Начало работы со сбором файлов, соответствующих политикам защиты от потери данных с устройств

В этой статье описаны предварительные требования и шаги по настройке для сбора доказательств для действий с файлами на устройствах, а также сведения о том, как просматривать копируемые и сохраненные элементы.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Ниже приведены общие шаги по настройке и использованию сбора доказательств для действий с файлами на устройствах.

1. Подключение устройств
2. Понимание требованийCreate управляемой учетной записи хранения Azure
3. Добавление BLOB-объекта службы хранилища Azure в учетную запись
4. Включение и настройка сбора доказательств в учетной записи хранения, управляемой корпорацией Майкрософт (предварительная версия)
5. Настройка политики защиты от потери данных
6. Предварительный просмотр доказательств

Перед началом работы

Прежде чем приступить к выполнению этих процедур, ознакомьтесь со статьей Сведения о сборе доказательств для действий с файлами на устройствах.

Лицензирование и подписки

Прежде чем приступить к использованию политик защиты от потери данных, подтвердите подписку На Microsoft 365 и все надстройки.

Сведения о лицензировании см. в статье Подписки Microsoft 365, Office 365, Enterprise Mobility + Security и Windows 11 для предприятий.

См. предварительные требования к лицензированию для Microsoft Entra ID P1 или P2, необходимых для создания пользовательского управления доступом на основе ролей (RBAC).

Разрешения

Требуются стандартные разрешения Защита от потери данных Microsoft Purview (DLP). Дополнительные сведения см. в разделе Разрешения.

Подключение устройств

Перед использованием копирования соответствующих элементов необходимо подключить устройства Windows 10/11 в Purview, см. статью Общие сведения о подключении устройств Windows в Microsoft 365.

Общие сведения о своих требованиях

Важно!

Каждый контейнер наследует разрешения учетной записи хранения, в которую он находится. Вы не можете задать разные разрешения для каждого контейнера. Если необходимо настроить разные разрешения для разных регионов, необходимо создать несколько учетных записей хранения, а не несколько контейнеров.

Перед настройкой хранилища Azure и определением этой функции для пользователей должны быть ответы на приведенный ниже вопрос.

Необходимо ли разделять элементы и доступ по ролевому или отделу?

Например, если ваша организация хочет иметь один набор администраторов или следователей событий защиты от потери данных, которые могут просматривать сохраненные файлы от руководства, и другой набор администраторов или следователей событий защиты от потери данных для сохраненных элементов из кадровых ресурсов, необходимо создать одну учетную запись хранения Azure для высшего руководства организации и другую для отдела кадров. Это гарантирует, что администраторы службы хранилища Azure или исследователи событий защиты от потери данных могут видеть только элементы, соответствующие политикам защиты от потери данных, из соответствующих групп.

Вы хотите использовать контейнеры для упорядочения сохраненных элементов?

Вы можете создать несколько контейнеров подтверждений в одной учетной записи хранения для сортировки сохраненных файлов. Например, один для файлов, сохраненных из отдела кадров, а другой для файлов из ИТ-отдела.

Какова стратегия защиты от удаления или изменения сохраненных элементов?

В службе хранилища Azure защита данных относится как к стратегиям защиты учетной записи хранения и данных в ней от удаления или изменения, так и к восстановлению данных после удаления или изменения. Служба хранилища Azure также предлагает варианты аварийного восстановления, включая несколько уровней избыточности, чтобы защитить данные от сбоев службы из-за проблем с оборудованием или стихийных бедствий. Он также может защитить данные с помощью отработки отказа, управляемой клиентом, если центр обработки данных в основном регионе становится недоступным. Дополнительные сведения см. в статье Общие сведения о защите данных.

Вы также можете настроить политики неизменяемости для данных BLOB-объекта, которые защищают от перезаписи или удаления сохраненных элементов. Дополнительные сведения см. в статье Хранение критически важных для бизнеса данных BLOB-объектов с неизменяемым хранилищем.

