DLP в Microsoft 365: Разширено ръководство с Microsoft Purview

  • Microsoft Purview DLP идентифицира и защитава чувствителни данни в M365, крайни точки, уеб и Copilot чрез задълбочен анализ на съдържанието и разширена класификация.
  • DLP политиките се проектират на фази: планиране, симулационно тестване, фина настройка и активиране с действия като предупреждения, блокиране и карантина.
  • Сигналите, регистрационните файлове и Activity Explorer ви позволяват да разследвате инциденти, да намалявате фалшивите положителни резултати и непрекъснато да подобрявате стратегията си за защита на данните.
Daniel Terrasa

17 Minutos

Предотвратяване на загуба на данни в Microsoft 365

La Чувствителната информация се превърна в един от най-важните активи на всяка организация: финансови данни, интелектуална собственост, медицински досиета, информация за клиенти, идентификационни данни… Цялото това съдържание непрекъснато тече през имейли, чатове, документи и облачни приложения и едно-единствено пропускане може да доведе до изтичане на данни, санкции и загуба на репутация.

За да се внесе ред в този хаос и да се намали рискът, Microsoft е избрала стратегия за предотвратяване на загуба на данни (DLP), интегрирана в Microsoft 365 и Microsoft Purview.Това не е просто филтър за думи, а набор от интелигентни правила, които анализират задълбочено съдържанието, разбират контекста и прилагат автоматични контроли, където и да се осъществяват взаимодействия: имейл, Teams, SharePoint, OneDrive, крайни точки, уеб и дори Microsoft 365 Copilot.

Какво е DLP в Microsoft 365 и защо трябва да ви е грижа?

Когато говорим за DLP в M365, имаме предвид... набор от политики за предотвратяване на загуба на данни в рамките на Microsoft Purview които ви позволяват автоматично да идентифицирате, наблюдавате и защитавате чувствителна информация в услугите на Microsoft 365, на устройства и все по-често в уеб трафика и взаимодействията с корпоративен изкуствен интелект.

Политиката за DLP определя каква информация е чувствителна, къде се наблюдава, какви дейности се контролират и какви действия се предприемат когато бъде открит риск. Този риск може да бъде човешка грешка (изпращане на Excel файл с клиентски данни до външен получател) или злонамерено поведение (изтичане на информация към неоторизирано облачно приложение).

Организациите се справят ежедневно данни с голямо правно и репутационно въздействиеТова включва информация като номера на кредитни карти, банкови данни, медицински досиета, номера на социално осигуряване, данъчни идентификационни номера или информация, класифицирана вътрешно като поверителна. Без DLP система е практически невъзможно последователно да се открива кога тази информация е изложена, прекомерно споделена или преместена към неоторизирани канали.

Голямото предимство на подхода на Microsoft е, че DLP е вградена функция на платформата Microsoft 365 и Purview.не е външен пач. Това позволява много дълбока интеграция с Exchange, SharePoint, OneDrive, Teams, Office, крайни точки на Windows и macOS, Microsoft Defender за облачни приложения, Fabric, Power BI, а сега и с Microsoft 365 Copilot и Copilot Chat.

Microsoft View

Как Microsoft Purview DLP открива чувствителна информация

DLP на Purview Не търси само текстови низове; извършва задълбочен анализ на съдържанието да се определи дали даден елемент (имейл, файл, съобщение, известие от Copilot и др.) съдържа информация, която отговаря на чувствителен модел.

