DLP v storitvi Microsoft 365: Kako zaščititi svoje občutljive podatke z rešitvijo Microsoft Purview

Znesek zaupni podatki, s katerimi podjetja danes ravnajo Strmoglavilo je: finančni podatki, osebni podatki, intelektualna lastnina ... in vse se je razširilo po e-pošti, storitvi Teams, SharePoint, naprave, aplikacije v oblaku in zdaj tudi Orodja umetne inteligence, kot je CopilotV tem kontekstu je izguba nadzora nad tem, kje te informacije krožijo, le vprašanje časa, če ne bodo sprejeti resni ukrepi.

Tam je Preprečevanje izgube podatkov (DLP) v storitvi Microsoft 365 z uporabo Microsoftov vidikNe gre le za občasno blokiranje datotek, temveč za centraliziran sistem, ki je sposoben zaznati občutljivo vsebino, spremljati njeno uporabo in inteligentno zavirati, ko jo nekdo poskuša neprimerno deliti, ne da bi pri tem uničil vsakodnevno produktivnost.

Kaj je DLP v storitvi Microsoft 365 in zakaj je tako pomemben?

Ko govorimo o DLP v storitvi Microsoft 365, se sklicujemo na niz direktive, ki pomagajo preprečiti, da bi občutljive informacije zapustile napačno mestoIntegriran je v Microsoft Purview, Microsoftovo platformo za upravljanje podatkov in skladnost s predpisi, in deluje na skoraj vsem, kar vaši uporabniki uporabljajo dnevno.

Organizacije upravljajo še posebej občutljivi podatki kot so številke kreditnih kartic, podatki o bančnih računih, zdravstveni kartoni, številke socialnega zavarovanja, podatki o zaposlenih, poslovne skrivnosti ali dokumentacija, zaščitena s pogodbami in predpisi (GDPR, HIPAA, PCI-DSS itd.). Nenameren prenos v e-pošti, datoteka, deljena z zunanjimi stranmi, ali kopiranje in lepljenje na napačno spletno mesto lahko povzroči kršitev z ogromnimi pravnimi in uglednimi posledicami.

Z Microsoft Purview DLP lahko definirajte centralizirane politike ki prepoznajo to občutljivo vsebino, jo spremljajo, kjer koli se nahaja, in uporabljajo samodejne zaščitne ukrepe: od obveščanja uporabnika do popolne blokade dejanja ali pošiljanja datoteke v karanteno.

Ključno je, da DLP v storitvi Microsoft 365 ne išče le posameznih besed, temveč izvaja poglobljena analiza vsebine kombiniranje tipov občutljivih informacij (SIT), regularnih izrazov, ključnih besed, notranjih validacij in v mnogih primerih algoritmov strojnega učenja za zmanjšanje lažno pozitivnih rezultatov.

Področja zaščite: poslovne aplikacije, naprave in spletni promet

Ena od velikih prednosti Microsoft Purview DLP je, da pokriva oboje podatki v mirovanju, v uporabi in v gibanju na različnih lokacijah. Ne ustavi se pri Exchangeu ali SharePointu, temveč se razteza na naprave, Officeove aplikacije, aplikacije v oblaku drugih ponudnikov, spletni promet, Copilot in še veliko več.

DLP v poslovnih aplikacijah in napravah

Na področju aplikacij in naprav lahko DLP Spremljajte in zaščitite informacije v ključnih delovnih obremenitvah storitve Microsoft 365 in v drugih dodatnih virih, ki so konfigurirani na portalu Purview.

Med podprte lokacije Med drugim najdemo naslednje:

• Menjava na spletu (korporativni e-poštni naslov).
• SharePoint Online (spletna mesta za sodelovanje in skladišča dokumentov).
• OneDrive za podjetja (osebne mape uporabnikov).
• Microsoftove ekipe (klepetalska sporočila, standardni, deljeni in zasebni kanali).
• pisarniške aplikacije (Word, Excel, PowerPoint, tako za namizne računalnike kot za splet).
• Naprave s sistemi Windows 10, Windows 11 in macOS (zadnje tri različice), vključno z prenosni, združljivi namizni računalniki in sistemi VDI.
• Aplikacije v oblaku, ki niso Microsoftove, integrirano prek storitve Defender za aplikacije v oblaku.
• Lokalni repozitoriji kot so viri datotek v skupni rabi in SharePoint na mestu uporabe, z uporabo analizatorjev zaščite informacij.
• Delovni prostori Fabric in Power BI, ki zajema poročila in nabore podatkov.
• Microsoft 365 Copilot (predogledna različica v nekaterih primerih) in klepet Copilota.