Поддерживаемые типы файлов для хранения и предварительного просмотра доказательств

Может храниться	Можно просмотреть
Все типы файлов , отслеживаемые конечной точкой DLP	Все типы файлов, поддерживаемые для предварительного просмотра файлов в OneDrive, SharePoint и Teams

Сохранение сопоставленных элементов в хранилище BLOB-объектов Azure

Чтобы сохранить доказательства, обнаруженные Microsoft Purview при применении политик защиты от потери данных, необходимо настроить хранилище BLOB-объектов Azure. Это можно сделать двумя способами:

1. Create управляемое клиентом хранилище
2. Create хранилище, управляемое Корпорацией Майкрософт (предварительная версия)

Дополнительные сведения и сравнение этих двух типов хранилища см. в разделе Хранение доказательств при обнаружении конфиденциальной информации (предварительная версия).

Create управляемое клиентом хранилище

Процедуры настройки учетной записи хранения, контейнера и больших двоичных объектов Azure описаны в наборе документов Azure. Ниже приведены ссылки на соответствующие статьи, которые помогут вам приступить к работе:

1. Введение в Хранилище BLOB-объектов Azure
2. Create учетной записи хранения
3. По умолчанию и авторизация доступа к blob-объектам с помощью Microsoft Entra ID
4. Управление контейнерами BLOB-объектов с помощью портал Azure
5. Управление блочных BLOB-объектов с помощью PowerShell

Обязательно сохраните имя и URL-адрес контейнера BLOB-объектов Azure. Чтобы просмотреть URL-адрес, откройте портал > хранилища Azure Home Storage AccountsContainer Properties (Свойстваконтейнера>учетных записей хранениядома>).>

Формат URL-адреса контейнера BLOB-объектов Azure:https://storageAccountName.blob.core.windows.net/containerName .

Добавление BLOB-объекта службы хранилища Azure в учетную запись

Существует несколько способов добавления BLOB-объекта службы хранилища Azure в учетную запись. Выберите один из приведенных ниже методов.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

Чтобы добавить хранилище BLOB-объектов Azure с помощью портала Microsoft Purview, выполните следующие действия.

1. Войдите на портал Microsoft Purview и выберите шестеренку Параметры в строке меню.
2. Выберите Защита от потери данных.
3. Выберите Параметры защиты от потери данных в конечной точке.
4. Разверните раздел Настройка сбора доказательств для действий с файлами на устройствах.
5. Измените переключатель с "Выкл." на "Включено".
6. В поле Set evidence cache on device (Установка кэша доказательств на устройстве ) выберите время локального сохранения доказательств, когда устройство находится в автономном режиме. Можно выбрать 7, 30 или 60 дней.
7. Выберите тип хранилища (магазин, управляемый клиентом или Microsoft Managed Store (предварительная версия)), а затем выберите + Добавить хранилище.
   1. Для хранилища, управляемого клиентом:
      1. Выберите Хранилище, управляемое клиентом: и нажмите кнопку + Добавить хранилище.
      2. Введите имя учетной записи и введите URL-адрес blob-объекта хранилища.
      3. Выберите Сохранить.
   2. Для хранилища, управляемого Корпорацией Майкрософт:
      1. Выберите Microsoft Managed Store (предварительная версия)

Политика защиты от потери данных на портале Microsoft Purview

Чтобы добавить хранилище BLOB-объектов Azure с помощью рабочего процесса создания политики защиты от потери данных на портале Microsoft Purview:

1. Войдите на портал Microsoft Purview и выберите Защита от потери данных.
2. Выполните действия, чтобы создать новую политику.
3. На шаге Расположения убедитесь, что выбрано только Расположение устройств , а затем нажмите кнопку Далее.
4. На шаге Параметры политики выберите Create или настройте расширенные правила защиты от потери данных.
5. Выберите +Create правило и добавьте условия, действия, уведомления пользователей и переопределения пользователей с выбранными значениями.
6. В разделе Отчеты об инцидентах переключатель Отправить оповещение администраторам при совпадении правил должен по умолчанию иметь значение Включено . (Если это не так, включите его.)
7. Установите флажок Собрать исходный файл в качестве доказательства всех действий с файлами в конечной точке.
8. Выберите действия, для которого требуется собрать доказательства.
9. Выберите Добавить хранилище рядом с флажком.
10. На странице Параметры защиты от потери данных в конечной точке разверните узел Настройка коллекции доказательств для действий с файлами на устройствах и убедитесь, что параметр установлен в значение Включено.