DLP политиките използват различни механизми за локализиране на критични данни, комбинирайки първични данни, вторични данни и усъвършенствани алгоритми за намаляване на фалшивите положителни резултати и повишаване на точността:

  • Съвпадение на първични данни и ключови думиНапример, откриване на последователности, които съответстват на формата на номер на кредитна карта, номер на социално осигуряване или идентификатори на паспорт.
  • Оценка с помощта на регулярни изрази: по-гъвкави правила, които позволяват идентифицирането на сложни модели, като например препратки към файлове, вътрешни кодове или бизнес структури.
  • Вътрешни валидации: функции, които прилагат алгоритми за проверка (напр. алгоритъма на Лун за карти), за да потвърдят, че даден модел има действителен смисъл.
  • Съвпадение на вторични данниконтекстуални сигнали, които подсилват вероятността, че имаме работа с чувствителни данни (близки термини, специфични формати, метаданни и др.).
  • Разширена класификация с машинно обучениемодели за машинно обучение и обучими класификатори, които позволяват откриването на по-фини типове съдържание (напр. автобиографии, правни договори, документация за научноизследователска и развойна дейност).

В допълнение, Purview се възползва от Етикети за поверителност на защитата на информацията (управление на метаданни в Office и Windows) и готовите за употреба, персонализирани или разширени типове поверителна информация (SIT), така че DLP политиките да могат да се основават както на съдържанието, така и на класификацията, вече приложена към документа или имейла.

Области на защита: приложения, устройства и уеб трафик

Истинската сила на DLP в M365 е, че Не се ограничава само до имейли и документино обхваща почти всички точки, където данните се движат или използват ежедневно.

Защита в бизнес приложения и устройства

Политики, насочени към бизнес приложения и устройства Те се прилагат в широк спектър от източници и местоположения, както в облачна, така и в локална среда:

  • Услуги на Microsoft 365Exchange Online, сайтове на SharePoint, акаунти в OneDrive за бизнеса и съобщения в чат и канали в Microsoft Teams.
  • офис приложения Настолни и уеб приложения: Word, Excel, PowerPoint, които могат да показват предложения за политики в реално време, докато потребителят редактира документа.
  • Устройства с Windows 10, Windows 11 и macOS (Три най-нови версии): С Endpoint DLP е възможно да се одитират или блокират действия като копиране на USB, печат, качване на файлове в конкретни приложения или копиране в клипборда; за физически мерки и блокиране на портове вижте Физическа защита на USB портовете.
  • Облачни приложения на трети страни чрез Microsoft Defender за облачни приложения (преди това MCAS), включително неуправлявани приложения.
  • Локални хранилища за файлове и локален SharePointинтегрирано с помощта на анализатора на Microsoft Purview Information Protection.
  • Работни пространства на Fabric и Power BIкъдето се управляват чувствителни набори от данни и табла за управление.
  • Microsoft 365 Copilot (предварителен преглед) и чат в Copilot когато взаимодействат с корпоративно съдържание.

Създаване на DLP политики, фокусирани върху бизнес приложения и устройства Можете да оркестрирате един и същ контрол в множество работни натоварвания: например, да предотвратите споделянето на файлове, обозначени като „Изключително поверително“, извън организацията чрез имейл, Teams или OneDrive, както и да блокирате копирането им на USB устройства на компютри.

Защита за уеб трафик и неуправляеми облачни приложения

Все повече данни напускат организацията през браузъра, към неуправлявани облачни приложения или генеративни услуги с изкуствен интелект. За този сценарий Purview комбинира DLP с политики и възможности за събиране в Microsoft Edge за предприятия и в мрежата, като предпочита сигурно сърфиране при взаимодействие с услуги с изкуствен интелект.

Чрез политики, фокусирани върху вграден уеб трафик и мрежова активностМожете да наблюдавате и контролирате данни, които се изпращат например до:

  • Услуги с изкуствен интелект, като например OpenAI ChatGPT, Google Gemini, DeepSeek или Microsoft Copilot в публичния си аспект, както от Edge за бизнеса, така и от мрежата.
  • Каталогизирани са повече от 34 000 облачни приложения в Microsoft Defender за облачни приложения, само чрез мрежовата опция.

С този подход е възможно блокиране на качването на файлове или поставянето на текст, съдържащ чувствителни данни към тези услуги или поне да се регистрират и да предупреждават за тези действия, дори когато не са официално одобрени приложения, разчитайки на инструменти за контролирайте мрежата и данните си.

