Freigeben über


Entwerfen einer Richtlinie zur Verhinderung von Datenverlust

Wenn Sie sich die Zeit nehmen, eine Richtlinie zu entwerfen, bevor Sie sie implementieren, erzielen Sie schneller die gewünschten Ergebnisse mit weniger unbeabsichtigten Problemen, als sie zu erstellen und dann die Optimierung allein anhand von "Trial and Error" durchzuführen. Wenn Sie Ihre Richtlinienentwürfe dokumentieren, helfen Sie auch bei der Kommunikation, Richtlinienüberprüfungen, Problembehandlung und weiteren Optimierungen.

Wenn Sie noch nicht mit Microsoft Purview DLP vertraut sind, ist es hilfreich, diese Artikel durchzuarbeiten, bevor Sie mit dem Entwerfen einer Richtlinie beginnen:

Tipp

Beginnen Sie mit Microsoft Copilot for Security, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot for Security in Microsoft Purview.

Bevor Sie beginnen

Wenn Sie noch nicht mit Microsoft Purview DLP vertraut sind, finden Sie hier eine Liste der wichtigsten Artikel, die Sie für die Implementierung von DLP benötigen:

  1. Administrative Einheiten
  2. Informationen zur Verhinderung von Datenverlust in Microsoft Purview : Dieser Artikel führt Sie in die Disziplin zur Verhinderung von Datenverlust und die Implementierung von DLP durch Microsoft ein.
  3. Planen der Verhinderung von Datenverlust (Data Loss Prevention, DLP): In diesem Artikel gehen Sie wie folgt vor:
    1. Identifizieren von Projektbeteiligten
    2. Beschreiben der Kategorien vertraulicher Informationen, die geschützt werden sollen
    3. Ziele und Strategie festlegen
  4. Richtlinienreferenz zur Verhinderung von Datenverlust : In diesem Artikel werden alle Komponenten einer DLP-Richtlinie vorgestellt und erläutert, wie jede komponente das Verhalten einer Richtlinie beeinflusst.
  5. Entwerfen einer DLP-Richtlinie : Dieser Artikel (den Sie jetzt lesen) führt Sie durch das Erstellen einer Richtlinienabsichtsanweisung und die Zuordnung zu einer bestimmten Richtlinienkonfiguration.
  6. Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust : In diesem Artikel werden einige gängige Richtlinienabsichtsszenarien vorgestellt, die Sie Konfigurationsoptionen zuordnen. Anschließend werden Sie durch die Konfiguration dieser Optionen beschrieben.
  7. Erfahren Sie mehr über die Untersuchung von Warnungen zur Verhinderung von Datenverlust : In diesem Artikel wird der Lebenszyklus von Warnungen von der Erstellung bis hin zur endgültigen Korrektur und Richtlinienoptimierung vorgestellt. Außerdem werden sie in die Tools eingeführt, die Sie zum Untersuchen von Warnungen verwenden.

Übersicht über den Richtlinienentwurf

Beim Entwerfen einer Richtlinie geht es hauptsächlich darum , Ihre geschäftsspezifischen Anforderungen klar zu definieren, sie in einer Richtlinienabsichtserklärung zu dokumentieren und diese Anforderungen dann der Richtlinienkonfiguration zuzuordnen. Sie verwenden die Entscheidungen, die Sie in Ihrer Planungsphase getroffen haben, um einige Ihrer Richtlinienentwurfsentscheidungen zu treffen.

Definieren der Absicht für die Richtlinie

Sie sollten in der Lage sein, die Geschäftsabsicht für jede Richtlinie, die Sie haben, in einer einzigen Anweisung zusammenzufassen. Die Entwicklung dieser Aussage fördert Unterhaltungen in Ihrer Organisation. Wenn sie vollständig ausgearbeitet wurde, verknüpft diese Erklärung die Richtlinie direkt mit einem Geschäftszweck und stellt eine Roadmap für das Richtliniendesign bereit. Die Schritte im Artikel Planen der Verhinderung von Datenverlust (DATA Loss Prevention, DLP) helfen Ihnen bei den ersten Schritten mit Ihrer Richtlinienabsichtsanweisung.

Beachten Sie, dass, wie in der Übersicht über die DLP-Richtlinienkonfiguration beschrieben, für alle DLP-Richtlinien Folgendes erforderlich ist:

  • Wählen Sie aus, was Sie überwachen möchten.
  • Wählen Sie den Richtlinienbereich aus.
  • Wählen Sie aus, wo Sie überwachen möchten.
  • Wählen Sie die Bedingungen aus, die erfüllt werden müssen, damit eine Richtlinie auf ein Element angewendet werden kann.
  • Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn die Richtlinienbedingungen erfüllt sind.

