Konfigurieren von DLP (Data Loss Prevention) in Microsoft Purview

Konfigurieren von DLP (Data Loss Prevention) in Microsoft Purview

01.04.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Konfiguration und Implementierung von Data Loss Prevention (DLP)-Richtlinien in Microsoft Purview helfen. DLP ist eine Strategie und eine Reihe von Tools, die Unternehmen dabei helfen, die Offenlegung, den Missbrauch oder den Verlust sensibler Daten zu verhindern und sicherzustellen, dass kritische Informationen sicher bleiben und den Vorschriften entsprechen [1].

Einführung

In einer zunehmend digitalen Welt mit strengeren Datenschutzbestimmungen (wie DSGVO, LGPD, HIPAA) hat der Schutz sensibler Informationen höchste Priorität. Datenverlust, sei es durch Unfall, menschliches Versagen oder böswillige Absicht, kann zu erheblichen finanziellen Schäden, Bußgeldern und schwerwiegenden Reputationsschäden führen. Microsoft Purview bietet eine umfassende DLP-Lösung, die Unternehmen dabei hilft, sensible Daten in Microsoft 365, Azure, Endpunkten, Cloud-Anwendungen und anderen Standorten zu identifizieren, zu überwachen und zu schützen [2].

In diesem praktischen Leitfaden werden die wesentlichen Schritte zum Konfigurieren von DLP-Richtlinien in Microsoft Purview behandelt, von der Identifizierung sensibler Daten bis hin zur Erstellung und Bereitstellung von Richtlinien, Validierung und Best Practices. Es werden Schritt-für-Schritt-Anleitungen, Konfigurationsbeispiele und Validierungsmethoden bereitgestellt, damit der Leser eine effektive DLP-Strategie umsetzen, vertrauliche Informationen schützen und die Einhaltung gesetzlicher Vorschriften sicherstellen kann.

Warum ist Microsoft Purview DLP so wichtig?

  • Umfassende Identifizierung: Erkennt eine Vielzahl vertraulicher Informationstypen (TIS) und kann mit trainierbaren Klassifikatoren erweitert werden.
  • Multi-Site-Abdeckung: Schützt ruhende, verwendete und übertragene Daten über Microsoft Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Windows-/macOS-Geräte und Cloud-Anwendungen.
  • Granulare Kontrolle: Ermöglicht die Definition von Richtlinien mit spezifischen Bedingungen und Aktionen für verschiedene Datentypen, Benutzer und Standorte.
  • Einhaltung gesetzlicher Vorschriften: Hilft Unternehmen bei der Einhaltung von Datenschutzanforderungen und Branchenvorschriften.
  • Sichtbarkeit und Berichterstattung: Bietet detaillierte Berichte über Datenaktivitäten und DLP-Richtlinienerkennungen.

Voraussetzungen

Um DLP auf Microsoft Purview zu konfigurieren, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: Eine Lizenz, die Microsoft Purview DLP umfasst. Dies ist oft Teil von Paketen wie Microsoft 365 E5 Compliance, Microsoft 365 E5 oder kann als Add-on erworben werden [3].
  2. Administratorzugriff: Ein Konto mit den Berechtigungen „Compliance-Administrator“, „Compliance-Datenadministrator“ oder „Globaler Administrator“ im Microsoft Purview-Compliance-Portal („https://compliance.microsoft.com“).
  3. Daten in Microsoft 365: Zum Testen von Richtlinien ist es ideal, einige Daten (E-Mails, Dokumente) in Ihrer Microsoft 365-Umgebung zu haben, die vertrauliche Informationen enthalten.

Schritt für Schritt: Richtlinien zur Verhinderung von Datenverlust (DLP) konfigurieren

Lassen Sie uns eine DLP-Richtlinie erstellen, um die Weitergabe von Kreditkartennummern an externe Benutzer per E-Mail zu erkennen und zu blockieren.

1. Zugriff auf das Microsoft Purview Compliance Portal

  1. Öffnen Sie Ihren Browser und navigieren Sie zu „https://compliance.microsoft.com“.
  2. Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.

2. Identifizieren sensibler Informationen

Microsoft Purview DLP verwendet Sensitive Information Types (TIS), um vertrauliche Daten zu identifizieren. Im Lieferumfang sind Hunderte vorkonfigurierter TIS enthalten, Sie können aber auch Ihre eigenen erstellen.

  1. Wählen Sie im linken Navigationsbereich Datenklassifizierung > Typen vertraulicher Informationen aus.
  2. Sie können nach vorhandenen TIS (z. B. „Kreditkartennummer“) suchen, um deren Definitionen und ihre Erkennung anzuzeigen.

3. Erstellen einer DLP-Richtlinie

Lassen Sie uns eine DLP-Richtlinie mithilfe einer vordefinierten Vorlage erstellen und diese anpassen.

  1. Wählen Sie im linken Navigationsbereich Schutz vor Datenverlust > Richtlinien.
  2. Klicken Sie auf + Richtlinie erstellen.

Schritt 1: Wählen Sie eine Vorlage oder erstellen Sie eine benutzerdefinierte Richtlinie

  1. Kategorien: Wählen Sie „Finanzen“.
  2. Vorlagen: Wählen Sie „US-Finanzdaten“.
  3. Klicken Sie auf Weiter.

Schritt 2: Benennen Sie die Richtlinie

  1. Name: „Kreditkarte für Externe sperren“.
  2. Beschreibung: „Erkennt und blockiert den Versand von Kreditkartennummern an externe Empfänger per E-Mail.“
  3. Klicken Sie auf Weiter.

Schritt 3: Wählen Sie Standorte aus, an denen die Richtlinie angewendet werden soll

  1. Standorte: In diesem Beispiel konzentrieren wir uns auf E-Mails. Aktivieren Sie „Exchange-Postfächer“.
    • (Optional) Sie können andere Speicherorte wie „SharePoint-Sites“, „OneDrive-Konten“, „Teams-Nachrichten“ und „Geräte“ (für Endpoint DLP) aktivieren, wenn Sie über die erforderlichen Lizenzen und Konfigurationen verfügen.
  2. Anwenden auf: Wählen Sie „Alle Benutzer“ oder „Bestimmte Benutzer, Gruppen oder Verteilergruppen auswählen“ für einen detaillierteren Bereich.
  3. Klicken Sie auf Weiter.

Schritt 4: Richtlinieneinstellungen anpassen

  1. Wählen Sie „Erweiterte Richtlinieneinstellungen anpassen“.
  2. Klicken Sie auf Weiter.

Schritt 5: Erweiterte Personalisierungseinstellungen

Sie sehen eine von der Vorlage erstellte Standardregel. Lass es uns bearbeiten.

  1. Klicken Sie auf die bestehende Regel (z. B. „US-Finanzinhalte erkennen“).
  2. Bedingungen: Stellen Sie sicher, dass die Bedingung „Inhalt enthält“ auf „Kreditkartennummer“ eingestellt ist (mit einer Mindestanzahl von 1 und einer Genauigkeit von „Beliebig“).
  3. Bedingung hinzufügen: Klicken Sie auf „Bedingung hinzufügen“ und wählen Sie „Empfänger ist“ > „Extern“.
  4. Aktionen: Konfigurieren Sie im Abschnitt „Aktionen“ Folgendes:
    • Zugriff blockieren oder Inhalte verschlüsseln: Aktivieren Sie „Benutzern den Zugriff auf Inhalte blockieren (Alle blockieren)“.
    • Benutzerbenachrichtigungen: Aktivieren Sie „Benutzer mit einem Richtlinientipp benachrichtigen“ und passen Sie die Nachricht bei Bedarf an.
    • Benutzerüberschreibungen: (Optional) Ermöglicht Benutzern das Umgehen der Blockierung mit einer Begründung. Für Kreditkartendaten ist dies grundsätzlich nicht zu empfehlen.
    • Vorfallberichte: Aktivieren Sie „Alarm an Administratoren senden“ und „Vorfallbericht an Administratoren senden“.
  5. Klicken Sie auf Speichern.
  6. Klicken Sie auf Weiter.

Schritt 6: Richtlinieneinstellungen

  1. Richtlinienmodus: Wählen Sie „Zuerst testen“ (um die Auswirkungen ohne Blockierung zu überwachen) oder „Jetzt aktivieren“ (um Aktionen sofort anzuwenden).
    • Tipp: Beginnen Sie immer mit „Zuerst testen“, um die Auswirkungen zu bewerten und die Richtlinie anzupassen, bevor Sie die Sperre anwenden.
  2. Klicken Sie auf Weiter.

Schritt 7: Fertig stellen

  1. Sehen Sie sich die Richtlinienzusammenfassung an.
  2. Klicken Sie auf Erstellen.

4. Endpoint DLP konfigurieren (optional, aber empfohlen)

Um Daten auf Windows- und macOS-Geräten zu schützen, müssen Sie Endpoint DLP konfigurieren. Dadurch können Sie Aktionen wie das Kopieren auf USB, das Einfügen in unzulässige Anwendungen, das Hochladen in Cloud-Dienste usw. überwachen und einschränken.

  1. Gehen Sie im Microsoft Purview-Compliance-Portal zu Data Loss Prevention > Einstellungen.
  2. Wählen Sie Endpoint DLP-Einstellungen.
  3. Stellen Sie sicher, dass „Geräteüberwachung“ aktiviert ist.
  4. Konfigurieren Sie die „Einschränkungen für unzulässige Domänengruppen und Cloud-Dienste“ und „Einschränkungen für unzulässige Anwendungen“.
  5. Damit Geräte überwacht werden können, müssen sie in Microsoft Defender für Endpoint integriert sein und den DLP-Connector aktiviert haben [4].

Validierung und Tests

Die Validierung von DLP-Richtlinien ist von entscheidender Bedeutung, um sicherzustellen, dass sie wie erwartet funktionieren und keine Fehlalarme verursachen.

1. Testen der E-Mail-DLP-Richtlinie

  1. Test-E-Mail erstellen: Erstellen Sie in einem E-Mail-Client (Outlook Web App oder Outlook Desktop) eine neue E-Mail.
  2. Geben Sie vertrauliche Informationen an: Geben Sie im Text der E-Mail eine gültige Kreditkartennummer ein (verwenden Sie eine nicht echte Testnummer oder einen Testnummerngenerator für Simulationszwecke, z. B. „4111-1111-1111-1111“).
  3. An einen externen Empfänger senden: Richten Sie die E-Mail an eine E-Mail-Adresse außerhalb Ihrer Organisation.
  4. Beachten Sie den Richtlinienhinweis: Wenn sich die Richtlinie im Testmodus befindet, sollte dem Benutzer ein Richtlinienhinweis angezeigt werden, der besagt, dass die E-Mail vertrauliche Informationen enthält.
  5. Berichte prüfen: Gehen Sie im Microsoft Purview Compliance-Portal zu Data Loss Prevention > Warnungen oder Berichte.
    • Überprüfen Sie, ob eine Warnung für die DLP-Richtlinienerkennung generiert wurde.
    • Sehen Sie sich den DLP-Richtlinienübereinstimmungsbericht ans Details der erkannten E-Mail.

2. Testen der Endpoint-DLP-Richtlinie (falls konfiguriert)

  1. Erstellen Sie auf einem Windows-integrierten Gerät für Endpoint DLP ein Dokument (z. B. Word, Notepad) und geben Sie eine Testkreditkartennummer ein.
  2. Versuchen Sie, die Kreditkartennummer auf ein USB-Gerät zu kopieren oder in eine nicht zugelassene Anwendung einzufügen.
  3. Die Endpoint-DLP-Richtlinie muss die Aktion blockieren und/oder den Benutzer benachrichtigen, abhängig von den Einstellungen.
  4. Überprüfen Sie die Endpoint-DLP-Berichte im Microsoft Purview-Portal.

Sicherheitstipps und Best Practices

  • Schrittweise Implementierung: Beginnen Sie mit Richtlinien im Prüfmodus („Zuerst testen“), um die Auswirkungen zu verstehen und die Regeln zu verfeinern, bevor Sie die Blockierung anwenden.
  • Benutzerschulung: Schulen Sie Benutzer darüber, was vertrauliche Daten sind, warum es DLP-Richtlinien gibt und wie Verstöße verhindert werden können. Richtlinientipps sind wertvolle Hilfsmittel für die Echtzeitbildung.
  • Datenklassifizierung: Kombinieren Sie DLP mit Datenklassifizierung und -kennzeichnung (Microsoft Information Protection) für einen wirksameren Schutz. DLP-Richtlinien können durch Vertraulichkeitsbezeichnungen ausgelöst werden.
  • Kontinuierliche Überprüfung und Anpassung: Die Datenumgebung und die Vorschriften ändern sich. Überprüfen und passen Sie Ihre DLP-Richtlinien regelmäßig an, um sicherzustellen, dass sie relevant und wirksam bleiben.
  • Vorfallüberwachung: Überwachen Sie DLP-Warnungen und -Berichte aktiv, um Verstoßmuster, Hochrisikobenutzer und Schutzlücken zu identifizieren.
  • Richtlinienumfang: Seien Sie im Richtlinienbereich detailliert. Wenden Sie restriktivere Richtlinien auf Benutzergruppen oder Daten mit hohem Risiko an.

Allgemeine Fehlerbehebung

  • False Positives (unsachgemäße Blockierungen): Wenn legitime E-Mails oder Aktionen blockiert werden, lesen Sie die Richtlinienbedingungen. Passen Sie die Instanzanzahl oder die TIS-Genauigkeit an. Erwägen Sie das Hinzufügen von Ausnahmen für vertrauenswürdige Absender oder Domänen (mit Vorsicht).
  • Falsche Negative (Übergabe sensibler Daten): Wenn keine sensiblen Daten erkannt werden, überprüfen Sie, ob das TIS richtig konfiguriert ist und ob die Instanzanzahl und -genauigkeit ausreichend sind. Stellen Sie sicher, dass die Richtlinie auf die richtigen Standorte und Benutzer angewendet wird.
  • Richtlinientipps werden nicht angezeigt: Überprüfen Sie, ob Benutzerbenachrichtigungen in der Richtlinie aktiviert sind. Stellen Sie sicher, dass Ihr E-Mail-Client (Outlook) auf dem neuesten Stand ist und Richtlinientipps unterstützt.
  • Endpoint DLP funktioniert nicht: Überprüfen Sie, ob Geräte in Microsoft Defender für Endpoint integriert sind und dass der Endpoint DLP-Connector im Purview-Portal aktiviert ist. Überprüfen Sie die Ereignisprotokolle auf dem Gerät auf Fehler.
  • Verzögerungen bei der Richtliniendurchsetzung: Es kann einige Zeit dauern, bis sich DLP-Richtlinien verbreiten und für alle Dienste gelten. Warten Sie ein paar Stunden und testen Sie erneut.

Fazit

Das Konfigurieren von DLP-Richtlinien (Data Loss Prevention) in Microsoft Purview ist ein entscheidender Schritt zum Schutz vertraulicher Informationen eines Unternehmens und zur Gewährleistung der Einhaltung gesetzlicher Vorschriften. Durch die Identifizierung, Überwachung und Steuerung des Flusses sensibler Daten über mehrere Standorte hinweg versetzt Microsoft Purview DLP Unternehmen in die Lage, das Risiko von Datenlecks, sei es versehentlich oder absichtlich, zu mindern. Die erfolgreiche Umsetzung einer DLP-Strategie erfordert eine sorgfältige Planung, strenge Tests und ein kontinuierliches Engagement für die Schulung der Benutzer und die Weiterentwicklung der Richtlinien. Mit den in diesem Artikel bereitgestellten Tools und Anleitungen können Sicherheitsteams eine robuste Verteidigung aufbauen, die die wertvollsten Informationsressourcen des Unternehmens schützt.

Referenzen:

[1] Microsoft Learn. Erfahren Sie mehr über die Verhinderung von Datenverlust. Verfügbar unter: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp [2] Microsoft Learn. Was ist Microsoft Purview?. Verfügbar unter: https://learn.microsoft.com/pt-br/purview/overview [3] Microsoft Learn. Lizenzanforderungen zur Verhinderung von Datenverlust. Verfügbar unter: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp#licensing-requirements-for-data-loss-prevention [4] Microsoft Learn. Einführung in die PräventionSchützen Sie sich vor Datenverlust am Endpunkt. Verfügbar unter: https://learn.microsoft.com/pt-br/purview/endpoint-dlp-getting-started