Za te izvore ustvarite Direktive DLP, ki so namenjene »poslovnim aplikacijam in napravam«To omogoča dosleden nadzor nad pravili na vseh teh lokacijah z ene same plošče.

DLP za neupravljan spletni promet in aplikacije v oblaku

Poleg "lastnih" storitev lahko Purview DLP tudi nadzorujte podatke, ki iz vašega omrežja odhajajo v neupravljane aplikacije v oblakuše posebej, če uporabniki dostopajo z Microsoft Edge za podjetja ali prek omrežnih kontrol.

Tukaj so direktive, namenjene »vstavljen spletni promet« in »omrežna aktivnost« (funkcije v predogledu v nekaterih okoljih), ki omogočajo na primer nadzor nad tem, kaj se prilepi v:

• OpenAI ChatGPT.
• Google Gemini.
• DeepSeek.
• Microsoftov kopilot na spletu
• In več kot 34.000 aplikacij v oblaku, katalogiziranih v Defenderju za aplikacije v oblaku.

Torej, tudi če uporabnik poskuša kopirati občutljive podatke iz internega dokumenta v zunanjo aplikacijo, Direktiva DLP lahko zazna vsebino in blokira ali revidira dejanje. glede na konfiguracijo, ki ste jo definirali.

Ključne značilnosti programa Microsoft Purview DLP

Purview DLP ni le filter vsebine: je osrednji del strategije varstvo podatkov in upravljanje od Microsofta. Zasnovan je tako, da se integrira z drugimi funkcijami Purview in zagotavlja dosleden pristop, od klasifikacije do odzivanja na incidente.

Med svojimi Glavne značilnosti izstopati:

• Enotni center za upravljanje pravilnikov s portala Microsoft Purview za ustvarjanje, urejanje in uvajanje pravilnikov DLP na globalni ravni.
• Integracija z zaščito informacij Purview, ponovna uporaba že pripravljenih, prilagojenih ali naprednih oznak zaupnosti in vrst občutljivih informacij (vključno z učljivimi klasifikatorji).
• Poenotena opozorila in popravki kar je mogoče videti tako na plošči Purview DLP kot tudi v programu Microsoft Defender XDR ali Microsoft Sentinel za scenarije SIEM/SOAR.
• Čevelj hitro Zahvaljujoč predlogam direktiv ni treba vzpostavljati kompleksne infrastrukture v oblaku.
• Prilagodljiva zaščita, s politikami, katerih strogost se spreminja glede na stopnjo tveganja (visoka, zmerna ali nizka) in kontekst.
• Zmanjšanje lažno pozitivnih rezultatov s pomočjo kontekstualne analize vsebine in strojnega učenja.

Zaradi vsega tega je Purview DLP rešitev še posebej zanimivo za regulirane sektorje (zdravstvo, bančništvo, javna uprava, izobraževanje, tehnologija) in za vse organizacije, ki morajo izpolnjevati stroge zahteve, kot sta GDPR ali HIPAA.

Življenjski cikel implementacije DLP: od ideje do produkcije

Naključna nastavitev DLP je običajno odličen recept za blokirajo kritične procese in razjezijo vseMicrosoft opisuje jasen življenjski cikel, ki ga je treba upoštevati, da se zagotovi uspešna implementacija in se izognemo težavam.

