الملاحظات

استخدام تفادي فقدان البيانات في نقطة النهاية

  • مقالة
  • قراءة خلال 8 دقائق

ملاحظة

يسمى التوافق Microsoft 365 الآن Microsoft Purview وقد تم تغيير تسمية الحلول داخل منطقة الامتثال. لمزيد من المعلومات حول Microsoft Purview، راجع إعلان المدونة.

للمساعدة في التعرف على ميزات DLP لنقطة النهاية وكيفية إظهارها في نهج DLP، قمنا بتجميع بعض السيناريوهات لمتابعتها.

هام

سيناريوهات DLP لنقطة النهاية هذه ليست الإجراءات الرسمية لإنشاء نهج DLP وضبطها. راجع المواضيع أدناه عندما تحتاج إلى العمل مع نهج DLP في المواقف العامة:

السيناريو 1: إنشاء نهج من قالب، والتدقيق فقط

تتطلب هذه السيناريوهات أن يكون لديك بالفعل أجهزة تم إلحاقها وإعداد التقارير في مستكشف النشاط. إذا لم تكن قد قمت بإلحاق الأجهزة بعد، فراجع بدء استخدام منع فقدان بيانات نقطة النهاية.

  1. افتح صفحة منع فقدان البيانات.

  2. اختر "إنشاء نهج".

  3. بالنسبة لهذا السيناريو، اختر "الخصوصية"، ثم " بيانات معلومات التعريف الشخصية الأمريكية" (PII) واختر "التالي".

  4. قم بتبديل حقل الحالة إلى إيقاف تشغيل لكافة المواقع باستثناء الأجهزة. اختر "التالي".

  5. اقبل الإعدادات الافتراضية "مراجعة" وخصصها من تحديد القالب واختر "التالي".

  6. اقبل قيم إجراءات الحماية الافتراضية واختر "التالي".

  7. حدد التدقيق أو تقييد الأنشطة على أجهزة Windows واترك الإجراءات معينة إلى التدقيق فقط. اختر "التالي".

  8. اقبل الافتراضي الذي أرغب في اختباره من القيمة الأولى واختر إظهار تلميحات النهج أثناء وضع الاختبار. اختر "التالي".

  9. راجع الإعدادات واختر "إرسال".

  10. سيظهر نهج DLP الجديد في قائمة النهج.

  11. تحقق من مستكشف النشاط بحثا عن بيانات من نقاط النهاية المراقبة. تعيين عامل تصفية الموقع للأجهزة وإضافة النهج، ثم التصفية حسب اسم النهج لمعرفة تأثير هذا النهج؛ راجع بدء استخدام مستكشف النشاط، إذا لزم الأمر.

  12. حاول مشاركة عنصر اختبار يحتوي على محتوى سيؤدي إلى تشغيل شرط بيانات معلومات التعريف الشخصية (PII) الأمريكية مع شخص من خارج مؤسستك. وينبغي أن يؤدي هذا إلى تشغيل النهج.

  13. تحقق من مستكشف النشاط للحدث.

السيناريو 2: تعديل النهج الموجود، تعيين تنبيه

  1. افتح صفحة منع فقدان البيانات.

  2. اختر نهج بيانات معلومات التعريف الشخصية (PII) الأمريكية التي قمت بإنشائها في السيناريو 1.

  3. اختر نهج التحرير.

  4. انتقل إلى صفحة قواعد DLP المتقدمة واحرر وحدة التخزين المنخفضة للمحتوى الذي تم اكتشافه من قبل Inf القابل للتعريف الشخصي في الولايات المتحدة.

  5. قم بالتمرير لأسفل إلى قسم تقارير الحوادث وقم بتعيين "إرسال تنبيه" إلى المسؤولين عند حدوث تطابق قاعدة إلى "تشغيل". سيتم إرسال تنبيهات البريد الإلكتروني تلقائيا إلى المسؤول وأي شخص آخر تضيفه إلى قائمة المستلمين.

تشغيل تقارير الحوادث.

  1. لأغراض هذا السيناريو، اختر "إرسال تنبيه" في كل مرة يطابق فيها نشاط القاعدة.

