DLP-házirend létrehozása, tesztelése és finomhangolása

  • Cikk
  • 5 perc alatt elolvasható

Microsoft Purview adatveszteség-megelőzés (DLP) segít megelőzni a bizalmas adatok véletlen vagy véletlen megosztását.

A DLP megvizsgálja az e-mail-üzeneteket és a fájlokat, hogy bizalmas információkat, például hitelkártyaszámot keres-e. A DLP használatával észlelheti a bizalmas adatokat, és elvégezheti az alábbi műveleteket:

  • Naplózza az eseményt naplózási célból
  • Figyelmeztetés megjelenítése az e-mailt küldő vagy a fájlt megmegosztó végfelhasználónak
  • Az e-mailek vagy fájlmegosztások aktív letiltása

Engedélyek

A megfelelőségi csapat azon tagjainak, akik DLP-szabályzatokat hoznak létre, engedélyekkel kell rendelkeznie a Megfelelőségi központhoz. Alapértelmezés szerint a bérlői rendszergazda hozzáféréssel rendelkezik, és hozzáférést adhat a megfelelőségi tisztviselőknek és más személyeknek. Hajtsa végre az alábbi lépéseket:

  1. Hozzon létre egy csoportot a Microsoft 365-ben, és adjon hozzá megfelelőségi tisztviselőket.

  2. Hozzon létre egy szerepkörcsoportot a Microsoft Purview megfelelőségi portál Engedélyek lapján.

  3. A szerepkörcsoport létrehozásakor a Szerepkörök kiválasztása szakaszban adja hozzá a következő szerepkört a szerepkörcsoporthoz: DLP-megfelelőségkezelés.

  4. A Tagok kiválasztása szakaszban adja hozzá a korábban létrehozott Microsoft 365-csoportot a szerepkörcsoporthoz.

A csak megtekintési jogosultságokkal rendelkező DLP-megfelelőségkezelési szerepkörrel létrehozhatja a DLP-szabályzatokhoz és DLP-jelentésekhez csak megtekintési jogosultságokkal rendelkező szerepkörcsoportot.

További információ: Hozzáférés biztosítása a felhasználóknak a Office 365 Megfelelőségi központhoz.

Ezekre az engedélyekre azért van szükség, hogy DLP-szabályzatokat hozzon létre és alkalmazzon, hogy ne kényszerítse a szabályzatokat.

Szerepkörök és szerepkörcsoportok előzetes verzióban

Előzetes verzióban vannak olyan szerepkörök és szerepkörcsoportok, amelyeket tesztelhet a hozzáférés-vezérlés finomhangolásához.

Íme az előzetes verzióban elérhető szerepkörök listája. További információ ezekről: Szerepkörök a Biztonsági & Megfelelőségi központban

  • Information Protection Rendszergazda
  • Information Protection Analyst
  • Information Protection nyomozó
  • Information Protection Olvasó

Íme az előzetes verzióban elérhető szerepkörcsoportok listája. További információ: Szerepkörcsoportok a Biztonsági & megfelelőségi központban

  • Information Protection
  • Information Protection rendszergazdák
  • Information Protection elemzők
  • Information Protection nyomozók
  • Information Protection olvasók

Hogyan észleli a DLP a bizalmas adatokat?

A DLP a reguláris kifejezés (RegEx) mintaegyeztetéssel megkeresi a bizalmas információkat, más mutatókkal együtt, például bizonyos kulcsszavak közelsége az egyező mintákhoz. Egy VISA hitelkártyaszám például 16 számjegyből áll. Ezek a számjegyek azonban különböző módokon írhatók, például 1111-1111-1111-1111, 1111 1111 1111 1111 vagy 1111111111111111.

Bármely 16 jegyű sztring nem feltétlenül hitelkártyaszám, lehet egy segélyszolgálati rendszer jegyszáma vagy egy hardver sorozatszáma. Egy hitelkártyaszám és egy ártalmatlan 16 jegyű sztring közötti különbség megállapításához számítást (ellenőrzőösszeget) kell végezni annak ellenőrzésére, hogy a számok megfelelnek-e a különböző hitelkártyamárkák ismert mintájának.

Ha a DLP olyan kulcsszavakat talál, mint a "VISA" vagy az "AMEX", a hitelkártya lejárati dátumához közeli dátumértékek, a DLP ezen adatok alapján dönti el, hogy a sztring hitelkártyaszám-e vagy sem.

Más szóval a DLP elég okos ahhoz, hogy felismerje a különbséget a két szöveges sztring között egy e-mailben:

  • "Rendeljen nekem egy új laptopot? Használja a VISA szám 1111-1111-1111-1111, lejárati 11/22, és küldje el nekem a becsült szállítási dátumot, ha van."
  • "A laptop sorozatszáma 2222-2222-2222-2222, és 2010.11.11-én vásárolták. By the way, van-e még jóváhagyva az utazási vízumom?"

Lásd a bizalmas információtípus entitásdefinícióit , amelyek ismertetik az egyes adattípusok észlelésének módját.

Hol érdemes kezdeni az adatveszteség-megelőzéssel?

Ha az adatszivárgás kockázatai nem teljesen nyilvánvalóak, nehéz kitalálni, hogy pontosan hol érdemes kezdeni a DLP implementálását. Szerencsére a DLP-szabályzatok "tesztelési módban" is futtathatók, így a bekapcsolásuk előtt felmérheti azok hatékonyságát és pontosságát.

A Exchange Online DLP-szabályzatai az Exchange Felügyeleti központban kezelhetők. A DLP-szabályzatokat azonban az Microsoft Purview megfelelőségi portál keresztül konfigurálhatja az összes számítási feladathoz, így ebben a cikkben ezt fogom használni a bemutatókhoz. A Microsoft Purview megfelelőségi portál a DLP-szabályzatokat az Adatveszteség-megelőzési > szabályzat területen találja. A kezdéshez válassza a Szabályzat létrehozása lehetőséget.

A Microsoft 365 számos DLP-szabályzatsablont biztosít, amelyek segítségével szabályzatokat hozhat létre. Tegyük fel, hogy ausztrál üzlet vagy. Szűrheti a sablonokat Ausztráliában, és kiválaszthatja a Pénzügyi, orvosi és egészségügyi, valamint az Adatvédelem lehetőséget.

Lehetőség az ország vagy régió kiválasztására.

Ehhez a bemutatóhoz ausztrál személyazonosításra alkalmas adatokat (PII) választok, amelyek tartalmazzák az ausztrál adófájlszám (TFN) és a jogosítványszám adattípusait.

A szabályzatsablon kiválasztásának lehetősége.

Nevezze el az új DLP-szabályzatot. Az alapértelmezett név megegyezik a DLP-házirendsablonnal, de válasszon egy leíróbb nevet, mert több házirend is létrehozható ugyanabból a sablonból.

Lehetőség a szabályzat elnevezésére.

Válassza ki azokat a helyeket, amelyekre a szabályzat vonatkozni fog. A DLP-házirendek Exchange Online, SharePoint Online és OneDrive Vállalati verzió is alkalmazhatók. Ezt a szabályzatot úgy fogom konfigurálni, hogy minden helyre vonatkozzon.

Lehetőség az összes hely kiválasztására.

Az első Házirend-beállítások lépésnél csak fogadja el az alapértelmezett beállításokat. Testre szabhatja a DLP-szabályzatokat, de az alapértelmezett beállításokat érdemes elkezdeni.

A védelemmel ellátni kívánt tartalomtípus testreszabásának beállításai.

A Tovább gombra kattintva** megjelenik egy további Házirend-beállítások lap, amelyen további testreszabási lehetőségek jelennek meg. Az éppen tesztelt szabályzatok esetében itt kezdhet hozzá néhány módosításhoz.

  • Egyelőre kikapcsoltam a szabályzattippeket, ami ésszerű lépés, ha csak teszteli a dolgokat, és még nem szeretne semmit megjeleníteni a felhasználóknak. A házirendtippek figyelmeztetéseket jelenítenek meg a felhasználóknak arról, hogy megsértenek egy DLP-szabályzatot. Egy Outlook-felhasználó például figyelmeztetést kap arról, hogy a csatolt fájl hitelkártyaszámokat tartalmaz, és az e-mail-címét elutasítja. A szabályzattippek célja a nem megfelelő viselkedés leállítása, mielőtt ez bekövetkezik.
  • A példányok számát is 10-ről 1-re csökkentettem, így ez a szabályzat észlelni fogja az ausztrál PII-adatok megosztását, nem csak az adatok tömeges megosztását.
  • Egy másik címzettet is hozzáadtam az incidensjelentés e-mail-címéhez.

További szabályzatbeállítások.

Végül úgy konfiguráltam ezt a szabályzatot, hogy kezdetben tesztelési módban fusson. Figyelje meg, hogy tesztelési módban is letilthatja a szabályzattippeket. Így rugalmasan engedélyezheti a szabályzattippeket a szabályzatban, de eldöntheti, hogy a tesztelés során megjelenjenek-e vagy sem.

Lehetőség a szabályzat kipróbálására.

Az utolsó felülvizsgálati képernyőn kattintson a Létrehozás gombra a szabályzat létrehozásának befejezéséhez.

DLP-szabályzat tesztelése

Ülhet, és megvárhatja, amíg a szabályzatot a normál felhasználói tevékenység aktiválja, vagy megpróbálhatja saját maga aktiválni. Korábban bizalmas információtípusú entitásdefiníciókhoz kapcsolódtam, amelyek tájékoztatást nyújtanak a DLP-egyezések aktiválásáról.

Például a cikkhez létrehozott DLP-szabályzat észleli az ausztrál adófájlszámokat (TFN). A dokumentáció szerint az egyezés az alábbi feltételeken alapul.

Az ausztráliai adófájlszám dokumentációja.

A TFN-észlelés meglehetősen tompa szemléltetéséhez az "Adószám" és egy közelben lévő kilencjegyű sztring problémamentesen halad át egy e-mailben. Azért nem aktiválja a DLP-szabályzatot, mert a kilenc számjegyből álló sztringnek át kell adnia az ellenőrzőösszeget, amely azt jelzi, hogy érvényes TFN, és nem csak ártalmatlan számokból álló sztring.

Ausztrália adószáma, amely nem felel meg ellenőrzőösszegnek.

Ezzel szemben a szabályzatot egy "Adófájlszám" szavakkal ellátott e-mail és egy érvényes TFN aktiválja, amely megfelel az ellenőrzőösszegnek. A rekord itt, a TFN-t használom származik egy honlap, amely érvényes, de nem eredeti, TFN-eket. Az ilyen webhelyek azért hasznosak, mert a DLP-szabályzatok tesztelésének egyik leggyakoribb hibája egy hamis szám használata, amely nem érvényes, és nem adja át az ellenőrzőösszeget (ezért nem aktiválja a szabályzatot).

Az ellenőrzőösszeget átadó ausztráliai adószám.

Az incidensjelentés e-mail-címe tartalmazza az észlelt bizalmas információk típusát, az észlelt példányok számát és az észlelés megbízhatósági szintjét.

Incidensjelentés az észlelt adófájlszámmal.

Ha a DLP-szabályzatot teszt módban hagyja, és elemzi az incidensjelentési e-maileket, elkezdheti átlátni a DLP-szabályzat pontosságát, és azt, hogy milyen hatékony lesz a kényszerítéskor. Az incidensjelentéseken kívül a DLP-jelentésekkel összesített nézetet is megtekinthet a bérlői szabályzatok egyezéseiről.

DLP-szabályzat hangolása

A szabályzattal kapcsolatos találatok elemzése során érdemes lehet módosítani a szabályzatok viselkedését. Egyszerű példaként megállapíthatja, hogy egy E-mailben szereplő TFN nem jelent problémát (azt hiszem, ez még mindig így van, de menjünk vele a bemutató kedvéért), de két vagy több példány problémát jelent. Több példány is lehet egy kockázatos forgatókönyv, például egy alkalmazott, aki egy CSV-exportálást küld e-mailben a HR-adatbázisból egy külső félnek, például egy külső könyvelési szolgáltatásnak. Határozottan olyasmi, amit inkább észlelni és blokkolni szeretne.

A Megfelelőségi központban szerkesztheti a meglévő szabályzatokat a viselkedés módosításához.

A házirend szerkesztésének lehetősége.

Módosíthatja a helybeállításokat, hogy a szabályzat csak bizonyos számítási feladatokra, illetve adott webhelyekre és fiókokra legyen alkalmazva.

Adott helyek kiválasztására vonatkozó lehetőségek.

Módosíthatja a házirend-beállításokat, és az igényeinek megfelelően szerkesztheti a szabályokat.

A szabály szerkesztésének lehetősége.

Egy DLP-házirendben lévő szabály szerkesztésekor az alábbiakat módosíthatja:

  • A feltételek, beleértve a szabályt aktiváló bizalmas adatok típusát és számát.
  • A végrehajtott műveletek, például a tartalomhoz való hozzáférés korlátozása.
  • Felhasználói értesítések, amelyek házirendtippek, amelyek az e-mail ügyfélprogramban vagy a webböngészőben jelennek meg a felhasználó számára.
  • A felhasználói felülbírálások határozzák meg, hogy a felhasználók mégis folytathatják-e az e-mail- vagy fájlmegosztást.
  • Incidensjelentések a rendszergazdák értesítéséhez.

A szabály részeinek szerkesztési lehetőségei.

Ebben a bemutatóban hozzáadtam a felhasználói értesítéseket a szabályzathoz (legyen óvatos, ha ezt megfelelő felhasználói tudatosság képzés nélkül teszi), és lehetővé tette a felhasználók számára, hogy felülbírálják a szabályzatot egy üzleti indoklással vagy hamis pozitívként megjelölve. Testre is szabhatja az e-mail és a házirendtipp szövegét, ha további információkat szeretne megadni a szervezet házirendjéről, vagy ha kérdése van, kérje meg a felhasználókat, hogy lépjenek kapcsolatba az ügyfélszolgálattal.

Felhasználói értesítések és felülbírálások beállításai.

A szabályzat két szabályt tartalmaz a nagy és az alacsony kötet kezelésére, ezért mindenképpen szerkessze mindkettőt a kívánt műveletekkel. Ez egy lehetőség arra, hogy az eseteket a jellemzőiktől függően eltérő módon kezeljük. Engedélyezheti például az alacsony kötetsértések felülbírálásait, de a nagy mennyiségű szabálysértések felülbírálását nem.

Egy szabály a nagy kötethez, egy szabály pedig az alacsony kötethez.

Emellett ha ténylegesen le szeretné tiltani vagy korlátozni szeretné a szabályzatot sértő tartalomhoz való hozzáférést, konfigurálnia kell egy műveletet a szabályon ehhez.

Lehetőség a tartalomhoz való hozzáférés korlátozására.

Miután mentette ezeket a módosításokat a házirend-beállításokat, vissza kell térnem a szabályzat fő beállítási oldalára, és engedélyezni kell a szabályzattippek megjelenítését a felhasználóknak, miközben a szabályzat tesztelési módban van. Ez egy hatékony módja annak, hogy DLP-szabályzatokat vezessen be a végfelhasználók számára, és felhasználói tudatossági képzést végezhessenek anélkül, hogy túl sok, a hatékonyságukat befolyásoló téves riasztást kockáztatna.

Lehetőség a szabályzattippek tesztelési módban való megjelenítésére.

A kiszolgálóoldalon (vagy ha szeretné, felhőoldalon) előfordulhat, hogy a módosítás a különböző feldolgozási időközök miatt nem lép azonnal érvénybe. Ha olyan DLP-házirendmódosítást hajt végre, amely új házirendtippeket jelenít meg egy felhasználónak, előfordulhat, hogy a felhasználó nem látja azonnal a módosításokat az Outlook-ügyfélprogramban, amely 24 óránként ellenőrzi a szabályzat módosításait. Ha szeretné felgyorsítani a tesztelést, ezzel a beállításjegyzékbeli javítással törölheti az utolsó letöltési időbélyeget a PolicyNudges kulcsból. Az Outlook a következő újraindításkor letölti a legújabb házirendadatokat, és elkezdi e-mail-üzenet írását.

Ha engedélyezve vannak a szabályzattippek, a felhasználó látni fogja a tippeket az Outlookban, és hamis pozitívakat jelenthet önnek, amikor azok előfordulnak.

Szabályzattipp hamis pozitív jelentésére szolgáló beállítással.

Hamis pozitívok vizsgálata

A DLP-szabályzatsablonok nem tökéletesek közvetlenül a dobozból. Valószínű, hogy téves riasztásokat fog tapasztalni a környezetében, ezért olyan fontos, hogy megkönnyítse a DLP üzembe helyezését, időt vesz igénybe a szabályzatok megfelelő teszteléséhez és finomhangolásához.

Íme egy példa hamis pozitívra. Ez az e-mail ártalmatlan. A felhasználó megadja valakinek a mobiltelefonszámát, beleértve az e-mail-aláírását is.

Hamis pozitív információkat tartalmazó e-mail.

A felhasználó azonban egy házirendtippet lát, amely arra figyelmezteti, hogy az e-mail bizalmas információkat tartalmaz, konkrétan egy ausztrál jogosítványszámot.

Lehetőség a vakriasztás jelentésére a szabályzattippben.

A felhasználó jelentheti a hamis pozitív értéket, és a rendszergazda megvizsgálhatja, hogy miért történt. Az incidensjelentés e-mailjében az e-mail hamis pozitívként van megjelölve.

Téves pozitív eredményt mutató incidensjelentés.

