Сведения о защите от потери данных

Организации имеют конфиденциальные сведения, которые находятся под их контролем, такие как финансовые данные, собственные данные, номера кредитных карт, записи о состоянии здоровья или номера социального страхования. Чтобы защитить эти конфиденциальные данные и снизить риск, им необходим способ предотвратить ненадлежащее их использование пользователями с людьми, у которых их не должно быть. Эта практика называется предотвращением потери данных (DLP).

В Microsoft 365 реализована профилактика потери данных путем определения и применения политик DLP. С помощью политики DLP можно идентифицировать, отслеживать и автоматически защищать конфиденциальные элементы в различных областях:

  • Microsoft 365, таких как Teams, Exchange, SharePoint и OneDrive
  • Office таких приложений, как Word, Excel и PowerPoint
  • Windows 10 конечных точек
  • облачные приложения, не в microsoft
  • локальной файловой папки и локальной SharePoint.

Microsoft 365 обнаружения конфиденциальных элементов с помощью глубокого анализа контента, а не простого сканирования текста. Содержимое анализируется для совпадений основных данных с ключевыми словами, путем оценки регулярных выражений, внутренней проверки функций и вторичных совпадений данных, которые находятся в непосредственной близости от основного совпадения данных. Кроме того, DLP использует алгоритмы машинного обучения и другие методы для обнаружения контента, который соответствует вашим политикам DLP.

DLP является частью более широкого предложения Microsoft 365 соответствия требованиям

Microsoft 365 DLP — это только один из средств Microsoft 365 соответствия требованиям, которые вы будете использовать для защиты конфиденциальных элементов, где бы они ни жили или путешествовали. Вы должны понимать другие средства в наборе Microsoft 365 соответствия требованиям, их взаимозависят и лучше работать вместе. См. Microsoft 365 средства обеспечения соответствия требованиям, чтобы узнать больше о процессе защиты информации.

Защитные действия политик DLP

Microsoft 365 Политики DLP — это отслеживание действий, которые пользователи принимают на конфиденциальные элементы в покое, конфиденциальные элементы в пути или конфиденциальные элементы, которые используются, и принимают защитные меры. Например, если пользователь пытается предпринять запрещенное действие, например скопировать конфиденциальный элемент в неодобренное расположение или поделиться медицинской информацией по электронной почте или другим условиям, изложенным в политике, DLP может:

  • покажите всплывающее правило пользователю, предупреждающее его о том, что он может ненадлежащим образом делиться конфиденциальным элементом
  • блокируют общий доступ и с помощью подсказки политики позволяют пользователю переопределить блокировку и зафиксировать оправдание пользователей.
  • блокировка общего доступа без параметра переопределения
  • для данных в покое конфиденциальные элементы могут быть заблокированы и перемещены в безопасное карантинное расположение
  • для Teams чата конфиденциальные сведения не будут отображаться

Все действия, отслеживаемые DLP, записываются в журнал аудита Microsoft 365 по умолчанию и перенаписываются в обозреватель активности. Если пользователь выполняет действие, отвечаемое критериям политики DLP, и у вас есть настроенные оповещений, DLP предоставляет оповещения в панели управления оповещениями DLP.

Жизненный цикл DLP

Реализация DLP обычно следует этим основным этапам.

Планирование DLP

Microsoft 365 Мониторинг и защита DLP являются родными для приложений, которые пользователи используют каждый день. Это помогает защитить конфиденциальные элементы вашей организации от рискованных действий, даже если пользователи непривычены к мышлению и практике предотвращения потери данных. Если ваша организация и пользователи не могут использовать методы предотвращения потери данных, принятие DLP может потребовать изменения бизнес-процессов, и для пользователей будет смена культуры. Но при правильном планировании, тестировании и настройке политики DLP будут защищать конфиденциальные элементы, минимизируя возможные нарушения бизнес-процессов.

Планирование технологий для DLP

Имейте в виду, что DLP как технология может отслеживать и защищать ваши данные в покое, данные, которые используются, и данные в движении в Microsoft 365 службах, Windows 10 устройствах, локальном файле и локальном SharePoint. Существуют последствия планирования для различных местоположений, тип данных, которые необходимо отслеживать и защищать, а также действия, которые необходимо принять при совпадении политик.

