Preventie van gegevensverlies van eindpunten gebruikenUsing Endpoint data loss prevention

In dit artikel worden drie scenario's beschreven waarin u een DLP-beleid maakt en wijzigt waarin apparaten als locatie worden gebruikt.This article walks you through three scenarios where you create and modify a DLP policy that uses devices as a location.

DLP-instellingenDLP settings

Voordat u begint, moet u de DLP-instellingen instellen die worden toegepast op alle DLP-beleidsregels voor apparaten.Before you get started you should set up your DLP settings which are applied to all DLP policies for devices. U moet deze configureren als u beleid wilt maken dat het volgende afdwingt:You must configure these if you intend to create policies that enforce:

  • cloud-uitgangsbeperkingencloud egress restrictions
  • Beperkingen voor niet-verschuldigde appsunallowed apps restrictions

OfOr

  • Als u bestandspaden met veel ruis wilt uitsluiten van de controleIf you want to exclude noisy file paths from monitoring

    DLP-instellingenDLP settings

BestandspaduitsluitingenFile path exclusions

Mogelijk wilt u bepaalde paden uitsluiten van DLP-controle, DLP-waarschuwingen en DLP-beleid afdwingen op uw apparaten, omdat deze te veel worden gebruikt of geen bestanden bevatten waarin u geïnteresseerd bent.You may want to exclude certain paths from DLP monitoring, DLP alerting, and DLP policy enforcement on your devices because they are too noisy or don’t contain files you are interested in. Bestanden op deze locaties worden niet gecontroleerd en bestanden die op deze locaties zijn gemaakt of gewijzigd, kunnen niet worden afdwingen met DLP-beleid.Files in those locations will not be audited and any files that are created or modified in those locations will not be subject to DLP policy enforcement. U kunt uitsluitingen voor pad in DLP-instellingen configureren.You can configure path exclusions in DLP settings.

U kunt deze logica gebruiken om uw uitsluitingspaden te maken:You can use this logic to construct your exclusion paths:

  • Geldig bestandspad dat eindigt op '', wat betekent enkel bestanden die direct onder die map vallen.Valid file path that ends with ‘\’, which means only files directly under folder.
    Bijvoorbeeld C:\TempFor example: C:\Temp\

  • Geldig bestandspad dat eindigt op '*', wat betekent enkel bestanden onder submappen, alsook bestanden die direct onder die map vallen.Valid file path that ends with ‘*’, which means only files under sub-folders, besides the files directly under the folder.
    Bijvoorbeeld C:\Temp*For example: C:\Temp*

  • Geldig bestandspad dat niet eindigt op ''of '*', wat betekent enkel bestanden die direct onder die map en alle submappen vallen.Valid file path that ends without ‘\’ or ‘*’, which means all files directly under folder and all sub-folders.
    Bijvoorbeeld C:\TempFor example: C:\Temp

  • Een pad met een jokerteken tussen '' aan beide kanten.A path with wildcard between ‘\’ from each side.
    Bijvoorbeeld: C:\Gebruikers*\DesktopFor example: C:\Users*\Desktop\

  • Een pad met een jokerteken tussen '' aan beide kanten en met '(getal)' om het exacte aantal submappen op te geven.A path with wildcard between ‘\’ from each side and with ‘(number)’ to give exact number of subfolders.
    Bijvoorbeeld: C:\Gebruikers*(1)\DownloadsFor example: C:\Users*(1)\Downloads\

  • Een pad met omgevingsvariabelen voor SYSTEEM.A path with SYSTEM environment variables.
    Bijvoorbeeld: %SystemDrive%\Test*For example: %SystemDrive%\Test*

  • Een combinatie van alle bovenstaande.A mix of all the above.
    Bijvoorbeeld: %SystemDrive%\Users*\Documents*(2)\SubFor example: %SystemDrive%\Users*\Documents*(2)\Sub\

Niet-toegestane appsUnallowed apps

Wanneer de beleidsinstelling Toegang door niet-toegestane apps en browsers is ingeschakeld en gebruikers proberen deze apps te gebruiken om toegang te krijgen tot een beveiligd bestand, wordt de activiteit toegestaan, geblokkeerd of geblokkeerd, maar kunnen gebruikers de beperking opheffen.When a policy's Access by unallowed apps and browsers setting is turned on and users attempt to use these apps to access a protected file, the activity will be allowed, blocked, or blocked but users can override the restriction. Alle activiteiten worden gecontroleerd en kunnen worden bekeken in activiteitenverkenner.All activity is audited and available to review in activity explorer.

