Proteggere per impostazione predefinita con Microsoft Purview e proteggersi dall'oversharing - Fase 3

Questa guida è suddivisa in quattro fasi:

• Introduzione
• Fase 1: Foundational - Iniziare con l'etichettatura predefinita
• Fase 2: Gestito - File di indirizzi con la massima riservatezza
• Fase 3: Ottimizzato: espandere l'intero data estate di Microsoft 365 (questa pagina)
• Fase 4: Strategica: operare, espandere e retroattive azioni

Nelle fasi precedenti sono state definite le basi per la sicurezza e sono stati discussi i siti prioritari. Sono stati illustrati sia le funzionalità di etichettatura automatica sul lato client che sul lato servizio. Per una tabella di confronto, vedere: Applicare automaticamente un'etichetta di riservatezza in Microsoft 365.

Fase 3: Ottimizzato : espandere l'intero data estate di Microsoft 365

In questa fase vengono illustrate le opzioni per risolvere in modo iterativo tutti i dati di Microsoft 365.

In precedenza, sono stati consigliati i criteri iniziali per acquisire familiarità con gli utenti. In questa fase, siamo pronti per usarli progressivamente negli scenari. L'etichettatura automatica è ideale per gli scenari in cui è necessaria una maggiore sensibilità rispetto all'etichetta predefinita.

Viene anche illustrato come etichettare retroattivamente i siti esistenti e impostare le etichette di libreria predefinite.

Etichettare automaticamente i file sensibili nei client (soglie basse)

L'etichettatura automatica sul lato client offre agli utenti l'opportunità di decidere di applicare un'etichetta consigliata o di segnalare un falso positivo. Può essere eseguita con più di 300 tipi di informazioni sensibili (SIT) disponibili e classificatori sottoponibili a training.

A livello generale, è consigliabile usare l'approccio seguente. Le soglie vengono fornite solo come esempi.

• Identificare il sit pertinente per il settore.
• Consigliare un'etichetta con soglie SIT inferiori (1-9).
• Applicare automaticamente un'etichetta con soglie più elevate (10+) e/o classificatori sottoponibili a training.

L'etichetta predefinita del client influisce sulla strategia di etichettatura automatica. Anche se questa guida consiglia di impostare questa opzione su Riservato\Tutti i dipendenti, vengono fornite anche alternative quando il client di Office è impostato su Generale e quindi su Riservato\Tutti i dipendenti quando viene salvato in SharePoint.

Consiglio

Se il valore predefinito è Riservato\Tutti i dipendenti, la strategia di etichettatura automatica è meno complessa e incentrata sulle etichette altamente riservate .

È possibile distribuirlo progressivamente con più SIT/classificatori sottoponibili a training nel tempo man mano che si identificano altri scenari aziendali. Con le impostazioni predefinite e l'etichettatura automatica sul lato client, è ora possibile gestire tutti i contenuti nuovi e aggiornati.

Simulare l'etichettatura automatica dei file sensibili inattivi

L'etichettatura automatica sul lato servizio consente di etichettare automaticamente i file inattivi in SharePoint e OneDrive e offre altre condizioni. Attualmente è supportata l'etichettatura automatica di un massimo di 100.000 file al giorno nell'organizzazione.

Consiglio

Altre informazioni sull'etichettatura automatica con Playbook - Etichettatura automatica lato servizio

Mentre l'etichettatura automatica sul lato client è limitata al contenuto sensibile, l'etichettatura automatica sul lato servizio aggiunge il supporto per condizioni contestuali come:

• Il contenuto è condiviso
• L'estensione del file è
• Il nome del documento contiene parole o frasi
• La proprietà del documento è
• Le dimensioni del documento sono uguali o maggiori di
• Documento creato da

Queste condizioni, combinate con la selezione di siti specifici e/o di OneDrive dell'utente, consentono alle organizzazioni di assegnare priorità al contenuto da etichettare per primo.

Ad esempio, se l'organizzazione usa modelli con proprietà del documento o prefissi del nome del documento, è possibile eseguire un criterio in tutti i siti di SharePoint e OneDrive. È anche possibile assegnare priorità in base alle dimensioni dei file o ai documenti creati dai team di leadership.

È possibile finalizzare l'etichettatura di tutti i documenti usando le estensioni di file Office/PDF in batch di siti di SharePoint e impostare in modo che corrispondano all'etichetta del rispettivo sito, a partire da siti con maggiore sensibilità, intercettando progressivamente i siti Generali .

Infine, è possibile implementare più etichettatura automatica sul lato servizio per il contenuto altamente riservato , spesso con soglie più elevate rispetto a quelle usate nell'etichettatura automatica lato client per ridurre i potenziali falsi positivi.

Ridurre i falsi positivi con classificatori avanzati

In questa sezione vengono illustrate le basi dei classificatori avanzati e quando usarli.

Nel contesto di questo progetto sicuro per impostazione predefinita, è stato incentrato l'uso di classificatori con etichettatura automatica per contenuti altamente riservati, in cui i classificatori avanzati sono limitati ai classificatori sottoponibili a training. Nella maggior parte dei casi, i tipi di informazioni riservate (SIT) sono una combinazione di modelli e parole chiave. Modelli come PHI (Protected Health Information) e Personal Identifiable Information (PII) possono restituire molti falsi positivi in quanto non sono in grado di determinare il contesto o possono essere falsi positivi per l'organizzazione.

Gli amministratori di Purview possono ridurre i falsi positivi:

• Aumentare i conteggi di attendibilità e/o soglia richiesti.
• Ricerca di più SIT con l'operatore AND anziché OR.
• Clonare un SIT in un sit personalizzato e ottimizzare i requisiti.
• Usare più espressioni Regex invece di una singola ma di ampia portata.
• Forzare la corrispondenza delle parole.
• Usare classificatori sottoponibili a training, corrispondenza esatta dei dati (EDM) e impronta digitale dei documenti.

Consiglio

Altre informazioni su queste opzioni sono disponibili qui: Suggerimenti e consigli per ottimizzare l'accuratezza e ridurre i rilevamenti di falsi positivi in MIP e DLP

I classificatori sottoponibili a training usano Machine Learning per identificare i modelli di documento. Microsoft Purview offre diversi classificatori con training preliminare, ad esempio documenti legali, documenti aziendali strategici e informazioni finanziarie. I classificatori personalizzati possono anche essere creati e sottoposti a training da una raccolta documenti di SharePoint.

Usando sia i SIT che i classificatori sottoponibili a training, è possibile restringere l'ambito, ad esempio contiene SIT di carte di credito e classificatore di informazioni finanziarie sottoponibili a training.

La corrispondenza esatta dei dati e l'impronta digitale dei documenti non sono attualmente disponibili per l'etichettatura automatica, ma devono essere considerati nella strategia complessiva di Prevenzione della perdita dei dati Microsoft Purview (DLP). Analogamente ai classificatori sottoponibili a training, entrambi possono contribuire a ridurre i falsi positivi. Con EDM, ad esempio, è possibile trovare contiene SSN predefinito SIT e quindi verificare rispetto a EDM SIT per verificare che si tratti di un SSN di uno dei clienti o dei dipendenti. EDM consente di archiviare in modo sicuro un hash di informazioni da cercare.

Il rilevamento delle impronte digitali dei documenti funziona in modo diverso rispetto ai classificatori sottoponibili a training identificando i modelli di documento e usandoli nei criteri DLP. Questo è particolarmente utile se l'organizzazione dispone di modelli standardizzati. È possibile usare questi modelli per creare impronte digitali precise.

Automatizzare e migliorare la protezione di Microsoft 365 ai dati cronologici e in uso

Nel passaggio finale di questa fase vengono esaminate le opzioni per applicare retroattivamente le etichette nei siti di SharePoint esistenti e applicare di conseguenza le etichette di raccolta predefinite.

A questo punto, sono state configurate le impostazioni predefinite in tutto l'ambiente e si è arrestata la proliferazione di siti e documenti non etichettati. Abbiamo iniziato a gestire manualmente l'etichettatura di siti e librerie nei siti con priorità e stiamo valutando la scalabilità per tutta la tua area di contenuto di Microsoft 365.

Esistono alcune strategie da considerare:

• Usare i proprietari del sito: comunicare ai proprietari del sito che devono configurare un'etichetta nel sito e nella raccolta predefinita. Se si intende usare il numero 2, includere le menzioni che riceveranno automaticamente un nuovo valore predefinito in una data di destinazione.
• Eseguire script di automazione nei siti non etichettati rimanenti: usare il API Graph per identificare i siti non etichettati e configurare l'etichetta del contenitore e l'etichetta della libreria predefinita su "Riservato\Tutti i dipendenti"
• Facoltativamente, impedire la condivisione solo di file non etichettati: con misure precedenti come la prevenzione della perdita dei dati sul contenuto non etichettato e l'etichettatura automatica dei file, è possibile scegliere di lasciare che i siti scadano naturalmente tramite scripting di azioni retroattive per tutti i siti.
• Acquisire una sequenza temporale dei siti non etichettati: se si prevede di usare l'etichettatura automatica sul lato servizio per tutti i dati cronologici in base alle etichette dei contenitori, acquisire quando vengono aggiunte le etichette dei contenitori e aggiungere progressivamente nuovi siti etichettati nei criteri di etichettatura automatica.

La postura di rischio definisce come adottare al meglio l'approccio tra tutte le strategie o eventualmente usarle progressivamente. Anche se è consigliabile proteggere tutto il patrimonio dati, può essere un'attività complessa a seconda delle dimensioni. Iniziare di piccole dimensioni ed eseguire spesso l'iterazione.

Lo scripting di etichette di riservatezza nei siti di SharePoint può essere eseguito con 'Set-PnPTenantSite' e il parametro 'SensitivityLabel'.

Per Etichetta libreria predefinita, è necessario impostare il parametro 'DefaultSensitivityLabelForLibrary' usando l'API REST in una libreria. In questo articolo viene fornito un esempio.

Fase 3 - Riepilogo

• Applicare automaticamente un'etichetta di riservatezza in Microsoft 365
• Versioni minime per le etichette di riservatezza in Microsoft 365 Apps
• Gestire le etichette di riservatezza nelle app di Office
• Applicare automaticamente un'etichetta di riservatezza in Microsoft 365
• Suggerimenti e consigli per ottimizzare l'accuratezza e ridurre i rilevamenti di falsi positivi in MIP e DLP

Vedere anche

• Playbook - Etichettatura automatica lato servizio
• Personalizzare un tipo di informazioni sensibili predefinito
• Informazioni sui classificatori sottoponibili a training
• Informazioni sui tipi di informazioni sensibili basate sulla corrispondenza esatta dei dati
• Informazioni sull'impronta digitale dei documenti
• Definizioni di classificatori sottoponibili a training
• Definizioni delle entità tipo di informazioni sensibili
• Limiti dei tipi di informazioni riservate
• Set-PnPTenantSite | PnP PowerShell
• Etichetta "Predefinita" per una raccolta documenti - Esempio di script
• Configurare un'etichetta di riservatezza predefinita per una raccolta documenti di SharePoint

Continuare con la fase 4: Strategic - Operare, espandere e azioni retroattive