Verhindern von Datenlecks durch Erhalt unangemessener Klassifizierungen für die Einhaltung von PSPF durch die australische Regierung
Dieser Artikel enthält Anleitungen für australische Regierungsorganisationen zu Konfigurationen, um das Risiko von Datenlecks zu verringern, indem Sie überwachen und verhindern, dass Elemente mit unangemessenen Klassifizierungen von Microsoft 365-Diensten empfangen werden. Ihr Zweck ist es, Organisationen dabei zu helfen, ihren Informationssicherheitsstatus zu verbessern. Die Beratung in diesem Artikel entspricht den Anforderungen, die im Schutzsicherheitsrichtlinien-Framework (PSPF) und im Handbuch zur Informationssicherheit (Information Security Security Manual, ISM) beschrieben sind.
Behörden müssen sicherstellen, dass hochsensible Informationen vor der Weitergabe an Umgebungen mit niedrigerer Vertraulichkeit geschützt sind. Dies umfasst Informationen mit angewendeten Klassifizierungen, die höher sind als die von der Organisation zulässigen Und Informationen, die für die Verwendung in Microsoft 365-Cloudumgebungen ungeeignet sind (z. B. SECRET- und TOP SECRET-Informationen).
Blockieren der Übertragung unangemessen gekennzeichneter E-Mails
ISM-0565 schreibt Maßnahmen zum Schutz vor Datenlecks per E-Mail vor:
| Anforderung | Detail |
|---|---|
| ISM-0565 (Juni 2024) | E-Mail-Server sind so konfiguriert, dass E-Mails mit unangemessenen Schutzmarkierungen blockiert, protokolliert und gemeldet werden. |
Zusätzlich zu ISM-0565 entsprechen die Kontrollen in diesem Leitfaden dem Framework für Schutzsicherheitsrichtlinien (Protective Security Policy Framework , PSPF). In Microsoft 365 werden Sicherheitsklassifizierungen mit den Sicherheitskontrollen ISM (Information Security Manual) und PSPF unter Verwendung von Vertraulichkeitsbezeichnungen ausgerichtet. Elemente müssen vertraulichkeitsbezeichnungen in Government enthalten, da dem Element vorgeschriebene Sicherheitskontrollen und -verwaltung zugeordnet sind.
Microsoft Purview-Bereitstellungen für Organisationen der australischen Regierung sind in der Regel gekoppelte Konfigurationen, die eine Bezeichnungsanwendung für alle Elemente erfordern. Diese obligatorische Bezeichnungskonfiguration ermöglicht Es Organisationen, die PSPF-Richtlinie 8-Anforderung 1 zu erfüllen, da beim Erstellen eines Elements eine Bezeichnung darauf angewendet wird. Wenn Bezeichnungen auf alle Elemente angewendet werden, wird sichergestellt, dass sie einen angemessenen Schutz erhalten, und das Risiko einer Kompromittierung wird verringert.
Dlp-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) sind für beides konfiguriert:
- Verhindern von Datenlecks, indem Sie die Übertragung, den Empfang und die weitere Verteilung von Elementen mit einer höheren Klassifizierung als in der Umgebung zulässig verhindern (in diesem Artikel als nicht ausgegebene Klassifizierungen bezeichnet); und
- Verhindern Sie die Übertragung von E-Mails ohne Bezeichnung, die nicht auf Vertraulichkeit bewertet wurden oder auf einen Versuch hinweisen können, Sicherheitskontrollen zu umgehen.
Blockieren der Übertragung nicht ausgegebener Klassifizierungen
Um den Empfang und/oder die weitere Übermittlung von klassifizierten Artikeln und Elementen, die nicht auf der Plattform vorhanden sein sollten, zu blockieren, müssen zunächst Methoden zur Identifizierung solcher Informationen eingerichtet werden. Zu diesen Methoden gehören:
- Die Auswertung von Betreffmarkierungen und E-Mail-X-Schutzmarkierungen, um die Klassifizierung zu bestimmen, die auf eingehende Elemente angewendet wird.
- Die Verwendung vertraulicher Informationstypen (SITs) (wie unter Identifizieren vertraulicher Informationen erläutert), um Informationen zu identifizieren, die auf der Plattform nicht vorhanden sein sollten. Diese SITs enthalten Schlüsselwortbezeichner wie "SEC=SECRET" und "SEC=TOP-SECRET" sowie andere Government-Schlüsselwörter, die in stark vertraulichen Elementen vorhanden sind.