Belangrijk

Neem het pad naar het uitvoerbare bestand niet op, maar alleen de uitvoerbare naam (zoals browser.exe).Do not include the path to the executable, but only the executable name (such as browser.exe).

Niet-toegestane Bluetooth-appsUnallowed Bluetooth apps

Voorkom dat personen bestanden die zijn beveiligd op basis van uw beleid, overbrengen via specifieke Bluetooth-apps.Prevent people from transferring files protected by your policies via specific Bluetooth apps.

Browser- en domeinbeperkingenBrowser and domain restrictions

Beperken dat vertrouwelijke bestanden die overeenkomen met uw beleid, worden gedeeld met beperkte cloudservicedomeinen.Restrict sensitive files that match your policies from being shared with unrestricted cloud service domains.

ServicedomeinenService domains

U kunt bepalen of vertrouwelijke bestanden die door uw beleid zijn beveiligd, vanuit Microsoft Edge kunnen worden geüpload naar specifieke servicedomeinen.You can control whether sensitive files protected by your policies can be uploaded to specific service domains from Microsoft Edge.

Als de lijstmodus is ingesteld op Blokkeren, kan de gebruiker geen vertrouwelijke items uploaden naar die domeinen.If the list mode is set to Block, then user will not be able to upload sensitive items to those domains. Wanneer een uploadactie wordt geblokkeerd omdat een item overeenkomt met een DLP-beleid, genereert DLP een waarschuwing of blokkeert u de upload van het gevoelige item.When an upload action is blocked because an item matches a DLP policy, DLP will either generate a warning or block the upload of the sensitive item.

Als de lijstmodus is ingesteld op Toestaan, kunnen gebruikers gevoelige items enkel uploaden naar deze domeinen en is uploaden naar alle andere domeinen niet toegestaan.If the list mode is set to Allow, then users will be able to upload sensitive items only to those domains, and upload access to all other domains is not allowed.

Belangrijk

Wanneer de servicebeperkingsmodus is ingesteld op Toestaan, moet er ten minste één servicedomein zijn geconfigureerd voordat de beperkingen worden afgedwongen.When the service restriction mode is set to "Allow", you must have at least one service domain configured before restrictions are enforced.

Niet-toegestane browsersUnallowed browsers

U voegt browsers toe die zijn geïdentificeerd met de uitvoerbare namen, en die worden geblokkeerd voor toegang tot bestanden die voldoen aan de voorwaarden van een afgedwongen DLP-beleid waarbij de beperking voor het uploaden naar cloudservices is ingesteld op blokkeren of blokkering overschrijven.You add browsers, identified by their executable names, that will be blocked from accessing files that match the conditions of an enforced a DLP policy where the upload to cloud services restriction is set to block or block override. Wanneer deze browsers geen toegang meer hebben tot een bestand, krijgen de eindgebruikers een pop-upmelding te zien waarin ze worden gevraagd het bestand te openen via Edge Chromium.When these browsers are blocked from accessing a file, the end users will see a toast notification asking them to open the file through Edge Chromium.

Zakelijke redenen in beleidstipsBusiness justification in policy tips

U kunt bepalen hoe gebruikers werken met de optie voor zakelijke rechtvaardigingsopties in meldingen van DLP-beleidstips.You can control how users interact with the business justification option in DLP policy tip notifications. Deze optie wordt weergegeven wanneer gebruikers een activiteit uitvoeren die is beveiligd door de instelling Blokkeren met overschrijven in een DLP-beleid.This option appears when users perform an activity that's protected by the Block with override setting in a DLP policy. U kunt een van de volgende opties kiezen:You can choose from one the following options:

  • Gebruikers kunnen standaard een ingebouwde reden kiezen of hun eigen tekst invoeren.By default, users can select either a built-in justification, or enter their own text.
  • Gebruikers kunnen alleen een ingebouwde reden selecteren.Users can only select a built-in justification.
  • Gebruikers kunnen alleen hun eigen reden invoeren.Users can only enter their own justification.

