un Chat Teams sau o aplicație cloud negestionată.

Acțiuni de protecție

Odată ce condiția este îndeplinită, directiva poate executa diferite acțiuni. acțiuni de protecțieÎn funcție de locație:

• En Exchange, SharePoint și OneDrive: împiedică accesul utilizatorilor externi, blochează partajarea, afișează o sugestie de politică utilizatorului și trimite-i o notificare.
• En echipe: blochează apariția informațiilor sensibile în mesajele de chat sau de canal; dacă este partajat, mesajul poate fi șters sau poate să nu fie afișat.
• En Dispozitive Windows și macOS: auditați sau restricționați acțiuni precum copierea pe USB, imprimarea, copierea pe clipboard, încărcare pe internet, sincronizare cu clienți externi etc.
• En Office (Word, Excel, PowerPoint): afișează o fereastră pop-up de avertizare, blochează salvarea sau trimiterea, permite invalidarea cu justificare.
• En depozite locale: mutați fișierele într-un folder securizat de carantină atunci când sunt detectate informații sensibile.

În plus, toate activitățile supravegheate sunt înregistrate în Jurnal de audit Microsoft 365 și pot fi vizualizate în Exploratorul de activități DLP.

DLP în Microsoft Teams: mesaje, documente și domenii de aplicare

Microsoft Teams a devenit epicentrul colaborării, ceea ce înseamnă că este și o... punct critic pentru potențiale scurgeri de dateDLP în Teams extinde politicile Purview la mesajele și fișierele partajate în cadrul platformei.

Protejarea mesajelor și documentelor în Teams

Cu Microsoft Purview DLP puteți împiedică un utilizator să partajeze informații confidențiale într-un chat sau canalîn special când sunt implicați oaspeți sau utilizatori externi. Câteva scenarii comune:

• Dacă cineva încearcă să posteze o cod numeric personal sau detaliile cardului de credit, mesajul poate fi blocat sau șters automat.
• Dacă împărtășiți o document cu informații sensibile Într-un canal cu invitați, politica DLP poate împiedica acești invitați să deschidă fișierul (datorită integrării cu SharePoint și OneDrive).
• En canale partajatePolitica echipei gazdă se aplică, chiar dacă canalul este partajat cu o altă echipă internă sau cu o altă organizație (o altă entitate găzduită).
• En chat-uri cu utilizatori externi (acces extern), fiecare persoană este guvernată de DLP-ul propriei entități găzduite, dar rezultatul final este că, în funcție de situația în care compania dvs. are politici diferite, conținutul sensibil al acesteia este protejat.

Zone de protecție DLP în Teams

Acoperirea DLP în Teams depinde de tipul de entitate și domeniul de aplicare al directivei. De exemplu:

• Dacă îți propui să conturi individuale de utilizator Pentru grupurile de securitate, puteți proteja chat-urile individuale sau de grup, dar nu neapărat mesajele din canalele standard sau private.
• Dacă îți propui să Grupuri Microsoft 365Protecția poate acoperi atât chat-urile, cât și mesajele de pe canalele standard, partajate și private asociate cu aceste grupuri.

Pentru a proteja „tot ce se mișcă” în Teams, se recomandă adesea configurarea domeniului de aplicare pentru a toate locatiile sau să vă asigurați că utilizatorii Teams se află în grupuri care respectă politicile.

Sugestii de politici Teams

În loc să blocheze doar, DLP în Teams poate afișa sugestii directive Când cineva face ceva potențial periculos, cum ar fi trimiterea de date reglementate, aceste sugestii explică motivul și oferă utilizatorului opțiuni: corectarea conținutului, solicitarea unei revizuiri sau, dacă politica permite, anularea regulii cu o justificare.

Aceste sugestii sunt extrem de personalizabile din portalul Purview: puteți adaptează textul, decideți pe ce servicii sunt afișate și dacă vor fi afișate și în modul simulare.

DLP pentru terminale: Control în Windows, macOS și medii virtuale

Componenta a Punct de conectare DLP Extinde protecția la dispozitivele utilizate de angajați, atât fizice, cât și virtuale. Vă permite să știți ce se întâmplă atunci când un fișier sensibil este copiat, imprimat, încărcat în cloud sau transferat prin canale „invizibile” din partea serverului.

Endpoint DLP este compatibil cu Windows 10 și 11, precum și cu macOS (cele mai recente trei versiuni). Funcționează și pe medii virtualizate cum ar fi Azure Virtual Desktop, Windows 365, Citrix Virtual Apps and Desktops, Amazon Workspaces sau mașini virtuale Hyper-V, cu unele caracteristici specifice. De asemenea, poate fi completat cu tehnologii precum Protecția acreditărilor în Windows pentru a consolida protecția endpoint-urilor.