  2. اختر "حفظ".

  3. احتفظ بكافة الإعدادات السابقة عن طريق اختيار "التالي" ثم إرسال تغييرات النهج.

  4. حاول مشاركة عنصر اختبار يحتوي على محتوى سيؤدي إلى تشغيل شرط بيانات معلومات التعريف الشخصية (PII) الأمريكية مع شخص من خارج مؤسستك. وينبغي أن يؤدي هذا إلى تشغيل النهج.

  5. تحقق من مستكشف النشاط للحدث.

السيناريو 3: تعديل النهج الموجود، حظر الإجراء مع السماح بتجاوز

  1. افتح صفحة منع فقدان البيانات.

  2. اختر نهج بيانات معلومات التعريف الشخصية (PII) الأمريكية التي قمت بإنشائها في السيناريو 1.

  3. اختر نهج التحرير.

  4. انتقل إلى صفحة قواعد DLP المتقدمة واحرر وحدة التخزين المنخفضة للمحتوى الذي تم اكتشافه من قبل Inf القابل للتعريف الشخصي في الولايات المتحدة.

  5. قم بالتمرير لأسفل وصولا إلى التدقيق أو تقييد الأنشطة في قسم جهاز Windows ولكل نشاط قم بتعيين الإجراء المقابل إلى حظر مع تجاوز.

    تعيين كتلة مع إجراء تجاوز.

  6. اختر "حفظ".

  7. كرر الخطوات من 4 إلى 7 للحجم الكبير للمحتوى المكتشف من Inf القابل للتعريف الشخصي للولايات المتحدة.

  8. احتفظ بكافة الإعدادات السابقة عن طريق اختيار "التالي" ثم إرسال تغييرات النهج.

  9. حاول مشاركة عنصر اختبار يحتوي على محتوى سيؤدي إلى تشغيل شرط بيانات معلومات التعريف الشخصية (PII) الأمريكية مع شخص من خارج مؤسستك. وينبغي أن يؤدي هذا إلى تشغيل النهج.

    سترى قائمة منبثقة مثل هذه على جهاز العميل:

    حظر عميل dlp لنقطة النهاية إعلام التجاوز.

  10. تحقق من مستكشف النشاط للحدث.

السيناريو 4: تجنب تكرار إعلامات DLP من تطبيقات مزامنة السحابة باستخدام العزل التلقائي (معاينة)

قبل البدء

في هذا السيناريو، يتم حظر مزامنة الملفات مع تسمية الحساسية السرية للغاية مع OneDrive. هذا سيناريو معقد مع مكونات وإجراءات متعددة. ستحتاج إلى:

هناك ثلاثة إجراءات.

  1. تكوين إعدادات العزل التلقائي ل DLP لنقطة النهاية.
  2. إنشاء نهج يمنع العناصر الحساسة التي تحتوي على تسمية الحساسية السرية للغاية .
  3. يمكنك إنشاء مستند Word على جهاز Windows 10 الذي يستهدف النهج له، وتطبيق التسمية، ونسخها إلى مجلد OneDrive المحلي لحسابات المستخدمين الذي تتم مزامنته.

تكوين تطبيق DLP لنقطة النهاية غير مسموح به وإعدادات العزل التلقائي

  1. فتح إعدادات DLP لنقطة النهاية

  2. توسيع التطبيقات غير مسموح بها.

  3. اختر إضافة تطبيقات غير مسموح بها أو تحريرها وأضف OneDrive كاسم عرض والاسم القابل للتنفيذ onedrive.exe عدم السماح onedrive.exe بالوصول إلى العناصر التي تحمل التسمية "سرية للغاية".

  4. حدد العزل التلقائي واحفظ.

  5. ضمن إعدادات العزل التلقائي ، اختر "تحرير إعدادات العزل التلقائي".

  6. تمكين العزل التلقائي للتطبيقات غير مسموح بها.

