创建、测试和优化 DLP 策略

  • 项目

Microsoft Purview 数据丢失防护 (DLP) 有助于防止意外或意外地共享敏感信息。

DLP 检查电子邮件和文件以获取敏感信息,如信用卡号。 使用 DLP 可以检测敏感信息,并执行如下操作:

  • 记录事件以进行审核
  • 向发送电子邮件或共享文件的最终用户显示警告
  • 主动阻止电子邮件或文件共享的发生

权限

创建 DLP 策略的合规性团队成员需要具有对合规中心的访问权限。 默认情况下,租户管理员具有访问权限,可以授予合规性官员和其他人员访问权限。 请按以下步骤操作:

  1. 在 Microsoft 365 中创建组并为其添加合规部主管。

  2. 在Microsoft Purview 合规门户的“权限”页上创建一个角色组。

  3. 创建角色组时,请使用 “选择角色” 部分将以下角色添加到角色组: DLP 合规性管理

  4. 使用“选择成员”部分,将先前创建的 Microsoft 365 组添加到角色组中。

使用 “仅视图 DLP 合规性管理 ”角色创建具有 DLP 策略和 DLP 报表的仅限查看权限的角色组。

有关详细信息,请访问向用户授予对 Office 365 合规中心的访问权限

创建和应用 DLP 策略而不强制实施策略需要这些权限。

预览版中的角色和角色组

预览版中有角色和角色组,你可以测试这些角色和角色组以微调访问控制。

下面是处于预览状态的适用角色列表。 若要了解有关它们的详细信息,请参阅安全与合规中心中的角色

  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者

下面是处于预览状态的适用角色组列表。 要了解详细信息,请参阅 安全与合规中心中的角色组

  • 信息保护
  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者

DLP 检测到敏感信息的程度

DLP 通过正则表达式 (RegEx) 模式匹配以及其他指示器(例如某些关键字接近匹配模式)来查找敏感信息。 例如,VISA 信用卡号有 16 位数字。 但是,这些数字可以采用不同的方式写入,例如 1111-1111-1111-1111、1111 1111 1111 或 1111111111111111。

任何 16 位字符串不一定是信用卡号,它可能是来自技术支持系统的票证号,或者是一个硬件的序列号。 为了区分信用卡号和无害的 16 位字符串之间的区别, (校验和) 执行计算,以确认数字与各种信用卡品牌的已知模式匹配。

如果 DLP 查找关键字(如“VISA”或“AMEX”)(可能是信用卡到期日期的接近日期值),则 DLP 还会使用该数据来帮助它确定字符串是否为信用卡号。

换句话说,DLP 足够智能,能够识别电子邮件中这两个文本字符串之间的区别:

  • “你能给我订一台新笔记本电脑吗? 使用我的 VISA 号码 1111-1111-1111-1111,到期时间为 11/22,并在您拥有时向我发送估计的交货日期。
  • “我的笔记本电脑序列号是 2222-2222-2222-2222,它是在 2010 年 11 月 11 日购买的。 顺便说一句,我的旅行签证是否已获批准?

请参阅 敏感信息类型实体定义 ,这些定义说明如何检测到每个信息类型。

从数据丢失防护开始的位置

当数据泄漏的风险并不完全明显时,很难确定实现 DLP 的确切开始位置。 幸运的是,DLP 策略可以在“测试模式”下运行,以便在启用 DLP 策略之前评估其有效性和准确性。

可以通过 Exchange 管理中心管理Exchange Online的 DLP 策略。 但是,可以通过Microsoft Purview 合规门户为所有工作负荷配置 DLP 策略,因此,本文中将使用该策略进行演示。 在Microsoft Purview 合规门户中,你会发现 数据丢失防护 > 策略下的 DLP 策略。 选择 “创建要启动的策略 ”。

Microsoft 365 提供了一系列可用于创建策略的 DLP 策略模板 。 假设你是一家澳大利亚企业。 你可以在澳大利亚筛选模板,并选择“财务”、“医疗和健康”和“隐私”。

选择国家或地区的选项。

对于此演示,我将选择澳大利亚个人身份信息 (PII) 数据,其中包括澳大利亚税务文件号 (TFN) 和驾驶执照编号的信息类型。

选择策略模板的选项。

为新的 DLP 策略命名。 默认名称将与 DLP 策略模板匹配,但应选择自己的描述性更强的名称,因为可以从同一模板创建多个策略。

命名策略的选项。

选择策略将应用于的位置。 DLP 策略可以应用于 Exchange Online、SharePoint Online 和 OneDrive for Business。 我将保留此策略配置为适用于所有位置。

选择所有位置的选项。

在第一个 策略设置 步骤中,只需立即接受默认值。 可以自定义 DLP 策略,但默认值是一个不错的开始位置。

用于自定义要保护的内容类型的选项。

单击“下一步”后,你将看到一个包含更多自定义选项的“策略 设置” 页面。 对于你正在测试的策略,可在此处开始进行一些调整。

  • 我目前已关闭策略提示,如果你只是测试内容,并且还不想向用户显示任何内容,这是一个合理的步骤。 策略提示向用户显示他们即将违反 DLP 策略的警告。 例如,Outlook 用户将看到一条警告,指出他们附加的文件包含信用卡号,并将导致其电子邮件被拒绝。 策略提示的目标是在不合规行为发生之前停止该行为。
  • 我还将实例数从 10 减少到 1,以便此策略将检测澳大利亚 PII 数据的任何共享,而不仅仅是批量共享数据。
  • 我还向事件报告电子邮件添加了另一个收件人。

其他策略设置。

最后,我已将此策略配置为最初在测试模式下运行。 请注意,此处还提供了一个选项,用于在测试模式下禁用策略提示。 这使你可以灵活地在策略中启用策略提示,然后决定在测试期间是显示还是取消它们。

首先测试策略的选项。

在最后的审阅屏幕上,单击 “创建 ”以完成策略的创建。

测试 DLP 策略

可以坐下来等待策略由普通用户活动触发,也可以尝试自行触发。 早些时候,我链接到 敏感信息类型实体定义,这些定义提供有关如何触发 DLP 匹配的信息。

例如,我为本文创建的 DLP 策略将检测 TFN) (澳大利亚税务文件号。 根据文档,匹配基于以下条件。

有关澳大利亚税务文件编号的文档。

为了以相当直率的方式演示 TFN 检测,一封带有“税务文件号”和一个接近的九位数字符串的电子邮件将顺利通过,没有任何问题。 它不触发 DLP 策略的原因是,9 位字符串必须传递校验和,指示它是有效的 TFN,而不仅仅是一个无害的数字字符串。

未通过校验和的澳大利亚税务文件号。

相比之下,带有“税务文件号”和通过校验和的有效 TFN 的电子邮件将触发策略。 对于此处的记录,我使用的 TFN 取自生成有效但不是正版 TFN 的网站。 此类网站非常有用,因为测试 DLP 策略时最常见的错误之一是使用无效且不会通过校验和 (的假数,因此不会触发策略) 。

通过校验和的澳大利亚税务文件号。

事件报告电子邮件包括检测到的敏感信息类型、检测到的实例数以及检测的置信度。

显示检测到的税务文件号的事件报告。

如果将 DLP 策略保留在测试模式下并分析事件报告电子邮件,则可以开始了解 DLP 策略的准确性,以及强制执行 DLP 策略时的有效性。 除了事件报告,还可以 使用 DLP 报 表查看租户中策略匹配项的聚合视图。

优化 DLP 策略

分析策略命中次数时,可能需要对策略的行为方式进行一些调整。 作为一个简单的示例,你可能会确定电子邮件中的一个 TFN 不是问题, (我认为它仍然存在,但为了演示) ,我们来吧,但两个或多个实例是个问题。 多个实例可能是一种风险方案,例如员工通过电子邮件将 CSV 从 HR 数据库导出到外部方,例如外部会计服务。 肯定是你想要检测和阻止的东西。

在合规中心,可以编辑现有策略以调整行为。

用于编辑策略的选项。

可以调整位置设置,以便策略仅应用于特定工作负荷或特定站点和帐户。

选择特定位置的选项。

还可以调整策略设置并编辑规则,以更好地满足你的需求。

用于编辑规则的选项。

编辑 DLP 策略中的规则时,可以更改:

  • 条件,包括将触发规则的敏感数据的类型和实例数。
  • 所执行的操作,例如限制对内容的访问。
  • 用户通知,这是在其电子邮件客户端或 Web 浏览器中向用户显示的策略提示。
  • 用户重写确定用户是否可以选择继续其电子邮件或文件共享。
  • 事件报告,通知管理员。

用于编辑规则部分的选项。

对于此演示,我已将用户通知添加到策略 (请小心执行此操作,而无需进行足够的用户意识培训) ,并允许用户以业务理由或将其标记为误报来替代策略。 如果想要包含有关组织策略的任何其他信息,也可以自定义电子邮件和策略提示文本,或者提示用户在遇到问题时联系支持人员。

用户通知和替代的选项。

该策略包含两个用于处理大容量和低卷的规则,因此请务必使用所需的操作来编辑这两个规则。 这是一个机会,以不同的方式对待案件,具体取决于其特征。 例如,你可能允许针对低卷冲突进行重写,但不允许对高卷冲突进行重写。

一个用于大容量的规则,一个用于低卷的规则。

此外,如果想要实际阻止或限制对违反策略的内容的访问,则需要对规则配置操作才能执行此操作。

用于限制对内容的访问的选项。

将这些更改保存到策略设置后,我还需要返回到策略的主设置页,并允许选项在策略处于测试模式时向用户显示策略提示。 这是向最终用户引入 DLP 策略并进行用户意识培训的有效方法,而不会冒过多影响其工作效率的误报风险。

在测试模式下显示策略提示的选项。

如果愿意) ,则在服务器端 (或云端,由于处理间隔不同,更改可能不会立即生效。 如果要进行 DLP 策略更改,以便向用户显示新的策略提示,则用户可能不会看到更改立即在其 Outlook 客户端中生效,该客户端每 24 小时检查一次策略更改。 如果想要加快测试速度,可以使用此注册表修补程序 从 PolicyNudges 密钥中清除上次下载时间戳。 下次重启时,Outlook 将下载最新的策略信息,并开始撰写电子邮件。

如果启用了策略提示,用户将开始在 Outlook 中查看提示,并在出现误报时向你报告误报。

具有报告误报选项的策略提示。

调查误报

DLP 策略模板并非完美无缺。 你可能会发现环境中会出现一些误报,这就是为什么轻松进入 DLP 部署非常重要的原因,需要花时间来充分测试和优化策略。

下面是误报的示例。 此电子邮件是无害的。 用户正在向某人提供其移动电话号码,并包括他们的电子邮件签名。

显示误报信息的电子邮件。

但用户看到一条策略提示,警告他们电子邮件包含敏感信息,特别是澳大利亚驾驶执照号码。

在策略提示中报告误报的选项。

用户可以报告误报,管理员可以调查它发生的原因。 在事件报告电子邮件中,电子邮件标记为误报。

显示误报的事件报告。

此驾驶执照案例是一个很好的示例。 发生这种误报的原因是,“澳大利亚驾驶执照”类型将由任何 9 位字符串触发, (甚至是 10 位字符串) 的一部分,在接近关键字“Sydney nsw”的 300 个字符范围内, (不区分大小写) 。 因此,它由电话号码和电子邮件签名触发,只是因为用户恰好在悉尼。

一种选择是从策略中删除澳大利亚驾照信息类型。 它位于其中,因为它是 DLP 策略模板的一部分,但我们不被迫使用它。 如果你只对税务文件号感兴趣,而不对驾驶执照感兴趣,则只需删除它即可。 例如,可以将其从策略中的低卷规则中删除,但将其保留在大容量规则中,以便仍检测到多个驱动程序许可证的列表。

另一种选择是增加实例计数,以便仅在存在多个实例时检测到低数量的驱动程序许可证。

用于编辑实例计数的选项。

除了更改实例计数,还可以调整匹配准确性 (或置信度级别) 。 如果敏感信息类型具有多个模式,则可以调整规则中的匹配准确性,以便规则仅匹配特定模式。 例如,为了帮助减少误报,可以设置规则的匹配准确性,使其仅与置信度最高的模式匹配。 有关置信度级别的详细信息,请参阅 如何使用置信度来优化规则

最后,如果你想获得更高级一点,你可以自定义任何敏感信息类型 - 例如,你可以从 澳大利亚驾驶执照号码的关键字列表中删除“悉尼新南威尔士州”,以消除上面触发的误报。 若要了解如何使用 XML 和 PowerShell 执行此操作,请参阅 自定义内置敏感信息类型

打开 DLP 策略

当你对 DLP 策略能够准确有效地检测敏感信息类型,并且最终用户已准备好处理现成的策略感到高兴时,可以启用策略。

打开策略的选项。

如果正在等待策略何时生效, 请连接到安全&合规性 PowerShell 并运行 Get-DlpCompliancePolicy cmdlet 以查看 DistributionStatus。

Get-DlpCompliancePolicy "Testing -Australia PII" -DistributionDetail | Select distributionstatus

打开 DLP 策略后,应运行自己的一些最终测试,以确保预期的策略操作正在发生。 如果尝试测试信用卡数据等内容,则有网站联机提供有关如何生成示例信用卡或其他个人信息的信息,这些信息将传递校验和并触发策略。

允许用户替代的策略将作为策略提示的一部分向用户显示该选项。

允许用户重写的策略提示。

限制内容的策略将作为策略提示的一部分向用户显示警告,并阻止他们发送电子邮件。

限制内容的策略提示。

摘要

数据丢失防护策略对所有类型的组织都非常有用。 测试某些 DLP 策略是一种低风险练习,因为你可以控制策略提示、最终用户替代和事件报告等事项。 可以悄悄地测试某些 DLP 策略,以查看组织中已出现的违规类型,然后制定误报率较低的策略,向用户介绍允许和不允许的内容,然后向组织推出 DLP 策略。