Verhindern nicht autorisierter vertraulicher Daten durch Blockieren von Aktionen und Zulassen von Außerkraftsetzungen

In diesem Szenario wird veranschaulicht, wie sie eine vorhandene Microsoft Purview DLP-Richtlinie von der Überwachung auf die Durchsetzung umstellen, indem die Freigabe vertraulicher US-PII-Daten blockiert wird. Die Richtlinie wird aktualisiert, um blockieren mit Außerkraftsetzung zu verwenden, um Risikoaktionen zu verhindern, während Benutzer weiterhin fortfahren können, wenn dies gerechtfertigt ist.

Dieser Ansatz stärkt den Datenschutz, indem das Risiko der Datenexfiltration verringert wird, während die Geschäftskontinuität durch kontrollierte Benutzerüberschreibungen und kontinuierliche Transparenz der Benutzeraktivitäten über den Aktivitäts-Explorer aufrechterhalten wird.

Dieses Szenario gilt für einen uneingeschränkten Administrator, der eine vollständige Verzeichnisrichtlinie ändert.

Voraussetzungen und Annahmen

In diesem Artikel wird anhand des Prozesses, den Sie unter Entwerfen einer Richtlinie zur Verhinderung von Datenverlust gelernt haben, erläutert, wie Sie eine Microsoft Purview Data Loss Prevention-Richtlinie (DLP) erstellen. Arbeiten Sie diese Szenarien in Ihrer Testumgebung durch, um sich mit der Benutzeroberfläche für die Richtlinienerstellung vertraut zu machen.

Wichtig

In diesem Artikel wird ein hypothetisches Szenario mit hypothetischen Werten vorgestellt. Dies dient nur zur Veranschaulichung. Ersetzen Sie Ihre eigenen Typen vertraulicher Informationen, Vertraulichkeitsbezeichnungen, Verteilergruppen und Benutzer.

Wie Sie eine Richtlinie bereitstellen, ist ebenso wichtig wie der Richtlinienentwurf. In diesem Artikel erfahren Sie, wie Sie die Bereitstellungsoptionen verwenden, damit die Richtlinie Ihre Absicht erreicht und gleichzeitig kostspielige Geschäftsunterbrechungen vermeidet.

In diesem Szenario wird die Vertraulichkeitsbezeichnung Vertraulich verwendet, sodass Sie Vertraulichkeitsbezeichnungen erstellen und veröffentlichen müssen. Weitere Informationen finden Sie unter:

Bei diesem Verfahren werden eine hypothetische Verteilergruppe Human Resources und eine Verteilergruppe für das Sicherheitsteam in Contoso.com verwendet.

Dieses Verfahren generiert Warnungen zur Verhinderung von Datenverlust, wenn Richtlinienregeln ausgelöst werden. Informationen zum Konfigurieren und Überprüfen dieser Warnungen finden Sie unter Erste Schritte mit den Warnungen zur Verhinderung von Datenverlust.

Richtlinienabsichtsanweisung und Zuordnung

Wir, Contoso, haben bereits eine Richtlinie bereitgestellt und optimiert, die us-amerikanische personenbezogene Informationen (Personally Identifiable Information, PII) auf Endpunktgeräten erkennt und Sichtbarkeit und Warnungen bereitstellt. Nachdem wir das Richtlinienverhalten überprüft haben, möchten wir nun zur Erzwingung übergehen, indem wir verhindern, dass Benutzer vertrauliche Informationen außerhalb des organization freigeben.

Um dies zu erreichen, ändern wir die vorhandene Richtlinie so, dass die Aktion blockiert wird, wenn piI in Benutzeraktionen mit Dienstdomänen oder Browsern erkannt wird. Um jedoch die geschäftliche Flexibilität zu gewährleisten, können Benutzer den Block mit einer Begründung überschreiben.

Dies gewährleistet einen starken Datenschutz und ermöglicht es Benutzern gleichzeitig, bei Bedarf in legitimen Geschäftsszenarien fortzufahren.

