Настройка DLP (предотвращение потери данных) в Microsoft Purview

Настройка DLP (предотвращение потери данных) в Microsoft Purview

01.04.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам в настройке и реализации политик предотвращения потери данных (DLP) в Microsoft Purview. DLP — это стратегия и набор инструментов, которые помогают организациям предотвратить раскрытие, неправильное использование или потерю конфиденциальных данных, обеспечивая безопасность критически важной информации и ее соответствие нормативным требованиям [1].

Введение

В мире, который становится все более цифровым и имеет более строгие правила конфиденциальности данных (такие как GDPR, LGPD, HIPAA), защита конфиденциальной информации является главным приоритетом. Потеря данных, будь то в результате несчастного случая, человеческой ошибки или злого умысла, может привести к значительному финансовому ущербу, штрафам регулирующих органов и серьезному репутационному ущербу. Microsoft Purview предлагает комплексное решение DLP, которое помогает организациям идентифицировать, отслеживать и защищать конфиденциальные данные в Microsoft 365, Azure, конечных точках, облачных приложениях и других местах [2].

В этом практическом руководстве будут описаны основные шаги по настройке политик DLP в Microsoft Purview: от идентификации конфиденциальных данных до создания и развертывания политик, проверки и передового опыта. Будут предоставлены пошаговые инструкции, примеры конфигурации и методы проверки, чтобы читатель мог реализовать эффективную стратегию DLP, защищающую конфиденциальную информацию и обеспечивающую соответствие нормативным требованиям.

Почему Microsoft Purview DLP так важна?

  • Комплексная идентификация: обнаруживает широкий спектр типов конфиденциальной информации (TIS) и может быть расширена с помощью обучаемых классификаторов.
  • Охват нескольких сайтов: защищает данные при хранении, использовании и передаче через Microsoft Exchange Online, SharePoint Online, OneDrive для бизнеса, Microsoft Teams, устройства Windows/macOS и облачные приложения.
  • Детальный контроль: позволяет определять политики с конкретными условиями и действиями для разных типов данных, пользователей и местоположений.
  • Соответствие нормативным требованиям: помогает организациям соблюдать требования конфиденциальности данных и отраслевые нормы.
  • Видимость и отчетность: предоставляет подробные отчеты об активности данных и обнаружении политики DLP.

Предварительные условия

Чтобы настроить DLP в Microsoft Purview, вам потребуются следующие элементы:

  1. Лицензирование: лицензия, включающая Microsoft Purview DLP. Часто это часть таких пакетов, как Microsoft 365 E5 Compliance, Microsoft 365 E5, или его можно приобрести как надстройку [3].
  2. Административный доступ: учетная запись с разрешениями администратора соответствия, администратора данных соответствия или глобального администратора на портале соответствия Microsoft Purview (https://compliance.microsoft.com).
  3. Данные в Microsoft 365. Для тестирования политик идеально иметь некоторые данные (электронные письма, документы), содержащие конфиденциальную информацию, в вашей среде Microsoft 365.

Шаг за шагом: настройка политик предотвращения потери данных (DLP)

Давайте создадим политику DLP для обнаружения и блокировки передачи номеров кредитных карт внешним пользователям по электронной почте.

1. Доступ к порталу соответствия Microsoft Purview

  1. Откройте браузер и перейдите по адресу https://compliance.microsoft.com.
  2. Войдите в систему под учетной записью, имеющей необходимые разрешения.

2. Выявление конфиденциальной информации

Microsoft Purview DLP использует Типы конфиденциальной информации (TIS) для идентификации конфиденциальных данных. Он поставляется с сотнями предварительно настроенных TIS, но вы также можете создать свой собственный.

  1. На левой панели навигации выберите Классификация данных > Типы конфиденциальной информации.
  2. Вы можете выполнить поиск по существующим TIS (например, «Номер кредитной карты»), чтобы увидеть их определения и способы их обнаружения.

3. Создание политики DLP

Давайте создадим политику DLP, используя предопределенный шаблон, и настроим ее.

  1. На левой панели навигации выберите Предотвращение потери данных > Политики.
  2. Нажмите + Создать политику.

Шаг 1. Выберите шаблон или создайте собственную политику.

  1. Категории: выберите «Финансовые».
  2. Шаблоны: выберите «Финансовые данные США».
  3. Нажмите Далее.