Faza načrtovanja

Med fazo načrtovanja morate razmisliti o obeh tehnologija, pa tudi poslovni procesi in organizacijska kulturaNekaj ​​pomembnih mejnikov:

• Prepoznajte zadevnih strank: vodje varnostnih, pravnih, poslovnih, IT, kadrovskih itd.
• Določite kategorije zaupnih informacij ki jih morate zaščititi (osebni podatki, finančni podatki, intelektualna lastnina itd.).
• Odloči se cilji in strategija: čemu točno se želite izogniti (zunanje pošiljanje, kopiranje na USBnalaganje v določene aplikacije itd.).
• Ocenite lokacije, kjer boste uporabili DLPStoritve Microsoft 365, naprave, lokalna skladišča, zunanje aplikacije v oblaku …

Poleg tega moramo upoštevati tudi vpliv na poslovne proceseDLP lahko blokira pogosta dejanja (na primer pošiljanje določenih poročil dobavitelju po e-pošti), kar vključuje pogajanja o izjemah, ustvarjanje alternativnih delovnih procesov ali prilagajanje navad.

Na koncu ne pozabite na del o kulturne spremembe in usposabljanjeUporabniki morajo razumeti, zakaj so določena dejanja blokirana in kako varno delati. Predlogi pravilnikov v aplikaciji so zelo uporabno orodje za izobraževanje uporabnikov, ne da bi bili preveč omejujoči.

Pripravite okolje in predpogoje

Preden aktivirate pravilnike, ki blokirajo stvari, morate zagotoviti, da Vse lokacije so ustrezno pripravljene in povezan s Purviewom:

• Exchange Online, SharePoint, OneDrive in Teams zahtevajo le definiranje pravilnikov, ki jih vključujejo.
• Lokalna skladišča datotek in SharePoint na mestu uporabe morajo uvesti Analizator zaščite informacij.
• Naprave Windows, macOS in virtualizirana okolja so vključene s posebnimi postopki uvajanja.
• Aplikacije v oblaku tretjih oseb se upravljajo prek Microsoft Defender za aplikacije v oblaku.

Ko so lokacije pripravljene, je priporočen naslednji korak Konfigurirajte osnutke pravilnikov in jih preizkusite temeljito, preden začnejo blokirati.

Postopna implementacija: simulacija, prilagoditve in aktivacija

Izvajanje direktive DLP bi moralo slediti faznemu pristopu z uporabo treh nadzornih osi: status, obseg in dejanja.

P večjih držav Elementi direktive so:

• Pustite ga izklopljenega: oblikovanje in pregled, brez resničnega vpliva.
• Izvedite direktivo v simulacijskem načinuDogodki se beležijo, vendar se ne uporabijo nobena blokirna dejanja.
• Simulacija s predlogi politikŠe vedno ni blokiran, vendar uporabniki prejemajo obvestila in e-poštna sporočila (odvisno od primera), ki jih usposabljajo.
• Takoj ga aktivirajte: način polne skladnosti, uporabljena so vsa konfigurirana dejanja.

Med fazami simulacije lahko prilagodite področje uporabe direktiveZačnite z majhnim naborom uporabnikov ali lokacij (pilotna skupina) in ga razširite, ko izboljšate pogoje, izjeme in uporabniška sporočila.

Kot za dejavnostiNajbolje je začeti z neinvazivnimi možnostmi, kot sta »Dovoli« ali »Samo revizija«, postopoma uvajati obvestila in na koncu preiti na blok z možnostjo razveljavitve in v najkritičnejših primerih do trajne blokade.

Komponente pravilnika DLP v storitvi Microsoft 365

Vse direktive DLP za Microsoft Purview imajo logično strukturo: kaj se spremlja, kje, pod kakšnimi pogoji in kaj se stori, ko se to odkrijePri ustvarjanju (iz nič ali po predlogi) boste morali sprejeti odločitve na vsakem od teh področij.

Kaj je treba spremljati: predloge in pravilniki po meri

Ponudbe pristojnosti že pripravljene predloge pravilnikov DLP za običajne scenarije (po državah, predpisih, sektorjih itd.), ki vključujejo vrste zaupnih informacij, značilnih za posamezne predpise, vključno z metapodatki v PDF-jihČe želite, lahko ustvarite tudi svojo lastno politiko po meri in izberete želene SIT ali pogoje.