Statement Antwort zur Konfigurationsfrage und Konfigurationszuordnung
"Wir möchten von der Überwachung zur Erzwingung des Schutzes von US-PII auf Endpunktgeräten übergehen..." - Verwaltungsbereich: Vollständiges Verzeichnis (unverändert)
- Überwachungsort: Geräte (unverändert)
- Vorhandene Richtlinie für die Erzwingung wiederverwendet und aktualisiert
"Wir möchten verhindern, dass Benutzer vertrauliche Daten außerhalb des organization freigeben..." - Aktionen: Überwachen oder Einschränken von Aktivitäten auf Windows-Geräten
- Aktivitätstypen: Dienstdomänen- und Browseraktivitäten
"Wir möchten Risikoaktionen mit sensiblen Daten blockieren..." - Aktionskonfiguration: Blockieren mit aktivierter Außerkraftsetzung für Dienstdomänen- und Browseraktivitäten
"Wir möchten benutzern ermöglichen, in legitimen Fällen mit Verantwortlichkeit fortzufahren..." - Außerkraftsetzungsverhalten: Außerkraftsetzung mit erfasster Benutzerbegründung zulassen
- Benutzerinteraktion: Aufforderung wird auf dem Endpunkt angezeigt, wenn die Aktion blockiert ist
"Wir wollen eine konsistente Durchsetzung über verschiedene Vertraulichkeitsstufen hinweg..." - Regelabdeckung: Anwenden desselben Blocks mit Außerkraftsetzungseinstellungen auf Erkennungsregeln mit geringem und hohem Volumen
"Wir möchten den Einblick in Erzwingungsereignisse und das Benutzerverhalten erhalten..." – Überwachung: Der Aktivitäts-Explorer protokolliert blockierte und überschriebene Ereignisse.
- Warnungen/Ereignisse: Zur Untersuchung und Überwachung erfasst
"Wir möchten das Erzwingungsverhalten durch Tests überprüfen..." – Testen: Lösen Sie die Richtlinie mithilfe einer Testdatei aus, die PII-Daten enthält, und versuchen Sie, eine externe Freigabe zu versuchen.
– Erwartetes Ergebnis: Benutzer empfängt block prompt with override option

Schritte zum Erstellen einer Richtlinie

Führen Sie die folgenden Schritte aus, um die vorhandene Richtlinie zu bearbeiten und blockieren mit Außerkraftsetzungsverhalten zu aktivieren.

  1. Melden Sie sich beim Microsoft Purview-Portal> anRichtlinien zur Verhinderung von> Datenverlust.

  2. Wählen Sie Ihre vorhandene RICHTLINIE für personenbezogene Informationen (PERSONALLY Identifiable Information, PII) aus, die Sie zuvor für die Überwachung auf Endpunktgeräten erstellt haben.

  3. Wählen Sie Richtlinie bearbeiten aus.

  4. Wechseln Sie zur Seite Erweiterte DLP-Regeln anpassen , und bearbeiten Sie die Szenarien Mit geringem Inhaltsvolumen erkannte Us.S. PII-Daten erweitert.

  5. Scrollen Sie nach unten zum Abschnitt Aktionen>Überwachen oder Einschränken von Aktivitäten auf Windows-Geräten , und legen Sie beide Optionen unter Dienstdomänen- und Browseraktivitäten auf Blockieren mit Außerkraftsetzung fest.

    Der Screenshot zeigt den Set-Block mit Außerkraftsetzungsaktionsoptionen.

  6. Wählen Sie Speichern aus.

  7. Bearbeiten Sie die Regel High volume of content detected scenarios U.S. PII Data Enhanced (Us.S. PII Data Enhanced ). Scrollen Sie nach unten zu Aktionen>Überwachen oder Einschränken von Aktivitäten auf einem Windows-Gerät, legen Sie beide Optionen unter Dienstdomänen- und Browseraktivitäten auf Blockieren mit Außerkraftsetzung fest, und wählen Sie dann Speichern aus.

  8. Lassen Sie alle anderen vorhandenen Richtlinieneinstellungen unverändert , indem Sie weiter im restlichen Assistenten und dann Auf Senden klicken, um die Richtlinienänderungen anzuwenden.

  9. Versuchen Sie, ein Testelement, das Inhalte enthält, die die Bedingung "US Personally Identifiable Information (PII)-Daten" auslösen, für eine Person außerhalb Ihrer organization zu teilen. Dieser Freigabeversuch sollte die Richtlinie auslösen.

    Auf dem Clientgerät wird ein Popup wie das folgende angezeigt:

     Dieser Screenshot zeigt die Benachrichtigung über die blockierte Außerkraftsetzung des Endpunkt-DLP-Clients.

  10. Überprüfen Sie den Aktivitäts-Explorer auf das blockierte oder überschriebene Freigabeereignis, das von der Testaktion generiert wurde.