- Die Verwendung von nicht veröffentlichten Vertraulichkeitsbezeichnungen in Kombination mit der automatischen Bezeichnung als Methode, um Elemente zu identifizieren, die auf der Plattform nicht vorhanden sein sollten. Weitere Informationen finden Sie unter Bezeichnungen für Informationen, die über die PROTECTED-Ebene hinausgehen.
Um das Überlaufen von nicht ausgegebenen Klassifizierungen zu blockieren, werden eine Reihe von DLP-Richtlinien verwendet. Da die verfügbaren Richtlinienbedingungen von den von der Organisation verwendeten Diensten abhängen, sind mehrere Richtlinien erforderlich, um alle verfügbaren Kommunikationskanäle abzudecken. Richtlinien, die den Exchange-Dienst adressieren, sind ein empfohlener Ausgangspunkt für die meisten Organisationen.
DLP-Richtlinien enthalten eine oder mehrere Regeln, die Bedingungen wie die folgenden verwenden würden:
- Inhalt enthält, Typ vertraulicher Informationen, Geheimschlüsselwörter SIT, ODER
- Inhalt enthält, Vertraulichkeitsbezeichnung, GEHEIMNIS, ODER
-
Header stimmt mit Muster überein,
X-Protective-Marking : SEC=SECRET, ODER -
Muster zum Abgleich des Betreffs,
\[SEC=SECRET
Regeln sollten über eine Aktion zum Blockieren aller Benutzer verfügen, die unter der Option Zugriff einschränken oder Inhalte an Microsoft 365-Speicherorten verschlüsseln verfügbar ist.
ISM-0133 ist für die Berichterstellung von Aktionen relevant:
| Anforderung | Detail |
|---|---|
| ISM-0133 (Juni 2024) | Wenn ein Datenleck auftritt, werden Datenbesitzern empfohlen, und der Zugriff auf die Daten wird eingeschränkt. |
Warnungsaktionen sind wichtig, um weitere Datenlecks zu verhindern und Bereinigungsaktivitäten zu beschleunigen. Mehrere Aktionen können in einer einzelnen DLP-Regel konfiguriert werden. Sicherheitsteams der Organisation, um geeignete Warnungsaktionen zu bestimmen. Die über die DLP-Schnittstelle verfügbaren Optionen werden über Power Automate- und SIEM-Lösungen (Security Information and Event Management) wie Sentinel erweitert.
Im Folgenden finden Sie ein Beispiel für eine abgeschlossene DLP-Regel zum Identifizieren und Beenden der Verteilung von SECRET-Elementen auf Exchange:
Richtlinienname: EXO: Block nonpermitted classifications (EXO: Block nonpermitted classifications)
| Regelname | Bedingungen | Aktion |
|---|---|---|
| Secret-Elemente blockieren | Inhalt enthält, Typ vertraulicher Informationen: Benutzerdefinierte SIT für Geheimschlüsselwörter , die Begriffe enthalten, die wahrscheinlich mit einer SECRET-Klassifizierung übereinstimmen. ODER Header stimmt mit Mustern überein: X-Protective-Marking : SEC=SECRET ODER Betreff entspricht Mustern: \[SEC=SECRET ODER Inhalt enthält Vertraulichkeitsbezeichnung: GEHEIM |
Einschränken des Zugriffs oder Verschlüsseln der Inhalte an Microsoft 365-Speicherorten: - Blockieren des Empfangens von E-Mails durch Benutzer - Alle blockieren Konfigurieren Sie den entsprechenden Incidentschweregrad und die Warnung. |
Die in der vorherigen Regel angewendete Logik kann verwendet werden, um weitere DLP-Richtlinien zu erstellen, um die Verteilung von nicht ausgegebenen Klassifizierungen auf andere Dienste zu blockieren, einschließlich:
- SharePoint
- OneDrive
- Teams-Chat- und Kanalnachrichten (ohne Vertraulichkeitsbezeichnungsbedingung)
- Geräte über EndPoint DLP (einschließlich nicht ausgegebener Netzwerke, USB, Standorte usw.)
- Hochladen in Clouddienste über Defender for Cloud Apps
- Lokale Dateirepositorys
Blockieren der Übertragung von E-Mails ohne Bezeichnung
Um die Übertragung von E-Mails ohne Bezeichnung zu blockieren, kann eine DLP-Richtlinie basierend auf der benutzerdefinierten Richtlinienvorlage und anwendung auf den Exchange-Dienst konfiguriert werden.
