Entwerfen einer Richtlinie zur Verhinderung von Datenverlust
Wenn Sie sich die Zeit nehmen, eine Richtlinie zu entwerfen, bevor Sie sie implementieren, erzielen Sie schneller die gewünschten Ergebnisse mit weniger unbeabsichtigten Problemen, als sie zu erstellen und dann die Optimierung allein anhand von "Trial and Error" durchzuführen. Wenn Sie Ihre Richtlinienentwürfe dokumentieren, helfen Sie auch bei der Kommunikation, Richtlinienüberprüfungen, Problembehandlung und weiteren Optimierungen.
Wenn Sie noch nicht mit Microsoft Purview DLP vertraut sind, ist es hilfreich, diese Artikel durchzuarbeiten, bevor Sie mit dem Entwerfen einer Richtlinie beginnen:
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Bevor Sie beginnen
Wenn Sie noch nicht mit Microsoft Purview DLP vertraut sind, finden Sie hier eine Liste der wichtigsten Artikel, die Sie für die Implementierung von DLP benötigen:
- Administrative Einheiten
- Erfahren Sie mehr über Microsoft Purview Data Loss Prevention: In diesem Artikel werden die Disziplin zur Verhinderung von Datenverlust und die Implementierung von DLP durch Microsoft vorgestellt.
- Planen der Verhinderung von Datenverlust (Data Loss Prevention, DLP): In diesem Artikel gehen Sie wie folgt vor:
- Richtlinienreferenz zur Verhinderung von Datenverlust : In diesem Artikel werden alle Komponenten einer DLP-Richtlinie vorgestellt und erläutert, wie jede komponente das Verhalten einer Richtlinie beeinflusst.
- Entwerfen einer DLP-Richtlinie : Dieser Artikel (den Sie jetzt lesen) führt Sie durch das Erstellen einer Richtlinienabsichtsanweisung und die Zuordnung zu einer bestimmten Richtlinienkonfiguration.
- Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust : In diesem Artikel werden einige gängige Richtlinienabsichtsszenarien vorgestellt, die Sie Konfigurationsoptionen zuordnen. Anschließend werden Sie durch die Konfiguration dieser Optionen beschrieben.
- Erfahren Sie mehr über die Untersuchung von Warnungen zur Verhinderung von Datenverlust : In diesem Artikel wird der Lebenszyklus von Warnungen von der Erstellung bis hin zur endgültigen Korrektur und Richtlinienoptimierung vorgestellt. Außerdem werden sie in die Tools eingeführt, die Sie zum Untersuchen von Warnungen verwenden.
Übersicht über den Richtlinienentwurf
Beim Entwerfen einer Richtlinie geht es hauptsächlich darum , Ihre geschäftsspezifischen Anforderungen klar zu definieren, sie in einer Richtlinienabsichtserklärung zu dokumentieren und diese Anforderungen dann der Richtlinienkonfiguration zuzuordnen. Sie verwenden die Entscheidungen, die Sie in Ihrer Planungsphase getroffen haben, um einige Ihrer Richtlinienentwurfsentscheidungen zu treffen.
Definieren der Absicht für die Richtlinie
Sie sollten in der Lage sein, die Geschäftsabsicht für jede Richtlinie, die Sie haben, in einer einzigen Anweisung zusammenzufassen. Die Entwicklung dieser Aussage treibt Unterhaltungen in Ihrem organization voran, und wenn sie vollständig ausgearbeitet wurde, verknüpft diese Erklärung die Richtlinie direkt mit einem Geschäftszweck und stellt eine Roadmap für das Richtliniendesign bereit. Die Schritte im Artikel Planen der Verhinderung von Datenverlust (DATA Loss Prevention, DLP) helfen Ihnen bei den ersten Schritten mit Ihrer Richtlinienabsichtsanweisung.
Beachten Sie, dass, wie in der Übersicht über die DLP-Richtlinienkonfiguration beschrieben, für alle DLP-Richtlinien Folgendes erforderlich ist:
- Wählen Sie aus, was Sie überwachen möchten.
- Wählen Sie den Richtlinienbereich aus.
- Wählen Sie aus, wo Sie überwachen möchten.
- Wählen Sie die Bedingungen aus, die erfüllt werden müssen, damit eine Richtlinie auf ein Element angewendet werden kann.
- Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn die Richtlinienbedingungen erfüllt sind.