Upravno področje in upravne enote

V velikih okoljih je običajno, da se upravljanje prenese na različna področja. Za to lahko uporabite upravne enote V pristojnosti: skrbnik, dodeljen enoti, lahko ustvarja in upravlja pravilnike samo za uporabnike, skupine, spletna mesta in naprave znotraj svojega področja delovanja.

To deluje dobro, kadar želite na primer, da varnostna ekipa regije upravlja lastne pravilnike DLP, ne da bi to vplivalo na preostali del najemnika.

Lokacije direktiv

Naslednji korak je izbira kjer bo upravni odbor spremljalNekatere najpogostejše možnosti so:

Kraj	Merila za vključitev/izključitev
Izmenjava pošte	Distribucijske skupine
SharePointova mesta	Določena spletna mesta
Računi OneDrive	Računi ali distribucijske skupine
Klepeti in kanali v storitvi Teams	Računi ali distribucijske skupine
Naprave Windows in macOS	Uporabniki, skupine, naprave in skupine naprav
Aplikacije v oblaku (Defender za aplikacije v oblaku)	Primerki
Lokalni repozitoriji	Poti map
Fabric in Power BI	Delovna področja
Microsoft 365 Copilot	Računi ali distribucijske skupine

Ujemajoči se pogoji

The pogojev Določajo, kaj mora biti izpolnjeno, da se pravilo DLP "sproži". Nekaj ​​tipičnih primerov:

• Vsebina vsebuje enega ali več vrste zaupnih informacij (npr. 95 številk socialnega zavarovanja v e-poštnem sporočilu zunanjim prejemnikom).
• Element ima oznaka zaupnosti specifične (npr. »Zelo zaupno«).
• Vsebina je deljenje zunaj organizacije iz storitve Microsoft 365.
• Občutljiva datoteka se kopira v USB ali omrežna skupna raba.
• Zaupna vsebina je prilepljena v Klepet v storitvi Teams ali neupravljana aplikacija v oblaku.

Zaščitni ukrepi

Ko je pogoj izpolnjen, lahko direktiva izvede različna dejanja. zaščitni ukrepiOdvisno od lokacije:

• En Exchange, SharePoint in OneDrive: prepreči dostop zunanjim uporabnikom, blokiraj skupno rabo, prikaži uporabniku predlog pravilnika in mu pošlji obvestilo.
• En Moštvo: blokira prikaz občutljivih informacij v sporočilih klepeta ali kanala; če je sporočilo deljeno, se lahko izbriše ali ne prikaže.
• En Naprave Windows in macOS: pregled ali omejitev dejanj, kot so kopiranje na USB, tiskanje, kopiranje na odložišče, nalaganje na internet, sinhronizacija z zunanjimi odjemalci itd.
• En Office (Word, Excel, PowerPoint): prikaži pojavno opozorilo, blokiraj shranjevanje ali pošiljanje, dovoli razveljavitev z utemeljitvijo.
• En lokalni repozitoriji: premaknite datoteke v varno mapo v karanteni, ko so zaznane občutljive informacije.

Poleg tega so vse nadzorovane dejavnosti zabeležene v Dnevnik nadzora za Microsoft 365 in si jih je mogoče ogledati v Raziskovalcu dejavnosti DLP.

DLP v storitvi Microsoft Teams: sporočila, dokumenti in obsegi

Microsoft Teams je postal središče sodelovanja, kar pomeni, da je tudi kritična točka za morebitno uhajanje podatkovDLP v storitvi Teams razširja pravilnike programa Purview na sporočila in datoteke, ki so v skupni rabi znotraj platforme.

Zaščita sporočil in dokumentov v aplikaciji Teams

Z Microsoft Purview DLP lahko preprečiti uporabniku deljenje zaupnih informacij v klepetu ali kanaluše posebej, če so vpleteni gostje ali zunanji uporabniki. Nekaj ​​pogostih scenarijev:

• Če nekdo poskuša objaviti številka socialnega zavarovanja ali podatke o kreditni kartici, se lahko sporočilo samodejno blokira ali izbriše.
• Če delite dokument z občutljivimi podatki V kanalu z gosti lahko pravilnik DLP tem gostom prepreči odpiranje datoteke (zahvaljujoč integraciji s SharePointom in OneDriveom).
• En deljeni kanaliPravilnik gostiteljske ekipe velja, tudi če je kanal v skupni rabi z drugo notranjo ekipo ali z drugo organizacijo (drugim najemnikom).
• En klepeta z zunanjimi uporabniki (zunanji dostop) vsako osebo ureja DLP njenega najemnika, končni rezultat pa je, da je občutljiva vsebina vašega podjetja zaščitena z vašimi pravilniki, tudi če ima druga stran drugačne.

