Konfigurace DLP (Data Loss Prevention) na Microsoft Purview

Konfigurace DLP (Data Loss Prevention) na Microsoft Purview

4. 1. 2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při konfiguraci a implementaci zásad Data Loss Prevention (DLP) v Microsoft Purview. DLP je strategie a sada nástrojů, které pomáhají organizacím předcházet vystavení, zneužití nebo ztrátě citlivých dat a zajistit, aby kritické informace zůstaly v bezpečí a byly v souladu s předpisy [1].

Úvod

Ve stále více digitálním světě s přísnějšími předpisy o ochraně osobních údajů (jako je GDPR, LGPD, HIPAA) je ochrana citlivých informací nejvyšší prioritou. Ztráta dat, ať už v důsledku nehody, lidské chyby nebo zlého úmyslu, může vést k významným finančním škodám, regulačním pokutám a vážnému poškození pověsti. Microsoft Purview nabízí komplexní řešení DLP, které pomáhá organizacím identifikovat, monitorovat a chránit citlivá data napříč Microsoft 365, Azure, koncovými body, cloudovými aplikacemi a dalšími umístěními [2].

Tato praktická příručka pokryje základní kroky pro konfiguraci zásad DLP v Microsoft Purview, od identifikace citlivých dat po vytváření a nasazení zásad, ověřování a osvědčené postupy. Budou poskytnuty podrobné pokyny, příklady konfigurace a metody ověřování, aby čtenář mohl implementovat účinnou strategii DLP, chránit důvěrné informace a zajistit soulad s předpisy.

Proč je Microsoft Purview DLP zásadní?

  • Komplexní identifikace: Detekuje širokou škálu typů citlivých informací (TIS) a lze ji rozšířit pomocí trénovatelných klasifikátorů.
  • Pokrytí více webů: Chrání data v klidu, při používání a při přenosu přes Microsoft Exchange Online, SharePoint Online, OneDrive pro firmy, Microsoft Teams, zařízení Windows/macOS a cloudové aplikace.
  • Granular Control: Umožňuje definovat zásady se specifickými podmínkami a akcemi pro různé typy dat, uživatelů a umístění.
  • Soulad s předpisy: Pomáhá organizacím dodržovat požadavky na ochranu osobních údajů a průmyslové předpisy.
  • Viditelnost a hlášení: Poskytuje podrobné zprávy o datové aktivitě a detekcích zásad DLP.

Předpoklady

Ke konfiguraci DLP na Microsoft Purview budete potřebovat následující položky:

  1. Licencování: Licence, která zahrnuje Microsoft Purview DLP. To je často součástí balíčků, jako je Microsoft 365 E5 Compliance, Microsoft 365 E5, nebo je lze zakoupit jako doplněk [3].
  2. Administrativní přístup: Účet s oprávněními Compliance Administrator, Compliance Data Administrator nebo Global Administrator na portálu shody Microsoft Purview (https://compliance.microsoft.com).
  3. Data v Microsoft 365: Pro testování zásad je ideální mít ve vašem prostředí Microsoft 365 nějaká data (e-maily, dokumenty), která obsahují citlivé informace.

Krok za krokem: Konfigurace zásad ochrany před ztrátou dat (DLP)

Pojďme vytvořit zásady DLP pro detekci a blokování sdílení čísel kreditních karet externím uživatelům prostřednictvím e-mailu.

1. Přístup k portálu Microsoft Purview Compliance Portal

  1. Otevřete prohlížeč a přejděte na https://compliance.microsoft.com.
  2. Přihlaste se pomocí účtu, který má potřebná oprávnění.

2. Identifikace citlivých informací

Microsoft Purview DLP používá k identifikaci citlivých dat Typy citlivých informací (TIS). Dodává se se stovkami předkonfigurovaných TIS, ale můžete si také vytvořit své vlastní.

  1. V levém navigačním panelu vyberte Klasifikace dat > Typy citlivých informací.
  2. Můžete vyhledat existující TIS (např. Číslo kreditní karty), abyste viděli jejich definice a způsob jejich zjišťování.

3. Vytvoření zásad DLP

Vytvořme politiku DLP pomocí předdefinované šablony a přizpůsobíme ji.

  1. V levém navigačním panelu vyberte Data Loss Prevention > Policies.
  2. Klikněte na + Vytvořit zásady.

Krok 1: Vyberte šablonu nebo vytvořte vlastní zásadu

  1. Kategorie: Vyberte možnost „Finanční“.
  2. Šablony: Vyberte možnost „Americké finanční údaje“.
  3. Klikněte na Další.

Krok 2: Pojmenujte zásady

  1. Název: Blokovat kreditní kartu pro externí strany.
  2. Popis: Detekuje a blokuje zasílání čísel kreditních karet externím příjemcům prostřednictvím e-mailu.
  3. Klikněte na Další.

Krok 3: Vyberte místa, kde chcete zásady použít

  1. Místa: V tomto příkladu se zaměříme na e-maily. Povolte „Výměnné poštovní schránky“.
    • (Volitelné) Pokud máte potřebné licence a konfigurace, můžete povolit další umístění, jako jsou „Weby SharePoint“, „Účty OneDrive“, „Zprávy týmů“ a „Zařízení“ (pro Endpoint DLP).
  2. Použít pro: Vyberte „Všichni uživatelé“ nebo „Vyberte konkrétní uživatele, skupiny nebo distribuční skupiny“ pro podrobnější rozsah.
  3. Klikněte na Další.

Krok 4: Upravte nastavení zásad

  1. Vyberte Přizpůsobit pokročilá nastavení zásad.
  2. Klikněte na Další.

Krok 5: Pokročilá nastavení přizpůsobení

Uvidíte výchozí pravidlo vytvořené šablonou. Pojďme to upravit.

  1. Klikněte na stávající pravidlo (např. „Zjistit finanční obsah USA“).
  2. Podmínky: Ujistěte se, že podmínka „Obsah obsahuje“ je nastavena na „Číslo kreditní karty“ (s minimálním počtem 1 a přesností „Jakékoli“).
  3. Přidat podmínku: Klikněte na „Přidat podmínku“ a vyberte „Příjemce je“ > „Externí“.
  4. Akce: V části „Akce“ nakonfigurujte:
    • Blokovat přístup nebo šifrovat obsah: Zaškrtněte Blokovat uživatelům přístup k obsahu (Blokovat vše).
    • Upozornění uživatelů: Zaškrtněte políčko „Upozornit uživatele tipem na zásady“ a v případě potřeby upravte zprávu.
    • Přepsání uživatele: (Volitelné) Umožňuje uživatelům obejít blokování s odůvodněním. Pro údaje o kreditní kartě se to obecně nedoporučuje.
    • Hlášení o incidentu: Zaškrtněte Odeslat upozornění administrátorům a Odeslat hlášení o incidentu administrátorům.
  5. Klikněte na Uložit.
  6. Klikněte na Další.

Krok 6: Nastavení zásad

  1. Režim zásad: Vyberte Test First (pro sledování dopadu bez blokování) nebo Activate Now (pro okamžité použití akcí).
    • Tip: Vždy začněte příkazem „Nejdříve otestovat“, abyste mohli posoudit dopad a upravit zásady před použitím blokování.
  2. Klikněte na Další.

Krok 7: Dokončete

  1. Projděte si souhrn zásad.
  2. Klikněte na Vytvořit.

4. Konfigurace DLP pro koncový bod (volitelné, ale doporučené)

Chcete-li chránit data na zařízeních Windows a macOS, musíte nakonfigurovat Endpoint DLP. To vám umožní sledovat a omezovat akce, jako je kopírování na USB, vkládání do nepovolených aplikací, nahrávání do cloudových služeb atd.

  1. Na portálu pro dodržování předpisů Microsoft Purview přejděte na Data Loss Prevention > Settings.
  2. Vyberte Nastavení DLP koncového bodu.
  3. Ujistěte se, že Device Monitoring je On.
  4. Nakonfigurujte „Omezení pro nepovolené skupiny domén a cloudové služby“ a „Omezení pro nepovolené aplikace“.
  5. Aby byla zařízení monitorována, musí být integrována v programu Microsoft Defender for Endpoint a musí mít povolený konektor DLP [4].

Validace a testování

Ověření zásad DLP je zásadní, aby bylo zajištěno, že fungují podle očekávání a nezpůsobují falešné poplachy.

1. Testování e-mailových zásad ochrany před únikem informací (DLP).

  1. Vytvořte testovací e-mail: V e-mailovém klientovi (Outlook Web App nebo Outlook Desktop) vytvořte nový e-mail.
  2. Zahrňte citlivé informace: V těle e-mailu zadejte platné číslo kreditní karty (použijte nereálné testovací číslo nebo generátor testovacích čísel pro účely simulace, např. „4111-1111-1111-1111“).
  3. Odeslat externímu příjemci: E-mail adresujte na e-mailovou adresu mimo vaši organizaci.
  4. Všimněte si tipu na zásady: Pokud je zásada v testovacím režimu, měl by se uživateli zobrazit tip na zásady uvádějící, že e-mail obsahuje citlivé informace.
  5. Kontrola sestav: Na portálu pro dodržování předpisů Microsoft Purview přejděte na Data Loss Prevention > Upozornění nebo Reports.
    • Zkontrolujte, zda bylo vygenerováno upozornění pro detekci zásad DLP.
    • Prohlédněte si zprávu o shodách zásad DLP, abyste vidělis podrobnosti o zjištěném e-mailu.

2. Testování zásad DLP koncového bodu (pokud je nakonfigurováno)

  1. Na integrovaném zařízení Windows pro Endpoint DLP vytvořte dokument (např. Word, Poznámkový blok) a zadejte číslo testovací kreditní karty.
  2. Zkuste zkopírovat číslo kreditní karty do zařízení USB nebo se pokuste je vložit do nepovolené aplikace.
  3. Zásada DLP koncového bodu musí akci zablokovat a/nebo upozornit uživatele v závislosti na nastavení.
  4. Zkontrolujte sestavy Endpoint DLP na portálu Microsoft Purview.

Bezpečnostní tipy a doporučené postupy

  • Postupná implementace: Začněte se zásadami v režimu auditu ("Nejdříve test"), abyste pochopili dopad a upřesnili pravidla před použitím blokování.
  • Vzdělávání uživatelů: Školte uživatele o tom, co jsou citlivá data, proč existují zásady DLP a jak předcházet jejich porušení. Politické tipy jsou cennými nástroji pro vzdělávání v reálném čase.
  • Klasifikace dat: Kombinujte DLP s klasifikací a označováním dat (Microsoft Information Protection) pro účinnější ochranu. Zásady DLP lze spouštět pomocí štítků citlivosti.
  • Neustálá kontrola a úprava: Datové prostředí a předpisy se mění. Pravidelně kontrolujte a upravujte své zásady DLP, abyste zajistili, že zůstanou relevantní a účinné.
  • Monitorování incidentů: Aktivně monitorujte výstrahy a zprávy DLP, abyste identifikovali vzorce porušení, vysoce rizikové uživatele a mezery v ochraně.
  • Rozsah zásad: V rozsahu zásad buďte podrobní. Aplikujte přísnější zásady na vysoce rizikové skupiny uživatelů nebo data.

Běžné odstraňování problémů

  • Falešně pozitivní (nesprávné blokování): Pokud jsou blokovány legitimní e-maily nebo akce, přečtěte si podmínky zásad. Upravte počet instancí nebo přesnost TIS. Zvažte přidání výjimek pro důvěryhodné odesílatele nebo domény (s opatrností).
  • Falešná negativa (předávání citlivých dat): Pokud nejsou citlivá data detekována, ověřte, zda je TIS správně nakonfigurován a zda je počet instancí a přesnost adekvátní. Ujistěte se, že jsou zásady aplikovány na správná místa a uživatele.
  • Tipy k zásadám se nezobrazují: Zkontrolujte, zda jsou v zásadách povolena upozornění pro uživatele. Ujistěte se, že váš e-mailový klient (Outlook) je aktuální a podporuje tipy k zásadám.
  • Nefunguje DLP pro koncový bod: Zkontrolujte, zda jsou zařízení integrována v programu Microsoft Defender for Endpoint a zda je na portálu Purview povolen konektor Endpoint DLP. Zkontrolujte protokoly událostí na zařízení, zda neobsahují chyby.
  • Zpoždění vynucení zásad: Může nějakou dobu trvat, než se zásady DLP rozšíří a uplatní ve všech službách. Počkejte několik hodin a otestujte znovu.

Závěr

Konfigurace zásad ochrany před ztrátou dat (DLP) v Microsoft Purview je zásadním krokem v ochraně citlivých informací organizace a zajištění souladu s předpisy. Identifikací, monitorováním a řízením toku citlivých dat na více místech umožňuje Microsoft Purview DLP společnostem zmírnit riziko úniku dat, ať už náhodných nebo úmyslných. Úspěšná implementace strategie DLP vyžaduje pečlivé plánování, přísné testování a neustálý závazek ke vzdělávání uživatelů a zdokonalování zásad. Pomocí nástrojů a pokynů uvedených v tomto článku mohou bezpečnostní týmy vybudovat robustní obranu, která chrání nejcennější informační aktiva organizace.

Reference:

[1] Microsoft Learn. Další informace o prevenci ztráty dat. Dostupné na: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp [2] Microsoft Learn. Co je Microsoft Purview?. Dostupné na: https://learn.microsoft.com/pt-br/purview/overview [3] Microsoft Learn. Licenční požadavky na ochranu před ztrátou dat. Dostupné na: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp#licensing-requirements-for-data-loss-prevention [4] Microsoft Learn. Úvod do prevenceChraňte se před ztrátou dat koncových bodů. Dostupné na: https://learn.microsoft.com/pt-br/purview/endpoint-dlp-getting-started