Freigeben über


Erste Schritte mit dem Sammeln von Dateien, die Richtlinien zur Verhinderung von Datenverlust von Geräten entsprechen

Dieser Artikel führt Sie durch die Voraussetzungen und Konfigurationsschritte für die Beweissammlung für Dateiaktivitäten auf Geräten und erläutert, wie Sie die kopierten und gespeicherten Elemente anzeigen.

Tipp

Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.

Hier finden Sie die allgemeinen Schritte zum Konfigurieren und Verwenden der Beweissammlung für Dateiaktivitäten auf Geräten.

  1. Integrieren von Geräten
  2. Grundlegendes zu Ihren AnforderungenErstellen Ihres verwalteten Azure-Speicherkontos
  3. Hinzufügen eines Azure Storage-Blobs zu Ihrem Konto
  4. Aktivieren und Konfigurieren der Beweissammlung für ein von Microsoft verwaltetes Speicherkonto (Vorschau)
  5. Konfigurieren Ihrer DLP-Richtlinie
  6. Anzeigen einer Vorschau des Beweismaterials

Bevor Sie beginnen

Bevor Sie mit diesen Verfahren beginnen, sollten Sie Informationen zur Beweissammlung für Dateiaktivitäten auf Geräten lesen.

Lizenzierung und Abonnements

Bevor Sie mit der Verwendung von DLP-Richtlinien beginnen, bestätigen Sie Ihr Microsoft 365-Abonnement und alle Add-Ons.

Informationen zur Lizenzierung finden Sie unter Microsoft 365, Office 365, Enterprise Mobility + Security und Windows 11 Subscriptions for Enterprises.

Lesen Sie die Erforderlichen Lizenzierungsanforderungen für Microsoft Entra ID P1 oder P2, die zum Erstellen einer benutzerdefinierten rollenbasierten Zugriffssteuerung (RBAC) erforderlich sind.

Berechtigungen

Standard Microsoft Purview Data Loss Prevention (DLP)-Berechtigungen sind erforderlich. Weitere Informationen finden Sie unter Berechtigungen.

Onboarding von Geräten

Bevor Sie übereinstimmende Elemente verwenden können, müssen Sie Windows 10/11-Geräte in Purview integrieren. Weitere Informationen finden Sie unter Onboarding von Windows-Geräten in Microsoft 365 – Übersicht.

Grundlegendes zu Ihren Anforderungen

Wichtig

Jeder Container erbt die Berechtigungen des Speicherkontos, in dem er sich befindet. Sie können nicht unterschiedliche Berechtigungen pro Container festlegen. Wenn Sie unterschiedliche Berechtigungen für verschiedene Regionen konfigurieren müssen, müssen Sie mehrere Speicherkonten und nicht mehrere Container erstellen.

Sie sollten Antworten auf die folgende Frage haben, bevor Sie Ihren Azure-Speicher einrichten und das Feature auf Benutzer festlegen.

Müssen Sie Elemente aufteilen und den Zugriff entlang von Rollen- oder Abteilungslinien durchführen?

Wenn Ihr organization z. B. eine Gruppe von Administratoren oder DLP-Ereignisermittlern verwenden möchte, die gespeicherte Dateien von Ihrer leitenden Führungsebene und eine andere Gruppe von Administratoren oder DLP-Ereignisermittlern für gespeicherte Elemente aus der Personalabteilung anzeigen können, sollten Sie ein Azure-Speicherkonto für die leitende Führungsebene Ihres organization und ein weiteres für die Personalabteilung erstellen. Dadurch wird sichergestellt, dass die Azure-Speicheradministratoren oder DLP-Ereignisermittler nur die Elemente sehen können, die mit DLP-Richtlinien aus ihren jeweiligen Gruppen übereinstimmen.

Möchten Sie Container verwenden, um gespeicherte Elemente zu organisieren?

Sie können mehrere Beweiscontainer innerhalb desselben Speicherkontos erstellen, um gespeicherte Dateien zu sortieren. Beispielsweise eine für Dateien, die aus der Personalabteilung und eine andere für dateien aus der IT-Abteilung gespeichert wurden.

Wie sieht Ihre Strategie zum Schutz vor dem Löschen oder Ändern gespeicherter Elemente aus?

In Azure Storage bezieht sich Datenschutz sowohl auf die Strategien zum Schutz des Speicherkontos als auch der darin enthaltenen Daten vor dem Löschen oder Ändern sowie auf die Wiederherstellung von Daten, nachdem sie gelöscht oder geändert wurden. Azure Storage bietet auch Optionen für die Notfallwiederherstellung, einschließlich mehrerer Redundanzebenen, um Ihre Daten vor Dienstausfällen aufgrund von Hardwareproblemen oder Naturkatastrophen zu schützen. Sie kann Ihre Daten auch mithilfe eines kundenseitig verwalteten Failovers schützen, wenn das Rechenzentrum in der primären Region nicht mehr verfügbar ist. Weitere Informationen finden Sie unter Übersicht über den Datenschutz.

