Adatveszteség-megelőzési referencia
Fontos
Ez a referenciatémakör már nem a Microsoft Purview adatveszteség-megelőzés (DLP) információinak fő erőforrása. A DLP-tartalomkészlet frissítése és átstrukturálása folyamatban van. A cikkben tárgyalt témakörök új, frissített cikkekre térnek át. A DLP-vel kapcsolatos további információkért lásd az adatveszteség-megelőzést ismertető témakört.
Megjegyzés
Az adatveszteség-megelőzési képességeket nemrég adták hozzá a Microsoft Teams csevegési és csatornaüzeneteihez a Office 365 Speciális megfelelőség licenccel rendelkező felhasználók számára, amely önálló lehetőségként érhető el, és a Office 365 E5 csomag és a Microsoft 365 Megfelelőség E5 csomag. A licencelési követelményekkel kapcsolatos további információkért lásd a Microsoft 365 Tenant-Level Services licencelési útmutatóját.
DLP-szabályzatok létrehozása és kezelése
A DLP-szabályzatokat a Microsoft Purview megfelelőségi portál adatveszteség-megelőzési oldalán hozhatja létre és kezelheti.
A szabályok finomhangolása, hogy egyszerűbbé vagy nehezebbé tegyék az egyezést
Miután a felhasználók létrehozták és bekapcsolták a DLP-szabályzataikat, néha az alábbi problémákba ütköznek:
A túl sok tartalom, amely nem bizalmas információ, megfelel a szabályoknak – vagyis túl sok téves pozitív.
Túl kevés bizalmas információ egyezik a szabályokkal. Más szóval a védelmi intézkedéseket nem kényszerítik ki a bizalmas információkra.
A problémák megoldásához úgy hangolhatja a szabályokat, hogy módosítja a példányok számát és a pontosságot, hogy a tartalom nehezebben vagy könnyebben illeszkedjen a szabályokhoz. A szabályban használt bizalmas információtípusok példányszámuk és egyezési pontosságuk is van.
Példányok száma
A példányszám egyszerűen azt jelenti, hogy egy adott típusú bizalmas információnak hány előfordulása kell, hogy legyen, hogy a tartalom megfeleljen a szabálynak. A tartalom például megfelel az alább látható szabálynak, ha 1 és 9 közötti egyedi Egyesült Államok vagy Egyesült Királyság között van. útlevélszámokat azonosítottak.
Megjegyzés
A példányszám csak a bizalmas információtípusok és kulcsszavak egyedi egyezéseit tartalmazza. Ha például egy e-mail ugyanannak a hitelkártyaszámnak 10 előfordulását tartalmazza, akkor a 10 előfordulás egy hitelkártyaszám egyetlen példányának számít.
Ha a példányszám használatával szeretné hangolni a szabályokat, az útmutatás egyszerű:
A szabály könnyebb egyeztetéséhez csökkentse a minimális számot, és/vagy növelje a maximális számot. A maximális értéket bármelyikre beállíthatja a numerikus érték törlésével.
A szabály nehezebben megfeleltethetővé tétele érdekében növelje a minimális számot.
Általában kevésbé korlátozó műveleteket használ, például felhasználói értesítéseket küld egy alacsonyabb példányszámú szabályban (például 1–9). Korlátozóbb műveleteket is alkalmazhat, például a tartalomhoz való hozzáférés korlátozását felhasználói felülbírálások engedélyezése nélkül egy magasabb példányszámú szabályban (például 10-bármely).
Egyezés pontossága
A fentiekben leírtak szerint a bizalmas információtípusokat különböző típusú bizonyítékok kombinációjával definiálják és észlelik. A bizalmas információtípusokat általában több ilyen kombináció, úgynevezett mintázat határozza meg. A kevesebb bizonyítékot igénylő minták alacsonyabb egyezés-pontosságot (vagy megbízhatósági szintet) igényelnek, míg a több bizonyítékot igénylő minták nagyobb egyezés-pontosságot (vagy megbízhatósági szintet) igényelnek. Az egyes bizalmas információtípusok által használt tényleges mintákról és megbízhatósági szintekről további információt a Bizalmas információtípus entitásdefiníciói című témakörben talál.
