在 Microsoft Purview 上配置 DLP(数据丢失防护)

在 Microsoft Purview 上配置 DLP(数据丢失防护)

2024年4月1日

此技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师在 Microsoft Purview 中配置和实施数据丢失防护 (DLP) 策略。 DLP 是一种策略和工具集,可帮助组织防止敏感数据的泄露、误用或丢失,确保关键信息保持安全并符合法规 [1]。

简介

在日益数字化的世界中,数据隐私法规(例如 GDPR、LGPD、HIPAA)更加严格,保护敏感信息是重中之重。数据丢失,无论是由于事故、人为错误还是恶意意图,都可能导致重大的财务损失、监管罚款和严重的声誉损害。 Microsoft Purview 提供全面的 DLP 解决方案,帮助组织识别、监控和保护 Microsoft 365、Azure、端点、云应用程序和其他位置的敏感数据 [2]。

本实用指南将涵盖在 Microsoft Purview 中配置 DLP 策略的基本步骤,从识别敏感数据到创建和部署策略、验证和最佳实践。将提供分步说明、配置示例和验证方法,以便读者能够实施有效的 DLP 策略,保护机密信息并确保法规遵从性。

为什么 Microsoft Purview DLP 至关重要?

  • 全面识别:检测各种敏感信息类型 (TIS),并可以通过可训练的分类器进行扩展。
  • 多站点覆盖:保护 Microsoft Exchange Online、SharePoint Online、OneDrive for Business、Microsoft Teams、Windows/macOS 设备和云应用程序中静态、使用中和传输中的数据。
  • 精细控制:允许您针对不同类型的数据、用户和位置定义具有特定条件和操作的策略。
  • 监管合规性:帮助组织遵守数据隐私要求和行业法规。
  • 可见性和报告:提供有关数据活动和 DLP 策略检测的详细报告。

先决条件

要在 Microsoft Purview 上配置 DLP,您将需要以下项目:

  1. 许可:包含 Microsoft Purview DLP 的许可证。这通常是 Microsoft 365 E5 合规性、Microsoft 365 E5 等软件包的一部分,或者可以作为附加组件购买 [3]。
  2. 管理访问权限:在 Microsoft Purview 合规性门户 (https://compliance.microsoft.com) 上具有合规性管理员、合规性数据管理员或全局管理员权限的帐户。
  3. Microsoft 365 中的数据:为了测试策略,最好在 Microsoft 365 环境中拥有一些包含敏感信息的数据(电子邮件、文档)。

分步:配置数据丢失防护策略 (DLP)

让我们创建一个 DLP 策略来检测并阻止通过电子邮件向外部用户共享信用卡号码。

1. 访问 Microsoft Purview 合规门户

  1. 打开浏览器并导航至“https://compliance.microsoft.com”。
  2. 使用具有必要权限的帐户登录。

2. 识别敏感信息

Microsoft Purview DLP 使用敏感信息类型 (TIS) 来识别敏感数据。它附带了数百个预配置的 TIS,但您也可以创建自己的 TIS。

  1. 在左侧导航窗格中,选择数据分类 > 敏感信息类型
  2. 您可以搜索现有的 TIS(例如“信用卡号”)以查看其定义以及检测方式。

3. 创建 DLP 策略

让我们使用预定义模板创建 DLP 策略并对其进行自定义。

  1. 在左侧导航窗格中,选择“数据丢失防护”>“策略”。
  2. 单击+ 创建策略

第 1 步:选择模板或创建自定义策略

  1. 类别:选择“金融”。
  2. 模板:选择“美国金融数据”。
  3. 单击下一步

第 2 步:为策略命名

  1. 名称:“对外方冻结信用卡”。
  2. 描述:“检测并阻止通过电子邮件向外部收件人发送信用卡号码。”
  3. 单击下一步

步骤 3:选择应用策略的位置

  1. 位置:在此示例中,我们将重点关注电子邮件。启用“Exchange 邮箱”。
    • (可选)如果您拥有必要的许可证和配置,您可以启用其他位置,例如“SharePoint 站点”、“OneDrive 帐户”、“Teams 消息”和“设备”(适用于端点 DLP)。
  2. 应用到:选择“所有用户”或“选择特定用户、组或通讯组”以获得更精细的范围。
  3. 单击下一步

步骤 4:自定义策略设置

  1. 选择“自定义高级策略设置”。
  2. 单击下一步

步骤 5:高级个性化设置

您将看到模板创建的默认规则。我们来编辑它。

  1. 单击现有规则(例如“检测美国金融内容”)。
  2. 条件:确保“内容包含”条件设置为“信用卡号”(最小计数为 1,精度为“任意”)。
  3. 添加条件:点击“添加条件”并选择“收件人是”>“外部”。
  4. 操作:在“操作”部分中,配置:
    • 阻止访问或加密内容:选中“阻止用户访问内容(阻止全部)”。
    • 用户通知:选中“通过策略提示通知用户”并根据需要自定义消息。
    • 用户覆盖:(可选)允许用户通过理由绕过阻止。对于信用卡数据,一般不推荐。
    • 事件报告:选中“向管理员发送警报”和“向管理员发送事件报告”。
  5. 单击保存
  6. 单击下一步

步骤 6:策略设置

  1. 策略模式:选择“首先测试”(在不阻止的情况下监控影响)或“立即激活”(立即应用操作)。
    • 提示:在应用阻止之前,始终从“测试优先”开始评估影响并调整策略。
  2. 单击下一步

第 7 步:完成

  1. 审查政策摘要。
  2. 单击“创建”。

4. 配置端点 DLP(可选,但推荐)

要保护 Windows 和 macOS 设备上的数据,您需要配置 Endpoint DLP。这使您可以监控和限制诸如复制到 USB、粘贴到不允许的应用程序、上传到云服务等操作。

  1. 在 Microsoft Purview 合规性门户中,转至 数据丢失防护 > 设置
  2. 选择端点 DLP 设置
  3. 确保“设备监控”处于“打开”状态。
  4. 配置“不允许的域组和云服务的限制”和“不允许的应用程序的限制”。
  5. 对于要监视的设备,它们必须在 Microsoft Defender for Endpoint 中加入并启用 DLP 连接器 [4]。

验证和测试

验证 DLP 策略对于确保其按预期工作并且不会导致误报至关重要。

1. 测试电子邮件 DLP 策略

  1. 创建测试电子邮件:在电子邮件客户端(Outlook Web App 或 Outlook Desktop)中,创建一封新电子邮件。
  2. 包含敏感信息:在电子邮件正文中,输入有效的信用卡号(使用非真实测试号,或用于模拟目的的测试号生成器,例如“4111-1111-1111-1111”)。
  3. 发送给外部收件人:将电子邮件发送至组织外部的电子邮件地址。
  4. 注意策略提示:如果策略处于测试模式,用户应该会看到策略提示,指出电子邮件包含敏感信息。
  5. 检查报告:在 Microsoft Purview 合规性门户中,转到 数据丢失防护 > 警报报告
    • 检查DLP策略检测是否产生警报。
    • 查看 DLP 政策匹配报告以查看检测到的电子邮件的详细信息。

2. 测试端点 DLP 策略(如果已配置)

  1. 在适用于 Endpoint DLP 的 Windows 板载设备上,创建文档(例如 Word、记事本)并输入测试信用卡号。
  2. 尝试将信用卡号复制到 USB 设备或尝试将其粘贴到不允许的应用程序中。
  3. 端点 DLP 策略必须阻止该操作和/或通知用户,具体取决于设置。
  4. 在 Microsoft Purview 门户中检查端点 DLP 报告。

安全提示和最佳实践

  • 逐步实施:从审核模式(“测试优先”)下的策略开始,以了解影响并在应用阻止之前细化规则。
  • 用户教育:培训用户了解什么是敏感数据、为什么存在 DLP 策略以及如何防止泄露。政策提示是实时教育的宝贵工具。
  • 数据分类:将 DLP 与数据分类和标签(Microsoft 信息保护)相结合,以实现更有效的保护。 DLP 策略可以由敏感度标签触发。
  • 持续审查和调整:数据环境和法规发生变化。定期审查和调整您的 DLP 政策,以确保它们保持相关性和有效性。
  • 事件监控:主动监控 DLP 警报和报告,以识别违规模式、高风险用户和保护漏洞。
  • 政策范围:政策范围要细化。对高风险用户组或数据应用更严格的策略。

常见故障排除

  • 误报(不当阻止):如果合法电子邮件或操作被阻止,请查看策略条件。调整实例计数或 TIS 精度。考虑为受信任的发件人或域添加例外(谨慎)。
  • 漏报(敏感数据传递):如果未检测到敏感数据,请验证 TIS 是否配置正确以及实例计数和精度是否足够。确保策略应用于正确的位置和用户。
  • 策略提示未出现:检查策略中是否启用了用户通知。确保您的电子邮件客户端 (Outlook) 是最新的并支持策略提示。
  • 端点 DLP 不工作:检查设备是否已在 Microsoft Defender for Endpoint 中加入,以及端点 DLP 连接器是否在 Purview 门户中启用。检查设备上的事件日志是否有错误。
  • 策略执行延迟:DLP 策略可能需要一些时间才能在所有服务中传播和应用。等待几个小时并再次测试。

结论

在 Microsoft Purview 中配置数据丢失防护 (DLP) 策略是保护组织敏感信息和确保法规遵从性的关键步骤。通过识别、监控和控制跨多个位置的敏感数据流,Microsoft Purview DLP 使公司能够降低数据泄露的风险,无论是意外还是故意的。成功实施 DLP 策略需要仔细规划、严格测试以及对用户教育和政策细化的持续承诺。利用本文提供的工具和指南,安全团队可以构建强大的防御来保护组织最有价值的信息资产。

参考资料:

[1] 微软学习。 了解有关数据丢失防护的更多信息。网址:https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp [2] 微软学习。 什么是 Microsoft 权限?。网址:https://learn.microsoft.com/pt-br/purview/overview [3] 微软学习。 防止数据丢失的许可要求。网址:https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp#licensing-requirements-for-data-loss-prevention [4] 微软学习。 预防简介防止端点数据丢失。位于:https://learn.microsoft.com/pt-br/purview/endpoint-dlp-getting-started