Lisätietoja tietojen menetyksen estämisestä

Huomautus

Microsoft 365 vaatimustenmukaisuus on nyt nimeltään Microsoft Purview, ja yhteensopivuusalueen ratkaisut on uudelleenbrändätty. Lisätietoja Microsoft Purview'sta on blogi-ilmoituksessa.

Organisaatioilla on hallinnassaan arkaluonteisia tietoja, kuten taloustietoja, omistusoikeudellisia tietoja, luottokorttinumeroita, terveystietoja tai sosiaaliturvatunnukset. Näiden luottamuksellisten tietojen suojaamiseksi ja riskien vähentämiseksi heidän on estettävä käyttäjiä jakamasta niitä sopimattomasti henkilöille, joilla ei pitäisi olla niitä. Tätä käytäntöä kutsutaan tietojen menetyksen estämiseksi (DLP).

Microsoft Purview'ssa tietojen menetyksen estäminen toteutetaan määrittämällä ja ottamalla käyttöön DLP-käytäntöjä. DLP-käytännön avulla voit tunnistaa, valvoa ja automaattisesti suojata arkaluonteisia kohteita kaikissa:

  • Microsoft 365 palveluja, kuten Teams, Exchange, SharePoint ja OneDrive
  • Office sovelluksia, kuten Word, Excel ja PowerPoint
  • Windows 10, Windows 11 ja macOS (Catalina 10,15 tai uudempi) -päätepisteet
  • muut kuin Microsoftin pilvisovellukset
  • jaetut paikalliset ja paikalliset SharePoint.

DLP tunnistaa luottamuksellisia kohteita syväsisältöanalyysin avulla, ei vain yksinkertaisella tekstin tarkistuksella. Sisältö analysoidaan, jotta ensisijaiset tiedot vastaavat avainsanoja, arvioimalla säännönmukaisia lausekkeita, suorittamalla sisäisen funktion vahvistuksen ja toissijaisilla tietovastaavuilla, jotka ovat lähellä ensisijaista tietovastaavuutta. Tämän lisäksi DLP käyttää myös koneoppimisalgoritmeja ja muita menetelmiä DLP-käytäntöjäsi vastaavan sisällön tunnistamiseen.

DLP on osa suurempaa Microsoft Purview -tarjontaa

DLP on vain yksi Microsoft Purview -työkaluista, joiden avulla voit suojata arkaluonteisia kohteitasi riippumatta siitä, missä ne asuvat tai matkustavat. Muista, miten muut Microsoft Purview -työkalujen työkalut liittyvät toisiinsa ja toimivat paremmin yhdessä. Microsoft Purview -työkalujen avulla saat lisätietoja tietojen suojausprosessista.

DLP-käytäntöjen suojaavat toimet

DLP-käytännöillä valvot toimintoja, joita käyttäjät ottavat käyttöön arkaluonteisissa kohteissa levossa, arkaluonteisissa kohteissa, jotka ovat siirtymässä tai luottamuksellisia kohteita käytössä, ja suoritat suojatoimia. Kun käyttäjä esimerkiksi yrittää suorittaa kiellettyä toimintoa, kuten kopioida arkaluontoisen kohteen hyväksymättömään sijaintiin tai jakaa lääketieteellisiä tietoja sähköpostiviestissä tai muissa käytännön ehdoissa, DLP voi:

  • näytä käyttäjälle ponnahdusikkunan käytäntövihje, joka varoittaa häntä siitä, että hän saattaa yrittää jakaa arkaluontoisen kohteen sopimattomasti
  • estää jakamisen ja antaa käytäntövihjeen avulla käyttäjän ohittaa lohkon ja tallentaa käyttäjien perustelut
  • estä jakaminen ilman ohitusasetusta
  • lepäävien tietojen osalta luottamukselliset kohteet voidaan lukita ja siirtää turvalliseen karanteenisijaintiin
  • luottamuksellisia tietoja ei näytetä Teams keskustelussa

Kaikki valvotut DLP-toiminnot tallennetaan oletusarvoisesti valvontalokin Microsoft 365 ja reititetään Toimintojen hallintaan. Kun käyttäjä suorittaa toiminnon, joka täyttää DLP-käytännön ehdot ja sinulla on määritettyjä ilmoituksia, DLP antaa ilmoituksia DLP-ilmoitusten hallinnan koontinäytössä.

DLP-elinkaari

DLP-toteutus noudattaa yleensä näitä tärkeimpiä vaiheita.

DLP-suunnitelma

DLP-valvonta ja -suojaus ovat alkuperäisiä sovelluksille, joita käyttäjät käyttävät päivittäin. Tämä auttaa suojaamaan organisaatiosi arkaluontoisia kohteita riskialttiilta toiminnalta, vaikka käyttäjät eivät olisi tottuneet tietojen menetyksen estämisen ajatteluun ja käytäntöihin. Jos organisaatiosi ja käyttäjäsi ovat uusia tietojen menetyksen estämiskäytännöissä, DLP:n käyttöönotto voi edellyttää muutoksia liiketoimintaprosesseihisi ja käyttäjillesi tapahtuu kulttuurisi muutos. Asianmukaisella suunnittelulla, testauksella ja säätämisellä DLP-käytäntösi kuitenkin suojaavat arkaluonteisia kohteitasi ja minimoivat mahdolliset liiketoimintaprosessien häiriöt.

DLP:n teknologian suunnittelu

Muista, että DLP:n tekniikkana voi valvoa ja suojata levossa säilytettävien tietojen, Microsoft 365 palveluiden, Windows 10, Windows 11- ja macOS-laitteiden (Catalina 10.15 tai uudempi) tietoja, paikallisia tiedostojakoja ja paikallisia SharePoint. Suunnittelu vaikuttaa eri sijainteihin, valvottavan ja suojattavan tiedon tyyppiin sekä käytäntövastaavuustilanteessa toteutettaviin toimiin.

DLP:n liiketoimintaprosessien suunnittelu

DLP-käytännöt voivat estää kiellettyjä toimintoja, kuten luottamuksellisten tietojen sopimattoman jakamisen sähköpostitse. Kun suunnittelet DLP-käytäntöjä, sinun on tunnistettava liiketoimintaprosessit, jotka koskettavat arkaluonteisia kohteitasi. Liiketoimintaprosessin omistajat voivat auttaa sinua tunnistamaan soveltuvat käyttäjätoiminnot, jotka tulisi sallia ja joiden käyttötapa tulisi suojata. Suunnittele käytäntösi ja ota ne käyttöön testitilassa ja arvioi niiden vaikutus ensin toimintojen hallinnan kautta, ennen kuin otat ne käyttöön rajoittavammissa tiloissa.

DLP:n organisaatiokulttuurin suunnittelu

Onnistunut DLP-toteutus riippuu yhtä paljon siitä, miten käyttäjiäsi koulutetaan ja tottuu tietojen menetyksen estämisen käytäntöihin, kuin hyvin suunnitelluista ja hienosäädetyistä käytännöistä. Koska käyttäjäsi ovat vahvasti mukana, muista myös suunnitella heille koulutusta. Voit käyttää strategisesti käytäntövihjeitä lisätäksesi tietoisuutta käyttäjiesi kanssa ennen kuin muutat käytännön täytäntöönpanoa testitilasta rajoittavampiin tiloihin.

Valmistautuminen DLP:hen

Voit käyttää DLP-käytäntöjä levossa lepäävät tiedot, käytössä olevat tiedot ja liikkeessä olevat tiedot sijainneissa, kuten:

  • Exchange Online sähköposti
  • SharePoint Online-sivustot
  • OneDrive tiliä
  • Teams keskustelu- ja kanavaviestejä
  • Microsoft Cloud App Security
  • Windows 10-, Windows 11- ja macOS-laitteet (Catalina 10.15 tai uudempi)
  • Paikalliset säilöt
  • PowerBI -sivustot

Kullakin on erilaiset edellytys. Arkaluontoisia kohteita joissakin sijainneissa, kuten Exchange verkossa, voidaan tuoda DLP-sateenvarjon alle vain määrittämällä niihin sovellettava käytäntö. Muut, kuten paikalliset tiedostosäilöt, edellyttävät Azure Information Protection (AIP) -skannerin käyttöönottoa. Sinun on valmisteltava ympäristösi, koodattava luonnoskäytännöt ja testattava ne perusteellisesti ennen estävien toimintojen aktivointia.

Käytäntöjen käyttöönotto tuotannossa

Käytäntöjen suunnitteleminen

Aloita määrittämällä ohjausobjektin tavoitteet ja se, miten niitä käytetään kussakin kuormituksessa. Laadi käytäntö, joka ilmentää tavoitteitasi. Voit aloittaa yhdellä kuormituksella kerrallaan tai kaikilla kuormitoilla – tällä ei ole vielä vaikutusta.

Käytännön toteuttaminen testitilassa

Arvioi ohjausobjektien vaikutusta ottamalla ne käyttöön DLP-käytännön avulla testitilassa. Käytäntöä voi soveltaa kaikkiin testitilan kuormitusten kanssa, jotta saat koko tulokset, mutta voit aloittaa yhdellä kuormituksella tarvittaessa.