Sie können auch Unveränderlichkeitsrichtlinien für Ihre Blobdaten konfigurieren, die vor dem Überschreiben oder Löschen der gespeicherten Elemente schützen. Weitere Informationen finden Sie unter Speichern unternehmenskritischer Blobdaten mit unveränderlichem Speicher.

Unterstützte Dateitypen zum Speichern und Anzeigen einer Vorschau von Beweisen

Kann gespeichert werden Kann in der Vorschau angezeigt werden
Alle Dateitypen, die von Endpunkt-DLP überwacht werden Alle Dateitypen, die für die Vorschau von Dateien in OneDrive, SharePoint und Teams unterstützt werden

Übereinstimmende Elemente in Ihrem bevorzugten Speicher speichern

Um die Beweise zu speichern, die Microsoft Purview erkennt, wenn Ihre Richtlinien zur Verhinderung von Datenverlust angewendet werden, müssen Sie Speicher einrichten. Sie können auf zwei Arten vorgehen:

  1. Erstellen eines kundenseitig verwalteten Speichers
  2. Erstellen eines von Microsoft verwalteten Speichers (Vorschau)

Weitere Informationen und einen Vergleich dieser beiden Speichertypen finden Sie unter [Speichern von Beweisen, wenn vertrauliche Informationen erkannt werden (Vorschau)](dlp-copy-matched-items-learn.md#storage-evidence-when-sensitive-information-is-detected-on-policy match-preview).

Erstellen eines kundenseitig verwalteten Speichers

Die Verfahren zum Einrichten Ihres Azure-Speicherkontos, Ihres Containers und Ihrer Blobs sind in der Azure-Dokumentenmappe dokumentiert. Hier finden Sie Links zu relevanten Artikeln, auf die Sie sich bei den ersten Schritten beziehen können:

  1. Einführung in Azure Blob Storage
  2. Erstellen eines Speicherkontos
  3. Standard für und Autorisieren des Zugriffs auf Blobs mithilfe von Microsoft Entra ID
  4. Verwalten von Blobcontainern mithilfe des Azure-Portal
  5. Verwalten von Blockblobs mit PowerShell

Hinweis

Stellen Sie sicher, dass Sie beim Erstellen des Speicherkontos öffentlichen Zugriff aus allen Netzwerken aktivieren auswählen. Unterstützung für virtuelle Netzwerke und IP-Adressen und die Verwendung des privaten Zugriffs ist nicht verfügbar.

Achten Sie darauf, den Namen und die URL des Azure-Blobcontainers zu speichern. Öffnen Sie zum Anzeigen der URL das Azure Storage-Portal >Home>Storage Accounts>Container>Properties

Das Format für die Azure-Blobcontainer-URL lautet:https://storageAccountName.blob.core.windows.net/containerName .

Hinzufügen eines Azure Storage-Blobs zu Ihrem Konto

Es gibt mehrere Möglichkeiten, wie Sie Ihrem Konto ein Azure Storage-Blob hinzufügen können. Wählen Sie eine der folgenden Methoden aus.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Abhängig von Ihrem Microsoft 365-Plan wird die Microsoft Purview-Complianceportal eingestellt oder wird bald eingestellt.

Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

So fügen Sie Azure Blob Storage über das Microsoft Purview-Portal hinzu:

  1. Melden Sie sich beim Microsoft Purview-Portal an, und wählen Sie in der Menüleiste das Zahnrad Einstellungen aus.
  2. Wählen Sie Verhinderung von Datenverlust aus.
  3. Wählen Sie Endpunkt-DLP-Einstellungen aus.
  4. Erweitern Sie Beweissammlung für Dateiaktivitäten auf Geräten einrichten.
  5. Ändern Sie den Umschalter von Aus in Ein.
  6. Wählen Sie im Feld Beweiscache auf Gerät festlegen den Zeitraum aus, der lokal gespeichert werden soll, wenn das Gerät offline ist. Sie können 7, 30 oder 60 Tage auswählen.
  7. Wählen Sie einen Speichertyp aus (vom Kunden verwalteter Store oder Von Microsoft verwalteter Store (Vorschau)), und wählen Sie dann + Speicher hinzufügen aus.
    1. Für kundenseitig verwalteten Speicher:
      1. Wählen Sie Kundenseitig verwalteter Speicher aus, und wählen Sie dann + Speicher hinzufügen aus.
      2. Geben Sie einen Namen für das Konto ein, und geben Sie die URL für das Speicherblob ein.
      3. Wählen Sie Speichern aus.
    2. Für von Microsoft verwalteten Speicher:
      1. Auswählen des verwalteten Microsoft-Speichers (Vorschau)

