DLP (Data Loss Prevention) configureren op Microsoft Purview

DLP (Data Loss Prevention) configureren op Microsoft Purview

01/04/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het configureren en implementeren van Data Loss Prevention (DLP)-beleid in Microsoft Purview. DLP is een strategie en een reeks tools die organisaties helpen de openbaarmaking, het misbruik of het verlies van gevoelige gegevens te voorkomen, zodat kritieke informatie veilig blijft en voldoet aan de regelgeving [1].

Introductie

In een steeds digitalere wereld met strengere regels voor gegevensprivacy (zoals GDPR, LGPD, HIPAA) is het beschermen van gevoelige informatie een topprioriteit. Gegevensverlies, hetzij als gevolg van een ongeluk, menselijke fout of kwaadwillige bedoelingen, kan leiden tot aanzienlijke financiële schade, boetes van toezichthouders en ernstige reputatieschade. Microsoft Purview biedt een uitgebreide DLP-oplossing waarmee organisaties gevoelige gegevens in Microsoft 365, Azure, eindpunten, cloudapplicaties en andere locaties kunnen identificeren, bewaken en beschermen [2].

Deze praktische gids behandelt de essentiële stappen voor het configureren van DLP-beleid in Microsoft Purview, van het identificeren van gevoelige gegevens tot het maken en implementeren van beleid, validatie en best practices. Er worden stapsgewijze instructies, configuratievoorbeelden en validatiemethoden verstrekt, zodat de lezer een effectieve DLP-strategie kan implementeren, vertrouwelijke informatie kan beschermen en naleving van de regelgeving kan garanderen.

Waarom is Microsoft Purview DLP cruciaal?

  • Uitgebreide identificatie: Detecteert een breed scala aan gevoelige informatietypen (TIS) en kan worden uitgebreid met trainbare classificaties.
  • Dekking op meerdere locaties: Beschermt gegevens in rust, in gebruik en onderweg via Microsoft Exchange Online, SharePoint Online, OneDrive voor Bedrijven, Microsoft Teams, Windows/macOS-apparaten en cloudapplicaties.
  • Granulaire controle: Hiermee kunt u beleid definiëren met specifieke voorwaarden en acties voor verschillende soorten gegevens, gebruikers en locaties.
  • Naleving van regelgeving: Helpt organisaties te voldoen aan de vereisten voor gegevensprivacy en brancheregelgeving.
  • Zichtbaarheid en rapportage: Biedt gedetailleerde rapporten over gegevensactiviteit en DLP-beleidsdetecties.

Vereisten

Om DLP op Microsoft Purview te configureren, hebt u de volgende items nodig:

  1. Licenties: een licentie die Microsoft Purview DLP omvat. Dit is vaak onderdeel van pakketten zoals Microsoft 365 E5 Compliance, Microsoft 365 E5, of kan als add-on worden aangeschaft [3].
  2. Beheerderstoegang: een account met de machtigingen Compliance Administrator, Compliance Data Administrator of Global Administrator op de Microsoft Purview-complianceportal (https://compliance.microsoft.com).
  3. Gegevens in Microsoft 365: Om beleid te testen is het ideaal om bepaalde gegevens (e-mails, documenten) die gevoelige informatie bevatten in uw Microsoft 365-omgeving te hebben.

Stap voor stap: Beleid ter voorkoming van gegevensverlies (DLP) configureren

Laten we een DLP-beleid opstellen om het delen van creditcardnummers met externe gebruikers via e-mail te detecteren en te blokkeren.

1. Toegang tot de Microsoft Purview Compliance Portal

  1. Open uw browser en navigeer naar https://compliance.microsoft.com.
  2. Log in met een account dat over de benodigde rechten beschikt.

2. Gevoelige informatie identificeren

Microsoft Purview DLP gebruikt Sensitive Information Types (TIS) om gevoelige gegevens te identificeren. Het wordt geleverd met honderden vooraf geconfigureerde TIS's, maar u kunt ook uw eigen TIS maken.

  1. Selecteer in het linkernavigatievenster Gegevensclassificatie > Gevoelige informatietypen.
  2. U kunt zoeken naar bestaande TIS (bijvoorbeeld 'Creditcardnummer') om hun definities te zien en hoe ze worden gedetecteerd.

3. Een DLP-beleid creëren

Laten we een DLP-beleid maken met behulp van een vooraf gedefinieerde sjabloon en deze aanpassen.

  1. Selecteer in het linkernavigatievenster Voorkomen van gegevensverlies > Beleid.
  2. Klik op + Beleid maken.

Stap 1: Kies een sjabloon of maak een aangepast beleid

  1. Categorieën: Selecteer Financieel.
  2. Sjablonen: Selecteer 'Amerikaanse financiële gegevens'.
  3. Klik op Volgende.