Планирование бизнес-процессов для DLP

Политики DLP могут блокировать запрещенные действия, например ненадлежащий обмен конфиденциальной информацией по электронной почте. При планировании политик DLP необходимо определить бизнес-процессы, которые касаются конфиденциальных элементов. Владельцы бизнес-процессов могут помочь вам определить соответствующее поведение пользователя, которое должно быть разрешено, и ненадлежащее поведение пользователя, от которое следует защищаться. Необходимо спланировать политики и развернуть их в тестовом режиме, а затем оценить их влияние с помощью обозревателя действий, а затем применить их в более строгих режимах.

Планирование организационной культуры для DLP

Успешная реализация DLP зависит от подготовки и подготовки пользователей к практикам предотвращения потери данных, а также от хорошо спланированных и настроенных политик. Так как пользователи активно вовлечены, обязательно запланируйте для них обучение. Советы по политике можно стратегически использовать для повышения осведомленности пользователей перед изменением режима применения политики с тестового на более строгий.

Подготовка к DLP

Политики DLP можно применять к данным в режиме покоя, данным в использовании и данным в движении в местах, таких как:

  • Exchange Online электронной почты
  • Сайтах SharePoint Online;
  • Учетные записи OneDrive
  • Сообщения в чатах и каналах Teams
  • Microsoft Cloud App Security
  • Устройства с Windows 10
  • Репозитории локального

Каждый из них имеет различные предварительные требования. Конфиденциальные элементы в некоторых местах, например Exchange в Интернете, могут быть доставлены под зонтиком DLP, просто настроив политику, которая применяется к ним. Для других, например для локального репозиториев файлов, требуется развертывание сканера Azure Information Protection (AIP). Необходимо подготовить среду, политики разработки кода и тщательно проверить их, прежде чем активировать любые действия по блокировке.

Развертывание политик в производстве

Разработка политик

Начните с определения целей управления и их применения в каждой рабочей нагрузке. Проект политики, воплощаемой в ваших задачах. Не стесняйся начинать с одной рабочей нагрузки одновременно или во всех рабочих нагрузках .

Реализация политики в тестовом режиме

Оцените влияние элементов управления, реализуя их с помощью политики DLP в тестовом режиме. Это нормально, чтобы применить политику для всех рабочих нагрузок в тестовом режиме, так что вы можете получить полную широту результатов, но вы можете начать с одной рабочей нагрузки, если это необходимо.

Мониторинг результатов и донастройка политики

В тестовом режиме отслеживайте результаты политики и настраивайте ее таким образом, чтобы она соответствовала задачам управления, обеспечивая при этом непреднамеренное или непреднамеренное воздействие на допустимые пользовательские процессы и производительность. Вот несколько примеров тонкой настройки:

  • настройка расположения и людей/мест, которые находятся в области или находятся вне области
  • настройка условий и исключений, используемых для определения того, соответствует ли элемент и что с ним делается, политике
  • определение конфиденциальной информации/s
  • действия
  • уровень ограничений
  • добавление новых элементов управления
  • добавление новых людей
  • добавление новых приложений с ограниченным доступом
  • добавление новых сайтов с ограниченным доступом

Включить управление и настроить политики

После того как политика будет отвечать всем вашим целям, включите ее. Продолжайте отслеживать результаты приложения политики и настраивать по мере необходимости. Как правило, политики вступает в силу примерно через час после включаемого.

Обзор конфигурации политики DLP

Вы можете гибко создавать и настраивать политики DLP. Вы можете начать с заранее задав шаблон и создайте политику всего за несколько щелчков мыши или создайте свою собственную с нуля. Независимо от выбора, все политики DLP требуют от вас одинаковые сведения.

  1. Выберите то, что вы хотите отслеживать, Microsoft 365 поставляется с множеством заранее разработанных шаблонов политики, чтобы помочь вам начать работу или вы можете создать настраиваемую политику.
    • Предопределен шаблон политики: финансовые данные, медицинские и медицинские данные, данные конфиденциальности для различных стран и регионов.
    • Настраиваемая политика, использующая доступные типы конфиденциальной информации, метки хранения и метки конфиденциальности.
  2. Выберите, где нужно отслеживать — выберите одно или несколько местоположений, которые необходимо отслеживать для отслеживания конфиденциальной информации. Вы можете отслеживать:
расположение добавление и исключение по
электронная почта Exchange группы рассылки
сайты SharePoint сайты
учетные записи OneDrive учетные записи или группы рассылки
сообщения в чатах и каналах Teams учетные записи
устройства с Windows 10 пользователь или группа
Microsoft Cloud App Security экземпляр
Репозитории локального Путь к файлу репозитория
  1. Выберите условия, которые должны соответствовать политике, применяемой к элементу, - вы можете принять заранее настроенные условия или определить настраиваемые условия. Ниже приведен ряд примеров.
  • элемент содержит определенный тип конфиденциальной информации, которая используется в определенном контексте. Например, 95 номеров социального страхования по электронной почте получателю за пределами вашей организации.
  • элемент имеет заданную метку чувствительности
  • элемент с конфиденциальной информацией является общим для внутренней или внешней
  1. Выберите действие, необходимое при условии политики. Действия зависят от расположения, в котором происходит действие. Ниже приведен ряд примеров.
  • SharePoint/Exchange/OneDrive: блокируют доступ к содержимому людям, которые находятся за пределами формы организации. Покажите пользователю подсказку и отправьте ему уведомление по электронной почте о том, что они принимают меры, запрещенные политикой DLP.
  • Teams Чат и канал: блокируют доступ к конфиденциальной информации в чате или канале
  • Windows 10 Устройства: аудит или ограничение копирования конфиденциального элемента на удаляемое USB-устройство
  • Office Приложения: покажите всплывающее всплывающее приложение, уведомляющее пользователя о том, что они занимаются рискованным поведением и блокируют или блокируют, но позволяют переопределять.
  • Локальное файлообмятина: переместите файл из места хранения в карантиную папку

Примечание

Условия и действия, которые необходимо принять, определяются в объекте, называемом правилом.

После создания политики DLP в Центре соответствия требованиям она хранится в центральном хранилище политик, а затем синхронизируется с различными источниками контента, включая:

  • Exchange Online и оттуда в Outlook в Интернете и Outlook;
  • Сайты OneDrive для бизнеса.
  • Сайты SharePoint Online.
  • Классические приложения Office (Excel, PowerPoint и Word).
  • Сообщениях каналов и чата Microsoft Teams.

После синхронизации политики с нужными расположениями она начинает оценивать контент и выполнять действия.

Просмотр результатов приложения политики

DLP сообщает об огромном количестве сведений, Microsoft 365 мониторинга, совпадений политики и действий, а также действий пользователей. Для настройки политик и действий, принятых в отношении конфиденциальных элементов, необходимо использовать эти сведения и действовать. Телеметрия входит в журналы аудита Microsoft 365 центра аудита, обрабатывается и проходит путь к различным средствам отчетности. Каждый инструмент отчетности имеет разные цели.

Панель мониторинга оповещений DLP

Когда DLP принимает действие по конфиденциальному элементу, вы можете быть уведомлены об этом действии с помощью настраиваемого оповещения. Вместо того, чтобы эти оповещения накапливались в почтовом ящике для просеки, центр соответствия требованиям делает их доступными в панели мониторинга управления оповещениями DLP. Используйте панель оповещений DLP для настройки оповещений, их просмотра, их отслеживания и отслеживания разрешения оповещений DLP. Вот пример оповещений, созданных в результате совпадений политик и действий с Windows 10 устройств.

Сведения оповещения

Вы также можете просматривать сведения о родственном событии с расширенными метаданными на той же панели мониторинга.

сведения о событии

Отчеты

Отчеты DLP показывают широкие тенденции со временем и дают конкретные сведения о:

  • Политика DLP совпадает со временем и фильтрует по диапазону дат, расположению, политике или действию
  • Совпадения инцидентов DLP также показывают совпадения с течением времени, но повороты на элементов, а не правила политики.
  • Ложные срабатывания и переопределения DLP показывают количество ложных срабатываний и, если настроены, переопределяют пользователя вместе с обоснованием пользователя.

Обозреватель активности DLP

Вкладка Обозреватель действий на странице DLP имеет заранее фильтр действия dLPRuleMatch. Используйте этот инструмент для проверки действий, связанных с контентом, содержаным конфиденциальную информацию или применяемой меткой, например, изменения меток, изменение файлов и соответствие правилу.

снимок экрана обозревателя масштабных действий DLPRuleMatch

Дополнительные сведения см. в ссылке Начало работы с проводником действий

Дополнительные дополнительные Microsoft 365 DLP см. в таблице:

Сведения о том, как использовать предотвращение потери данных в соответствии с правилами конфиденциальности данных, см. в странице Deploy information protection for data privacy regulations with Microsoft 365 (aka.ms/m365dataprivacy).