Configurazione DLP (Prevenzione della perdita di dati) su Microsoft Purview

Configurazione DLP (Prevenzione della perdita di dati) su Microsoft Purview

04/01/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare gli analisti della sicurezza, gli amministratori IT e gli ingegneri di sistema nella configurazione e nell'implementazione dei criteri DLP (Data Loss Prevention) in Microsoft Purview. DLP è una strategia e un insieme di strumenti che aiutano le organizzazioni a prevenire l'esposizione, l'uso improprio o la perdita di dati sensibili, garantendo che le informazioni critiche rimangano sicure e conformi alle normative [1].

Introduzione

In un mondo sempre più digitale con normative più severe sulla privacy dei dati (come GDPR, LGPD, HIPAA), la protezione delle informazioni sensibili è una priorità assoluta. La perdita di dati, sia per incidente, errore umano o dolo, può comportare notevoli danni finanziari, sanzioni normative e gravi danni alla reputazione. Microsoft Purview offre una soluzione DLP completa che aiuta le organizzazioni a identificare, monitorare e proteggere i dati sensibili su Microsoft 365, Azure, endpoint, applicazioni cloud e altre posizioni [2].

Questa guida pratica coprirà i passaggi essenziali per la configurazione dei criteri DLP in Microsoft Purview, dall'identificazione dei dati sensibili alla creazione e distribuzione di criteri, convalida e procedure consigliate. Verranno fornite istruzioni dettagliate, esempi di configurazione e metodi di convalida in modo che il lettore possa implementare una strategia DLP efficace, proteggendo le informazioni riservate e garantendo la conformità normativa.

Perché Microsoft Purview DLP è fondamentale?

  • Identificazione completa: rileva un'ampia gamma di tipi di informazioni sensibili (TIS) e può essere esteso con classificatori addestrabili.
  • Copertura multisito: protegge i dati inattivi, in uso e in transito su Microsoft Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, dispositivi Windows/macOS e applicazioni cloud.
  • Controllo granulare: consente di definire policy con condizioni e azioni specifiche per diversi tipi di dati, utenti e posizioni.
  • Conformità normativa: aiuta le organizzazioni a rispettare i requisiti sulla privacy dei dati e le normative di settore.
  • Visibilità e reporting: fornisce report dettagliati sull'attività dei dati e sui rilevamenti dei criteri DLP.

Prerequisiti

Per configurare DLP su Microsoft Purview, avrai bisogno dei seguenti elementi:

  1. Licenza: una licenza che include Microsoft Purview DLP. Questo fa spesso parte di pacchetti come Microsoft 365 E5 Compliance, Microsoft 365 E5 o può essere acquistato come componente aggiuntivo [3].
  2. Accesso amministrativo: un account con autorizzazioni di amministratore di conformità, amministratore dei dati di conformità o amministratore globale sul portale di conformità di Microsoft Purview (https://compliance.microsoft.com).
  3. Dati in Microsoft 365: per testare le policy, è ideale disporre di alcuni dati (e-mail, documenti) che contengono informazioni sensibili nell'ambiente Microsoft 365.

Passo dopo passo: configurazione delle policy di prevenzione della perdita di dati (DLP)

Creiamo una policy DLP per rilevare e bloccare la condivisione dei numeri di carta di credito con utenti esterni tramite posta elettronica.

1. Accesso al portale di conformità di Microsoft Purview

  1. Apri il browser e vai a "https://compliance.microsoft.com".
  2. Accedi con un account che disponga delle autorizzazioni necessarie.

2. Identificazione delle informazioni sensibili

Microsoft Purview DLP utilizza Tipi di informazioni sensibili (TIS) per identificare i dati sensibili. Viene fornito con centinaia di TIS preconfigurati, ma puoi anche crearne uno tuo.

  1. Nel riquadro di navigazione a sinistra, seleziona Classificazione dei dati > Tipi di informazioni sensibili.
  2. Puoi cercare i TIS esistenti (ad esempio "Numero di carta di credito") per vedere le loro definizioni e come vengono rilevati.

3. Creazione di una policy DLP

Creiamo un criterio DLP utilizzando un modello predefinito e personalizziamolo.

  1. Nel riquadro di navigazione a sinistra, seleziona Prevenzione della perdita di dati > Politiche.
  2. Fare clic su + Crea policy.

Passaggio 1: scegli un modello o crea una policy personalizzata

  1. Categorie: seleziona "Finanziario".
  2. Modelli: seleziona "Dati finanziari USA".
  3. Fare clic su Avanti.

Passaggio 2: assegnare un nome alla policy

  1. Nome: Blocco Carta di Credito per soggetti Esterni.
  2. Descrizione: Rileva e blocca l'invio di numeri di carta di credito a destinatari esterni tramite email.
  3. Fare clic su Avanti.