A Hitelkártyaszám nevű bizalmas adattípust például két minta határozza meg:
65%-os megbízhatósággal rendelkező minta, amelyhez a következők szükségesek:
Hitelkártyaszám formátumú szám.
Egy szám, amely megfelel az ellenőrzőösszegnek.
85%-os megbízhatósággal rendelkező minta, amelyhez a következők szükségesek:
Hitelkártyaszám formátumú szám.
Egy szám, amely megfelel az ellenőrzőösszegnek.
Kulcsszó vagy lejárati dátum a megfelelő formátumban.
Ezeket a megbízhatósági szinteket (vagy a pontosságot) a szabályokban használhatja. Általában kevésbé korlátozó műveleteket használ, például felhasználói értesítéseket küld egy alacsonyabb egyezési pontosságú szabályban. Emellett szigorúbb műveleteket is alkalmazhat, például a tartalomhoz való hozzáférés korlátozását felhasználói felülbírálások engedélyezése nélkül, egy nagyobb egyezési pontosságú szabályban.
Fontos tisztában lenni azzal, hogy ha egy tartalomban meghatározott típusú bizalmas információ, például hitelkártyaszám van azonosítva, csak egyetlen megbízhatósági szintet ad vissza:
Ha az összes egyezés egyetlen mintához tartozik, a rendszer az adott minta megbízhatósági szintjét adja vissza.
Ha több mintához is tartoznak egyezések (azaz két különböző megbízhatósági szinttel rendelkező egyezések vannak), akkor a rendszer az egyetlen minta bármelyikénél magasabb megbízhatósági szintet ad vissza. Ez a trükkös rész. Hitelkártya esetén például, ha a 65%-os és a 85%-os mintázat is megfelel, az adott bizalmas adattípus megbízhatósági szintje nagyobb, mint 90%, mert több bizonyíték nagyobb megbízhatóságot jelent.
Tehát ha két egymást kölcsönösen kizáró szabályt szeretne létrehozni a hitelkártyákhoz, egyet a 65%-os egyezés pontosságához, egyet pedig a 85%-os találati pontossághoz, a találati pontosság tartományai így néznek ki. Az első szabály csak a 65%-os minta egyezéseit veszi fel. A második szabály legalább egy 85%-os egyezéssel veszi fel az egyezéseket, és potenciálisan más alacsonyabb megbízhatósági egyezésekkel is rendelkezhet .
Ezen okokból a különböző egyezési pontosságú szabályok létrehozásának útmutatója a következő:
A legalacsonyabb megbízhatósági szint általában ugyanazt az értéket használja a minimális és a maximális értékhez (nem tartományhoz).
A legmagasabb megbízhatósági szint általában az alacsonyabb megbízhatósági szint fölötti szinttől a 100-ig terjedő tartomány.
A megbízhatósági szintek közötti kapcsolatok általában az alacsonyabb megbízhatósági szint felett és a magasabb megbízhatósági szint alatt mozognak.
Adatmegőrzési címke használata feltételként egy DLP-szabályzatban
Ha egy korábban létrehozott és közzétett adatmegőrzési címkét használ feltételként egy DLP-szabályzatban, néhány dolgot érdemes figyelembe vennie:
A megőrzési címkét létre kell hozni és közzé kell tenni, mielőtt a DLP-házirendben feltételként használná.
A közzétett adatmegőrzési címkék szinkronizálása egy-hét napot is igénybe vehet. További információ: Mikor válnak elérhetővé a megőrzési címkék az adatmegőrzési házirendben közzétett adatmegőrzési címkékre való alkalmazáshoz, illetve hogy mennyi ideig tart, amíg az adatmegőrzési címkék érvénybe lépnek az automatikusan közzétett adatmegőrzési címkék esetében.
Az adatmegőrzési címke használata házirendben csak a SharePointban és a OneDrive-on lévő elemek esetében támogatott.
Adatmegőrzési címkét akkor érdemes használni egy DLP-házirendben, ha olyan elemeket tartalmaz, amelyek megőrzési és törlési feltételek alá tartoznak, és más vezérlőket is szeretne alkalmazni rájuk, például:
- Közzétett egy 2018-as adóév nevű adatmegőrzési címkét, amely 2018-ban a SharePointban tárolt adózási dokumentumokra alkalmazva 10 évig megőrzi őket, majd eltávolítja őket. Azt sem szeretné, hogy ezek az elemek a szervezeten kívül legyenek megosztva, ami DLP-szabályzattal is elvégezhető.
Fontos
Ez a hibaüzenet akkor jelenik meg, ha egy DLP-házirendben feltételként ad meg egy adatmegőrzési címkét, és az Exchange-et és/vagy a Teamst is helyként adja meg: "A címkézett tartalom védelme az e-mailekben és a Teams-üzenetekben nem támogatott. Távolítsa el az alábbi címkét, vagy kapcsolja ki az Exchange-et és a Teamst helyként." Ennek az az oka, hogy az Exchange-átvitel nem értékeli ki a címke metaadatait az üzenetek elküldése és kézbesítése során.
Bizalmassági címke használata feltételként egy DLP-szabályzatban
További információ a bizalmassági címke feltételeként való használatáról a DLP-szabályzatokban.
Hogyan kapcsolódik ez a funkció más funkciókhoz?
A bizalmas információkat tartalmazó tartalmakra számos funkció alkalmazható:
Az adatmegőrzési címke és az adatmegőrzési házirend egyaránt kényszerítheti a tartalomra vonatkozó adatmegőrzési műveleteket.
A DLP-szabályzatok védelmi műveleteket kényszeríthetnek ki ezen a tartalomon. A műveletek kényszerítése előtt a DLP-szabályzatok a címkét tartalmazó tartalom mellett más feltételek teljesülését is megkövetelhetik.
Vegye figyelembe, hogy a DLP-házirendek részletesebb észlelési képességekkel rendelkeznek, mint a bizalmas adatokra alkalmazott címke- vagy adatmegőrzési házirend. A DLP-házirendek kényszeríthetik a bizalmas információkat tartalmazó tartalomra vonatkozó védelmi műveleteket, és ha a bizalmas információkat eltávolítják a tartalomból, a rendszer a tartalom következő vizsgálatakor visszavonja ezeket a védelmi műveleteket. Ha azonban bizalmas adatokat tartalmazó tartalomra alkalmaz adatmegőrzési házirendet vagy címkét, az egyszeri művelet nem vonható vissza, még akkor sem, ha a bizalmas adatokat eltávolítják.
Ha egy címkét feltételként használ egy DLP-szabályzatban, az ezzel a címkével ellátott tartalomra vonatkozó adatmegőrzési és védelmi műveleteket is kényszerítheti. A címkét tartalmazó tartalom pontosan úgy képzelhető el, mint a bizalmas információkat tartalmazó tartalom – a címke és a bizalmas információtípus is olyan tulajdonság, amely a tartalom osztályozására szolgál, így kényszerítheti az adott tartalommal kapcsolatos műveleteket.
Egyszerű beállítások és speciális beállítások
DLP-szabályzat létrehozásakor egyszerű vagy speciális beállítások közül választhat:
Az egyszerű beállítások megkönnyítik a DLP-szabályzatok leggyakoribb típusának létrehozását anélkül, hogy a szabályszerkesztővel szabályokat hoznánk létre vagy módosítanánk.
A speciális beállítások a szabályszerkesztővel teljes körű vezérlést biztosítanak a DLP-szabályzat minden beállítása felett.
Ne aggódjon, a háttérben az egyszerű beállítások és a speciális beállítások pontosan ugyanúgy működnek, ha feltételekből és műveletekből álló szabályokat kényszerít ki – csak az egyszerű beállításokkal nem jelenik meg a szabályszerkesztő. Ez egy gyors módja egy DLP-szabályzat létrehozásának.
Egyszerű beállítások
Messze a leggyakoribb DLP-forgatókönyv egy olyan szabályzat létrehozása, amely segít megvédeni a bizalmas információkat tartalmazó tartalmakat a szervezeten kívüli személyekkel való megosztástól, és automatikus javítási műveletet hajt végre, például korlátozza, hogy ki férhet hozzá a tartalomhoz, végfelhasználói vagy rendszergazdai értesítéseket küldhet, és naplózhatja az eseményt későbbi vizsgálat céljából. A felhasználók DLP használatával megakadályozzák a bizalmas információk véletlen felfedését.
A cél elérésének egyszerűsítése érdekében egy DLP-szabályzat létrehozásakor választhatja az Egyszerű beállítások használata lehetőséget. Ezek a beállítások mindent megadnak, amire szüksége van a leggyakoribb DLP-szabályzat implementálásához anélkül, hogy be kellene lépnie a szabályszerkesztőbe.
Speciális beállítások
Ha testre szabottabb DLP-szabályzatokat kell létrehoznia, válassza a Speciális beállítások használata lehetőséget.
A speciális beállítások bemutatják a szabályszerkesztőt, ahol teljes körűen szabályozhatja az összes lehetséges beállítást, beleértve a példányszámot és az egyezés pontosságát (megbízhatósági szint) az egyes szabályokhoz.
Ha gyorsan szeretne egy szakaszra ugorni, kattintson a szabályszerkesztő felső navigációs sávjának egyik elemére az alábbi szakaszra ugráshoz.
DLP-szabályzatsablonok
A DLP-szabályzatok létrehozásának első lépése a védeni kívánt információk kiválasztása. A DLP-sablonnal kezdve az alapoktól mentheti egy új szabálykészlet létrehozásának munkáját, és megtudhatja, hogy alapértelmezés szerint milyen típusú információkat kell tartalmaznia. Ezután hozzáadhatja vagy módosíthatja ezeket a követelményeket, hogy finomhangolja a szabályt a szervezet egyedi követelményeinek megfelelően.
Az előre konfigurált DLP-házirendsablonok segítségével észlelheti a bizalmas adatok bizonyos típusait, például a HIPAA-adatokat, a PCI-DSS-adatokat, a Gramm-Leach-Bliley Act-adatokat vagy akár a területi beállításokra jellemző személyazonosításra alkalmas adatokat (P.I.). A microsoft 365-ben található szabályzatsablonok már tartalmazzák az első lépésekhez szükséges leggyakoribb bizalmas információtípusokat, hogy könnyebben megtalálhassa és megvédhesse a bizalmas adatok gyakori típusait.
Előfordulhat, hogy a szervezetnek saját konkrét követelményei is vannak, ebben az esetben az Egyéni házirend lehetőség kiválasztásával teljesen új DLP-szabályzatot hozhat létre. Az egyéni szabályzat üres, és nem tartalmaz előre elkészített szabályokat.
DLP-jelentések
Miután létrehozta és bekapcsolta a DLP-szabályzatokat, ellenőriznie kell, hogy a kívánt módon működnek-e, és segítenek a megfelelőség megőrzésében. A DLP-jelentésekben gyorsan megtekintheti a DLP-szabályzatok és szabály egyezések számát az idő múlásával, valamint a téves pozitív és felülbírálások számát. Minden jelentéshez szűrheti az egyezéseket hely, időkeret szerint, és akár egy adott szabályzatra, szabályra vagy műveletre is szűkítheti.
A DLP-jelentésekkel üzleti megállapításokat kaphat, és a következőkkel:
Összpontosítson adott időszakokra, és ismerje meg a kiugró csúcsok és trendek okait.
Megismerheti azokat az üzleti folyamatokat, amelyek sértik a szervezet megfelelőségi szabályzatait.
A DLP-szabályzatok üzleti hatásainak megismerése.
Emellett a DLP-jelentések használatával finomhangolhatja a DLP-szabályzatokat a futtatásuk során.
A DLP-szabályzatok működése
A DLP mély tartalomelemzéssel észleli a bizalmas információkat (nem csak egy egyszerű szöveges vizsgálattal). Ez a részletes tartalomelemzés kulcsszó-egyezéseket, szótár-egyezéseket, reguláris kifejezések kiértékelését, belső függvényeket és más módszereket használ a DLP-szabályzatoknak megfelelő tartalom észleléséhez. Lehetséges, hogy az adatoknak csak egy kis százaléka számít bizalmasnak. A DLP-szabályzatok képesek azonosítani, monitorozni és automatikusan védeni csak az adatokat anélkül, hogy akadályoznák vagy befolyásolnák a többi tartalommal dolgozó személyeket.
A szabályzatok szinkronizálva vannak
Miután létrehozott egy DLP-házirendet a Microsoft Purview megfelelőségi portál, az egy központi házirendtárolóban lesz tárolva, majd szinkronizálva lesz a különböző tartalomforrásokkal, például:
Exchange Online, és onnan a Webes Outlook és az Outlook.