În mediile VDI, Dispozitivele USB sunt de obicei tratate ca resurse de rețea partajatePrin urmare, politica ar trebui să includă activitatea „Copiere în partajare în rețea” pentru a acoperi copierea pe USB. În jurnale, aceste operațiuni sunt reflectate ca copii pe resurse partajate, chiar dacă în practică este vorba de o unitate USB.

Există, de asemenea, unele limitări cunoscute, cum ar fi incapacitatea de a monitoriza anumite activități de copiere a clipboard-ului prin intermediul browserului în Azure Virtual Desktop, deși aceeași acțiune este vizibilă dacă este efectuată printr-o sesiune RDP.

DLP și Microsoft 365 Copilot / Chat Copilot

Odată cu sosirea Copilot, organizațiile și-au dat seama că Datele sensibile pot ajunge, de asemenea, în solicitări și interacțiuni cu IAMicrosoft a încorporat controale DLP specifice Copilot în Purview, astfel încât să puteți limita informațiile incluse în solicitări și datele utilizate pentru a formula răspunsuri.

Blocarea tipurilor de informații sensibile din mesajele către Copilot

În previzualizare, puteți crea directive DLP destinate locație „Microsoft 365 Copilot și Chat Copilot” care blochează utilizarea anumitor tipuri de informații sensibile (SIT) în aplicații. De exemplu:

• Împiedicați includerea lor numere de card de creditdocumente de identitate din pașaport sau numere de asigurări sociale la solicitări.
• Împiedicați trimiterea adreselor poștale dintr-o anumită țară sau a identificatorilor financiari reglementați.

Când are loc o potrivire, regula poate împiedică Copilot să proceseze conținutulastfel încât utilizatorul primește un mesaj de avertizare că solicitarea sa conține date blocate de organizație și nu este executată sau utilizată pentru căutări interne sau web.

Împiedicați utilizarea fișierelor și a e-mailurilor etichetate în rezumate

O altă capacitate este de a preveni acest lucru fișiere sau e-mailuri cu anumite etichete de confidențialitate sunt folosite pentru a genera rezumatul răspunsului Copilot, deși pot apărea în continuare ca citate sau referințe.

Directiva, din nou axată pe locația Copilot, folosește condiția „Conținutul conține > Etichete de sensibilitate” pentru a detecta elemente etichetate, de exemplu, ca „Personal” sau „Foarte confidențial” și aplică acțiunea „Împiedicați procesarea conținutului de către Copilot”. În practică, Copilot nu citește conținutul acestor elemente pentru a construi răspunsul, chiar dacă indică existența lor.

Rapoarte, alerte și analize de activitate DLP

Stabilirea politicilor este doar jumătate din poveste: cealaltă jumătate este vezi ce se întâmplă și reacționează la timpPurview DLP trimite toate datele sale telemetrice către jurnalul de audit Microsoft 365 și de acolo sunt distribuite către diferite instrumente.

Panou cu informații generale

Pagina de prezentare generală DLP de pe portalul Purview oferă o Vizualizare rapidă a stării polițelor dumneavoastrăSincronizare, starea dispozitivului, principalele activități detectate și situația generală. De acolo puteți accesa vizualizări mai detaliate.

Alerte DLP

Când o regulă DLP este configurată să genereze incidente, activitățile care îndeplinesc criteriile le declanșează. alerte care sunt afișate în panoul de alerte Purview DLP și, de asemenea, în portalul Microsoft Defender.

Aceste alerte pot grupare după utilizator, interval de timp sau tip de regulăÎn funcție de abonamentul dvs., acest lucru ajută la detectarea tiparelor de comportament riscante. Purview oferă de obicei 30 de zile de date, în timp ce Defender vă permite să păstrați datele timp de până la șase luni.

Explorator de activități DLP

Exploratorul de activități DLP vă permite să filtrați și să analizați evenimente detaliate din ultimele 30 de zileInclude vizualizări preconfigurate, cum ar fi:

• Activități DLP la punctele de conectare.
• Fișiere care conțin tipuri de informații confidențiale.
• Activități de ieșire.
• Politici și reguli care au detectat activități.

De asemenea, se poate vedea invalidări ale utilizatorilor (când cineva a decis să încalce o regulă permisă) sau potriviri ale unor reguli specifice. În cazul evenimentelor DLPRuleMatch, poate fi chiar vizualizat un rezumat contextual al textului care înconjoară conținutul potrivit, respectând politicile de confidențialitate și cerințele minime ale versiunii sistemului.

Cu acest întreg ecosistem de politici, alerte, exploratoare de activități și controale asupra aplicațiilor, dispozitivelor, Teams, Copilot și traficului web, Microsoft Purview DLP devine o componentă cheie pentru Păstrați datele sensibile sub control în Microsoft 365, reduc riscul de zbor, respectă reglementările și, în același timp, permit oamenilor să lucreze cu o libertate relativă, fără a trăi într-o stare constantă de izolare.