Mer information om dataförlustskydd för slutpunkter i Microsoft 365

Du kan använda dataförlustskyddet (DLP) i Microsoft 365 till att övervaka åtgärder som vidtas för objekt som du har fastställt vara känsliga och för att förhindra oavsiktlig delning av dessa objekt. Mer information om DLP finns i Mer information om dataförlustskydd.

Dataförlustskyddet för slutpunkter (slutpunkts-DLP) utökar funktionerna för aktivitetsövervakning och säkerhet i DLP till känsliga objekt som finns på Windows 10-enheter. När enheter har registrerats i efterlevnadslösningarna för Microsoft 365 blir informationen om vad användare gör med känsliga objekt synlig i aktivitetsutforskaren och du kan vidta skyddsåtgärder för dessa objekt via DLP-principer.

Tips

Om du letar efter enhetskontroll för flyttbara lagringsmedia läser du Microsoft Defender for Endpoint Device Control Removable Storage Access Control.

Slutpunktsaktiviteter som du kan övervaka och vidta åtgärder för

Med Microsofts slutpunkts-DLP kan du granska och hantera följande typer av aktiviteter som användare utför på känsliga objekt som finns på Windows 10-enheter.

Aktivitet Beskrivning Granskningsbar/begränsningsbar
ladda upp till molntjänst, eller ge åtkomst till otillåtna webbläsare Upptäcker när en användare försöker ladda upp ett objekt till en begränsad tjänstdomän eller öppna ett objekt via en webbläsare. Om en webbläsare används som anges i DLP som en otillåten webbläsare, blockeras uppladdningen och användaren omdirigeras till Edge Chromium. Edge Chromium tillåter eller blockerar sedan uppladdningen eller åtkomsten baserat på DLP-principkonfigurationen granskningsbart och begränsningsbart
kopiera till en annan app Upptäcker när en användare försöker kopiera information från ett skyddat objekt och sedan klistra in den i en annan app, en annan process eller ett annat objekt. Att kopiera och klistra in information i samma app, process eller objekt identifieras inte av den här aktiviteten. granskningsbart och begränsningsbart
kopiera till USB-flyttbart medium Upptäcker när en användare försöker kopiera ett objekt eller information till ett flyttbart medium eller en USB-enhet. granskningsbart och begränsningsbart
kopiera till en nätverksresurs Upptäcker när en användare försöker kopiera ett objekt till en nätverksresurs eller en mappad nätverksenhet granskningsbart och begränsningsbart
skriva ut ett dokument Upptäcker när en användare försöker skriva ut ett skyddat objekt till en lokal skrivare eller en nätverksskrivare. granskningsbart och begränsningsbart
kopiera till en fjärrsession Upptäcker när en användare försöker kopiera ett objekt till en session för fjärrdatorer granskningsbart och begränsningsbart
kopiera till en Bluetooth-enhet Upptäcker när en användare försöker kopiera ett objekt till en otillåten Bluetooth-app (enligt definitionen i listan med otillåtna Bluetooth-appar i inställningarna för slutpunkts-DLP:n). granskningsbart och begränsningsbart
skapa ett objekt. Upptäcker när en användare skapar ett objekt granskningsbart
byta namn på ett objekt Upptäcker när en användare byter namn på ett objekt granskningsbart

Övervakade filer

Slutpunkts-DLP:n stöder övervakning av följande filtyper. DLP granskar aktiviteterna för dessa filtyper, även om det inte finns någon principmatchning.

  • Word-filer
  • PowerPoint-filer
  • Excel-filer
  • PDF-filer
  • .csv-filer
  • .tsv-filer
  • .txt-filer
  • .rtf-filer
  • .c-filer
  • .class-filer
  • .cpp-filer
  • .cs-filer
  • .h-filer
  • .java-filer

Om du bara vill övervaka data från principmatchningar kan du stänga av Granska alltid filaktivitet för enheter i de globala inställningarna för slutpunkts-DLP:n.

Anteckning

Om inställningen Granska alltid filaktivitet för enheter är aktiverad granskas alltid aktiviteter i en Word-, PowerPoint-, Excel-, PDF- och CSV-fil även om enheten inte omfattas av någon princip.

Slutpunkts-DLP:n övervakar aktivitet baserat på MIME-typ, så aktiviteterna samlas in även om filtillägget ändras.

Vad är annorlunda i slutpunkts-DLP?

Det finns några fler begrepp som du behöver känna till innan du fördjupar dig i slutpunkts-DLP:n.

Aktivera enhetshantering

Enhetshantering är den funktion som samlar in telemetri från enheter och matar in den i Microsoft 365-efterlevnadslösningar som slutpunkts-DLP och hantering av interna risker. Du måste registrera alla enheter som ska användas som platser i DLP-principerna.

aktivera enhetshantering

Registrering och avregistrering hanteras via skript som du hämtar från Enhetshanteringscenter. Centret har anpassade skript för var och en av dessa distributionsmetoder:

  • lokalt skript (upp till 10 datorer)
  • Grupprincip
  • System Center Configuration Manager (version 1610 eller senare)
  • Hantering av mobila enheter/Microsoft Intune
  • VDI-registreringsskript för icke-beständiga datorer

enhetsregistreringssida

Använd procedurerna i Komma igång med slutpunkts-DLP i Microsoft 365 för att registrera enheter.

Om du har registrerat enheter via Microsoft Defender för Endpoint visas de enheterna automatiskt i listan med enheter.

lista med hanterade enheter

Visa data för slutpunkts-DLP

Du kan se aviseringar om DLP-principer som tillämpas på slutpunktsenheter genom att gå till instrumentpanelen för hantering av DLP-aviseringar.

Aviseringsinformation

Du kan också se information om den associerade händelsen med omfattande metadata i samma instrumentpanel

händelseinformation

När en enhet har registrerats flödar information om granskade aktiviteter till aktivitetsutforskaren redan innan du har konfigurerat och distribuerat DLP-principer som har enheter som en plats.

händelser för slutpunkts-DLP i aktivitetsutforskaren

Slutpunkts-DLP:n samlar in omfattande information om den granskade aktiviteten.

Om en fil till exempel kopieras till ett flyttbart USB-medium visas följande attribut i aktivitetsinformationen:

  • aktivitetstyp
  • klient-IP
  • sökväg till målfil
  • tidsstämpel
  • filnamn
  • användare
  • filtillägg
  • filstorlek
  • typ av känslig information (om tillämpligt)
  • sha1-värde
  • sha256-värde
  • tidigare filnamn
  • plats
  • överordnad
  • filsökväg
  • källplatstyp
  • plattform
  • enhetsnamn
  • målplatstyp
  • program som utförde kopian
  • Enhets-ID till Microsoft Defender för Endpoint (om tillämpligt)
  • tillverkare av flyttbar medieenhet
  • modell för flyttbar medieenhet
  • serienummer för flyttbar medieenhet

kopiera till USB-aktivitetsattribut

Nästa steg

Nu när du har lärt dig mer om slutpunkts-DLP är nästa steg:

  1. Komma igång med Microsoft dataförlustskydd för slutpunkt
  2. Använda Microsofts dataförlustskydd för slutpunkter

Se även