Портал соответствия требованиям

Чтобы добавить хранилище BLOB-объектов Azure с помощью портала соответствия требованиям, выполните следующие действия.

1. Начиная с области навигации слева на портале соответствия требованиям перейдите в раздел Защита от потери> данныхОбзор>Параметры защиты от потери данных Параметры> защиты от потери данныхКонечная точка DLP Параметры.
2. Разверните узел Настройка сбора доказательств для действий с файлами на устройствах и установите переключатель в значение Вкл.
3. В поле Set evidence cache on device (Установка кэша доказательств на устройстве ) выберите время локального сохранения доказательств, когда устройство находится в автономном режиме. Можно выбрать 7, 30 или 60 дней.
4. Выберите тип хранилища (магазин, управляемый клиентом или Microsoft Managed Store (предварительная версия)), а затем выберите + Добавить хранилище.
   1. Для хранилища, управляемого клиентом:
      1. Выберите Хранилище, управляемое клиентом: и нажмите кнопку + Добавить хранилище.
      2. Введите имя учетной записи и введите URL-адрес blob-объекта хранилища.
      3. Выберите Сохранить.
   2. Для хранилища, управляемого Корпорацией Майкрософт:
      1. Выберите Microsoft Managed Store (предварительная версия)

Рабочий процесс политики защиты от потери данных на портале соответствия требованиям

Чтобы добавить хранилище BLOB-объектов Azure с помощью рабочего процесса создания политики защиты от потери данных на портале соответствия требованиям, выполните следующие действия:

1. В области навигации слева перейдите в раздел Политики защиты от> потери данных.
2. Выберите изменение существующей политики или создайте новую.
3. Работа с рабочим процессом создания политики. На странице Параметры политики выберите Create или настройте расширенные правила защиты от потери данных.
4. На странице Расположения убедитесь, что выбрано только Расположение устройств , а затем нажмите кнопку Далее.
5. На странице Определение параметров политики выберите Create или настройте расширенные правила защиты от потери данных.
6. Выберите + Create правило.
7. Работайте с построителем правил в обычном режиме, выбрав следующие параметры:
   1. В разделе Отчеты об инцидентах выберите параметр Использовать этот уровень серьезности в оповещениях и отчетах администратора*.
   2. Переключите параметр Отправить оповещение администраторам при совпадении с правилом в значение Вкл.
   3. Установите флажок Собрать исходный файл в качестве доказательства всех действий с файлами в конечной точке.
   4. Выберите Добавить хранилище. В новом окне откроется страница параметров защиты от потери данных в конечной точке.
   5. На странице Параметры защиты от потери данных в конечной точке разверните узел Настройка коллекции доказательств для действий с файлами на устройствах и убедитесь, что параметр установлен в значение Включено.
   6. Для параметра Задать кэш доказательств на устройстве укажите количество дней хранения файлов, если устройство отключено от сервера.
   7. Выберите + Добавить хранилище.
   8. Во всплывающем окне Добавление учетной записи введите имя и URL-адрес большого двоичного объекта.
   9. Выберите Сохранить.
   10. Вернитесь в построителе правил и выберите Отправить оповещение каждый раз, когда действие соответствует правилу.
   11. Нажмите кнопку Save (Сохранить).
   12. Завершите создание или изменение правила, а затем нажмите кнопку Отправить.

Настройка разрешений для хранилища BLOB-объектов Azure

Используя Microsoft Entra авторизацию, необходимо настроить два набора разрешений (групп ролей) для больших двоичных объектов:

1. Один для администраторов и следователей, чтобы они могли просматривать доказательства и управлять ими
2. Для пользователей, которым необходимо отправлять элементы в Azure со своих устройств

Рекомендуется обеспечить минимальные привилегии для всех пользователей, независимо от роли. Применяя минимальные привилегии, вы гарантируете, что разрешения пользователя ограничены только теми разрешениями, которые необходимы для их роли. Чтобы настроить разрешения пользователей, создайте роли и группы ролей в Microsoft Defender для Office 365 и Microsoft Purview.