Bestandsactiviteiten voor apparaten altijd controlerenAlways audit file activity for devices

Wanneer apparaten zijn geregistreerd, worden activiteiten voor Office-, PDF- en CSV-bestanden standaard automatisch gecontroleerd en beschikbaar voor beoordeling in Activiteitenverkenner.By default, when devices are onboarded, activity for Office, PDF, and CSV files is automatically audited and available for review in activity explorer. Schakel deze functie uit als u wilt dat deze activiteit alleen wordt gecontroleerd wanneer geregistreerde apparaten worden opgenomen in een actief beleid.Turn this feature off if you want this activity to be audited only when onboarded devices are included in an active policy.

Bestandsactiviteiten worden altijd gecontroleerd op geregistreerde apparaten, ongeacht of ze zijn opgenomen in een actief beleid.File activity will always be audited for onboarded devices, regardless of whether they are included in an active policy.

DLP-instellingen samenhangenTying DLP settings together

Met de webbrowser Endpoint DLP en Edge Chromium kunt u het onbedoeld delen van gevoelige items beperken tot niet-toegestane cloud-apps en -services.With Endpoint DLP and Edge Chromium Web browser, you can restrict unintentional sharing of sensitive items to unallowed cloud apps and services. Edge Chromium begrijpt wanneer een item wordt beperkt door DLP-beleid voor eindpunten en dwingt toegangsbeperkingen af.Edge Chromium understands when an item is restricted by an Endpoint DLP policy and enforces access restrictions.

Wanneer u Endpoint DLP gebruikt als locatie in een correct geconfigureerd DLP-beleid en de Edge Ium-browser, hebben de niet-verschuldigde browsers die u hebt gedefinieerd in deze instellingen geen toegang tot de gevoelige items die overeenkomen met uw DLP-beleidsbesturingselementen.When you use Endpoint DLP as a location in a properly configured DLP policy and the Edge Chromium browser, the unallowed browsers that you've defined in these settings will be prevented from accessing the sensitive items that match your DLP policy controls. In plaats daarvan worden gebruikers omgeleid voor het gebruik van Edge Chromium en Edge Chromium, vanwege het inzicht in de door DLP opgelegde beperkingen, om activiteiten te blokkeren of te beperken wanneer aan de voorwaarden in het DLP-beleid wordt voldaan.Instead, users will be redirected to use Edge Chromium and Edge Chromium, with its understanding of DLP imposed restrictions, can block or restrict activities when the conditions in the DLP policy are met.

Als u deze beperking wilt gebruiken, moet u drie belangrijke onderdelen configureren:To use this restriction you’ll need to configure three important pieces:

  1. Geef de locaties (services, domeinen en IP-adressen) op met wie u wilt voorkomen dat gevoelige items worden gedeeld.Specify the places – services, domains, IP addresses – that you want to prevent sensitive items from being shared to.

  2. Voeg de browsers toe die geen toegang hebben tot bepaalde gevoelige items wanneer er een DLP-beleidsmatch plaatsvindt.Add the browsers that aren’t allowed to access certain sensitive items when a DLP policy match occurs.

  3. Configureer DLP-beleid voor het definiëren van de soorten gevoelige items waarvoor uploaden moet worden beperkt tot deze locaties door Uploaden naar cloudservices en Access in te stellen vanuit een niet-toegestaan browser.Configure DLP policies to define the kinds of sensitive items for which upload should be restricted to these places by turning on Upload to cloud services and Access from unallowed browser.

U kunt nieuwe services, apps en beleidsregels blijven toevoegen om uw beperkingen uit te breiden en aan te passen aan uw bedrijfsbehoeften en gevoelige gegevens te beschermen.You can continue to add new services, apps, and policies to extend and augment your restrictions to meet your business needs and protect sensitive data.

Deze configuratie zorgt ervoor dat uw gegevens veilig blijven en vermijdt ook onnodige beperkingen die voorkomen dat gebruikers niet-vertrouwelijke items kunnen openen en delen.This configuration will help ensure your data remains safe while also avoiding unnecessary restrictions that prevent or restrict users from accessing and sharing non-sensitive items.

DLP-beleidsscenario's voor eindpuntenEndpoint DLP policy scenarios

Om u vertrouwd te maken met de on-premises functies van Endpoint DLP en hoe deze worden gebruikt in DLP-beleid, hebben we enkele scenario's opgesteld die u kunt volgen.To help familiarize you with Endpoint DLP features and how they surface in DLP policies, we've put together some scenarios for you to follow.

Belangrijk

Deze on-premises Endpoint DLP-scenario's zijn niet de officiële procedures voor het maken en afstemmen van DLP-beleid.These Endpoint DLP scenarios are not the official procedures for creating and tuning DLP policies. Raadpleeg de onderstaande onderwerpen wanneer u in het algemeen met DLP-beleid moet werken:Refer to the below topics when you need to work with DLP policies in general situations:

Scenario 1: Een beleid maken op basis van een sjabloon, alleen auditScenario 1: Create a policy from a template, audit only

Voor deze scenario's moeten apparaten a geïmplementeerd zijn en rapporteren in Activity Explorer.These scenarios require that you already have devices onboarded and reporting into Activity explorer. Als u nog geen onboarded apparaten hebt, gaat u naar Aan de slag met preventie van gegevensverlies in eindpunten.If you haven't onboarded devices yet, see Get started with Endpoint data loss prevention.

  1. Open de pagina Preventie van gegevensverlies.Open the Data loss prevention page.

  2. Kies Beleid maken.Choose Create policy.

  3. In dit scenario kiest u Privacy en vervolgens U.S. PII-gegevens (Persoonlijk identificeerbare informatie) en kiest u Volgende.For this scenario, choose Privacy, then U.S. Personally Identifiable Information (PII) Data and choose Next.

  4. U kunt het veld Status uitschakelen voor alle locaties, behalve Apparaten.Toggle the Status field to off for all locations except Devices. Kies Volgende.Choose Next.

  5. Accepteer de standaardinstellingen Instellingen uit de sjabloonselectie en pas deze aan en kies Volgende.Accept the default Review and customize settings from the template selection and choose Next.

  6. Accepteer de standaardacties beschermingsacties waarden en kies Volgende.Accept the default Protection actions values and choose Next.

  7. Selecteer Activiteiten controleren of beperken op Windows-apparaten en laat de acties ingesteld op Enkel audit.Select Audit or restrict activities on Windows devices and leave the actions set to Audit only. Kies Volgende.Choose Next.

  8. Accepteer de standaardinstellingen Ik deze eerst wil testen en kies Beleidstips in de testmodus weergeven.Accept the default I'd like to test it out first value and choose Show policy tips while in test mode. Kies Volgende.Choose Next.

  9. Controleer uw instellingen en kies Verzenden.Review your settings and choose Submit.

  10. Het nieuwe DLP-beleid wordt weergegeven in de beleidslijst.The new DLP policy will appear in the policy list.

  11. Controleer Activiteitenverkenner op gegevens van de bewaakte eindpunten.Check Activity explorer for data from the monitored endpoints. Stel het locatiefilter in voor apparaten en voeg het beleid toe. Filter vervolgens op de naam van het beleid om de gevolgen van dit beleid te bekijken.Set the location filter for devices and add the policy, then filter by policy name to see the impact of this policy. ZIe Aan de slag met activiteitenverkenner voor meer informatie.See, Get started with activity explorer if needed.

  12. Probeer een test te delen die inhoud bevat die de Amerikaanse PII-gegevensvoorwaarde (Persoonlijk identificeerbare informatie) activeert met iemand buiten uw organisatie. Dit activeert het beleid.Attempt to share a test that contains content that will trigger the U.S. Personally Identifiable Information (PII) Data condition with someone outside your organization. This should trigger the policy.

  13. Controleer Activiteitenverkenner op de gebeurtenis.Check Activity explorer for the event.

Scenario 2: Het bestaande beleid wijzigen, een waarschuwing instellenScenario 2: Modify the existing policy, set an alert

  1. Open de pagina Preventie van gegevensverlies.Open the Data loss prevention page.

  2. Kies het PII-gegevens (Persoonlijk identificeerbare informatie) die u hebt gemaakt in scenario 1.Choose the U.S. Personally Identifiable Information (PII) Data policy that you created in scenario 1.

  3. Kies Profiel bewerken.Choose edit policy.

  4. Ga naar de pagina Geavanceerde DLP-regels en bewerk het lage volume aan gevonden inhoud in de Verenigde Staten. Persoonlijk identificeerbare informatie.Go to the Advanced DLP rules page and edit the Low volume of content detected U.S. Personally Identifiable Inf.

  5. Scroll omlaag naar de sectie Incidentrapporten en stel Een waarschuwing verzenden naar beheerders wanneer er een regelmatch plaatsvindt in op Aan.Scroll down to the Incident reports section and set Send an alert to admins when a rule match occurs to On. E-mailwaarschuwingen worden automatisch verzonden naar de beheerder en iedereen die u toevoegt aan de lijst met geadresseerden.Email alerts will be automatically sent to the administrator and anyone else you add to the list of recipients.

    turn-on-incident-reportsturn-on-incident-reports

  6. In dit scenario kiest u Waarschuwing verzenden wanneer een activiteit overeenkomt met de regel.For the purposes of this scenario, choose Send alert every time an activity matches the rule.

  7. Selecteer Opslaan.Choose Save.

  8. Behoud alle vorige instellingen door Volgende te kiezen en vervolgens de beleidswijzigingen te Verzenden.Retain all your previous settings by choosing Next and then Submit the policy changes.

  9. Probeer een test te delen die inhoud bevat die de Amerikaanse PII-gegevensvoorwaarde (Persoonlijk identificeerbare informatie) activeert met iemand buiten uw organisatie. Dit activeert het beleid.Attempt to share a test that contains content that will trigger the U.S. Personally Identifiable Information (PII) Data condition with someone outside your organization. This should trigger the policy.

  10. Controleer Activiteitenverkenner op de gebeurtenis.Check Activity explorer for the event.

Scenario 3: Het bestaande beleid wijzigen, de actie blokkeren met toestemming om te vervangenScenario 3: Modify the existing policy, block the action with allow override

  1. Open de pagina Preventie van gegevensverlies.Open the Data loss prevention page.

  2. Kies het PII-gegevens (Persoonlijk identificeerbare informatie) die u hebt gemaakt in scenario 1.Choose the U.S. Personally Identifiable Information (PII) Data policy that you created in scenario 1.

  3. Kies Profiel bewerken.Choose edit policy.

  4. Ga naar de pagina Geavanceerde DLP-regels en bewerk het lage volume aan gevonden inhoud in de Verenigde Staten. Persoonlijk identificeerbare informatie.Go to the Advanced DLP rules page and edit the Low volume of content detected U.S. Personally Identifiable Inf.

  5. Schuif omlaag naar de sectie Activiteiten controleren of beperken op Windows-apparaat en stel voor elke activiteit de bijbehorende actie in op Blokkeren met overschrijven.Scroll down to the Audit or restrict activities on Windows device section and for each activity set the corresponding action to Block with override.

    blokkeren met actie overschrijven instellenset block with override action

  6. Selecteer Opslaan.Choose Save.

  7. Herhaal stap 4-7 voor het grote hoeveelheid inhoud die in de Verenigde Staten is gedetecteerd. Persoonlijk identificeerbare informatie.Repeat steps 4-7 for the High volume of content detected U.S. Personally Identifiable Inf.

  8. Behoud alle vorige instellingen door Volgende te kiezen en vervolgens de beleidswijzigingen te Verzenden.Retain all your previous settings by choosing Next and then Submit the policy changes.

  9. Probeer een test te delen die inhoud bevat die de Amerikaanse PII-gegevensvoorwaarde (Persoonlijk identificeerbare informatie) activeert met iemand buiten uw organisatie. Dit activeert het beleid.Attempt to share a test that contains content that will trigger the U.S. Personally Identifiable Information (PII) Data condition with someone outside your organization. This should trigger the policy.

    U ziet een pop-up zoals deze op het clientapparaat:You'll see a popup like this on the client device:

    DLP-client geblokkeerde overschrijvenmeldingendpoint dlp client blocked override notification

  10. Controleer Activiteitenverkenner op de gebeurtenis.Check Activity explorer for the event.

Zie ookSee also