DLP

Защитни действия, които DLP директивите могат да прилагат

След като DLP правило открие съдържание или дейност, която отговаря на неговите условия, каталогът на защитни действиякоето варира в зависимост от местоположението и вида дейност.

Сред най-често срещаните отговори намираме:

  • Предложения за потребителски директиви: малки изскачащи известия в Outlook, Teams, Office или в самата операционна система, които обясняват на потребителя, че е на път да сподели или премести чувствителна информация по неоторизиран начин.
  • Блокиране на споделянето с отмянаДействието е предотвратено, но на потребителя е дадена възможност да обоснове изключение (например, лекар, споделящ данни с друга институция), и обосновката е записана.
  • Строго блокиране без възможност за отмянаДействието не може да бъде завършено при никакви обстоятелства.
  • Карантина на елементи в покойНа определени места откритите файлове могат да бъдат автоматично преместени в защитена папка под карантина.
  • Скриване на съдържание в чатовете на TeamsКогато дадено съобщение съдържа чувствителни данни, системата може да предотврати показването им в нишката.
  • Ограничения на крайните точкиОдит, предупреждение или блокиране на действия върху чувствителни файлове, като например копиране на USB, печат, качване в конкретни приложения или копиране в клипборда; за инструменти за физическо блокиране вижте USB блокер на данни.

Всички тези дейности Те се записват автоматично в регистрационния файл за одит на Microsoft 365. и се показват в инструменти като Activity Explorer или табла за предупреждения, което улеснява по-нататъшното проучване и фината настройка на политиките.

Жизнен цикъл на DLP проекти в Microsoft 365

Внедряването на DLP не е просто активиране на четири правила и надежда, че всичко ще работи. За да предотвратите превръщането му в пречка за бизнеса, е важно да се следват... структуриран жизнен цикъл с фази на планиране, тестване, внедряване и непрекъснато настройване.

1. Планиране: технологии, процеси и култура

Първата стъпка е да се определи обхватът: какви данни да се защитят, на какви места и срещу какви рискови поведенияТук влизат в действие няколко измерения:

  • Технологично планиранерешете кои услуги ще бъдат обхванати (Exchange, SharePoint, OneDrive, Teams, крайни точки, локални хранилища, облачни приложения, Fabric/Power BI…) и какви типове данни ще бъдат наблюдавани във всяка от тях.
  • бизнес процеси: идентифицирайте, заедно със собствениците на процеса, кои употреби на данни са законни и кои неНапример, кои отдели могат да изпращат лични данни на трети страни по договор и кои отдели никога не трябва да го правят.
  • Организационна култураАгресивният DLP подход без никакво обяснение на потребителите често поражда съпротива. Изключително важно е да се вземе предвид... обучение и комуникация, разчитайки на предложенията на директивата да се обучава малко по малко.

Препоръчително е и на този етап използвайте предварително зададени шаблони за правила Microsoft предлага решения за регулации като GDPR, HIPAA, PCI-DSS или специфични за всяка държава правила за защита на личните данни и ги адаптира към контекста на организацията.

2. Подготовка на средата и предварителни изисквания

Всяко защитено място има свои собствени особености, така че е необходимо прегледайте предварителните изисквания преди да приложите правилата:

  • Exchange Online, SharePoint Online, OneDrive, TeamsПросто създайте правила, приложими за тези местоположения, от портала на Microsoft Purview.
  • Локални хранилища за файлове и локален SharePointТрябва да внедрите анализатора на Microsoft Purview Information Protection, така че той да може да сканира съдържание в покой.
  • Устройства с Windows и macOSТрябва да активирате Endpoint DLP и да се уверите, че компютрите имат необходимите версии и актуализации (например KB5016688 в Windows 10 и KB5016691 в Windows 11 или по-нова версия).
  • Облачни приложения, които не са на MicrosoftИнтеграцията се извършва чрез Microsoft Defender за облачни приложения, конфигуриране на инстанции и откриване на приложения.
  • Работни пространства на Fabric и Power BIПрепоръчително е да се прегледа управлението на данните и конфигурацията на етикетите за поверителност, приложени към наборите от данни.