OneDrive Vállalati verzió webhelyeket.
SharePoint Online-webhelyek.
Asztali Office-programok (Excel, PowerPoint és Word).
Microsoft Teams-csatornák és csevegőüzenetek.
Miután a szabályzatot a megfelelő helyekre szinkronizálta, megkezdi a tartalom kiértékelését és a műveletek kikényszerítését.
Szabályzatértékelés OneDrive Vállalati verzió és SharePoint Online-webhelyeken
Az összes SharePoint Online-webhelyen és OneDrive Vállalati verzió webhelyen a dokumentumok folyamatosan változnak – folyamatosan jönnek létre, szerkesztik, osztják meg és így tovább. Ez azt jelenti, hogy a dokumentumok bármikor ütközhetnek egy DLP-szabályzattal, vagy megfelelővé válhatnak. Például egy személy feltölthet egy olyan dokumentumot, amely nem tartalmaz bizalmas információkat a csoportwebhelyre, de később egy másik személy szerkesztheti ugyanazt a dokumentumot, és bizalmas információkat adhat hozzá.
Ezért a DLP-szabályzatok gyakran ellenőrzik a dokumentumokban, hogy a szabályzatok megegyeznek-e a háttérben. Ezt aszinkron szabályzatértékelésnek tekintheti.
Működése
Amikor a felhasználók dokumentumokat adnak hozzá vagy módosítanak a webhelyükön, a keresőmotor megvizsgálja a tartalmat, hogy később rákereshess rá. Amíg ez történik, a tartalom bizalmas információkat is megvizsgál, és ellenőrzi, hogy meg van-e osztva. A talált bizalmas információkat a rendszer biztonságosan tárolja a keresési indexben, hogy csak a megfelelőségi csapat férhessen hozzá, de a tipikus felhasználókhoz nem. Minden bekapcsolt DLP-szabályzat a háttérben fut (aszinkron módon), gyakran ellenőrzi a szabályzatnak megfelelő tartalmak keresését, és műveleteket alkalmaz a véletlen szivárgások elleni védelemre.
Végül a dokumentumok ütközhetnek egy DLP-szabályzattal, de a DLP-házirendnek is megfelelővé válhatnak. Ha például egy személy hitelkártyaszámokat ad hozzá egy dokumentumhoz, előfordulhat, hogy egy DLP-szabályzat automatikusan letiltja a dokumentumhoz való hozzáférést. Ha azonban a személy később eltávolítja a bizalmas adatokat, a művelet (ebben az esetben a blokkolás) automatikusan vissza lesz vonva a dokumentum következő kiértékelésekor a házirend alapján.
A DLP kiértékeli az indexelhető tartalmakat. A bejárt fájltípusokról további információt a SharePoint Server alapértelmezett bejárt fájlnévkiterjesztései és elemzett fájltípusai című témakörben talál.
Megjegyzés
Ha meg szeretné akadályozni a dokumentumok megosztását, mielőtt a DLP-házirendek elemezni tudnák azokat, a SharePointban az új fájlok megosztása letiltható a tartalom indexeléséig. A részletes információkért lásd: Új fájlok megjelölése alapértelmezés szerint bizalmasként .
Szabályzatértékelés Exchange Online, Outlook és Webes Outlook
Ha olyan DLP-házirendet hoz létre, amely Exchange Online tartalmaz helyként, a házirend szinkronizálva lesz a Microsoft Purview megfelelőségi portál és a Exchange Online között, majd a Exchange Online Webes Outlook és az Outlook.
Amikor egy üzenet meg van osztva az Outlookban, a felhasználó szabályzattippeket láthat a létrehozott tartalom DLP-szabályzatok alapján történő kiértékelésekor. Az üzenetek elküldése után a rendszer a DLP-házirendeket az e-mail-forgalom normál részeként értékeli ki, valamint az Exchange Felügyeleti központban létrehozott Exchange-levelezési szabályokat (más néven átviteli szabályokat) és DLP-házirendeket. A DLP-szabályzatok az üzenetet és a mellékleteket is ellenőrzik.
Szabályzatértékelés az asztali Office-programokban
Az Excel, a PowerPoint és a Word ugyanazt a képességet biztosítja a bizalmas adatok azonosítására és a DLP-házirendek alkalmazására, mint a SharePoint Online és a OneDrive Vállalati verzió. Ezek az Office-programok közvetlenül a központi házirendtárból szinkronizálják a DLP-házirendeket, majd folyamatosan értékelik a tartalmat a DLP-házirendek alapján, amikor a felhasználók egy DLP-házirendben szereplő webhelyről megnyitott dokumentumokkal dolgoznak.
A DLP-szabályzatok kiértékelése az Office-ban úgy lett kialakítva, hogy ne befolyásolja a programok teljesítményét vagy a tartalommal dolgozó felhasználók hatékonyságát. Ha nagy méretű dokumentumon dolgoznak, vagy a felhasználó számítógépe foglalt, eltarthat néhány másodpercig, amíg megjelenik egy házirendtipp.
Szabályzatértékelés a Microsoft Teamsben
Ha olyan DLP-szabályzatot hoz létre, amely a Microsoft Teamst tartalmazza helyként, a szabályzat szinkronizálva lesz a Microsoft Purview megfelelőségi portál a felhasználói fiókokba, a Microsoft Teams-csatornákba és csevegőüzenetekbe. A DLP-szabályzatok konfigurálásának módjától függően, amikor valaki bizalmas adatokat próbál megosztani egy Microsoft Teams-csevegésben vagy -csatornán, az üzenet letiltható vagy visszavonható. A bizalmas adatokat tartalmazó és a vendégekkel (külső felhasználókkal) megosztott dokumentumok pedig nem nyílnak meg az adott felhasználók számára. További információ: Adatveszteség-megelőzés és Microsoft Teams.
Engedélyek
Alapértelmezés szerint a globális rendszergazdák, a biztonsági rendszergazdák és a megfelelőségi rendszergazdák hozzáféréssel rendelkeznek egy DLP-szabályzat létrehozásához és alkalmazásához. A megfelelőségi csapat más tagjainak, akik DLP-szabályzatokat fognak létrehozni, engedélyekre van szükségük a Microsoft Purview megfelelőségi portál. Alapértelmezés szerint a bérlői rendszergazda hozzáfér ehhez a helyhez, és hozzáférést adhat a megfelelőségi tisztviselőknek és más személyeknek a Microsoft Purview megfelelőségi portál anélkül, hogy minden engedélyt megadna nekik egy bérlői rendszergazda számára. Ehhez a következőket javasoljuk:
Hozzon létre egy csoportot a Microsoft 365-ben, és adjon hozzá megfelelőségi tisztviselőket.
Hozzon létre egy szerepkörcsoportot a Microsoft Purview megfelelőségi portál Engedélyek lapján.
A szerepkörcsoport létrehozásakor a Szerepkörök kiválasztása szakaszban adja hozzá a következő szerepkört a szerepkörcsoporthoz: DLP-megfelelőség kezelése.
A Tagok kiválasztása szakaszban adja hozzá a korábban létrehozott Microsoft 365-csoportot a szerepkörcsoporthoz.
Létrehozhat egy szerepkörcsoportot is, amely csak megtekintési jogosultságokkal rendelkezik a DLP-szabályzatokhoz és a DLP-jelentésekhez a csak megtekintési jogosultsággal rendelkező DLP-megfelelőségkezelési szerepkör megadásával.
További információ: Hozzáférés biztosítása a felhasználóknak a Office 365 Megfelelőségi központhoz.
Ezek az engedélyek csak DLP-szabályzat létrehozásához és alkalmazásához szükségesek. A szabályzatkényszerítés nem igényel hozzáférést a tartalomhoz.
A DLP-parancsmagok megkeresése
A Microsoft Purview megfelelőségi portál legtöbb parancsmagjának használatához a következőkre van szükség:
Használja az alábbi szabályzat- és megfelelőségi dlp-parancsmagok bármelyikét.
A DLP-jelentéseknek azonban le kell kérnie az adatokat a Microsoft 365-ből, beleértve a Exchange Online. Ezért a DLP-jelentések parancsmagjai Exchange Online PowerShellben érhetők el – nem Microsoft Purview megfelelőségi portál PowerShellben. Ezért a DLP-jelentések parancsmagjainak használatához a következőkre van szükség:
Használja az alábbi parancsmagok bármelyikét a DLP-jelentésekhez: