Konfigureer DLP (Data Loss Prevention) op Microsoft Purview

Konfigureer DLP (Data Loss Prevention) op Microsoft Purview

04/01/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die opstel en implementering van Data Loss Prevention (DLP)-beleide in Microsoft Purview. DLP is 'n strategie en stel gereedskap wat organisasies help om die blootstelling, misbruik of verlies van sensitiewe data te voorkom, om te verseker dat kritieke inligting veilig bly en aan regulasies voldoen [1].

Inleiding

In 'n toenemend digitale wêreld met strenger dataprivaatheidsregulasies (soos GDPR, LGPD, HIPAA), is die beskerming van sensitiewe inligting 'n topprioriteit. Dataverlies, hetsy deur ongeluk, menslike foute of kwaadwillige opset, kan aansienlike finansiële skade, regulatoriese boetes en ernstige reputasieskade tot gevolg hê. Microsoft Purview bied 'n omvattende DLP-oplossing wat organisasies help om sensitiewe data oor Microsoft 365, Azure, eindpunte, wolktoepassings en ander liggings te identifiseer, te monitor en te beskerm [2].

Hierdie praktiese gids sal die noodsaaklike stappe dek vir die opstel van DLP-beleide in Microsoft Purview, van die identifisering van sensitiewe data tot die skep en ontplooiing van beleide, validering en beste praktyke. Stap-vir-stap instruksies, konfigurasievoorbeelde en valideringsmetodes sal verskaf word sodat die leser 'n effektiewe DLP-strategie kan implementeer, vertroulike inligting beskerm en regulatoriese voldoening kan verseker.

Hoekom is Microsoft Purview DLP van kardinale belang?

  • Omvattende identifikasie: Bespeur 'n wye reeks sensitiewe inligtingtipes (TIS) en kan uitgebrei word met opleibare klassifiseerders.
  • Multi-werf-dekking: Beskerm data in rus, in gebruik en in vervoer oor Microsoft Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Windows/macOS-toestelle en wolktoepassings.
  • Korrelbeheer: Laat jou toe om beleide te definieer met spesifieke voorwaardes en aksies vir verskillende tipes data, gebruikers en liggings. Regulatoriese nakoming: Help organisasies om aan dataprivaatheidsvereistes en industrieregulasies te voldoen.
  • Sigbaarheid en verslagdoening: Verskaf gedetailleerde verslae oor dataaktiwiteit en DLP-beleidsopsporings.

Voorvereistes

Om DLP op Microsoft Purview op te stel, benodig u die volgende items:

  1. Lisensiëring: 'n Lisensie wat Microsoft Purview DLP insluit. Dit is dikwels deel van pakkette soos Microsoft 365 E5 Compliance, Microsoft 365 E5, of kan as 'n byvoeging gekoop word [3].
  2. Administratiewe toegang: 'n Rekening met nakomingsadministrateur, nakomingsdataadministrateur of globale administrateur-toestemmings op die Microsoft Purview-nakomingsportaal (https://compliance.microsoft.com).
  3. Data in Microsoft 365: Om beleide te toets, is dit ideaal om sekere data (e-posse, dokumente) wat sensitiewe inligting bevat in jou Microsoft 365-omgewing te hê.

Stap vir stap: Opstel van beleide vir die voorkoming van dataverlies (DLP)

Kom ons skep 'n DLP-beleid om die deel van kredietkaartnommers per e-pos aan eksterne gebruikers op te spoor en te blokkeer.

1. Toegang tot die Microsoft Purview-nakomingsportaal

  1. Maak jou blaaier oop en navigeer na https://compliance.microsoft.com.
  2. Meld aan met 'n rekening wat die nodige toestemmings het.

2. Identifisering van Sensitiewe Inligting

Microsoft Purview DLP gebruik Sensitive Information Types (TIS) om sensitiewe data te identifiseer. Dit kom met honderde vooraf gekonfigureerde TIS, maar jy kan ook jou eie skep.

  1. In die linkernavigasiepaneel, kies Dataklassifikasie > Sensitiewe inligtingtipes.
  2. Jy kan vir bestaande TIS soek (bv. Kredietkaartnommer) om hul definisies te sien en hoe dit opgespoor word.

3. Skep 'n DLP-beleid

Kom ons skep 'n DLP-beleid met behulp van 'n voorafbepaalde sjabloon en pas dit aan.

  1. In die linkernavigasiepaneel, kies Dataverliesvoorkoming > Beleide.
  2. Klik + Skep beleid.

Stap 1: Kies 'n sjabloon of skep 'n pasgemaakte beleid

  1. Kategorie: Kies Finansieel.
  2. Sjablone: Kies VSA Finansiële Data.
  3. Klik Volgende.

Stap 2: Noem die beleid

  1. Naam: Blokkeer kredietkaart vir eksterne partye.
  2. Beskrywing: Bespeur en blokkeer die versending van kredietkaartnommers aan eksterne ontvangers via e-pos.
  3. Klik Volgende.

Stap 3: Kies liggings om die beleid toe te pas

  1. Liggings: Vir hierdie voorbeeld sal ons op e-posse fokus. Aktiveer Bruil posbusse.
    • (Opsioneel) Jy kan ander liggings soos SharePoint Sites, OneDrive-rekeninge, Teams Messages en Devices (vir Endpoint DLP) aktiveer as jy die nodige lisensies en konfigurasies het.
  2. Pas toe op: Kies Alle gebruikers of Kies spesifieke gebruikers, groepe of verspreidingsgroepe vir 'n meer fyn omvang.
  3. Klik Volgende.

Stap 4: Pas beleidinstellings aan

  1. Kies Pasmaak gevorderde beleidinstellings.
  2. Klik Volgende.

Stap 5: Gevorderde verpersoonliking-instellings

U sal 'n verstekreël sien wat deur die sjabloon geskep is. Kom ons redigeer dit.

  1. Klik op die bestaande reël (bv. Spoor Amerikaanse finansiële inhoud op).
  2. Voorwaardes: Maak seker die 'Inhoud bevat'-voorwaarde is op 'Kredietkaartnommer' gestel (met 'n minimum telling van 1 en akkuraatheid van 'Enige').
  3. Voeg voorwaarde by: Klik Voeg voorwaarde by en kies Ontvanger is > Ekstern.
  4. Actions: In die Actions-afdeling, stel op:
    • Blokkeer toegang of enkripteer inhoud: Merk Blokkeer gebruikers om toegang te verkry tot inhoud (Blokkeer alles).
    • Gebruikerkennisgewings: Merk Stel gebruikers in kennis met 'n beleidwenk en pasmaak die boodskap indien verlang.
    • Gebruikersverwaarlosing: (Opsioneel) Laat gebruikers toe om blokkering te omseil met 'n regverdiging. Vir kredietkaartdata word dit oor die algemeen nie aanbeveel nie.
    • Insident Reports: Merk 'Stuur 'n waarskuwing aan administrateurs' en 'Stuur 'n voorvalverslag aan administrateurs'.
  5. Klik Stoor.
  6. Klik Volgende.

Stap 6: Beleidinstellings

  1. Beleidmodus: Kies Toets eers (om impak te monitor sonder om te blokkeer) of Aktiveer nou (om handelinge onmiddellik toe te pas).
    • Wenk: Begin altyd met Toets Eerste om die impak te evalueer en die beleid aan te pas voordat die blok toegepas word.
  2. Klik Volgende.

Stap 7: Voltooi

  1. Hersien die polisopsomming.
  2. Klik Skep.

4. Konfigureer eindpunt DLP (opsioneel, maar aanbeveel)

Om data op Windows- en macOS-toestelle te beskerm, moet jy Endpoint DLP opstel. Dit laat jou toe om aksies te monitor en te beperk, soos kopieer na USB, plak in nie-toegelate toepassings, oplaai na wolkdienste, ens.

  1. Gaan in die Microsoft Purview-nakomingsportaal na Dataverliesvoorkoming > Instellings.
  2. Kies Eindpunt DLP-instellings.
  3. Maak seker dat Toestelmonitering Aan is.
  4. Stel die Beperkings vir nie-toegelate domeingroepe en wolkdienste en Beperkings vir nie-toegelate toepassings op.
  5. Vir toestelle om gemonitor te word, moet hulle in Microsoft Defender for Endpoint aan boord wees en die DLP-koppelaar geaktiveer wees [4].

Bekragtiging en toetsing

Die validering van DLP-beleide is van kritieke belang om te verseker dat dit werk soos verwag en nie vals positiewes veroorsaak nie.

1. Toets die E-pos DLP-beleid

  1. Skep 'n toets-e-pos: Skep 'n nuwe e-pos in 'n e-poskliënt (Outlook Web App of Outlook Desktop).
  2. Sluit sensitiewe inligting in: In die liggaam van die e-pos, voer 'n geldige kredietkaartnommer in (gebruik 'n nie-regte toetsnommer, of 'n toetsnommergenerator vir simulasiedoeleindes, soos 4111-1111-1111-1111).
  3. Stuur aan 'n eksterne ontvanger: Adresseer die e-pos aan 'n e-posadres buite jou organisasie.
  4. Let op die beleidwenk: As die beleid in toetsmodus is, behoort die gebruiker 'n beleidwenk te sien wat sê dat die e-pos sensitiewe inligting bevat.
  5. Gaan verslae na: Gaan in die Microsoft Purview-nakomingsportaal na Dataverliesvoorkoming > Waarskuwings of Verslae.
    • Kontroleer of 'n waarskuwing vir DLP-beleidopsporing gegenereer is.
    • Hersien die DLP-beleidpassingsverslag om diese besonderhede van die bespeurde e-pos.

2. Toets die eindpunt DLP-beleid (indien opgestel)

  1. Op 'n Windows-aanboordtoestel vir Endpoint DLP, skep 'n dokument (bv. Word, Notepad) en voer 'n toetskredietkaartnommer in.
  2. Probeer om die kredietkaartnommer na 'n USB-toestel te kopieer of probeer om dit in 'n ongeoorloofde toepassing te plak.
  3. Die Endpoint DLP-beleid moet die aksie blokkeer en/of die gebruiker in kennis stel, afhangende van die instellings.
  4. Gaan Endpoint DLP-verslae na in die Microsoft Purview-portaal.

Sekuriteitswenke en beste praktyke

  • Geleidelike Implementering: Begin met beleide in ouditmodus ('Toets eers') om die impak te verstaan en reëls te verfyn voordat blokkering toegepas word.
  • Gebruikersopvoeding: Lei gebruikers op oor wat sensitiewe data is, waarom DLP-beleide bestaan ​​en hoe om oortredings te voorkom. Beleidswenke is waardevolle hulpmiddels vir intydse onderwys.
  • Dataklassifikasie: Kombineer DLP met dataklassifikasie en -etikettering (Microsoft Information Protection) vir meer effektiewe beskerming. DLP-beleide kan deur sensitiwiteitsetikette geaktiveer word.
  • Deurlopende hersiening en aanpassing: Die data-omgewing en regulasies verander. Hersien en pas jou DLP-beleide gereeld aan om te verseker dat dit relevant en doeltreffend bly.
  • Insidentmonitering: Monitor DLP-waarskuwings en verslae aktief om oortredingspatrone, hoërisiko-gebruikers en leemtes in beskerming te identifiseer.
  • Beleidsomvang: Wees fyn in die beleidsomvang. Pas meer beperkende beleide toe op hoërisiko-gebruikersgroepe of -data.

Algemene probleemoplossing

  • Vals positiewe (onbehoorlike blokkasies): As wettige e-posse of aksies geblokkeer word, hersien die polisvoorwaardes. Pas instansietelling of TIS-presisie aan. Oorweeg dit om uitsonderings vir vertroude senders of domeine by te voeg (met omsigtigheid).
  • Vals negatiewe (Sensitiewe data-oordrag): Indien sensitiewe data nie opgespoor word nie, verifieer dat die TIS korrek opgestel is en dat die instansietelling en akkuraatheid voldoende is. Maak seker dat die beleid op die korrekte liggings en gebruikers toegepas word.
  • Beleidswenke verskyn nie: Kyk of gebruikerkennisgewings in die beleid geaktiveer is. Maak seker dat jou e-poskliënt (Outlook) op datum is en beleidswenke ondersteun.
  • Eindpunt DLP werk nie: Kontroleer dat toestelle in Microsoft Defender vir Endpoint aan boord is en dat die Endpoint DLP-koppelaar in die Purview-portaal geaktiveer is. Gaan die gebeurtenislogboeke op die toestel na vir foute.
  • Vertragings vir beleidstoepassing: Dit kan 'n rukkie neem vir DLP-beleide om op alle dienste te versprei en van toepassing te wees. Wag 'n paar uur en toets weer.

Gevolgtrekking

Die opstel van Data Loss Prevention (DLP)-beleide in Microsoft Purview is 'n kritieke stap in die beskerming van 'n organisasie se sensitiewe inligting en die versekering van regulatoriese voldoening. Deur die vloei van sensitiewe data oor verskeie liggings te identifiseer, te monitor en te beheer, bemagtig Microsoft Purview DLP maatskappye om die risiko van datalekkasies, hetsy toevallig of opsetlik, te verminder. Die suksesvolle implementering van 'n DLP-strategie vereis noukeurige beplanning, streng toetsing en 'n deurlopende verbintenis tot gebruikersopvoeding en beleidsverfyning. Met die gereedskap en leiding wat in hierdie artikel verskaf word, kan sekuriteitspanne 'n robuuste verdediging bou wat die organisasie se waardevolste inligtingsbates beskerm.

Verwysings:

[1] Microsoft Learn. Kom meer te wete oor die voorkoming van dataverlies. Beskikbaar by: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp [2] Microsoft Learn. Wat is Microsoft Purview?. Beskikbaar by: https://learn.microsoft.com/pt-br/purview/overview [3] Microsoft Learn. Lisensiëringsvereistes vir die voorkoming van dataverlies. Beskikbaar by: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp#licensing-requirements-for-data-loss-prevention [4] Microsoft Learn. Inleiding tot voorkomingBeskerm teen eindpuntdataverlies. Beskikbaar by: https://learn.microsoft.com/pt-br/purview/endpoint-dlp-getting-started