Stap 2: Geef het beleid een naam

  1. Naam: Creditcard blokkeren voor externe partijen.
  2. Beschrijving: Detecteert en blokkeert het verzenden van creditcardnummers naar externe ontvangers via e-mail.
  3. Klik op Volgende.

Stap 3: Kies locaties om het beleid toe te passen

  1. Locaties: voor dit voorbeeld concentreren we ons op e-mails. Schakel 'Exchange-mailboxen' in.
    • (Optioneel) U kunt andere locaties inschakelen, zoals SharePoint Sites, OneDrive Accounts, Teams Messages en Devices (voor Endpoint DLP) als u over de benodigde licenties en configuraties beschikt.
  2. Toepassen op: Selecteer 'Alle gebruikers' of 'Kies specifieke gebruikers, groepen of distributiegroepen' voor een gedetailleerder bereik.
  3. Klik op Volgende.

Stap 4: Pas de beleidsinstellingen aan

  1. Selecteer 'Geavanceerde beleidsinstellingen aanpassen'.
  2. Klik op Volgende.

Stap 5: Geavanceerde personalisatie-instellingen

U ziet een standaardregel die door de sjabloon is gemaakt. Laten we het bewerken.

  1. Klik op de bestaande regel (bijvoorbeeld 'Detecteer Amerikaanse financiële inhoud').
  2. Voorwaarden: zorg ervoor dat de voorwaarde 'Inhoud bevat' is ingesteld op 'Creditcardnummer' (met een minimumaantal van 1 en een precisie van 'Elk').
  3. Voorwaarde toevoegen: Klik op 'Voorwaarde toevoegen' en selecteer 'Ontvanger is' > 'Extern'.
  4. Acties: Configureer in de sectie Acties:
    • Toegang blokkeren of inhoud coderen: Vink 'Blokkeer gebruikers de toegang tot inhoud (blokkeer alles)' aan.
    • Gebruikersmeldingen: Vink 'Gebruikers op de hoogte brengen van een beleidstip' aan en pas het bericht indien gewenst aan.
    • Gebruikeroverschrijvingen: (Optioneel) Hiermee kunnen gebruikers de blokkering omzeilen met een rechtvaardiging. Voor creditcardgegevens wordt dit over het algemeen niet aanbevolen.
    • Incidentrapporten: Vink 'Stuur een waarschuwing naar beheerders' en 'Stuur een incidentrapport naar beheerders' aan.
  5. Klik op Opslaan.
  6. Klik op Volgende.

Stap 6: Beleidsinstellingen

  1. Beleidsmodus: Selecteer 'Eerst testen' (om de impact te monitoren zonder te blokkeren) of 'Nu activeren' (om acties onmiddellijk toe te passen).
    • Tip: Begin altijd met 'Test First' om de impact te beoordelen en het beleid aan te passen voordat u de blokkering toepast.
  2. Klik op Volgende.

Stap 7: Voltooien

  1. Bekijk het beleidsoverzicht.
  2. Klik op Maken.

4. Eindpunt-DLP configureren (optioneel, maar aanbevolen)

Om gegevens op Windows- en macOS-apparaten te beschermen, moet u Endpoint DLP configureren. Hiermee kunt u acties controleren en beperken, zoals kopiëren naar USB, plakken in niet-toegestane applicaties, uploaden naar cloudservices, enz.

  1. Ga in het nalevingsportal van Microsoft Purview naar Voorkomen van gegevensverlies > Instellingen.
  2. Selecteer Eindpunt DLP-instellingen.
  3. Zorg ervoor dat 'Apparaatbewaking' op 'Aan' staat.
  4. Configureer de 'Beperkingen voor niet-toegestane domeingroepen en cloudservices' en 'Beperkingen voor niet-toegestane applicaties'.
  5. Om apparaten te kunnen monitoren, moeten ze zijn opgenomen in Microsoft Defender for Endpoint en moeten de DLP-connector zijn ingeschakeld [4].

Validatie en testen

Het valideren van DLP-beleid is van cruciaal belang om ervoor te zorgen dat het werkt zoals verwacht en geen valse positieven veroorzaakt.

1. Het e-mail DLP-beleid testen

  1. Maak een test-e-mail: maak in een e-mailclient (Outlook Web App of Outlook Desktop) een nieuwe e-mail.
  2. Voeg gevoelige informatie toe: voer in de hoofdtekst van de e-mail een geldig creditcardnummer in (gebruik een niet-echt testnummer of een testnummergenerator voor simulatiedoeleinden, zoals 4111-1111-1111-1111).
  3. Verzenden naar een externe ontvanger: Adresseer de e-mail aan een e-mailadres buiten uw organisatie.
  4. Let op de beleidstip: als het beleid zich in de testmodus bevindt, zou de gebruiker een beleidstip moeten zien waarin staat dat de e-mail gevoelige informatie bevat.
  5. Rapporten controleren: Ga in de Microsoft Purview-complianceportal naar Voorkomen van gegevensverlies > Waarschuwingen of Rapporten.
    • Controleer of er een waarschuwing is gegenereerd voor detectie van DLP-beleid.
    • Bekijk het rapport over DLP-beleidsovereenkomsten om des details van de gedetecteerde e-mail.