Passaggio 3: scegli le località in cui applicare la policy

  1. Posizioni: per questo esempio, ci concentreremo sulle email. Abilita "Cassette postali di Exchange".
    • (Facoltativo) Puoi abilitare altre posizioni come "Siti di SharePoint", "Account OneDrive", "Messaggi di Teams" e "Dispositivi" (per Endpoint DLP) se disponi delle licenze e delle configurazioni necessarie.
  2. Applica a: seleziona "Tutti gli utenti" o "Scegli utenti, gruppi o gruppi di distribuzione specifici" per un ambito più granulare.
  3. Fare clic su Avanti.

Passaggio 4: personalizzare le impostazioni dei criteri

  1. Selezionare "Personalizza impostazioni avanzate dei criteri".
  2. Fare clic su Avanti.

Passaggio 5: impostazioni di personalizzazione avanzate

Vedrai una regola predefinita creata dal modello. Modifichiamolo.

  1. Fare clic sulla regola esistente (ad esempio "Rileva contenuto finanziario statunitense").
  2. Condizioni: assicurati che la condizione "Il contenuto contiene" sia impostata su "Numero di carta di credito" (con un conteggio minimo pari a 1 e precisione pari a "Qualsiasi").
  3. Aggiungi condizione: fai clic su "Aggiungi condizione" e seleziona "Il destinatario è" > "Esterno".
  4. Azioni: nella sezione "Azioni", configura:
    • Blocca l'accesso o crittografa il contenuto: seleziona "Impedisci agli utenti di accedere ai contenuti (Blocca tutto)".
    • Notifiche utente: seleziona "Invia notifica agli utenti con un suggerimento sulla policy" e personalizza il messaggio, se lo desideri.
    • Sostituzioni utente: (facoltativo) consente agli utenti di ignorare il blocco con una giustificazione. Per i dati delle carte di credito generalmente non è consigliabile.
    • Rapporti sugli incidenti: seleziona "Invia un avviso agli amministratori" e "Invia un rapporto sugli incidenti agli amministratori".
  5. Fare clic su Salva.
  6. Fare clic su Avanti.

Passaggio 6: impostazioni dei criteri

  1. Modalità policy: seleziona "Test First" (per monitorare l'impatto senza bloccare) o "Attiva ora" (per applicare immediatamente le azioni).
    • Suggerimento: inizia sempre con "Test First" per valutare l'impatto e adattare la politica prima di applicare il blocco.
  2. Fare clic su Avanti.

Passaggio 7: terminare

  1. Esaminare il riepilogo della politica.
  2. Fare clic su Crea.

4. Configurazione DLP endpoint (facoltativo, ma consigliato)

Per proteggere i dati sui dispositivi Windows e macOS, è necessario configurare Endpoint DLP. Ciò consente di monitorare e limitare azioni come copiare su USB, incollare in applicazioni non consentite, caricare su servizi cloud, ecc.

  1. Nel portale di conformità di Microsoft Purview, vai a Prevenzione della perdita di dati > Impostazioni.
  2. Selezionare Impostazioni DLP endpoint.
  3. Assicurati che "Monitoraggio dispositivo" sia "Attivo".
  4. Configurare le "Restrizioni per gruppi di domini e servizi cloud non consentiti" e le "Restrizioni per applicazioni non consentite".
  5. Per poter monitorare i dispositivi, è necessario eseguire l'onboarding in Microsoft Defender per endpoint e avere il connettore DLP abilitato [4].

Convalida e test

La convalida delle policy DLP è fondamentale per garantire che funzionino come previsto e non causino falsi positivi.

1. Testare la policy DLP per la posta elettronica

  1. Crea un'e-mail di prova: in un client di posta elettronica (Outlook Web App o Outlook Desktop), crea una nuova e-mail.
  2. Includi informazioni sensibili: nel corpo dell'e-mail, inserisci un numero di carta di credito valido (utilizza un numero di prova non reale o un generatore di numeri di prova a scopo di simulazione, come "4111-1111-1111-1111").
  3. Invia a un destinatario esterno: indirizza l'e-mail a un indirizzo e-mail esterno alla tua organizzazione.
  4. Prendi nota del suggerimento sulla policy: se la policy è in modalità test, l'utente dovrebbe visualizzare un suggerimento sulla policy che informa che l'e-mail contiene informazioni sensibili.
  5. Controlla i report: nel portale di conformità di Microsoft Purview, vai a Prevenzione della perdita di dati > Avvisi o Report.
    • Controlla se è stato generato un avviso per il rilevamento dei criteri DLP.
    • Esamina il report sulle corrispondenze dei criteri DLP per vedere il files i dettagli dell'e-mail rilevata.

2. Test della policy DLP endpoint (se configurata)

  1. Su un dispositivo Windows integrato per Endpoint DLP, creare un documento (ad esempio Word, Blocco note) e inserire un numero di carta di credito di prova.
  2. Prova a copiare il numero della carta di credito su un dispositivo USB o a incollarlo in un'applicazione non consentita.
  3. Il criterio DLP endpoint deve bloccare l'azione e/o inviare una notifica all'utente, a seconda delle impostazioni.
  4. Controllare i report DLP degli endpoint nel portale Microsoft Purview.

Suggerimenti e best practice per la sicurezza

  • Implementazione graduale: inizia con le policy in modalità di controllo ("Test First") per comprenderne l'impatto e perfezionare le regole prima di applicare il blocco.
  • Formazione degli utenti: forma gli utenti su cosa sono i dati sensibili, perché esistono policy DLP e come prevenire le violazioni. I suggerimenti politici sono strumenti preziosi per l’istruzione in tempo reale.
  • Classificazione dei dati: combina DLP con la classificazione e l'etichettatura dei dati (Microsoft Information Protection) per una protezione più efficace. I criteri DLP possono essere attivati ​​dalle etichette di riservatezza.
  • Revisione e adeguamento continui: l'ambiente dei dati e le normative cambiano. Rivedi e modifica regolarmente le tue policy DLP per assicurarti che rimangano pertinenti ed efficaci.
  • Monitoraggio degli incidenti: monitora attivamente gli avvisi e i report DLP per identificare modelli di violazione, utenti ad alto rischio e lacune nella protezione.
  • Ambito della policy: essere granulare nell'ambito della policy. Applicare policy più restrittive ai gruppi di utenti o ai dati ad alto rischio.

Risoluzione dei problemi comuni

  • Falsi positivi (blocchi impropri): se vengono bloccate e-mail o azioni legittime, rivedere le condizioni della politica. Regola il conteggio delle istanze o la precisione del TIS. Valuta la possibilità di aggiungere eccezioni per mittenti o domini attendibili (con cautela).
  • Falsi negativi (passaggio di dati sensibili): se i dati sensibili non vengono rilevati, verificare che il TIS sia configurato correttamente e che il conteggio e la precisione delle istanze siano adeguati. Assicurati che la norma venga applicata alle posizioni e agli utenti corretti.
  • Suggerimenti sui criteri non visualizzati: controlla se le notifiche utente sono abilitate nel criterio. Assicurati che il tuo client di posta elettronica (Outlook) sia aggiornato e supporti i suggerimenti sui criteri.
  • Endpoint DLP non funzionante: verificare che i dispositivi siano onboarded in Microsoft Defender per endpoint e che il connettore Endpoint DLP sia abilitato nel portale Purview. Verificare la presenza di errori nei registri eventi del dispositivo.
  • Ritardi nell'applicazione delle policy: potrebbe essere necessario del tempo prima che le policy DLP si propaghino e si applichino a tutti i servizi. Attendi qualche ora e riprova.

Conclusione

La configurazione dei criteri DLP (Data Loss Prevention) in Microsoft Purview è un passaggio fondamentale per proteggere le informazioni sensibili di un'organizzazione e garantire la conformità normativa. Identificando, monitorando e controllando il flusso di dati sensibili in più sedi, Microsoft Purview DLP consente alle aziende di mitigare il rischio di fughe di dati, siano esse accidentali o intenzionali. Implementare con successo una strategia DLP richiede un'attenta pianificazione, test rigorosi e un impegno costante per la formazione degli utenti e il perfezionamento delle policy. Con gli strumenti e le indicazioni forniti in questo articolo, i team di sicurezza possono creare una solida difesa in grado di proteggere le risorse informative più preziose dell'organizzazione.

Riferimenti:

[1]Microsoft Learn. Ulteriori informazioni sulla prevenzione della perdita di dati. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp [2]Microsoft Learn. Che cos'è Microsoft Purview?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/purview/overview [3]Microsoft Learn. Requisiti di licenza per la prevenzione della perdita di dati. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp#licensing-requirements-for-data-loss-prevention [4]Microsoft Learn. Introduzione alla prevenzioneProteggiti dalla perdita di dati degli endpoint. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/purview/endpoint-dlp-getting-started