През този етап е полезно дефиниране на проекти на директиви и да подготви среда, в която въздействието му може да бъде тествано, без да засяга всички потребители едновременно.

3. Проектиране и внедряване на политики в режим на симулация

Следващата стъпка е да се преведе контролни цели в специфични политики. Всяка директива за защита от загуба на данни (DLP) изисква да се вземе решение за:

  1. Какво искаме да наблюдаваме?Можете да започнете от предварително дефиниран шаблон (например, защита на финансови или медицински данни) или да създадете персонализирана политика, съобразена с реалностите на компанията.
  2. Административен обхват: възможно е ограничаване на обхвата на определени администратори до административни единицитака че да управляват само политики за конкретни потребители, групи или сайтове. Това улеснява разпределението на администрирането по регион или бизнес област.
  3. Места, където се прилагаИзберете в кои услуги и хранилища да наблюдавате съдържанието (имейл на Exchange, сайтове на SharePoint, акаунти в OneDrive, Teams, крайни точки, екземпляри в Defender за Cloud Apps, локални файлови пътища, области на Fabric/Power BI, Microsoft 365 Copilot и др.).
  4. УсловияДефинирайте правилата, които определят кога даден елемент отговаря на политиката. Например, „когато елементът съдържа поне 10 номера на кредитни карти и е споделен с външни получатели“ или „когато файлът има етикет за чувствителност „Изключително поверително“ и е направен опит за изтеглянето му на неуправлявано устройство“.
  5. мерки: решете какво да правите в случай на съвпадение: блокиране на външен достъп, показване на предложения за правила, разрешаване с отмяна, преминаване под карантина, предотвратяване на използването на съдържанието от Copilot и др.

Добра практика е превключете политиките в режим на симулация Първоначално, в този режим, блокиращите действия всъщност не се прилагат, но всички събития се събират, което ви позволява да видите потенциалното въздействие, без да нарушавате работните процеси.

4. Мониторинг, регулиране и активиране

Докато директивите са в режим на симулация, е ключово анализирайте резултатите и прецизирайте параметрите:

  • Регулирайте местоположения и обхват на потребители или групидобавяне на изключения, където е необходимо.
  • Усъвършенствайте условия и определения за поверителни данни за намаляване на фалшивите положителни резултати или включване на нови видове информация.
  • За включване нови контроли, ограничени приложения или сайтове тъй като се откриват потенциални канали за течове.
  • Прегледайте отговорите на потребителите на предложенията за правила, анализирайки обезсилвания и оправдания за да разберем по-добре как политиките влияят на бизнеса.

След като директивата постигне целите си, без да създава прекалено много напрежение, е време да активиране на действителните контролни действия (локдауни, карантина, ограничения) и продължават да наблюдават периодично, тъй като бизнес процесите и заплахите се развиват с течение на времето.

DLP

Създаване и функциониране на DLP директива в Purview

Всички DLP политики се създават и управляват от Портал на Microsoft PurviewОбщият процес за създаване на нова политика е сравнително лесен:

  • Изберете дали искате да започнете от предварително конфигуриран шаблон (регламенти, региони, сектори) или празна директива.
  • присвоите име и описание ясни, които отразяват намерението на политиката.
  • Избери местоположения и, където е приложимо, засегнатите административни единици.
  • конфигуриране условия, действия, известия и опции за отмяна.
  • Посочете дали директивата ще бъде изпълнена в режим на симулация или активно.

След като бъде създадена, политиката се запазва в централен склад Синхронизира се с различни работни натоварвания: Exchange (и оттам с Outlook и OWA), OneDrive, SharePoint, настолен Office (Word, Excel, PowerPoint), Microsoft Teams, крайни точки и други съвместими местоположения. От този момент нататък започва да оценява съдържанието и дейностите почти в реално време.

Мониторинг, предупреждения и проучване на DLP активността

Конфигурирането на правилата е само половината от работата. Другата половина е възползвайте се от телеметрията, която генерират да коригират мерките за сигурност и да реагират на инциденти.