Eine Richtlinie zum Blockieren der Übertragung von E-Mails ohne Bezeichnung erfordert zwei Regeln:
- Die erste Regel für ausgehende Elemente über die Inhalte, die von Microsoft 365 freigegeben werden, mit Personen außerhalb meiner Organisation bedingung.
- Eine zweite Regel, die auf Inhalte angewendet wird, die von Microsoft 365 nurfür Personen innerhalb meiner Organisation freigegeben werden.
Regeln benötigen eine Ausnahme, die über eine Bedingungsgruppe mit aktiviertem NOT-Operanden angewendet wird. Die Bedingungsgruppe enthält eine Bedingung mit Inhalt enthält, Vertraulichkeitsbezeichnungen und hat alle in der Umgebung verfügbaren Bezeichnungen ausgewählt.
Dienste, die E-Mails generieren, fallen außerhalb der Obligatorischen Bezeichnungskonfiguration , die für Microsoft 365 Apps-Clients gilt. Daher wird diese DLP-Richtlinie immer dann ausgelöst, wenn nicht vom Benutzer generierte E-Mails gesendet werden. Es wird gegen Sicherheitswarnungen ausgelöst, die von Microsoft-Diensten, E-Mails von Scannern und Multifunktionsgeräten (MFDs) und E-Mails von Anwendungen wie Personalwesen oder Lohnabrechnungssystemen generiert werden. Um sicherzustellen, dass die Richtlinie wesentliche Geschäftsprozesse nicht blockiert, müssen Ausnahmen in die Gruppe NOT eingeschlossen werden. Zum Beispiel:
- DieOder-Absenderdomäne istmicrosoft.com, die Sicherheit und SharePoint-Warnungen erfasst.
- DEROR-Absender ist ein Mitglied der Gruppe, wobei eine Gruppe Konten enthält, die berechtigt sind, diese Anforderung zu umgehen.
- ODERAbsender-IP-Adresse ist zusammen mit Adressen von Büro-MFDs.
Die Regel wird immer dann ausgelöst, wenn eine E-Mail gesendet wird, die keine der aufgeführten Vertraulichkeitsbezeichnungen enthält, es sei denn, der Absender wird über eine der konfigurierten Ausnahmen ausgenommen.
Diese DLP-Regeln sollten über eine Aktion verfügen, bei der alle Benutzer blockiert werden, zusammen mit dem entsprechenden Schweregrad und Denkaktionen.
Die folgende Warnungsanforderung ist für die DLP-Regel relevant, die auf ausgehende Elemente angewendet wird:
| Anforderung | Detail |
|---|---|
| ISM-1023 (Juni 2024) | Die vorgesehenen Empfänger blockierter eingehender E-Mails und die Absender blockierter ausgehender E-Mails werden benachrichtigt. |
Um diese Anforderung zu erfüllen, wird die DLP-Regel, die auf ausgehende Elemente angewendet wird, so konfiguriert, dass der Benutzer benachrichtigt wird, der versucht hat, das Element zu senden.
Tipp
Behördenorganisationen, die auf Vertraulichkeitsbezeichnungen umstellen, können einen Richtlinientipp konfigurieren, anstatt Aktionen zu blockieren oder zu warnen. Solche Richtlinien können verwendet werden, um die Bezeichnungsauswahl vorzuschlagen, ohne sie als harte Anforderung zu konfigurieren. Dies entspricht zwar nicht unbedingt den Anforderungen im ISM, kann jedoch eine ordnungsgemäßere Bereitstellung von Microsoft Purview-Funktionen für Benutzer ermöglichen.
Beispiel für eine DLP-Richtlinie, die E-Mails ohne Bezeichnung blockiert
Die folgende DLP-Richtlinie gilt für den Exchange-Dienst und verhindert den Verlust von Informationen per E-Mail ohne Bezeichnung:
Richtlinienname: EXO – Blockieren von E-Mails ohne Bezeichnung
| Regel | Bedingungen | Aktion |
|---|---|---|
| Blockieren ausgehender nicht bezeichneter E-Mails | Inhalte werden von Microsoft 365 für Personen außerhalb meiner Organisation freigegeben. AND Bedingungsgruppe NICHT Inhalt enthält Vertraulichkeitsbezeichnungen: - Alle Bezeichnungen auswählen ODER Absenderdomäne ist: – microsoft.com – andere Ausnahmen einschließen |
Einschränken des Zugriffs oder Verschlüsseln der Inhalte an Microsoft 365-Speicherorten: - Blockieren des Empfangens von E-Mails durch Benutzer - Alle blockieren |