Hier ist beispielsweise ein fiktiver erster Entwurf einer Absichtsanweisung, der Antworten auf alle fünf Fragen bietet:
"Wir sind ein in den USA ansässiger organization, und wir müssen Office-Dokumente erkennen, die vertrauliche Gesundheitsinformationen enthalten, die von HIPAA abgedeckt sind, die in OneDrive/SharePoint gespeichert sind, und um zu schützen, dass diese Informationen in Teams-Chat- und -Kanalnachrichten geteilt werden, und wir müssen verhindern, dass alle Personen sie für nicht autorisierte Dritte freigeben können".
Wenn Sie einen Richtlinienentwurf entwickeln, ändern und erweitern Sie wahrscheinlich die Anweisung.
Zuordnen von Geschäftsanforderungen zur Richtlinienkonfiguration
Lassen Sie uns die Beispielentwurfsanweisung aufschlüsseln und sie DLP-Richtlinienkonfigurationspunkten zuordnen. In diesem Beispiel wird davon ausgegangen, dass Sie ein uneingeschränktes DLP-Administratorkonto verwenden und keine Verwaltungseinheiten konfiguriert sind.
Wichtig
Stellen Sie sicher, dass Sie den Unterschied zwischen einem uneingeschränkten Administrator und einem Administrator mit eingeschränkten Verwaltungseinheiten verstehen, indem Sie verwaltungseinheiten lesen, bevor Sie beginnen.
Anweisung | Antwort zur Konfigurationsfrage und Konfigurationszuordnung |
---|---|
"Wir sind ein in den USA ansässiger organization, und wir müssen Office-Dokumente erkennen, die vertrauliche Gesundheitsinformationen enthalten, die von HIPAA abgedeckt werden... |
-
Was zu überwachen ist: Office-Dokumente, verwenden Sie die Vorlage - "Bedingungenfür eine Übereinstimmung": (vorkonfiguriert, aber bearbeitbar) - Element enthält U.S. SSN and Drug Enforcement Agency (DEA) Nummer, International Classification of Diseases (ICD-9-CM), International Classification of Diseases (ICD-10-CM), Inhalte werden für Personen außerhalb meiner organization – treibt Unterhaltungen an, um den auslösenden Schwellenwert für die Erkennung wie Konfidenzniveaus und instance Anzahl (als Lecktoleranz bezeichnet) zu verdeutlichen. |
... die in OneDrive/SharePoint gespeichert sind und sich davor schützen, dass diese Informationen in Teams-Chats und -Kanalnachrichten freigegeben werden... | - Überwachungsort: Ein- oder Ausschließen von OneDrive- und SharePoint-Websites und Teams-Chat-/Kanalkonten oder Verteilergruppen. Richtlinienbereich (Vorschau): Vollständiges Verzeichnis |
... und hindern sie daran, diese Elemente für nicht autorisierte Dritte freizulegen." |
-
Auszuführende Aktionen: Sie fügenZugriff einschränken oder Den Inhalt an Microsoft 365-Speicherorten verschlüsseln hinzu – fördert die Konversation darüber, welche Aktionen ausgeführt werden müssen, wenn eine Richtlinie ausgelöst wird, einschließlich Schutzaktionen wie Freigabeeinschränkungen, Sensibilisierungsaktionen wie Benachrichtigungen und Warnungen sowie Benutzerermächtigungsaktionen wie Zulassen von Benutzerüberschreibungen einer blockierenden Aktion |
In diesem Beispiel werden nicht alle Konfigurationspunkte einer DLP-Richtlinie behandelt. sie müsste erweitert werden. Es sollte Sie jedoch dazu bringen, in die richtige Richtung zu denken, wenn Sie Ihre eigenen DLP-Richtlinienabsichtsanweisungen entwickeln.
Wichtig
Beachten Sie, dass sich die ausgewählten Speicherorte darauf auswirken, ob Sie vertrauliche Informationstypen, Vertraulichkeitsbezeichnungen und Aufbewahrungsbezeichnungen verwenden können. Die ausgewählten Speicherorte wirken sich auch auf die verfügbaren Aktionen aus. Weitere Informationen finden Sie unter Richtlinienreferenz zur Verhinderung von Datenverlust .
Entwurf komplexer Regeln
Die oben genannten HIPAA-Inhalte in SharePoint und OneDrive sind ein einfaches Beispiel für eine DLP-Richtlinie. Der DLP-Regel-Generator unterstützt boolesche Logik (AND, OR, NOT) und geschachtelte Gruppen.
Wichtig
- Alle vorhandenen Ausnahmen werden durch eine NOT-Bedingung in einer geschachtelten Gruppe innerhalb der Bedingungen ersetzt.