Страница с обща информация и портал за сигурност

Страницата на Обща информация за DLP в Microsoft Purview Той предлага ключови данни с един поглед: състояние на синхронизация на правилата, състояние на устройството, най-често откривани дейности и общо състояние на средата. Оттук можете да преминете към по-подробни изгледи, за да се задълбочите в конкретни инциденти.

Освен това, инцидентите с DLP Те са интегрирани в портала на Microsoft Defender XDR. (Инциденти и предупреждения), където те могат да бъдат съпоставени с други сигнали за сигурност (крайна точка, самоличност, имейл и др.), за да се получи 360º поглед върху риска.

DLP известия

Когато потребителска активност отговаря на критериите на DLP правило, конфигурирано да генерира инциденти, възниква събитие. тревогаВ зависимост от типа абонамент, тези известия могат да бъдат добавени по времеви прозорец и правило или дори по времеви прозорец и потребител.

Сигналите се появяват в Панел за предупреждения на DLP в рамките на Purview (където се съхраняват 30 дни), а също и в портала на Microsoft Defender (където обикновено са достъпни шест месеца). Оттам можете да:

  • Прегледайте подробностите за събитието и правилото, което го е причинило.
  • Определете щати, приоритети и отговорници за разследването.
  • Инициирайте работни процеси за отговор или корекция.

Ако се използват административни единициАдминистраторите с ограничен достъп ще виждат само известия, които засягат техния обхват, което улеснява разпределението на отговорностите, без да се разкриват данни извън техните нужди.

Преглед на DLP дейности и контекстуално обобщение

El Изследовател на дейности „Purview“ ви позволява да филтрирате и преглеждате подробно активността, свързана с чувствително съдържание. Можете да приложите предварително конфигурирани филтри за преглед, например:

  • DLP дейности на крайни точки.
  • Файлове, които съдържат видове поверителна информация.
  • Дейности по ексфилтрация (извеждане на данни).
  • DLP политики или правила, които са открили дейности.
  • Потребителски презаписвания (събитие „Отмяна на правилото за DLP“).

Една мощна характеристика е контекстуално обобщение на събитията на DLPRuleMatchТова ви позволява да видите текста около съответстващото съдържание (например, средата на номер на кредитна карта), съчетан със свързаната изходяща дейност, като например CopyToClipboard или CloudEgress. Това предоставя на анализаторите богат контекст, когато разследват дали действието е било легитимно.

За автоматизиране на отчитането и извличането на данни е налично и следното: командлети в PowerShell за сигурност и съответствие и в Exchange PowerShellполезно, когато са необходими интеграции със SIEM или по-напреднал анализ.

DLP и Microsoft 365 Copilot / Copilot Chat

Появата на Microsoft 365 Copilot въвежда нов вектор на риск: Подканите и отговорите на изкуствения интелект могат да съдържат или обработват силно чувствителни данниPurview DLP вече адресира този сценарий със специфично местоположение на правилата за Microsoft 365 Copilot и Copilot Chat.

Блокиране на типове чувствителна информация в съобщенията до Copilot

В предварителната версия е възможно да се създават DLP политики, насочени към местоположение „Microsoft 365 Copilot и Copilot Chat“ и дефинирайте условия като „Съдържанието съдържа > видове поверителна информация“.

Това ви позволява, например, предотвратяване на обработката от Copilot на сигнали, които включват номера на кредитни карти, физически адреси или лични идентификаториАко потребителят се опита да изпрати подкана с това съдържание, Copilot ще върне съобщение, показващо, че заявката не може да бъде изпълнена, защото съдържа информация, заключена от организацията, и няма да използва тези данни за вътрешно или външно търсене.

Изключване на поверителни файлове и имейли от обработка от Copilot

Общодостъпните DLP политики могат да бъдат конфигурирани и за предотвратяване файлове или имейли, обозначени с определени етикети за поверителност се използват в обобщенията и отговорите на Copilot.

Типичното условие е „Съдържанието съдържа > Етикети за поверителност“. Откритите елементи все още може да се появят цитирани (като препратки), но Copilot не осъществява достъп до съдържанието си, за да генерира отговораТова е особено полезно за таксономии, където данните са обозначени като „Изключително поверително“, „Поверително“, „Вътрешно“, „Публично“ или „Лично“, а данните от най-високите нива или строго личните данни трябва да бъдат изключени от обработката с изкуствен интелект.

Този капацитет обхваща съхранени и отворени файлове в съвместими преживявания и имейли, изпратени от 1 януари 2025 г. нататък (не се отнася за покани в календар или локални файлове). Политиките на Copilot са конфигурирани като персонализирани политики и чрез избиране на това местоположение, Други местоположения не могат да бъдат смесени съгласно една и съща политика.

Необходими лицензи и планове за DLP в M365

Използването на DLP в Microsoft 365 зависи от тип абонамент и желаните специфични възможности:

  • DLP за имейл и файлове (O365)включено в планове като Microsoft 365 E3, E5, F5, F5 Compliance и Office 365 E3/E5.
  • DLP за екипи- Налично в плановете Microsoft 365 E5, E5 Compliance, Office 365 E5 и F5/F5 Compliance.
  • Крайна точка DLPизисква лицензи за напреднали, като например Microsoft 365 E5 или F5 с компонент за съответствие.

Освен това има и Пакет от приложения на Microsoft Purviewкоито могат да бъдат закупени или изпробвани отделно от клиенти с определени лицензи за Enterprise Mobility + Security и Microsoft 365/Office 365 E3. За да започнете пробен период, обикновено са необходими роли на глобален администратор, администратор на съответствие или администратор на фактуриране.

В конкретния случай на DLP за Microsoft 365 Copilot и Copilot Chat, Наличността е свързана с достъпа до Copilot и се въвежда постепенно, така че е препоръчително да проверите официалната документация и статуса на наемателя.

Предимства и случаи на употреба на Purview DLP в различни сектори

Внедряването на DLP в M365 и Purview носи ясни ползи за почти всяка организация, но има сектори, където въздействието му е особено очевидно.

  • финанси: откриване и контрол на данни за карти, сметки и транзакции; спазване на специфични отраслови разпоредби; наблюдение на необичайни движения на финансова информация.
  • здраве: защита на медицинските досиета и данните на пациентите; спазване на разпоредби като HIPAA и GDPR; строг контрол на достъпа до здравна информация.
  • Технологии и научноизследователска и развойна дейност: защита на интелектуалната собственост, изходния код, дизайните и техническата документация; предотвратяване на течове поради масивни изтегляния или качвания в некорпоративни хранилища.
  • Публична администрация и регулиран секторУправление и защита на граждански данни, класифицирани документи и вътрешни комуникации с голямо политическо или социално въздействие.

Във всички тези случаи Purview DLP предлага Автоматично класифициране и етикетиране, известия в реално време, унифицирани табла за управление и намаляване на фалшивите положителни резултатикоето позволява на екипите по сигурността да се съсредоточат върху наистина критични сигнали и да не се изгубят в шума.

В среда, където данните пътуват чрез имейл, чатове, документи, публични облаци, лични устройства и услуги с изкуствен интелект, наличието Вградена система за предотвратяване на загуба на данни в Microsoft 365, интегрирана с Purview, Defender и останалата част от екосистемата Това прави разликата между „разчитането на добросъвестността на потребителите“ и наличието на реален контрол върху това как се обработва чувствителна информация. Добре планирана, тествана в режим на симулация, фино настроена с телеметрия и съобразена с бизнес процесите, DLP в M365 ви позволява да защитите критични данни, да спазвате взискателните разпоредби и да поддържате производителност, без да парализирате организацията.

Как да коригирате грешката „Данните на вашата организация не могат да бъдат поставени тук“
Свързана статия:
Данните на вашата организация не могат да бъдат поставени тук - как да поправим тази грешка?