Hier ist beispielsweise ein fiktiver erster Entwurf einer Absichtsanweisung, der Antworten auf alle fünf Fragen bietet:

"Wir sind eine in den USA ansässige Organisation, und wir müssen Office-Dokumente erkennen, die vertrauliche Gesundheitsinformationen enthalten, die von HIPAA abgedeckt sind und in OneDrive/SharePoint gespeichert sind, und um zu verhindern, dass diese Informationen in Teams-Chats und -Kanalnachrichten geteilt werden, und wir müssen verhindern, dass alle Personen sie für nicht autorisierte Dritte freigeben können".

Wenn Sie einen Richtlinienentwurf entwickeln, ändern und erweitern Sie wahrscheinlich die Anweisung.

Zuordnen von Geschäftsanforderungen zur Richtlinienkonfiguration

Lassen Sie uns die Beispielentwurfsanweisung aufschlüsseln und sie DLP-Richtlinienkonfigurationspunkten zuordnen. In diesem Beispiel wird davon ausgegangen, dass Sie ein uneingeschränktes DLP-Administratorkonto verwenden und keine Verwaltungseinheiten konfiguriert sind.

Wichtig

Stellen Sie sicher, dass Sie den Unterschied zwischen einem uneingeschränkten Administrator und einem Administrator mit eingeschränkten Verwaltungseinheiten verstehen, indem Sie verwaltungseinheiten lesen, bevor Sie beginnen.

Anweisung Antwort zur Konfigurationsfrage und Konfigurationszuordnung
"Wir sind eine in den USA ansässige Organisation, und wir müssen Office-Dokumente erkennen, die vertrauliche Gesundheitsinformationen enthalten, die von HIPAA abgedeckt werden... - Was zu überwachen ist: Office-Dokumente, verwenden Sie die Vorlage
- Bedingungen für eine Übereinstimmung: (vorkonfiguriert, aber bearbeitbar) - Element enthält die Nummer der U.S. SSN and Drug Enforcement Agency (DEA), International Classification of Diseases (ICD-9-CM), International Classification of Diseases (ICD-10-CM), Inhalte werden mit Personen außerhalb meiner Organisation
geteilt - treibt Unterhaltungen an, um den auslösenden Schwellenwert für die Erkennung wie zu verdeutlichen.Konfidenzniveaus und Instanzanzahl (als Lecktoleranz bezeichnet).
... die in OneDrive/SharePoint gespeichert sind und sich davor schützen, dass diese Informationen in Teams-Chats und -Kanalnachrichten freigegeben werden... - Überwachungsort: Ein- oder Ausschließen von OneDrive- und SharePoint-Websites und Teams-Chat-/Kanalkonten oder Verteilergruppen. Richtlinienbereich (Vorschau): Vollständiges Verzeichnis
... und hindern sie daran, diese Elemente für nicht autorisierte Dritte freizulegen." - Auszuführende Aktionen: Sie fügenZugriff einschränken oder Den Inhalt an Microsoft 365-Speicherorten
verschlüsseln hinzu – fördert die Konversation darüber, welche Aktionen ausgeführt werden müssen, wenn eine Richtlinie ausgelöst wird, einschließlich Schutzaktionen wie Freigabeeinschränkungen, Sensibilisierungsaktionen wie Benachrichtigungen und Warnungen sowie Benutzerermächtigungsaktionen wie Zulassen von Benutzerüberschreibungen einer blockierenden Aktion

In diesem Beispiel werden nicht alle Konfigurationspunkte einer DLP-Richtlinie behandelt. sie müsste erweitert werden. Es sollte Sie jedoch dazu bringen, in die richtige Richtung zu denken, wenn Sie Ihre eigenen DLP-Richtlinienabsichtsanweisungen entwickeln.

Wichtig

Beachten Sie, dass sich die ausgewählten Speicherorte darauf auswirken, ob Sie vertrauliche Informationstypen, Vertraulichkeitsbezeichnungen und Aufbewahrungsbezeichnungen verwenden können. Die ausgewählten Speicherorte wirken sich auch auf die verfügbaren Aktionen aus. Weitere Informationen finden Sie unter Richtlinienreferenz zur Verhinderung von Datenverlust .

Entwurf komplexer Regeln

Die oben genannten HIPAA-Inhalte in SharePoint und OneDrive sind ein einfaches Beispiel für eine DLP-Richtlinie. Der DLP-Regel-Generator unterstützt boolesche Logik (AND, OR, NOT) und geschachtelte Gruppen.

Wichtig

  • Alle vorhandenen Ausnahmen werden durch eine NOT-Bedingung in einer geschachtelten Gruppe innerhalb der Bedingungen ersetzt.
  • Sie müssen Gruppen erstellen, um mehrere Operatoren verwenden zu können.

Wichtig

Wenn eine Aktion in Office-Desktopclient-Apps (Word, Outlook, Excel und PowerPoint) mit einer Richtlinie übereinstimmt, die komplexe Bedingungen verwendet, werden dem Benutzer nur Richtlinientipps für Regeln angezeigt, die die Bedingung Inhalt enthält vertrauliche Informationen verwenden.

  • Beispiel 1 Wir müssen E-Mails an alle Empfänger blockieren, die Kreditkartennummern enthalten, ODER denen die Vertraulichkeitsbezeichnung "streng vertraulich" zugewiesen ist, aber die E-Mail NICHT blockieren, wenn sie von einer Person im Finanzteam an gesendet wird adele.vance@contoso.com

  • Beispiel 2 Contoso muss alle E-Mails blockieren, die eine kennwortgeschützte Datei ODER eine ZIP-Dokumentdateierweiterung ("zip" oder "7z") enthalten, aber die E-Mail NICHT blockieren, wenn sich der Empfänger in der contoso.com Domäne oder der fabrikam.com Domäne befindet oder der Absender Mitglied der Contoso-Personalgruppe ist.

Wichtig

  • Die Verwendung der NOT-Bedingung in einer geschachtelten Gruppe ersetzt die Ausnahmefunktion .
  • Sie müssen Gruppen erstellen, um mehrere Operatoren verwenden zu können.

Wichtig

Wenn eine Aktion in Office-Desktopclient-Apps (Word, Outlook, Excel und PowerPoint) mit einer Richtlinie übereinstimmt, die komplexe Bedingungen verwendet, werden dem Benutzer nur Richtlinientipps für Regeln angezeigt, die die Bedingung Inhalt enthält vertrauliche Informationen verwenden.

Richtlinienentwurfsprozess

  1. Führen Sie die Schritte unter Planen der Verhinderung von Datenverlust (Data Loss Prevention, DLP) aus:

    1. Identifizieren Ihrer Projektbeteiligten
    2. Beschreiben der Kategorien vertraulicher Informationen, die geschützt werden sollen
    3. Ziele und Strategie festlegen
    4. Definieren Des Richtlinienbereitstellungsplans
  2. Machen Sie sich mit der Richtlinienreferenz zur Verhinderung von Datenverlust vertraut, damit Sie alle Komponenten einer DLP-Richtlinie verstehen und verstehen, wie sich diese auf das Verhalten einer Richtlinie auswirkt.

  3. Machen Sie sich mit den DLP-Richtlinienvorlagen vertraut.

  4. Entwickeln Sie Ihre Richtlinienabsicht mit Ihren wichtigsten Projektbeteiligten. Weitere Informationen finden Sie weiter oben in diesem Artikel.

  5. Bestimmen Sie, wie diese Richtlinie in Ihre allgemeine DLP-Richtlinienstrategie passt.

    Wichtig

    Richtlinien können nicht umbenannt werden, nachdem sie erstellt wurden. Wenn Sie eine Richtlinie umbenennen müssen, müssen Sie eine neue Richtlinie mit dem gewünschten Namen erstellen und die alte Richtlinie außer Kraft setzen. Entscheiden Sie daher von Anfang an über die Namensstruktur, die von allen Richtlinien verwendet wird.

  6. Ordnen Sie die Elemente in Ihrer Richtlinienabsichtsanweisung den Konfigurationsoptionen zu.

  7. Entscheiden Sie, mit welcher Richtlinienvorlage Sie beginnen möchten: vordefiniert oder benutzerdefiniert.

  8. Gehen Sie die Vorlage durch, und stellen Sie alle erforderlichen Informationen zusammen, bevor Sie die Richtlinie erstellen. Es ist wahrscheinlich, dass Sie feststellen, dass es einige Konfigurationspunkte gibt, die in Ihrer Richtlinienabsichtsanweisung nicht behandelt werden. Das ist in Ordnung. Kehren Sie zu Ihren Projektbeteiligten zurück, um die Anforderungen für fehlende Konfigurationspunkte auszubügeln.

  9. Dokumentieren Sie die Konfiguration aller Richtlinieneinstellungen, und überprüfen Sie sie mit Ihren Projektbeteiligten. Sie können die Zuordnung Ihrer Richtlinienabsichtsanweisung zu Konfigurationspunkten wiederverwenden, die jetzt vollständig überarbeitet wurde.

  10. Erstellen Sie einen Richtlinienentwurf , und verweisen Sie auf Ihren Richtlinienbereitstellungsplan .

Siehe auch