Шаг 2. Назовите политику

  1. Название: «Блокировать кредитную карту для внешних лиц».
  2. Описание: «Обнаруживает и блокирует отправку номеров кредитных карт внешним получателям по электронной почте».
  3. Нажмите Далее.

Шаг 3. Выберите местоположения, к которым будет применена политика.

  1. Местоположения. В этом примере мы сосредоточимся на электронных письмах. Включите «Почтовые ящики Exchange».
    • (Необязательно) Вы можете включить другие местоположения, такие как «Сайты SharePoint», «Учетные записи OneDrive», «Сообщения команд» и «Устройства» (для Endpoint DLP), если у вас есть необходимые лицензии и конфигурации.
  2. Применить к: выберите «Все пользователи» или «Выбрать конкретных пользователей, группы или группы рассылки» для более детальной настройки области действия.
  3. Нажмите Далее.

Шаг 4. Настройте параметры политики

  1. Выберите «Настроить дополнительные параметры политики».
  2. Нажмите Далее.

Шаг 5. Расширенные настройки персонализации

Вы увидите правило по умолчанию, созданное с помощью шаблона. Давайте отредактируем его.

  1. Нажмите на существующее правило (например, «Обнаружение финансового контента в США»).
  2. Условия. Убедитесь, что для условия «Содержимое содержит» установлено значение «Номер кредитной карты» (с минимальным количеством 1 и точностью «Любая»).
  3. Добавить условие. Нажмите «Добавить условие» и выберите «Получатель» > «Внешний».
  4. Действия. В разделе «Действия» настройте:
    • Блокировать доступ или шифровать контент: установите флажок «Блокировать пользователям доступ к контенту (Блокировать все)».
    • Уведомления пользователей: установите флажок «Уведомлять пользователей с помощью подсказки о политике» и при необходимости настройте сообщение.
    • Переопределение пользователя: (необязательно) позволяет пользователям обходить блокировку с указанием обоснования. Для данных кредитной карты это обычно не рекомендуется.
    • Отчеты об инцидентах: установите флажки «Отправить оповещение администраторам» и «Отправить отчет об инцидентах администраторам».
  5. Нажмите Сохранить.
  6. Нажмите Далее.

Шаг 6. Настройки политики

  1. Режим политики: выберите «Сначала проверить» (чтобы отслеживать влияние без блокировки) или «Активировать сейчас» (чтобы применить действия немедленно).
    • Совет. Всегда начинайте с «Сначала протестируйте», чтобы оценить влияние и скорректировать политику перед применением блокировки.
  2. Нажмите Далее.

Шаг 7: Завершите

  1. Ознакомьтесь с кратким описанием политики.
  2. Нажмите Создать.

4. Настройка DLP конечной точки (необязательно, но рекомендуется)

Чтобы защитить данные на устройствах Windows и macOS, вам необходимо настроить Endpoint DLP. Это позволяет отслеживать и ограничивать такие действия, как копирование на USB, вставка в запрещенные приложения, загрузка в облачные сервисы и т. д.

  1. На портале соответствия требованиям Microsoft Purview выберите Предотвращение потери данных > Настройки.
  2. Выберите Настройки DLP конечной точки.
  3. Убедитесь, что для параметра «Мониторинг устройства» установлено значение «Вкл.».
  4. Настройте «Ограничения для запрещенных групп домена и облачных сервисов» и «Ограничения для запрещенных приложений».
  5. Чтобы устройства отслеживались, они должны быть подключены к Microsoft Defender для конечной точки и иметь включенный соединитель DLP [4].

Проверка и тестирование

Проверка политик DLP имеет решающее значение для обеспечения их правильной работы и отсутствия ложных срабатываний.

1. Тестирование политики DLP электронной почты

  1. Создайте тестовое электронное письмо. В почтовом клиенте (Outlook Web App или Outlook Desktop) создайте новое электронное письмо.
  2. Включите конфиденциальную информацию. В тексте электронного письма введите действительный номер кредитной карты (используйте нереальный тестовый номер или генератор тестовых номеров для целей моделирования, например «4111-1111-1111-1111»).
  3. Отправить внешнему получателю. Отправьте письмо на адрес электронной почты за пределами вашей организации.
  4. Обратите внимание на подсказку о политике. Если политика находится в тестовом режиме, пользователь должен увидеть подсказку о том, что электронное письмо содержит конфиденциальную информацию.
  5. Проверьте отчеты. На портале соответствия требованиям Microsoft Purview выберите Предотвращение потери данных > Оповещения или Отчеты.
    • Проверьте, было ли создано оповещение об обнаружении политики DLP.
    • Просмотрите отчет о совпадениях политики DLP, чтобы увидетьподробные сведения об обнаруженном электронном письме.