- Sie müssen Gruppen erstellen, um mehrere Operatoren verwenden zu können.
Wichtig
Wenn eine Aktion in Office-Desktopclient-Apps (Word, Outlook, Excel und PowerPoint) mit einer Richtlinie übereinstimmt, die komplexe Bedingungen verwendet, werden dem Benutzer nur Richtlinientipps für Regeln angezeigt, die die Bedingung Inhalt enthält vertrauliche Informationen verwenden.
Beispiel 1 Wir müssen E-Mails an alle Empfänger blockieren, die Guthaben Karte Nummern enthalten oder auf die die Vertraulichkeitsbezeichnung "streng vertraulich" angewendet wurde. Blockieren Sie die E-Mail jedoch NICHT, wenn sie von einer Person im Finanzteam an gesendet wird.adele.vance@contoso.com
Beispiel 2 Contoso muss alle E-Mails blockieren, die eine kennwortgeschützte Datei ODER eine ZIP-Dokumentdateierweiterung ("zip" oder "7z") enthalten, aber die E-Mail NICHT blockieren, wenn sich der Empfänger in der contoso.com Domäne oder der fabrikam.com Domäne befindet oder der Absender Mitglied der Contoso-Personalgruppe ist.
Wichtig
- Die Verwendung der NOT-Bedingung in einer geschachtelten Gruppe ersetzt die Ausnahmefunktion .
- Sie müssen Gruppen erstellen, um mehrere Operatoren verwenden zu können.
Wichtig
Wenn eine Aktion in Office-Desktopclient-Apps (Word, Outlook, Excel und PowerPoint) mit einer Richtlinie übereinstimmt, die komplexe Bedingungen verwendet, werden dem Benutzer nur Richtlinientipps für Regeln angezeigt, die die Bedingung Inhalt enthält vertrauliche Informationen verwenden.
Richtlinienentwurfsprozess
Führen Sie die Schritte unter Planen der Verhinderung von Datenverlust (Data Loss Prevention, DLP) aus:
Machen Sie sich mit der Richtlinienreferenz zur Verhinderung von Datenverlust vertraut, damit Sie alle Komponenten einer DLP-Richtlinie verstehen und verstehen, wie sich diese auf das Verhalten einer Richtlinie auswirkt.
Machen Sie sich mit den DLP-Richtlinienvorlagen vertraut.
Entwickeln Sie Ihre Richtlinienabsicht mit Ihren wichtigsten Projektbeteiligten. Weitere Informationen finden Sie weiter oben in diesem Artikel.
Bestimmen Sie, wie diese Richtlinie in Ihre allgemeine DLP-Richtlinienstrategie passt.
Wichtig
Richtlinien können nicht umbenannt werden, nachdem sie erstellt wurden. Wenn Sie eine Richtlinie umbenennen müssen, müssen Sie eine neue Richtlinie mit dem gewünschten Namen erstellen und die alte Richtlinie außer Kraft setzen. Entscheiden Sie daher von Anfang an über die Namensstruktur, die von allen Richtlinien verwendet wird.
Ordnen Sie die Elemente in Ihrer Richtlinienabsichtsanweisung den Konfigurationsoptionen zu.
Entscheiden Sie, mit welcher Richtlinienvorlage Sie beginnen möchten: vordefiniert oder benutzerdefiniert.
Gehen Sie die Vorlage durch, und stellen Sie alle erforderlichen Informationen zusammen, bevor Sie die Richtlinie erstellen. Es ist wahrscheinlich, dass Sie feststellen, dass es einige Konfigurationspunkte gibt, die in Ihrer Richtlinienabsichtsanweisung nicht behandelt werden. Das ist in Ordnung. Zurück ihren Projektbeteiligten, um die Anforderungen für fehlende Konfigurationspunkte auszubügeln.
Dokumentieren Sie die Konfiguration aller Richtlinieneinstellungen, und überprüfen Sie sie mit Ihren Projektbeteiligten. Sie können die Zuordnung Ihrer Richtlinienabsichtsanweisung zu Konfigurationspunkten wiederverwenden, die jetzt vollständig überarbeitet wurde.
Erstellen Sie einen Richtlinienentwurf , und verweisen Sie auf Ihren Richtlinienbereitstellungsplan .
Siehe auch
- Informationen zur Verhinderung von Datenverlust
- Planen der Verhinderung von Datenverlust (DATA Loss Prevention, DLP)
- Richtlinienreferenz zur Verhinderung von Datenverlust
- Referenz: Richtlinientipps zur Verhinderung von Datenverlust (Data Loss Prevention, DLP)
- Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust