Начало работы с локальными репозиториями защиты от потери данных
Примечание.
Добавлена новая версия сканера защиты информации. Дополнительные сведения см. в разделе Обновление сканера Защита информации Microsoft Purview.
В этой статье описаны предварительные требования и настройка для использования Защита от потери данных Microsoft Purview расположения локальных репозиториев в политике защиты от потери данных.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Прежде чем начать
Лицензирование SKU/подписки
Прежде чем приступить к использованию политик защиты от потери данных, подтвердите подписку На Microsoft 365 и все надстройки.
Сведения о лицензировании см. в статье Подписки Microsoft 365, Office 365, Enterprise Mobility + Security и Windows 11 для предприятий.
Важно!
Все пользователи, которые участвуют в сканируемом расположении, добавляя файлы или потребляя файлы, должны иметь лицензию, а не только пользователь сканера.
Разрешения
Данные из DLP можно просматривать в обозревателе действий. Существует четыре роли, которые предоставляют разрешения обозревателю действий, учетная запись, которую вы используете для доступа к данным, должна входить в любую из этих ролей:
- Глобальный администратор
- Администратор соответствия требованиям
- Администратор безопасности
- Администратор данных о соответствии требованиям
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высоким уровнем привилегий, которую следует использовать только в тех случаях, когда нельзя использовать более привилегированную роль.
Роли и Группы ролей
Существуют роли и группы ролей, которые можно протестировать для точной настройки элементов управления доступом.
Ниже приведен список применимых ролей. Дополнительные сведения о них см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.
- Администратор Information Protection
- Аналитик Information Protection
- Исследователь Information Protection
- Читатель Information Protection
Ниже приведен список применимых групп ролей. Дополнительные сведения см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.
- Защита информации
- Администраторы Information Protection
- Аналитики Information Protection
- Исследователи Information Protection
- Читатели Information Protection
Предварительные требования к локальным репозиториям защиты от потери данных
- Сканер Защита информации Microsoft Purview реализует сопоставление политик защиты от потери данных и принудительное применение политик. Сканер устанавливается как часть клиента защиты информации, поэтому ваша установка должна соответствовать всем предварительным требованиям для службы шифрования управления правами, клиента защиты информации и сканера защиты информации.
- Разверните клиент и сканер. Дополнительные сведения см. в разделах Установка или обновление клиента защиты информации и Настройка и установка сканера защиты информации.
- В клиенте должна быть опубликована хотя бы одна метка и политика, даже если все правила обнаружения основаны только на типах конфиденциальной информации.
Развертывание локального сканера защиты от потери данных
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.
Войдите на портал Microsoft Purview.
Следуйте инструкциям в разделе Установка или обновление клиента защиты информации.
Чтобы завершить установку сканера, выполните действия, описанные в разделе Настройка и установка сканера защиты информации .
- Необходимо создать задание проверки содержимого и указать репозитории, в которых размещаются файлы, которые будут оцениваться подсистемой защиты от потери данных.
- Включите правила защиты от потери данных в созданном задании проверки содержимого и задайте для параметра Принудительное применение значение Выкл . (если вы не хотите перейти непосредственно к этапу принудительного применения защиты от потери данных).
Убедитесь, что задание сканирования содержимого назначено правильному кластеру. Если вы еще не создали задание проверки содержимого, создайте новое и назначьте его кластеру, содержащему узлы сканера.
Подключитесь к порталу Microsoft Purview и добавьте репозитории в задание проверки содержимого, которое будет выполнять проверку.
Чтобы запустить сканирование, выполните одно из перечисленных ниже действий.
- Настройка расписания сканера
- Использование параметра "Проверить сейчас" вручную на портале
- Запуск командлета PowerShell Start-Scan
Важно!
Помните, что сканер по умолчанию выполняет разностную проверку репозитория, и файлы, которые были проверены в предыдущем цикле сканирования, будут пропущены, если файл не был изменен или вы не инициировали полное повторное сканирование. Полное повторное сканирование можно инициировать с помощью параметра Повторное сканирование всех файлов в пользовательском интерфейсе или запуска Start-Scan -Reset.
Откройте политики защиты > от потери данных на портале> Microsoft Purview.
Выберите + Создать политику и создайте тестовую политику защиты от потери данных. Если вам нужна помощь с созданием политики, см. статью Создание и развертывание политик защиты от потери данных . Не забудьте запустить политику в режиме имитации , пока вы не будете знакомы с этой функцией. Используйте следующие параметры для политики.
- При необходимости окажите правило локальных репозиториев защиты от потери данных определенным расположениям. Если область расположения для всех, для всех сканируемых файлов будет применяться соответствие и принудительное применение правил защиты от потери данных.
- При указании расположений вы можете использовать список исключений или включений. Вы можете указать, что правило относится только к путям, соответствующим одному из шаблонов списка включений, или ко всем файлам, кроме тех, которые соответствуют шаблону из списка включений. Локальные пути не поддерживаются. Вот несколько примеров допустимых путей:
- \\server\share
- \\server\share\folder1\subfolderabc
- *\folder1
- *secret*.docx
- *секрет*.*
- https:// sp2010.local/sites/HR
- https://*/HR
- Вот несколько примеров недопустимых значений:
- *
- *\a
- Aaa
- c:\
- C:\test
Важно!
Список исключений имеет приоритет над списком включений .
Просмотр оповещений защиты от потери данных
Откройте страницу Защита от потери данных на портале соответствия требованиям Microsoft Purview и выберите Оповещения.
Ознакомьтесь с процедурами в разделе Начало работы с информационной панелью оповещений защиты от потери данных и Анализ инцидентов потери данных с помощью Microsoft Defender XDR для просмотра оповещений для локальных политик защиты от потери данных.
Просмотр данных защиты от потери данных в обозревателе действий и журнале аудита
Примечание.
Для проверки Information Protection требуется включить аудит. Аудит включен по умолчанию в Microsoft 365.
Откройте страницу Классификация данных для вашего домена на портале соответствия требованиям Microsoft Purview и выберите "Обозреватель действий".
Выполните действия, описанные в статье Начало работы с обозревателем действий, чтобы получить доступ к данным и отфильтровать их в расположениях локального сканера.
Откройте журнал аудита в Центре соответствия требованиям. Совпадения правил защиты от потери данных доступны в пользовательском интерфейсе журнала аудита или доступны с помощью Search-UnifiedAuditLog в PowerShell.
Дальнейшие действия
Теперь, когда вы развернули тестовую политику для локальных расположений защиты от потери данных и можете просматривать данные действий в обозревателе действий, вы можете перейти к следующему шагу, где вы создадите политики защиты от потери данных, которые защищают конфиденциальные элементы.