Beschreiben von Warnungen zur Verhinderung von Datenverlust
Als Security Operations Analyst sollten Sie die Begriffe und Warnungen im Zusammenhang mit Compliance verstehen. Warnungen zur Verhinderung von Datenverlust (DLP) helfen Ihnen bei der Untersuchung des gesamten Umfangs eines Vorfalls. DLP-Warnungen können von Microsoft Purview Compliance oder Microsoft Defender for Cloud Apps generiert werden. Sie sind möglicherweise nicht die Person, die die DLP-Richtlinien erstellt, aber Sie müssen sie trotzdem verstehen, damit Sie Änderungen empfehlen können.
Zur Einhaltung von Geschäftsstandards und Branchenvorschriften müssen Organisationen vertrauliche Informationen schützen und ihre unbeabsichtigte Offenlegung verhindern. Vertrauliche Informationen können Finanz- oder personenbezogene Daten umfassen, z. B. Kreditkartennummern, Sozialversicherungsnummern oder Gesundheitsdaten.
DLP-Richtlinien ermöglichen Folgendes:
Speicherortübergreifendes Identifizieren vertraulicher Informationen, z. B. in Exchange Online, SharePoint Online, OneDrive und Microsoft Teams
Möglichkeit zum Identifizieren aller Dokumente mit einer Kreditkartennummer, die an einem beliebigen OneDrive-Speicherort gespeichert sind. Alternativ ist die Überwachung der OneDrive-Speicherorte bestimmter Personen möglich.
Verhindern der versehentlichen Offenlegung vertraulicher Informationen.
Sie können z. B. jedes Dokument oder jede E-Mail identifizieren, das bzw. die einen Gesundheitsdatensatz enthält und mit Personen außerhalb Ihrer Organisation geteilt wird, und dann den Zugriff auf dieses Dokument oder das Senden der E-Mail automatisch blockieren.
Überwachen und Schützen vertraulicher Informationen in den Desktopversionen von Excel, PowerPoint und Word.
Ebenso wie Exchange Online, SharePoint Online und OneDrive enthalten diese Office-Desktopprogramme dieselben Funktionen zum Ermitteln vertraulicher Informationen und Anwenden von DLP-Richtlinien. DLP ermöglicht eine kontinuierliche Überwachung, wenn Personen Inhalte in diesen Office-Programmen freigeben.
Unterstützen und Informieren von Benutzern, wie sie Compliance erreichen, ohne ihre Arbeitsabläufe zu stören.
Sie können Ihre Benutzer über DLP-Richtlinien informieren und ihnen helfen, Compliance zu erreichen, ohne Ihre Arbeit komplizierter zu machen. Wenn ein Benutzer beispielsweise versucht, ein Dokument mit vertraulichen Informationen freizugeben, kann über eine DLP-Richtlinie eine E-Mail-Benachrichtigung an ihn gesendet werden. Außerdem kann ein Tipp zur Richtlinie in der Dokumentbibliothek angezeigt werden, über den die Richtlinie – mit ausreichender geschäftlicher Begründung – auch außer Kraft gesetzt werden kann. Die gleichen Richtlinientipps werden auch in Outlook im Web, in Outlook, Excel, PowerPoint und Word angezeigt.
Anzeigen von DLP-Warnungen und -Berichten mit Inhalten, die den DLP-Richtlinien Ihrer Organisation entsprechen
Komponenten zur Verhinderung von Datenverlust
Wenn Sie noch nicht mit DLP gearbeitet haben, ist es wichtig, die zugrunde liegenden Komponenten zu verstehen.
Typen vertraulicher Informationen
Typen vertraulicher Informationen sind durch ein Muster definiert, das durch einen regulären Ausdruck oder eine Funktion identifiziert werden kann. Außerdem können bestätigende Beweise wie z. B. Schlüsselwörter und Prüfsummen angewandt werden, um Typen vertraulicher Informationen zu identifizieren. Die Konfidenz und die Nähe werden im Evaluierungsprozess ebenfalls berücksichtigt.
Microsoft Purview Compliance enthält integrierte Typen vertraulicher Informationen wie Kreditkartennummern und Bankkonten. Sie können auch einen benutzerdefinierten Typ vertraulicher Informationen erstellen, der auf Übereinstimmung mit regulären Ausdrücken, Schlüsselwörtern oder einem hochgeladenen Wörterbuch überprüft wird.
Vertraulichkeitsbezeichnungen
Vertraulichkeitsbezeichnungen geben die Klassifizierung eines Dokuments an. Die Bezeichnungen können Begriffe wie „öffentlich“, „privat“ oder „geheim“ sein. Mit diesen Bezeichnungen können weitere Funktionen auf das Dokument angewandt werden, z. B. eine Verschlüsselung. Bezeichnungen werden manuell vom Benutzer oder automatisch basierend auf dem Typ der vertraulichen Informationen angewandt.
Richtlinien zur Verhinderung von Datenverlust
Eine DLP-Richtlinie enthält einige grundlegende Elemente:
Hier werden die Inhalte geschützt: Speicherorte wie Exchange Online, SharePoint Online und OneDrive-Sites sowie Chat- und Kanalnachrichten von Microsoft Teams
Wann und wie werden Inhalte durch Erzwingen von Regeln geschützt, die Folgendes umfassen:
Bedingungen, die ein Inhalt erfüllen muss, damit die Regel erzwungen wird. Beispielsweise kann eine Regel so konfiguriert werden, dass sie nur nach Inhalten sucht, die Sozialversicherungsnummern enthalten und für Personen außerhalb Ihrer Organisation freigegeben wurden.
Aktionen, die die Regel automatisch durchführen soll, wenn Inhalte gefunden werden, die mit den Bedingungen übereinstimmen. Beispielsweise kann eine Regel so konfiguriert werden, dass der Zugriff auf ein Dokument blockiert wird und sowohl der Benutzer als auch der Compliancebeauftragte eine E-Mail-Benachrichtigung erhält.
Dateirichtlinie für Defender für Cloud-Apps
Dateirichtlinien können für fortlaufende Kompatibilitätsprüfungen, rechtliche eDiscovery-Aufgaben, DLP für öffentlich freigegebene vertrauliche Inhalte und viele weitere Anwendungsfälle festgelegt werden. Microsoft Defender for Cloud Apps kann jeden Dateityp basierend auf mehr als 20 Metadatenfiltern überwachen.