Разрешения на большой двоичный объект Azure для администраторов и следователей

После создания группы ролей для следователей инцидентов защиты от потери данных необходимо настроить разрешения, описанные в следующих разделах Действия следователя и Действия с данными следователя .

Дополнительные сведения о настройке доступа к BLOB-объектам см. в следующих статьях:

• Авторизация доступа к данным BLOB-объектов в портал Azure
• Назначение разрешений на уровне общего ресурса.

Действия следователя

Настройте следующие разрешения на объекты и действия для роли следователя:

Объект	Разрешения
Microsoft.Storage/storageAccounts/blobServices	Чтение: перечисление служб BLOB-объектов
Microsoft.Storage/storageAccounts/blobServices	Чтение: получение свойств или статистики службы BLOB-объектов
Microsoft.Storage/storageAccounts/blobServices/containers	Чтение: получение контейнера BLOB-объектов
Microsoft.Storage/storageAccounts/blobServices/containers	Чтение: список контейнеров BLOB-объектов
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Чтение: чтение BLOB-объекта
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action	Другое. Создание ключа делегирования пользователя

Действия с данными следователя

Объект	Разрешения
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Чтение: чтение BLOB-объекта

Json для группы ролей следователя должен выглядеть следующим образом:

"permissions": [
            {

                "actions": [

                    "Microsoft.Storage/storageAccounts/blobServices/read",

                    "Microsoft.Storage/storageAccounts/blobServices/containers/read",

                 "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"

                ],

                "notActions": [],

                "dataActions": [

                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"

                ],

                "notDataActions": []

            }

        ]

Разрешения для большого двоичного объекта Azure для пользователей

Назначьте blob-объекту Azure следующие разрешения на объекты и действия для роли пользователя:

Действия пользователя

Объект	Разрешения
Microsoft.Storage/storageAccounts/blobServices	Чтение: перечисление служб BLOB-объектов
Microsoft.Storage/storageAccounts/blobServices/containers	Чтение: получение контейнера BLOB-объектов
Microsoft.Storage/storageAccounts/blobServices/containers	Запись: размещение контейнера BLOB-объектов

Действия с данными пользователя

Объект	Разрешения
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Запись: запись BLOB-объекта
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Прочее: добавление содержимого BLOB-объекта

Json для группы ролей пользователей должен выглядеть следующим образом:

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

Включение и настройка сбора доказательств в учетной записи хранения, управляемой корпорацией Майкрософт (предварительная версия)

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

Чтобы включить и настроить сбор доказательств в учетной записи хранения, управляемой корпорацией Майкрософт, на портале Microsoft Purview:

1. Войдите в разделПараметрыпортала> Microsoft Purview в строке меню.
2. Выберите Защита от потери данных.
3. Выберите Параметры защиты от потери данных в конечной точке.
4. Разверните узел Настройка сбора доказательств для действий с файлами на устройствах и установите переключатель в значение Вкл.
5. В разделе Выберите тип хранилища выберите Хранилище, управляемое корпорацией Майкрософт.

Портал соответствия требованиям

Чтобы включить и настроить сбор доказательств в учетной записи хранения, управляемой корпорацией Майкрософт, на портале соответствия:

1. Откройте Портал соответствия требованиям Microsoft Purview>Параметры>защиты> от потери данных Параметры защиты от потери данныхКонечная точка защиты от потери данных.
2. Разверните узел Настройка сбора доказательств для действий с файлами на устройствах и установите переключатель в значение Вкл.
3. В поле Set evidence cache on device (Установка кэша доказательств на устройстве ) выберите время локального сохранения доказательств, когда устройство находится в автономном режиме. Можно выбрать 7, 30 или 60 дней.
4. В разделе Выбор типа хранилища выберите Хранилище, управляемое корпорацией Майкрософт (предварительная версия).