  7. أدخل المسار إلى المجلد على الأجهزة المحلية حيث تريد نقل الملفات الحساسة الأصلية إليه. على سبيل المثال:

    سيقوم '٪homedrive٪٪homepath٪\Microsoft DLP\Quarantine' لاسم المستخدم Isapath langer بوضع العناصر المنقولة في مجلد يسمى:

    C:\Users\IsalangLanger\Microsoft DLP\Quarantine\OneDrive

    وإلحاق طابع التاريخ والوقت باسم الملف الأصلي.

    ملاحظة

    سيقوم العزل التلقائي ل DLP بإنشاء مجلدات فرعية للملفات لكل تطبيق غير مسموح به. لذلك إذا كان لديك كل من المفكرة OneDrive في قائمة التطبيقات غير مسموح بها، فسيتم إنشاء مجلد فرعي ل \OneDrive ومجلد فرعي آخر ل \المفكرة.

  8. اختر استبدال الملفات بملف .txt يحتوي على النص التالي وأدخل النص الذي تريده في ملف العنصر النائب. على سبيل المثال لملف يسمى الربع التلقائي 1.docx:

    يحتوي ٪٪FileName٪٪ على معلومات حساسة تحميها مؤسستك من خلال نهج منع فقدان البيانات (DLP) ٪٪PolicyName٪٪ وتم نقله إلى مجلد العزل: ٪٪QuarantinePath٪٪

    سيترك ملفا نصيا يحتوي على هذه الرسالة:

    يحتوي 1.docx الربع التلقائي على معلومات حساسة تحميها مؤسستك باستخدام نهج منع فقدان البيانات (DLP) وتم نقلها إلى مجلد العزل: C:\Users\IsadriveLanger\Microsoft DLP\Quarantine\OneDrive\auto quar 1_20210728_151541.docx.

  9. اختر "حفظ"

تكوين نهج لحظر مزامنة OneDrive للملفات مع وصف الحساسية "سري للغاية"

  1. افتح صفحة منع فقدان البيانات.

  2. اختر "إنشاء نهج".

  3. لهذا السيناريو، اختر "مخصص"، ثم "نهج مخصص " واختر "التالي".

  4. املأ حقلي "الاسم " و" الوصف "، واختر "التالي".

  5. قم بتبديل حقل الحالة إلى إيقاف تشغيل لكافة المواقع باستثناء الأجهزة. إذا كان لديك حساب مستخدم محدد تريد اختبار هذا منه، فتأكد من تحديده في النطاق. اختر "التالي".

  6. اقبل التحديد الافتراضي لإنشاء قواعد DLP المتقدمة أو تخصيصها واختر "التالي".

  7. إنشاء قاعدة باستخدام هذه القيم:

    1. اسم > السيناريو 4 العزل التلقائي.
    2. الظروف > يحتوي المحتوى على > أوصاف > الحساسية سرية للغاية.
    3. الاجراءات > قم بتدقيق الأنشطة أو تقييدها على Windows devicesAccess > بواسطة appsBlock > غير مسموح به. لأغراض هذا السيناريو، قم بإلغاء تحديد جميع الأنشطة الأخرى.
    4. إعلامات > المستخدم قيد التشغيل.
    5. أجهزة نقطة النهاية > اختر إظهار إعلام تلميح نهج للمستخدمين عند تمكين نشاط إذا لم يكن ممكنا بالفعل.

  8. اختر "حفظ " و" التالي".

  9. اختر تشغيله على الفور. اختر "التالي".

  10. راجع الإعدادات واختر "إرسال".

    ملاحظة

    السماح بنسخ النهج الجديد وتطبيقه على الكمبيوتر Windows 10 الهدف لمدة ساعة على الأقل.

  11. سيظهر نهج DLP الجديد في قائمة النهج.

اختبار العزل التلقائي على جهاز Windows 10

  1. سجل الدخول إلى الكمبيوتر Windows 10 باستخدام حساب المستخدم الذي حددته في تكوين نهج لحظر مزامنة OneDrive للملفات مع الخطوة 5 لتسمية الحساسية عالية السرية.