Festlegen von Berechtigungen für Azure Blob Storage

Mit Microsoft Entra-Autorisierung müssen Sie zwei Berechtigungssätze (Rollengruppen) für die Blobs konfigurieren:

  1. Eine für die Administratoren und Ermittler, damit sie Beweise anzeigen und verwalten können
  2. Eine für Benutzer, die Elemente von ihren Geräten in Azure hochladen müssen

Die bewährte Methode besteht darin, die geringsten Berechtigungen für alle Benutzer zu erzwingen, unabhängig von der Rolle. Durch Erzwingen der geringsten Rechte stellen Sie sicher, dass Benutzerberechtigungen nur auf die Berechtigungen beschränkt sind, die für ihre Rolle erforderlich sind. Um Benutzerberechtigungen zu konfigurieren, erstellen Sie Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview.

Berechtigungen für Azure-Blobs für Administratoren und Ermittler

Nachdem Sie die Rollengruppe für DLP-Incident-Ermittler erstellt haben, müssen Sie die berechtigungen konfigurieren, die in den folgenden Abschnitten "Ermittleraktionen " und " Datenaktionen des Ermittlers " beschrieben sind.

Weitere Informationen zum Konfigurieren des Blobzugriffs finden Sie in den folgenden Artikeln:

Untersuchungsaktionen

Konfigurieren Sie diese Objekt- und Aktionsberechtigungen für die Rolle "Ermittler":

Objekt Berechtigungen
Microsoft.Storage/storageAccounts/blobServices Lesen: Auflisten von Blobdiensten
Microsoft.Storage/storageAccounts/blobServices Lesen: Abrufen von Blobdiensteigenschaften oder -statistiken
Microsoft.Storage/storageAccounts/blobServices/containers Lesen: Abrufen eines Blobcontainers
Microsoft.Storage/storageAccounts/blobServices/containers Lesen: Liste der Blobcontainer
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Lesen: Blob lesen
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action Sonstiges: Generieren eines Benutzerdelegierungsschlüssels
Datenaktionen für Ermittler
Objekt Berechtigungen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Lesen: Blob lesen

Ihr JSON-Code für die Rollengruppe "Ermittler" sollte wie folgt aussehen:

"permissions": [
            {
                "actions": [
                 "Microsoft.Storage/storageAccounts/blobServices/read",
                 "Microsoft.Storage/storageAccounts/blobServices/containers/read",
                 "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
                ],
                "notDataActions": []
            }
        ]

Berechtigungen für Azure-Blobs für Benutzer

Weisen Sie dem Azure-Blob diese Objekt- und Aktionsberechtigungen für die Benutzerrolle zu:

Benutzeraktionen
Objekt Berechtigungen
Microsoft.Storage/storageAccounts/blobServices Lesen: Auflisten von Blobdiensten
Microsoft.Storage/storageAccounts/blobServices/containers Lesen: Abrufen eines Blobcontainers
Microsoft.Storage/storageAccounts/blobServices/containers Schreiben: Blobcontainer platzieren
Benutzerdatenaktionen
Objekt Berechtigungen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Schreiben: Blob schreiben
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Sonstiges: Hinzufügen von Blobinhalten

Der JSON-Code für die Benutzerrollengruppe sollte wie folgt aussehen:

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

Aktivieren und Konfigurieren der Beweissammlung für ein von Microsoft verwaltetes Speicherkonto (Vorschau)

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Abhängig von Ihrem Microsoft 365-Plan wird die Microsoft Purview-Complianceportal eingestellt oder wird bald eingestellt.

Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

So aktivieren und konfigurieren Sie die Beweissammlung für ein speicherkonto, das von Microsoft im Microsoft Purview-Portal verwaltet wird:

  1. Melden Sie sich in der Menüleiste beimEinstellungen-Zahnrad des Microsoft Purview-Portals> an.
  2. Wählen Sie Verhinderung von Datenverlust aus.
  3. Wählen Sie Endpunkt-DLP-Einstellungen aus.
  4. Erweitern Sie Beweissammlung für Dateiaktivitäten auf Geräten einrichten , und legen Sie die Umschaltfläche auf Ein fest.
  5. Wählen Sie unter Speichertyp auswählen die Option Von Microsoft verwalteter Speicher aus.

Konfigurieren Ihrer DLP-Richtlinie

Erstellen Sie wie gewohnt eine DLP-Richtlinie. Beispiele für die Richtlinienkonfiguration finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust.

Konfigurieren Sie Ihre Richtlinie mit den folgenden Einstellungen:

  • Stellen Sie sicher, dass Geräte der einzige ausgewählte Standort ist.
  • Aktivieren Sie unter Incidentberichte die Option Warnung an Administratoren senden, wenn eine Regel übereinstimmung mitEin auftritt.
  • Wählen Sie unter Incidentberichte die Option Originaldatei als Beweis für alle ausgewählten Dateiaktivitäten auf dem Endpunkt sammeln aus.
  • Wählen Sie das gewünschte Speicherkonto aus.
  • Wählen Sie die Aktivitäten aus, für die Sie übereinstimmende Elemente in Azure Storage kopieren möchten, z. B.:
    • Einfügen in unterstützte Browser
    • Hochladen in Clouddienstdomänen oder Zugriff auf nicht zulässige Browser
    • Kopieren auf ein USB-Wechselgerät
    • Kopieren in eine Netzwerkfreigabe
    • Print
    • Kopieren oder Verschieben mit einer nicht zugelassenen Bluetooth-App
    • Kopieren oder Verschieben mithilfe von RDP

Anzeigen einer Vorschau des Beweismaterials

Je nachdem, welchen Speichertyp Sie auswählen, gibt es verschiedene Möglichkeiten, Ihre Beweise in der Vorschau anzuzeigen.

Speichertypus Vorschauoptionen
Kundenseitig verwaltet - Verwenden des Aktivitäts-Explorers
- Verwenden des Complianceportals
Von Microsoft verwaltet (Vorschau) - Verwenden des Aktivitäts-Explorers
- Verwenden des Complianceportals

Vorschau von Beweisen über den Aktivitäts-Explorer

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Abhängig von Ihrem Microsoft 365-Plan wird die Microsoft Purview-Complianceportal eingestellt oder wird bald eingestellt.

Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal>Aktivitäts-Explorerzur Verhinderung von> Datenverlust an.
  2. Wählen Sie in der Dropdownliste Datum das Start- und Enddatum für den gewünschten Zeitraum aus.
  3. Doppelklicken Sie in der Ergebnisliste auf die Position der Aktivität, die Sie untersuchen möchten.
  4. Im Flyoutbereich wird der Link zu dem Azure-Blob, in dem der Beweis gespeichert ist, unter Beweisdatei angezeigt.
  5. Wählen Sie den Link Azure Blob Storage aus, um die übereinstimmende Datei anzuzeigen.

Anzeigen einer Vorschau von Beweisen über die Seite "Warnungen" im Complianceportal

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Abhängig von Ihrem Microsoft 365-Plan wird die Microsoft Purview-Complianceportal eingestellt oder wird bald eingestellt.

Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal>warnungenzur Verhinderung von> Datenverlust an.
  2. Wählen Sie in der Dropdownliste Datum das Start- und Enddatum für den gewünschten Zeitraum aus.
  3. Doppelklicken Sie in der Ergebnisliste auf die Position der Aktivität, die Sie untersuchen möchten.
  4. Wählen Sie im Flyoutbereich Details anzeigen aus.
  5. Wählen Sie die Registerkarte Ereignisse aus.
  6. Wählen Sie im Detailbereich die Registerkarte Quelle aus. Die datei, die abgeglichen wurde, wird angezeigt.

Hinweis

Wenn die übereinstimmende Datei bereits im Azure Storage-Blob vorhanden ist, wird sie erst dann erneut hochgeladen, wenn Änderungen an der Datei vorgenommen wurden und ein Benutzer eine Aktion dafür ausführt.

Bekannte Verhaltensweisen

  • Dateien, die im Gerätecache gespeichert sind, werden nicht beibehalten, wenn das System abstürzt oder neu gestartet wird.
  • Die maximale Größe für Dateien, die von einem Gerät hochgeladen werden können, beträgt 500 MB.
  • Wenn just-in-Time-Schutz für eine gescannte Datei ausgelöst wird, ODER wenn die Datei auf einer Netzwerkfreigabe gespeichert ist, wird die Beweisdatei nicht gesammelt.
  • Wenn mehrere Dateien im gleichen Prozess geöffnet werden (Nicht-Office-Apps) und eine der Dateien, die einer Richtlinie entsprechen, gesendet wird, werden DLP-Ereignisse für alle Dateien ausgelöst. Es werden keine Beweise erfasst.
  • Wenn mehrere Richtlinienregeln in einer einzelnen Datei erkannt werden, wird die Beweisdatei nur gespeichert, wenn die restriktivste Richtlinienregel für die Sammlung von Beweisen konfiguriert ist.