Verwijzing naar preventie van gegevensverlies
Belangrijk
Dit onderwerp is niet langer de hoofdresource voor het Microsoft 365 preventie van gegevensverlies (DLP). De DLP-inhoudsset wordt bijgewerkt en geherstructureerd. De onderwerpen die in dit artikel worden besproken, worden verplaatst naar nieuwe, bijgewerkte artikelen. Zie Meer informatie over preventie van gegevensverliesvoor meer informatie over DLP.
Notitie
Mogelijkheden voor preventie van gegevensverlies zijn onlangs toegevoegd aan Microsoft Teams chat- en kanaalberichten voor gebruikers met een licentie voor Office 365 Advanced Compliance, die beschikbaar is als zelfstandige optie en is opgenomen in Office 365 E5 en Microsoft 365 E5 Compliance. Zie voor meer informatie over licentievereisten Microsoft 365 Tenant-Level Services Licensing Guidance.
DLP-beleid maken en beheren
U maakt en beheert DLP-beleid op de pagina Preventie van gegevensverlies in het Microsoft 365 Compliancecentrum.
Regels afstemmen om ze gemakkelijker of moeilijker te matchen
Nadat personen hun DLP-beleid hebben aan- en in- of uit te voeren, lopen ze soms tegen de volgende problemen aan:
Te veel inhoud die geen gevoelige informatie is, komt overeen met de regels, met andere woorden te veel fout-positieven.
Te weinig inhoud die gevoelige informatie is, komt overeen met de regels. Met andere woorden, de beschermende acties worden niet afgedwongen op de gevoelige informatie.
Als u deze problemen wilt oplossen, kunt u uw regels afstemmen door het aantal exemplaren en de nauwkeurigheid van de exemplaren aan te passen, zodat inhoud moeilijker of gemakkelijker aan de regels kan worden aangepast. Elk type gevoelige informatie dat in een regel wordt gebruikt, heeft zowel een aantal exemplaren als een overeenkomende nauwkeurigheid.
Aantal exemplaren
Aantal exemplaren betekent gewoon hoeveel exemplaren van een specifiek type gevoelige informatie aanwezig moeten zijn om de inhoud aan de regel te laten overeenkomen. Inhoud komt bijvoorbeeld overeen met de regel die hieronder wordt weergegeven als tussen 1 en 9 unieke V.S. of Vk. paspoortnummers worden geïdentificeerd.
Notitie
Het aantal exemplaren bevat alleen unieke overeenkomsten voor gevoelige informatietypen en trefwoorden. Als een e-mailbericht bijvoorbeeld 10 exemplaren van hetzelfde creditcardnummer bevat, tellen die tien exemplaren als één exemplaar van een creditcardnummer.
Als u het aantal exemplaren wilt gebruiken om regels af te stemmen, is de richtlijn eenvoudig:
Als u de regel gemakkelijker wilt matchen, verlaagt u het aantal minuten en/of verhoogt u het maximum aantal. U kunt ook max instellen op elke waarde door de numerieke waarde te verwijderen.
Als u de regel moeilijker wilt matchen, verhoogt u het aantal minuten.
Meestal gebruikt u minder beperkende acties, zoals het verzenden van gebruikersmeldingen, in een regel met een lager aantal exemplaren (bijvoorbeeld 1-9). En u gebruikt meer beperkende acties, zoals het beperken van de toegang tot inhoud zonder dat gebruikers overschrijven toestaan, in een regel met een hoger aantal exemplaren (bijvoorbeeld 10-any).
Nauwkeurigheid overeenkomen
Zoals hierboven beschreven, wordt een type gevoelige informatie gedefinieerd en gedetecteerd met behulp van een combinatie van verschillende typen bewijs. Meestal wordt een type gevoelige informatie gedefinieerd door meerdere dergelijke combinaties, patronen genoemd. Een patroon dat minder bewijs vereist, heeft een lagere nauwkeurigheid (of betrouwbaarheidsniveau), terwijl een patroon dat meer bewijs vereist, een hogere nauwkeurigheid (of betrouwbaarheidsniveau) heeft. Zie Entiteitsdefinities van het type Gevoelige informatie voor meer informatie over de werkelijke patronen en betrouwbaarheidsniveaus die door elk type gevoelige informatie worden gebruikt.