  2. إنشاء مجلد لن تتم مزامنة محتوياته مع OneDrive. على سبيل المثال:

    C:\مجلد مصدر العزل التلقائي

  3. افتح Microsoft Word وأنشئ ملفا في مجلد مصدر العزل التلقائي. تطبيق وصف الحساسية السرية للغاية؛ راجع تطبيق تسميات الحساسية على ملفاتك والبريد الإلكتروني في Office.

  4. انسخ الملف الذي أنشأته للتو إلى مجلد مزامنة OneDrive. يجب أن يظهر إعلام مستخدم منبثق يخبرك بأن الإجراء غير مسموح به وأنه سيتم عزل الملف. على سبيل المثال، لاسم المستخدم Isa quarantine Langer، ومستند بعنوان مستند العزل التلقائي 1.docx سترى هذه الرسالة:

    نافذة إعلام مستخدم منع فقدان البيانات المنبثقة تفيد بأن إجراء مزامنة OneDrive غير مسموح به للملف المحدد وأنه سيتم عزل الملف.

    تقرأ الرسالة:

    لا يسمح بفتح 1.docx المستند التلقائي مع هذا التطبيق. سيتم عزل الملف إلى 'C:\Users\IsalangLanger\Microsoft DLP\OneDrive'

  5. اختر "تجاهل".

  6. افتح الملف النصي لصاحب المكان. سيتم تسميته 1.docx_ مستند العزل التلقائي date_time.txt.

  7. افتح مجلد العزل وتأكد من وجود الملف الأصلي هناك.

  8. تحقق من مستكشف النشاط بحثا عن بيانات من نقاط النهاية المراقبة. تعيين عامل تصفية الموقع للأجهزة وإضافة النهج، ثم التصفية حسب اسم النهج لمعرفة تأثير هذا النهج؛ راجع بدء استخدام مستكشف النشاط، إذا لزم الأمر.

  9. تحقق من مستكشف النشاط للحدث.

السيناريو 5: تقييد المشاركة غير المقصودة بتطبيقات وخدمات سحابية غير مسموح بها

باستخدام DLP نقطة النهاية ومستعرض Edge على الويب، يمكنك تقييد المشاركة غير المقصودة للعناصر الحساسة إلى تطبيقات وخدمات سحابية غير مسموح بها. يفهم Edge متى يتم تقييد عنصر بواسطة نهج DLP نقطة النهاية ويفرض قيود الوصول.

عند تحديد الأجهزة كموقع في نهج DLP تم تكوينه بشكل صحيح واستخدام مستعرض Microsoft Edge، سيتم منع المستعرضات غير مسموح بها التي قمت بتعريفها في هذه الإعدادات من الوصول إلى العناصر الحساسة التي تطابق عناصر تحكم نهج DLP. بدلا من ذلك، ستتم إعادة توجيه المستخدمين لاستخدام Microsoft Edge التي، مع فهمها للقيود المفروضة على DLP، يمكنها حظر الأنشطة أو تقييدها عند استيفاء الشروط في نهج DLP.

لاستخدام هذا التقييد، ستحتاج إلى تكوين ثلاثة أجزاء هامة:

  1. حدد الأماكن - الخدمات والمجالات وعناوين IP - التي تريد منع مشاركة العناصر الحساسة إليها.

  2. أضف المستعرضات غير المسموح لها بالوصول إلى بعض العناصر الحساسة عند حدوث تطابق نهج DLP.

  3. تكوين نهج DLP لتحديد أنواع العناصر الحساسة التي يجب أن يقتصر التحميل عليها على هذه الأماكن عن طريق تشغيل Upload إلى الخدمات السحابية والوصول من المستعرض غير مسموح به.

يمكنك الاستمرار في إضافة خدمات وتطبيقات ونهج جديدة لتوسيع قيودك وزيادةها لتلبية احتياجات عملك وحماية البيانات الحساسة.

سيساعد هذا التكوين على ضمان بقاء بياناتك آمنة مع تجنب القيود غير الضرورية التي تمنع المستخدمين من الوصول إلى العناصر غير الحساسة ومشاركتها أو تقيدهم.

راجع أيضًا