2. Het Endpoint DLP-beleid testen (indien geconfigureerd)

  1. Maak op een Windows-apparaat voor Endpoint DLP een document (bijvoorbeeld Word, Kladblok) en voer een testcreditcardnummer in.
  2. Probeer het creditcardnummer naar een USB-apparaat te kopiëren of in een niet-toegestane toepassing te plakken.
  3. Het Endpoint DLP-beleid moet de actie blokkeren en/of de gebruiker op de hoogte stellen, afhankelijk van de instellingen.
  4. Controleer Endpoint DLP-rapporten in de Microsoft Purview-portal.

Beveiligingstips en best practices

  • Geleidelijke implementatie: Begin met beleid in de auditmodus (Eerst testen) om de impact te begrijpen en de regels te verfijnen voordat u blokkering toepast.
  • Gebruikerseducatie: Train gebruikers over wat gevoelige gegevens zijn, waarom er DLP-beleid bestaat en hoe u inbreuken kunt voorkomen. Beleidstips zijn waardevolle hulpmiddelen voor realtime onderwijs.
  • Gegevensclassificatie: Combineer DLP met gegevensclassificatie en -labeling (Microsoft Information Protection) voor effectievere bescherming. DLP-beleid kan worden geactiveerd door gevoeligheidslabels.
  • Voortdurende evaluatie en aanpassing: De dataomgeving en regelgeving veranderen. Controleer en pas uw DLP-beleid regelmatig aan om ervoor te zorgen dat het relevant en effectief blijft.
  • Incidentmonitoring: controleer actief DLP-waarschuwingen en -rapporten om inbreukpatronen, gebruikers met een hoog risico en gaten in de bescherming te identificeren.
  • Beleidsbereik: wees gedetailleerd in het beleidsbereik. Pas een restrictiever beleid toe op gebruikersgroepen of gegevens met een hoog risico.

Algemene probleemoplossing

  • False Positives (onjuiste blokkeringen): als legitieme e-mails of acties worden geblokkeerd, raadpleeg dan de polisvoorwaarden. Pas het aantal exemplaren of de TIS-precisie aan. Overweeg uitzonderingen toe te voegen voor vertrouwde afzenders of domeinen (met de nodige voorzichtigheid).
  • Valse negatieven (doorgeven van gevoelige gegevens): Als er geen gevoelige gegevens worden gedetecteerd, controleer dan of de TIS correct is geconfigureerd en of het aantal exemplaren en de nauwkeurigheid voldoende zijn. Zorg ervoor dat het beleid wordt toegepast op de juiste locaties en gebruikers.
  • Beleidstips verschijnen niet: controleer of gebruikersmeldingen zijn ingeschakeld in het beleid. Zorg ervoor dat uw e-mailclient (Outlook) up-to-date is en beleidstips ondersteunt.
  • Eindpunt DLP werkt niet: controleer of apparaten zijn opgenomen in Microsoft Defender voor Endpoint en of de Endpoint DLP-connector is ingeschakeld in de Purview-portal. Controleer de gebeurtenislogboeken op het apparaat op fouten.
  • Vertragingen bij het afdwingen van beleid: het kan enige tijd duren voordat het DLP-beleid wordt doorgevoerd en toegepast op alle services. Wacht een paar uur en test opnieuw.

Conclusie

Het configureren van Data Loss Prevention (DLP)-beleid in Microsoft Purview is een cruciale stap bij het beschermen van de gevoelige informatie van een organisatie en het garanderen van naleving van de regelgeving. Door de stroom van gevoelige gegevens over meerdere locaties te identificeren, monitoren en controleren, stelt Microsoft Purview DLP bedrijven in staat het risico op datalekken, zowel per ongeluk als opzettelijk, te beperken. Het succesvol implementeren van een DLP-strategie vereist een zorgvuldige planning, rigoureus testen en een voortdurende inzet voor gebruikerseducatie en beleidsverfijning. Met de tools en richtlijnen in dit artikel kunnen beveiligingsteams een robuuste verdediging opbouwen die de meest waardevolle informatiemiddelen van de organisatie beschermt.

Referenties:

[1] Microsoft Leer. Meer informatie over het voorkomen van gegevensverlies. Beschikbaar op: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp [2] Microsoft Leer. Wat is Microsoft Purview?. Beschikbaar op: https://learn.microsoft.com/pt-br/purview/overview [3] Microsoft Leer. Licentievereisten voor preventie van gegevensverlies. Beschikbaar op: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp#licensing-requirements-for-data-loss-prevention [4] Microsoft Leer. Inleiding tot preventieBescherm tegen verlies van eindpuntgegevens. Beschikbaar op: https://learn.microsoft.com/pt-br/purview/endpoint-dlp-getting-started