Ez a jogosítványos eset jó példa a feltárásra. Ennek a téves pozitív eredménynek az az oka, hogy az "Australian Driver's License" típust bármely 9 jegyű sztring aktiválja (még egy 10 jegyű sztring részét képező is), 300 karakteren belül a "Sydney nsw" kulcsszavak közelében (a kis- és nagybetűk megkülönböztetése nélkül). Tehát a telefonszám és az e-mail aláírás aktiválja, csak azért, mert a felhasználó történetesen Sydney-ben van.

Az egyik lehetőség az ausztrál illesztőprogram licencinformációs típusának eltávolítása a szabályzatból. Azért van benne, mert a DLP-szabályzatsablon része, de nem kell használnunk. Ha csak az adószámok érdeklik, és nem a jogosítványok, egyszerűen eltávolíthatja. Eltávolíthatja például a házirend alacsony kötetre vonatkozó szabályából, de a nagy mennyiségű szabályban hagyhatja, így a rendszer továbbra is észleli a több illesztőprogram-licenc listáját.

Egy másik lehetőség a példányok számának növelése, hogy a rendszer csak akkor észlelje az illesztőprogram-licencek alacsony mennyiségét, ha több példány van.

Lehetőség a példányszám szerkesztésére.

A példányok számának módosítása mellett az egyezés pontosságát (vagy megbízhatósági szintjét) is módosíthatja. Ha a bizalmas információtípus több mintával rendelkezik, módosíthatja a szabályban az egyezés pontosságát, hogy a szabály csak bizonyos mintákkal egyezzen. A téves riasztások számának csökkentése érdekében például beállíthatja a szabály egyezésének pontosságát, hogy az csak a legmagasabb megbízhatósági szintű mintával egyezzen meg. A megbízhatósági szintekkel kapcsolatos további információkért lásd: Hogyan hangolhatja a szabályokat a megbízhatósági szint használatával.

Végül, ha még ennél is fejlettebbet szeretne, testre szabhat bármilyen bizalmas adattípust – például eltávolíthatja a "Sydney NSW" elemet az ausztráliai jogosítványszám kulcsszavainak listájából, hogy kiküszöbölje a fentebb aktivált téves riasztásokat. Ha szeretné megtudni, hogyan teheti meg ezt XML és PowerShell használatával, tekintse meg egy beépített bizalmas információtípus testreszabását.

DLP-szabályzat bekapcsolása

Ha elégedett azzal, hogy a DLP-szabályzat pontosan és hatékonyan észleli a bizalmas információtípusokat, és hogy a végfelhasználók készen állnak a érvényben lévő szabályzatok kezelésére, engedélyezheti a szabályzatot.

A szabályzat bekapcsolásának lehetősége.

Ha arra vár, hogy lássa, mikor lép érvénybe a szabályzat, csatlakozzon a Security & Compliance PowerShellhez , és futtassa a Get-DlpCompliancePolicy parancsmagot a DistributionStatus megtekintéséhez.

Get-DlpCompliancePolicy "Testing -Australia PII" -DistributionDetail | Select distributionstatus

A DLP-szabályzat bekapcsolása után saját teszteket kell futtatnia, hogy meggyőződjön arról, hogy a várt szabályzatműveletek történnek. Ha olyan dolgokat próbál tesztelni, mint a hitelkártyaadatok, vannak online webhelyek, amelyek információkat tartalmaznak arról, hogyan hozhat létre hitelkártyamintát vagy egyéb személyes adatokat, amelyek ellenőrzőösszegeket adnak át, és aktiválják a szabályzatokat.

A felhasználói felülbírálásokat engedélyező szabályzatok ezt a beállítást a házirendtipp részeként jelenítik meg a felhasználónak.

Házirendtipp, amely lehetővé teszi a felhasználók felülbírálását.

A tartalmat korlátozó szabályzatok a házirendtipp részeként jelenítik meg a figyelmeztetést a felhasználónak, és megakadályozzák az e-mailek küldését.

Házirendtipp a tartalom korlátozására.

Összefoglalás

Az adatveszteség-megelőzési szabályzatok minden típusú szervezet számára hasznosak. Egyes DLP-szabályzatok tesztelése alacsony kockázatú gyakorlat, mivel a szabályzattippek, a végfelhasználói felülbírálások és az incidensjelentések felett van szabályozás. Nyugodtan tesztelhet néhány DLP-szabályzatot, hogy lássa, milyen típusú szabálysértések történnek már a szervezetben, majd alacsony téves pozitív arányú szabályzatokat hozhat létre, tájékoztathatja a felhasználókat arról, hogy mi engedélyezett és mit nem, majd bevezetheti a DLP-szabályzatokat a szervezet számára.