Настройка политики защиты от потери данных

Create политику защиты от потери данных, как обычно. Примеры конфигурации политики см. в разделах Create и Развертывание политик защиты от потери данных.

Настройте политику с помощью следующих параметров:

• Убедитесь, что устройство — это единственное выбранное расположение.
• В отчетах об инцидентах установите переключатель Отправить оповещение администраторам при совпадении правила с значением Включено.
• В разделе Отчеты об инцидентах выберите Собрать исходный файл в качестве доказательства всех действий с выбранными файлами в конечной точке.
• Выберите нужную учетную запись хранения.
• Выберите действия, для которых вы хотите скопировать соответствующие элементы в хранилище Azure, например:
  • Копирование на съемное USB-устройство
  • Копирование в сетевую папку
  • Print
  • Копирование или перемещение с помощью не разрешенного приложения Bluetooth
  • Копирование или перемещение с помощью RDP

Предварительный просмотр доказательств

Существует несколько способов предварительного просмотра доказательств в зависимости от выбранного типа хранилища.

Тип хранилища	Параметры предварительного просмотра
Управление клиентом	- Использование обозревателя действий - Использование портала соответствия требованиям
Microsoft Managed (предварительная версия)	- Использование обозревателя действий

Предварительный просмотр доказательств с помощью обозревателя действий

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите вобозреватель действийпо предотвращению> потери данных на портале> Microsoft Purview.
2. В раскрывающемся списке Дата выберите даты начала и окончания для интересующего вас периода.
3. В списке результатов дважды щелкните элемент строки действия, которое вы хотите исследовать.
4. Во всплывающей области ссылка на большой двоичный объект Azure, в котором хранятся доказательства, отображается в разделе Файл доказательства.
5. Выберите ссылку хранилище BLOB-объектов Azure, чтобы отобразить соответствующий файл.

Портал соответствия требованиям

1. Откройтеобозреватель действийпо предотвращению> потери данных Портал соответствия требованиям Microsoft Purview>.
2. В раскрывающемся списке Дата выберите даты начала и окончания для интересующего вас периода.
3. В списке результатов выберите действие, которое вы хотите исследовать.
4. Во всплывающей области ссылка на большой двоичный объект Azure, в котором хранятся доказательства, отображается в разделе Файл доказательства.
5. Выберите ссылку хранилище BLOB-объектов Azure, чтобы отобразить соответствующий файл.

Предварительный просмотр доказательств на странице оповещений на портале соответствия требованиям

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал >Microsoft PurviewОповещения озащите> от потери данных.
2. В раскрывающемся списке Дата выберите даты начала и окончания для интересующего вас периода.
3. В списке результатов дважды щелкните элемент строки действия, которое вы хотите исследовать.
4. Во всплывающей области выберите Просмотреть сведения.
5. Перейдите на вкладку События .
6. В области Сведения выберите вкладку Источник. Отобразится соответствующий файл.

Портал соответствия требованиям

1. Откройте Портал соответствия требованиям Microsoft Purview и перейдите в разделОповещения о защите > от потери данных.
2. В раскрывающемся списке Дата выберите даты начала и окончания для интересующего вас периода.
3. В списке результатов выберите действие, которое вы хотите исследовать.
4. Во всплывающей области выберите Просмотреть сведения.
5. Перейдите на вкладку События .
6. В области Сведения выберите вкладку Источник . Отобразится соответствующий файл.

Примечание.

Если соответствующий файл уже существует в большом двоичном объекте хранилища Azure, он не будет отправлен повторно, пока не будут внесены изменения в файл и пользователь не примет с ним действие.

Известные варианты поведения

• Файлы, хранящиеся в кэше устройств, не сохраняются при сбое или перезапуске системы.
• Максимальный размер файлов, которые можно отправить с устройства, составляет 500 МБ.
• Если JIT-защита активируется в отсканированном файле, или, если файл хранится в сетевой папке, файл подтверждения не собирается.
• Если в одном файле обнаружено несколько правил политики, файл доказательства сохраняется только в том случае, если для сбора доказательств настроено самое строгое правило политики.