Območja zaščite DLP v storitvi Teams

Pokritost DLP v storitvi Teams je odvisna od vrsta subjekta in področje uporabe direktive. Na primer:

• Če si prizadevate individualni uporabniški računi Za varnostne skupine lahko zaščitite klepete 1:1 ali skupinske klepete, ne pa nujno sporočil v standardnih ali zasebnih kanalih.
• Če si prizadevate Skupine Microsoft 365Zaščita lahko zajema tako klepete kot sporočila iz standardnih, skupnih in zasebnih kanalov, povezanih s temi skupinami.

Za zaščito »vsega, kar se premika« v storitvi Teams je pogosto priporočljivo konfigurirati obseg na vse lokacije ali pa zagotovite, da so uporabniki aplikacije Teams v skupinah, ki so dobro usklajene s pravilniki.

Predlogi pravilnikov za Teams

Namesto samo blokiranja lahko DLP v Teamsu prikaže predlogi direktiv Ko nekdo stori nekaj potencialno nevarnega, na primer pošiljanje nadzorovanih podatkov, ti predlogi pojasnijo razlog in uporabniku ponudijo možnosti: popraviti vsebino, zahtevati pregled ali, če pravilnik dovoljuje, preglasiti pravilo z utemeljitvijo.

Te predloge je mogoče zelo prilagoditi na portalu Purview: lahko prilagodi besedilo, določite, v katerih storitvah bodo prikazani in ali bodo prikazani tudi v simulacijskem načinu.

Zaščita pred izgubo podatkov na končnih točkah: Nadzor v okoljih Windows, macOS in virtualnih okoljih

Sestavni del Priključna točka DLP Razširja zaščito na naprave, ki jih uporabljajo zaposleni, tako fizične kot virtualne. Omogoča vam, da veste, kaj se zgodi, ko se občutljiva datoteka kopira, natisne, naloži v oblak ali prenese prek "nevidnih" kanalov s strani strežnika.

Endpoint DLP podpira Windows 10 in 11 ter macOS (tri najnovejše različice). Deluje tudi na virtualizirana okolja kot so Azure Virtual Desktop, Windows 365, Citrix Virtual Apps and Desktops, Amazon Workspaces ali virtualni stroji Hyper-V, z nekaterimi specifičnimi funkcijami. Dopolniti ga je mogoče tudi s tehnologijami, kot so Credential Guard v sistemu Windows za okrepitev zaščite končnih točk.

V okoljih VDI, Naprave USB se običajno obravnavajo kot skupni omrežni viriZato bi moral pravilnik vključevati aktivnost »Kopiraj v omrežno skupno rabo«, ki bi zajemala kopiranje na USB. V dnevnikih se te operacije odražajo kot kopije v skupne vire, čeprav gre v praksi za pogon USB.

Obstajajo tudi nekatere znane omejitve, kot je nezmožnost spremljanja določenih dejavnosti kopiranja v odložišče prek brskalnika v storitvi Azure Virtual Desktop, čeprav je isto dejanje vidno, če se izvede prek seje RDP.

DLP in Microsoft 365 Copilot / Copilot Chat

S prihodom sistema Copilot so organizacije spoznale, da Občutljivi podatki lahko končajo tudi v zahtevah in interakcijah z IAMicrosoft je v Purview vključil kontrolnike DLP, specifične za Copilot, tako da lahko omejite, katere informacije se vključijo v zahteve in kateri podatki se uporabljajo za oblikovanje odgovorov.