2. Тестирование политики DLP конечной точки (если она настроена)

  1. На встроенном устройстве Windows для Endpoint DLP создайте документ (например, Word, Блокнот) и введите номер тестовой кредитной карты.
  2. Попробуйте скопировать номер кредитной карты на USB-устройство или вставить его в запрещенное приложение.
  3. Политика Endpoint DLP должна блокировать действие и/или уведомлять пользователя, в зависимости от настроек.
  4. Проверьте отчеты Endpoint DLP на портале Microsoft Purview.

Советы и рекомендации по безопасности

  • Постепенное внедрение: начните с политик в режиме аудита («Сначала проверьте»), чтобы понять влияние и уточнить правила перед применением блокировки.
  • Обучение пользователей: объясните пользователям, что такое конфиденциальные данные, почему существуют политики DLP и как предотвратить утечки. Советы по вопросам политики являются ценными инструментами для обучения в режиме реального времени.
  • Классификация данных: объедините DLP с классификацией и маркировкой данных (Microsoft Information Protection) для более эффективной защиты. Политики DLP могут активироваться метками конфиденциальности.
  • Постоянный анализ и корректировка: Среда обработки данных и правила меняются. Регулярно проверяйте и корректируйте свои политики DLP, чтобы они оставались актуальными и эффективными.
  • Мониторинг инцидентов: активно отслеживайте оповещения и отчеты DLP, чтобы выявлять закономерности нарушений, пользователей с высоким уровнем риска и пробелы в защите.
  • Область политики: определяйте область действия политики четко. Применяйте более строгие политики к группам пользователей или данным с высоким уровнем риска.

Распространенное устранение неполадок

  • Ложные срабатывания (неправильные блокировки). Если законные электронные письма или действия блокируются, ознакомьтесь с условиями политики. Отрегулируйте количество экземпляров или точность TIS. Рассмотрите возможность добавления исключений для доверенных отправителей или доменов (с осторожностью).
  • Ложно-отрицательные результаты (передача конфиденциальных данных): если конфиденциальные данные не обнаруживаются, убедитесь, что TIS настроен правильно, а количество экземпляров и точность достаточны. Убедитесь, что политика применяется к правильным местоположениям и пользователям.
  • Советы по политике не отображаются: проверьте, включены ли в политике уведомления пользователей. Убедитесь, что ваш почтовый клиент (Outlook) обновлен и поддерживает советы по политике.
  • DLP конечной точки не работает. Убедитесь, что устройства подключены к Microsoft Defender для конечной точки и что соединитель DLP конечной точки включен на портале Purview. Проверьте журналы событий на устройстве на наличие ошибок.
  • Задержки при применении политик. Для распространения и применения политик DLP во всех службах может потребоваться некоторое время. Подождите несколько часов и повторите тест.

Заключение

Настройка политик предотвращения потери данных (DLP) в Microsoft Purview — это важный шаг в защите конфиденциальной информации организации и обеспечении соответствия нормативным требованиям. Выявляя, отслеживая и контролируя поток конфиденциальных данных в нескольких местах, Microsoft Purview DLP позволяет компаниям снизить риск утечки данных, будь то случайной или преднамеренной. Успешная реализация стратегии DLP требует тщательного планирования, тщательного тестирования и постоянной приверженности обучению пользователей и совершенствованию политики. С помощью инструментов и рекомендаций, представленных в этой статье, группы безопасности могут создать надежную защиту, защищающую наиболее ценные информационные активы организации.

Ссылки:

[1] Microsoft Learn. Узнайте больше о предотвращении потери данных. Доступно по адресу: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp [2] Microsoft Learn. Что такое сфера деятельности Microsoft?. Доступно по адресу: https://learn.microsoft.com/pt-br/purview/overview. [3] Microsoft Learn. Лицензионные требования для предотвращения потери данных. Доступно по адресу: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp#licensing-requirements-for-data-loss-prevention [4] Microsoft Learn. Введение в профилактику.Защита от потери данных конечной точки. Доступно по адресу: https://learn.microsoft.com/pt-br/purview/endpoint-dlp-getting-started