Het type gevoelige informatie met de naam Creditcardnummer wordt bijvoorbeeld gedefinieerd door twee patronen:
Een patroon met 65% vertrouwen dat vereist is:
Een getal in de notatie van een creditcardnummer.
Een getal dat de checksum passeert.
Een patroon met 85% vertrouwen dat vereist is:
Een getal in de notatie van een creditcardnummer.
Een getal dat de checksum passeert.
Een trefwoord of een vervaldatum in de juiste notatie.
U kunt deze betrouwbaarheidsniveaus (of overeenkomende nauwkeurigheid) gebruiken in uw regels. Meestal gebruikt u minder beperkende acties, zoals het verzenden van gebruikersmeldingen, in een regel met een lagere nauwkeurigheid. En u gebruikt meer beperkende acties, zoals het beperken van de toegang tot inhoud zonder dat gebruikers overschrijven toestaan, in een regel met een hogere nauwkeurigheid.
Het is belangrijk om te begrijpen dat wanneer een specifiek type gevoelige informatie, zoals een creditcardnummer, in inhoud wordt geïdentificeerd, slechts één betrouwbaarheidsniveau wordt geretourneerd:
Als alle overeenkomsten voor één patroon zijn, wordt het betrouwbaarheidsniveau voor dat patroon geretourneerd.
Als er overeenkomsten zijn voor meer dan één patroon (dat wil zeggen dat er overeenkomsten zijn met twee verschillende betrouwbaarheidsniveaus), wordt een betrouwbaarheidsniveau hoger dan een van de afzonderlijke patronen alleen geretourneerd. Dit is het lastige gedeelte. Als voor een creditcard bijvoorbeeld zowel de patronen van 65% als 85% overeenkomen, is het betrouwbaarheidsniveau dat voor dat gevoelige informatietype wordt geretourneerd, groter dan 90%, omdat meer bewijs meer vertrouwen betekent.
Als u dus twee regels wilt maken die elkaar uitsluiten voor creditcards, een voor de nauwkeurigheid van 65% en een voor de nauwkeurigheid van 85%, ziet het bereik voor de nauwkeurigheid van de overeenkomst er zo uit. De eerste regel haalt alleen overeenkomsten op van het patroon van 65%. De tweede regel haalt overeenkomsten op met ten minste één overeenkomst van 85% en kan mogelijk andere overeenkomsten met een lager vertrouwen hebben.
De richtlijnen voor het maken van regels met verschillende overeenkomstnauwkeurigheid zijn om deze redenen:
Het laagste betrouwbaarheidsniveau gebruikt meestal dezelfde waarde voor min en max (geen bereik).
Het hoogste betrouwbaarheidsniveau is meestal een bereik van net boven het lagere betrouwbaarheidsniveau tot 100.
Alle tussen betrouwbaarheidsniveaus variëren meestal van net boven het lagere betrouwbaarheidsniveau tot net onder het hogere betrouwbaarheidsniveau.
Een retentielabel gebruiken als voorwaarde in een DLP-beleid
Wanneer u een eerder gemaakt en gepubliceerd bewaarlabel gebruikt als voorwaarde in een DLP-beleid, zijn er enkele dingen waar u rekening mee moet houden:
Het bewaarlabel moet worden gemaakt en gepubliceerd voordat u het probeert te gebruiken als voorwaarde in een DLP-beleid.
Het kan één tot zeven dagen duren voordat gepubliceerde bewaarlabels worden gesynchroniseerd. Zie Wanneer bewaarlabels beschikbaar zijn om bewaarlabels toe te passen die zijn gepubliceerd in een bewaarbeleid, en Hoe lang het duurt voordat bewaarlabels van kracht worden voor bewaarlabels die automatisch worden gepubliceerd.
Het gebruik van een bewaarlabel in een beleid **wordt alleen ondersteund voor items in SharePoint en OneDrive ***.