Blokiraj občutljive vrste informacij v sporočilih za Copilot

V predogledu lahko ustvarite direktive DLP, namenjene za lokacija »Microsoft 365 Copilot in Copilot Chat« ki blokirajo uporabo določenih vrst občutljivih informacij (SIT) v aplikacijah. Na primer:

• Preprečite njihovo vključitev številke kreditnih karticidentifikacijske podatke potnega lista ali številke socialnega zavarovanja na poziv.
• Preprečite pošiljanje poštnih naslovov iz določene države ali reguliranih finančnih identifikatorjev.

Ko pride do ujemanja, lahko pravilo preprečiti Copilotu obdelavo vsebinetako uporabnik prejme sporočilo z opozorilom, da njegova zahteva vsebuje podatke, ki jih je organizacija blokirala, in se ne izvajajo ali uporabljajo za interna ali spletna iskanja.

Preprečite uporabo označenih datotek in e-poštnih sporočil v povzetkih

Druga sposobnost je preprečiti to datoteke ali e-poštna sporočila z določenimi oznakami zaupnosti se uporabljajo za ustvarjanje povzetka odgovora Copilota, čeprav se lahko še vedno pojavijo kot citati ali reference.

Direktiva, ki se spet osredotoča na lokacijo Copilota, uporablja pogoj »Vsebina vsebuje > Oznake občutljivosti« za zaznavanje elementov, označenih na primer kot »Osebno« ali »Zelo zaupno«, in uporabi dejanje »Prepreči Copilotu obdelavo vsebine«. V praksi Copilot ne prebere vsebine teh elementov za sestavljanje odgovora, čeprav nakazuje njihov obstoj.

Poročila o dejavnosti DLP, opozorila in analize

Vzpostavitev politik je le polovica zgodbe: druga polovica je videti, kaj se dogaja, in pravočasno reagiratiPurview DLP pošlje vso svojo telemetrijo v dnevnik spremljanja Microsoft 365, od tam pa se distribuira različnim orodjem.

Splošna informativna plošča

Stran s pregledom DLP na portalu Purview ponuja Hiter pregled stanja vaših policSinhronizacija, stanje naprave, glavne zaznane dejavnosti in splošno stanje. Od tam lahko skočite na podrobnejše poglede.

Opozorila DLP

Ko je pravilo DLP konfigurirano za ustvarjanje incidentov, jih sprožijo dejavnosti, ki izpolnjujejo merila. opozorila ki so prikazani na plošči z opozorili Purview DLP in tudi na portalu Microsoft Defender.

Ta opozorila lahko združevanje po uporabniku, časovnem oknu ali vrsti pravilaOdvisno od vaše naročnine to pomaga pri odkrivanju tveganih vzorcev vedenja. Purview običajno ponuja 30 dni podatkov, medtem ko Defender omogoča hrambo podatkov do šest mesecev.

Raziskovalec dejavnosti DLP

Raziskovalec dejavnosti DLP vam omogoča filtriranje in analizo podrobni dogodki zadnjih 30 dniVključuje vnaprej konfigurirane poglede, kot so:

• Dejavnosti DLP na priključnih točkah.
• Datoteke, ki vsebujejo vrste zaupnih informacij.
• Izhodne dejavnosti.
• Pravilniki in pravila, ki so zaznali dejavnosti.

Možno je tudi videti razveljavitve uporabnikov (ko se nekdo odloči kršiti dovoljeno pravilo) ali ujemanja določenih pravil. V primeru dogodkov DLPRuleMatch si je mogoče ogledati celo kontekstualni povzetek besedila, ki obdaja ujemajočo se vsebino, pri čemer se upoštevajo pravilniki o zasebnosti in minimalne zahteve glede različice sistema.

S tem celotnim ekosistemom pravilnikov, opozoril, raziskovalcev dejavnosti in nadzora nad aplikacijami, napravami, Teams, Copilotom in spletnim prometom postaja Microsoft Purview DLP ključna komponenta za Ohranite nadzor nad občutljivimi podatki v storitvi Microsoft 365, zmanjšati tveganje bega, upoštevati predpise in hkrati ljudem omogočiti delo z relativno svobodo, ne da bi živeli v nenehnem stanju zaprtja.