Seuraa tuloksia ja hienosäädä käytäntöä

Kun olet testitilassa, valvo käytännön tuloksia ja hienosäädä sitä niin, että se täyttää hallintatavoitteesi, ja varmista samalla, ettet vaikuta haitallisesti tai tahattomasti kelvollisiin käyttäjän työnkulkuihin ja tuottavuuteen. Seuraavassa on joitakin esimerkkejä hienosäädettämisestä:

  • sijaintien ja henkilöiden/paikkojen säätäminen, jotka ovat laajuudeltaan tai sen ulkopuolelle
  • virittää ehtoja ja poikkeuksia, joita käytetään määrittämään, vastaako kohde ja mitä sillä tehdään käytännön kanssa
  • luottamuksellisten tietojen määrityksiä
  • toiminnot
  • rajoitusten taso
  • lisää uusia ohjausobjekteja
  • lisää uusia henkilöitä
  • lisää uusia rajoitettuja sovelluksia
  • lisää uusia rajoitettuja sivustoja

Ohjausobjektin ottaminen käyttöön ja käytäntöjen hienosäätäminen

Kun käytäntö täyttää kaikki tavoitteesi, ota se käyttöön. Jatka käytäntösovelluksen tulosten seuraamista ja virittämistä tarvittaessa.

Huomautus

Yleensä käytännöt tulevat voimaan noin tunti sen jälkeen, kun ne on otettu käyttöön.

DLP-käytännön määritysten yleiskatsaus

DLP-käytäntöjen luominen ja määrittäminen on joustavaa. Voit aloittaa esimääritetystä mallista ja luoda käytännön muutamalla napsautuksella tai voit suunnitella oman mallin alusta alkaen. Riippumatta siitä, mitä valitset, kaikki DLP-käytännöt vaativat sinulta samat tiedot.

  1. Valitse valvottava vaihtoehto : DLP sisältää useita esimääritettyjä käytäntömalleja, joiden avulla pääset alkuun tai voit luoda mukautetun käytännön.
    • Ennalta määritetty käytäntömalli: taloustiedot, lääketieteelliset ja kuntotiedot, kaikki eri maiden ja alueiden tietosuojatiedot.
    • Mukautettu käytäntö, joka käyttää käytettävissä olevia luottamuksellisia tietotyyppejä, säilytystunnisteita ja luottamuksellisuustunnisteita.
  2. Valitse, missä haluat valvoa : Valitse vähintään yksi sijainti, jota haluat DLP:n valvovan arkaluonteisten tietojen osalta. Voit valvoa:
Sijainti sisällytä tai jätä pois
Exchange sähköposti Jakeluryhmiä
SharePoint sivustot Sivustoja
OneDrive tiliä tilit tai jakeluryhmät
Teams keskustelu- ja kanavaviestejä tili tai jakeluryhmä
Windows 10-, Windows 11- ja macOS-laitteet (Catalina 10.15 tai uudempi) käyttäjä tai ryhmä
Microsoft Cloud App Security Esiintymän
Paikalliset säilöt säilön tiedostopolku
  1. Valitse ehdot, jotka on täytettävä, jotta käytäntö voidaan ottaa käyttöön kohteessa . Voit hyväksyä ennalta määritetyt ehdot tai määrittää mukautetut ehdot. Esimerkkejä ovat:
  • kohde sisältää tietyntyyppisen luottamuksellisen tiedon, jota käytetään tietyssä kontekstissa. Esimerkiksi 95 sosiaaliturvatunnusta lähetetään sähköpostitse organisaatiosi ulkopuoliselle vastaanottajalle.
  • kohteella on määritetty luottamuksellisuustunniste
  • luottamuksellisia tietoja sisältävä kohde jaetaan joko sisäisesti tai ulkoisesti
  1. Valitse toiminto, joka suoritetaan, kun käytäntöehdot täyttyvät . Toiminnot riippuvat sijainnista, jossa toiminto tapahtuu. Esimerkkejä ovat:
  • SharePoint/Exchange/OneDrive: Estä organisaatiosi ulkopuolisia käyttäjiä käyttämästä sisältöä. Näytä käyttäjälle vihje ja lähetä hänelle sähköposti-ilmoitus siitä, että hän tekee DLP-käytännön kieltämän toiminnon.
  • Teams keskustelulle ja kanavalle: Estä luottamuksellisten tietojen jakaminen keskustelussa tai kanavassa
  • Windows 10, Windows 11 ja macOS (Catalina 10.15 tai uudempi) Laitteet: Valvo tai rajoita arkaluontoisen kohteen kopioimista poistettavaan USB-laitteeseen
  • Office Sovellukset: Näytä ponnahdusikkuna, joka ilmoittaa käyttäjälle, että hän käyttää riskialtista toimintaa, ja estä tai estä, mutta salli ohitus.
  • Paikalliset jaetut tiedostot: siirrä tiedosto karanteenikansioon, johon se on tallennettu

Huomautus

Ehdot ja suoritettavat toiminnot määritetään objektissa, jota kutsutaan säännöksi.

Kun olet luonut DLP-käytännön yhteensopivuuskeskuksessa, se tallennetaan keskitettyyn käytäntösäilöön ja synkronoidaan sitten eri sisältölähteisiin, kuten:

  • Exchange Online sieltä Outlookin verkkoversio ja Outlook.
  • OneDrive for Business sivustot.
  • SharePoint Online-sivustot.
  • Office työpöytäohjelmia (Excel, PowerPoint ja Word).
  • Microsoft Teams kanavia ja keskusteluviestejä.

Kun käytäntö on synkronoitu oikeisiin sijainteihin, se alkaa arvioida sisältöä ja pakottaa toimintoja.

Käytäntösovelluksen tulosten tarkasteleminen

DLP raportoi Microsoft Purview'hin valtavan määrän tietoja valvonnasta, käytäntövastaavuista ja toiminnoista sekä käyttäjien toiminnoista. Sinun on käytettävä näitä tietoja ja toimittava niiden mukaan, jotta voit hienosäätää arkaluontoisissa kohteissa toteutettuja käytäntöjä ja triage-toimintoja. Telemetriatiedot siirtyvät ensin Microsoft Purview -yhteensopivuusportaalin valvontalokeihin , käsitellään ja ne siirtyvät eri raportointityökaluihin. Kullakin raportointityökalulla on eri tarkoitus.

DLP-ilmoitusten koontinäyttö

Kun DLP suorittaa toiminnon arkaluontoisessa kohteessa, voit saada ilmoituksen tästä määritettävissä olevan ilmoituksen kautta. Sen sijaan, että nämä hälytykset kasaantuvat postilaatikkoon, jonka läpi voit seuloa, yhteensopivuuskeskus tuo ne saataville DLP-ilmoitusten hallinnan koontinäyttöön. DLP-ilmoitusten koontinäytön avulla voit määrittää hälytyksiä, tarkastella niitä, käsitellä niitä ja seurata DLP-ilmoitusten tarkkuutta. Tässä on esimerkki ilmoituksista, jotka on luotu Windows 10 laitteiden käytäntövastaavuuksista ja toiminnoista.

Ilmoituksen tiedot.

Voit myös tarkastella liittyvän tapahtuman tietoja monipuolisilla metatiedoilla samassa koontinäytössä

tapahtuman tiedot.

Raportit

DLP-raportit näyttävät laajoja trendejä ajan kuluessa ja antavat erityisiä merkityksellisiä tietoja seuraavista:

  • DLP-käytännön vastaavuudet ajan kuluessa ja suodattaminen päivämääräalueen, sijainnin, käytännön tai toiminnon mukaan
  • DLP-tapausvastaavuudet näyttävät myös vastaavuudet ajan kuluessa, mutta pivotoivat kohteet käytäntösääntöjen sijaan.
  • DLP false -positiiviset ja -ohitukset näyttävät epätosipositiivisten positiivisten määrä ja, jos ne on määritetty, käyttäjän kumoamiset sekä käyttäjän perustelut.

DLP Activity Explorer

DLP-sivun Toimintojen hallinta -välilehdessä toimintasuodatin on valmiiksi määritetty DLPRuleMatch-arvoksi. Tämän työkalun avulla voit tarkastella toimintoja, jotka liittyvät luottamuksellisia tietoja sisältävään sisältöön tai joissa on käytössä otsikoita, kuten mitä otsikoita on muutettu, tiedostoja on muokattu ja ne vastaavat sääntöä.

näyttökuva DLPRuleMatch-alueen toiminnanhallinnasta.

Lisätietoja on artikkelissa Toimintojen hallinnan käytön aloittaminen

Lisätietoja Microsoft Purview DLP:stä on seuraavissa aiheissa:

Lisätietoja tietosuojamääräysten noudattamisesta tietojen menetyksen estämisen avulla on artikkelissa Tietosuojamääräysten käyttöönotto Microsoft Purview'ssa (aka.ms/m365dataprivacy).

Käyttöoikeudet ja tilaukset

Lisätietoja DLP:tä tukevista tilauksista on Information Protection käyttöoikeusvaatimuksissa.