Mogelijk wilt u een bewaarlabel gebruiken in een DLP-beleid als u items hebt die onder bewaring en dispositie staan en u ook andere besturingselementen op deze items wilt toepassen, bijvoorbeeld:
- U hebt een bewaarlabel met de naam belastingjaar 2018 gepubliceerd, dat na toepassing op belastingdocumenten uit 2018 die zijn opgeslagen in SharePoint deze 10 jaar behoudt en vervolgens wordt verwijderd. U wilt ook niet dat deze items buiten uw organisatie worden gedeeld, wat u kunt doen met een DLP-beleid.
Belangrijk
Deze fout wordt weergegeven als u een bewaarlabel opgeeft als voorwaarde in een DLP-beleid en u ook Exchange en/of Teams opgeeft als een locatie: 'Het beveiligen van gelabelde inhoud in e-mail- en teamsberichten wordt niet ondersteund. Verwijder het label hieronder of schakel Exchange en Teams als locatie uit.' Dit komt omdat Exchange tijdens het verzenden en bezorgen van berichten de metagegevens van het label niet evalueert.
Een gevoeligheidslabel gebruiken als voorwaarde in een DLP-beleid
Meer informatie over het gebruik van gevoeligheidslabels als voorwaarde in DLP-beleid.
Hoe deze functie zich verhoudt tot andere functies
Er kunnen verschillende functies worden toegepast op inhoud die gevoelige informatie bevat:
Een bewaarlabel en een bewaarbeleid kunnen beide bewaaracties voor deze inhoud afdwingen.
Met een DLP-beleid kunnen beveiligingsacties voor deze inhoud worden afgedwongen. En voordat u deze acties afdwingt, kan een DLP-beleid vereisen dat aan andere voorwaarden moet worden voldaan, naast de inhoud die een label bevat.
Houd er rekening mee dat een DLP-beleid een uitgebreidere detectiemogelijkheid heeft dan een label- of bewaarbeleid dat is toegepast op gevoelige informatie. Een DLP-beleid kan beschermende acties afdwingen voor inhoud die gevoelige informatie bevat. Als de gevoelige informatie uit de inhoud wordt verwijderd, worden deze beschermende acties ongedaan gemaakt wanneer de inhoud de volgende keer wordt gescand. Maar als een bewaarbeleid of label wordt toegepast op inhoud die gevoelige informatie bevat, is dat een een-time actie die niet ongedaan wordt gemaakt, zelfs niet als de gevoelige informatie wordt verwijderd.
Door een label te gebruiken als voorwaarde in een DLP-beleid, kunt u zowel bewaaracties als beschermingsacties afdwingen op inhoud met dat label. U kunt denken aan inhoud die een label bevat, precies zoals inhoud die gevoelige informatie bevat. Zowel een label als een type gevoelige informatie zijn eigenschappen die worden gebruikt om inhoud te classificeren, zodat u acties voor die inhoud kunt afdwingen.
Eenvoudige instellingen versus geavanceerde instellingen
Wanneer u een DLP-beleid maakt, kiest u tussen eenvoudige of geavanceerde instellingen:
Met eenvoudige instellingen kunt u eenvoudig het meest voorkomende type DLP-beleid maken zonder de regeleditor te gebruiken om regels te maken of te wijzigen.
Geavanceerde instellingen gebruiken de regeleditor om u volledige controle te geven over elke instelling voor uw DLP-beleid.
Maak u geen zorgen, onder de omslagen werken eenvoudige instellingen en geavanceerde instellingen precies hetzelfde door regels te afdwingen die bestaan uit voorwaarden en acties. Alleen met eenvoudige instellingen ziet u de regeleditor niet. Dit is een snelle manier om een DLP-beleid te maken.
Eenvoudige instellingen
Het meest voorkomende DLP-scenario is het maken van een beleid om te helpen voorkomen dat inhoud met gevoelige informatie wordt gedeeld met personen buiten uw organisatie, en een automatische herstelactie uit te voeren, zoals het beperken van wie toegang heeft tot de inhoud, het verzenden van meldingen van eindgebruikers of beheerders en het controleren van de gebeurtenis voor later onderzoek. Personen gebruiken DLP om onbedoelde openbaarmaking van gevoelige informatie te voorkomen.
Als u het bereiken van dit doel wilt vereenvoudigen, kunt u bij het maken van een DLP-beleid eenvoudige instellingen gebruiken kiezen. Deze instellingen bieden alles wat u nodig hebt om het meest voorkomende DLP-beleid te implementeren, zonder dat u naar de regeleditor hoeft te gaan.
Geavanceerde instellingen
Als u meer aangepaste DLP-beleidsregels wilt maken, kunt u Geavanceerde instellingen gebruiken kiezen.
De geavanceerde instellingen presenteren u met de regeleditor, waar u volledige controle hebt over alle mogelijke opties, inclusief het aantal exemplaren en de nauwkeurigheid (betrouwbaarheidsniveau) voor elke regel.
Als u snel naar een sectie wilt gaan, klikt u op een item in de bovenste navigatie van de regeleditor om naar die sectie hieronder te gaan.
DLP-beleidsjablonen
De eerste stap bij het maken van een DLP-beleid is het kiezen van welke informatie u wilt beveiligen. Door te beginnen met een DLP-sjabloon, kunt u het werk van het maken van een nieuwe set regels vanaf het begin opslaan en uitzoeken welke typen gegevens standaard moeten worden opgenomen. Vervolgens kunt u deze vereisten toevoegen aan of wijzigen om de regel aan te passen aan de specifieke vereisten van uw organisatie.
Een vooraf geconfigureerde DLP-beleidssjabloon kan u helpen specifieke typen gevoelige informatie te detecteren, zoals HIPAA-gegevens, PCI-DSS-gegevens, Gramm-Leach-Bliley Act-gegevens of zelfs locale-specifieke persoonsgegevens (P.I.). Om het u gemakkelijk te maken om veelvoorkomende typen gevoelige informatie te vinden en te beveiligen, bevatten de beleidssjablonen in Microsoft 365 al de meest voorkomende typen gevoelige informatie die nodig zijn om aan de slag te gaan.
Uw organisatie heeft mogelijk ook eigen specifieke vereisten, in dat geval kunt u een volledig DLP-beleid maken door de optie Aangepast beleid te kiezen. Een aangepast beleid is leeg en bevat geen vooraf gemaakte regels.
DLP-rapporten
Nadat u uw DLP-beleid hebt gemaakt en in- of uit gebruik hebt gemaakt, wilt u controleren of ze werken zoals u had bedoeld en u helpen om compatibel te blijven. Met DLP-rapporten kunt u snel het aantal DLP-beleid- en regelwedstrijden in de tijd bekijken, en het aantal onwaar positieven en overschrijven. Voor elk rapport kunt u deze overeenkomsten filteren op locatie, tijdskader en zelfs beperken tot een specifiek beleid, regel of actie.
Met de DLP-rapporten kunt u bedrijfsinzichten krijgen en:
Focus op specifieke tijdsperiodes en begrijp de redenen voor pieken en trends.
Ontdek bedrijfsprocessen die in strijd zijn met het compliancebeleid van uw organisatie.
Begrijp de zakelijke impact van het DLP-beleid.
Daarnaast kunt u de DLP-rapporten gebruiken om uw DLP-beleid aan te passen terwijl u ze uit runt.
Hoe DLP-beleid werkt
DLP detecteert gevoelige informatie met behulp van diepe inhoudsanalyse (niet alleen een eenvoudige tekstscan). In deze uitgebreide inhoudsanalyse worden trefwoorden, woordenlijsten, de evaluatie van reguliere expressies, interne functies en andere methoden gebruikt om inhoud te detecteren die overeenkomt met uw DLP-beleid. Mogelijk wordt slechts een klein percentage van uw gegevens als gevoelig beschouwd. Een DLP-beleid kan alleen die gegevens identificeren, controleren en automatisch beveiligen, zonder dat dit gevolgen heeft voor personen die met de rest van uw inhoud werken.
Beleidsregels worden gesynchroniseerd
Nadat u een DLP-beleid hebt maken in het Beveiligings compliancecentrum, wordt het opgeslagen in een centrale beleidsopslag en vervolgens gesynchroniseerd met de verschillende & inhoudsbronnen, waaronder:
Exchange Online en van daar naar webversie van Outlook en Outlook.
OneDrive voor Bedrijven sites.
SharePoint Onlinesites.
Office bureaubladprogramma's (Excel, PowerPoint en Word).
Microsoft Teams kanalen en chatberichten.
Nadat het beleid is gesynchroniseerd met de juiste locaties, wordt gestart met het evalueren van inhoud en het afdwingen van acties.
Beleidsevaluatie op OneDrive voor Bedrijven en SharePoint onlinesites
Op al uw SharePoint Online-sites en OneDrive voor Bedrijven-sites veranderen documenten voortdurend. Ze worden voortdurend gemaakt, bewerkt, gedeeld, en ga zo maar door. Dit betekent dat documenten op elk moment kunnen conflicteren met een DLP-beleid of in overeenstemming kunnen zijn met een DLP-beleid. Een persoon kan bijvoorbeeld een document uploaden dat geen gevoelige informatie bevat naar zijn of haar teamsite, maar later kan een andere persoon hetzelfde document bewerken en er gevoelige informatie aan toevoegen.
Daarom controleren DLP-beleidsregels documenten regelmatig op beleidswedstrijden op de achtergrond. U kunt dit zien als een asynchrone beleidsevaluatie.
Hoe het werkt
Wanneer personen documenten op hun sites toevoegen of wijzigen, scant de zoekmachine de inhoud, zodat u er later naar kunt zoeken. Terwijl dit gebeurt, wordt de inhoud ook gescand op gevoelige informatie en wordt gecontroleerd of deze wordt gedeeld. Alle gevoelige informatie die wordt gevonden, wordt veilig opgeslagen in de zoekindex, zodat alleen het complianceteam er toegang toe heeft, maar geen gewone gebruikers. Elk DLP-beleid dat u hebt ingeschakeld, wordt uitgevoerd op de achtergrond (asynchroon), vaak zoeken naar inhoud die overeenkomt met een beleid en acties toepassen om het te beschermen tegen onbedoelde lekken.
Ten slotte kunnen documenten conflicteren met een DLP-beleid, maar ze kunnen ook voldoen aan een DLP-beleid. Als een persoon bijvoorbeeld creditcardnummers toevoegt aan een document, kan een DLP-beleid ervoor zorgen dat de toegang tot het document automatisch wordt geblokkeerd. Maar als de persoon de gevoelige informatie later verwijdert, wordt de actie (in dit geval blokkeren) automatisch ongedaan gemaakt wanneer het document de volgende keer wordt geëvalueerd op basis van het beleid.
DLP evalueert alle inhoud die kan worden geïndexeerd. Zie Standaard verkende bestandsextensies en geparseerde bestandstypen in SharePoint Server voor meer informatie over welke bestandstypen standaard worden verkend.
Notitie
Als u wilt voorkomen dat documenten worden gedeeld voordat DLP-beleid de mogelijkheid had om ze te analyseren, kan het delen van nieuwe bestanden in SharePoint worden geblokkeerd totdat de inhoud is geïndexeerd. Zie Nieuwe bestanden standaard markeren als gevoelig voor gedetailleerde informatie.
Beleidsevaluatie in Exchange Online, Outlook en webversie van Outlook
Wanneer u een DLP-beleid maakt dat Exchange Online als locatie bevat, wordt het beleid gesynchroniseerd van het Office 365 Security Compliance Center naar Exchange Online en vervolgens van Exchange Online naar webversie van Outlook en & Outlook.
Wanneer een bericht wordt samengesteld in Outlook, kan de gebruiker beleidstips zien terwijl de inhoud die wordt gemaakt, wordt geëvalueerd op basis van DLP-beleid. Nadat een bericht is verzonden, wordt het geëvalueerd op basis van DLP-beleid als een normaal onderdeel van de e-mailstroom, samen met Exchange regels voor e-mailstroom (ook wel transportregels genoemd) en DLP-beleid dat is gemaakt in het Exchange-beheercentrum. DLP-beleid scant zowel het bericht als eventuele bijlagen.
Beleidsevaluatie in de Office bureaubladprogramma's
Excel, PowerPoint en Word bevatten dezelfde mogelijkheid om gevoelige informatie te identificeren en DLP-beleid toe te passen als SharePoint Online en OneDrive voor Bedrijven. Deze Office programma's synchroniseren hun DLP-beleid rechtstreeks vanuit de centrale beleidsopslag en evalueren vervolgens continu de inhoud tegen het DLP-beleid wanneer personen werken met documenten die zijn geopend vanaf een site die is opgenomen in een DLP-beleid.
DLP-beleidsevaluatie in Office is ontworpen om de prestaties van de programma's of de productiviteit van personen die aan inhoud werken, niet te beïnvloeden. Als ze aan een groot document werken of de computer van de gebruiker bezet is, kan het enkele seconden duren voordat een beleidstip wordt weergegeven.
Beleidsevaluatie in Microsoft Teams
Wanneer u een DLP-beleid maakt dat Microsoft Teams als locatie bevat, wordt het beleid gesynchroniseerd van het Office 365 Security Compliance Center naar gebruikersaccounts en Microsoft Teams kanalen en & chatberichten. Afhankelijk van hoe DLP-beleid is geconfigureerd, kan het bericht worden geblokkeerd of ingetrokken wanneer iemand gevoelige informatie probeert te delen in een Microsoft Teams chat- of kanaalbericht. En documenten die gevoelige informatie bevatten en die worden gedeeld met gasten (externe gebruikers) worden niet geopend voor deze gebruikers. Zie Preventie en preventie van gegevensverliesMicrosoft Teams.
Machtigingen
Globale beheerders, beveiligingsbeheerders en compliancebeheerders hebben standaard toegang tot het maken en toepassen van een DLP-beleid. Andere leden van uw complianceteam die DLP-beleidsregels maken, hebben machtigingen nodig voor het Beveiligings & compliancecentrum. Uw tenantbeheerder heeft standaard toegang tot deze locatie en kan compliancemedewerkers en andere personen toegang geven tot het Beveiligings compliancecentrum, zonder dat ze alle machtigingen van een & tenantbeheerder hebben. U wordt aangeraden het volgende te doen:
Maak een groep in Microsoft 365 en voeg compliance officers toe aan deze groep.
Maak een rollengroep op de pagina Machtigingen van het Beveiligings & compliancecentrum.
Terwijl u de rollengroep maakt, gebruikt u de sectie Rollen kiezen om de volgende rol toe te voegen aan de rollengroep: DLP Compliance Management.
Gebruik de sectie Leden kiezen om de groep Microsoft 365 die u eerder hebt gemaakt, toe te voegen aan de rollengroep.
U kunt ook een rollengroep maken met alleen-weergeven-bevoegdheden voor het DLP-beleid en DLP-rapporten door de rol Alleen-weergeven DLP-compliancebeheer toe te staan.
Zie Gebruikers toegang geven tot het Office 365 compliancecentrum voor meer informatie.
Deze machtigingen zijn alleen vereist om een DLP-beleid te maken en toe te passen. Beleidshandhaving vereist geen toegang tot de inhoud.
De DLP-cmdlets zoeken
Als u de meeste cmdlets wilt gebruiken voor het Beveiligings & compliancecentrum, moet u het volgende doen:
Gebruik een van deze policy-and-compliance-dlp-cmdlets.
DLP-rapporten moeten echter gegevens van over de Microsoft 365 halen, inclusief Exchange Online. Daarom zijn de cmdlets voor de DLP-rapporten beschikbaar in Exchange Online Powershell, niet in Security Compliance Center & Powershell. Als u de cmdlets voor de DLP-rapporten wilt gebruiken, moet u het volgende doen:
Gebruik een van deze cmdlets voor de DLP-rapporten: