数据丢失防护 (DLP) 方案，确保澳大利亚政府符合 PSPF

本文概述了如何使用 Microsoft Purview 数据丢失防护 (DLP) 来标记和保护澳大利亚政府信息。 其目的是帮助政府组织提高其安全性和合规性成熟度，同时遵守 保护性安全策略框架 (PSPF) 和 信息安全手册 (ISM) 中所述的要求。

数据丢失防护 (DLP) 是一项服务，主要用于通过帮助防止敏感信息离开环境来降低信息风险。 DLP 策略可以基于以下条件进行配置：

• 位置或服务：例如 SharePoint 或 Exchange。
• 条件或条件集：例如，包含标签或敏感信息。
• 操作：例如，阻止传输或共享项。

读者在探索此处提供的建议之前，应先查看此信息，这些建议更具体地与澳大利亚政府组织的配置相关。

与政府要求相关的 DLP 用例

根据澳大利亚政府要求，Microsoft Purview DLP 服务用于：

• 将所需的元数据应用于电子邮件 (x-protected-标记 x 标头) 。
• 将主题标记应用于电子邮件。
• 阻止传输标记不当的电子邮件。
• 阻止传输或防止安全机密信息的不当分发。
• 阻止或警告电子邮件分发或向不需要知道的用户共享项目。
• 实施操作控制，以防止丢失可能导致个人、组织或政府损失的信息。

DLP 策略

保护性安全策略框架 (PSPF) 是一个框架，可帮助澳大利亚政府组织保护其人员、信息和资产。 与 DLP 配置最相关的 PSPF 策略是 PSPF 策略 8：分类系统和PSPF 策略 9：信息访问。

影响 DLP 策略的澳大利亚政府组织细微差别包括：

• 组织具体的立法文书。
• 澳大利亚政府机构的类型和相关立法要求。
• 其他经常联系的组织。
• 组织的租户和每个租户的最大安全级别。
• 非澳大利亚公务员 (APS) 、来宾和承包商要求。

以下部分与所有 DLP 集成服务中的 DLP 方法相关。 政府组织应决定其用户反馈策略和 DLP 事件的管理。 然后，可以跨 DLP 配置应用确定的策略，进一步探索：

• 防止不当分发安全机密信息
• 防止敏感信息的不当分发
• 防止通过接收不当分类来溢出数据

有关违反 DLP 策略的用户反馈的决策

如果组织符合本指南中提供的建议，当用户尝试发送信息时，触发 DLP 策略的原因有四：

1. 用户的电子邮件收件人错误， (意外) 。
2. 配置不正确，需要将另一个域添加到例外列表。
3. 相关外部组织可能适合接收信息，但建立正式协议和相关配置的业务流程尚未完成。
4. 用户试图将机密信息泄露 (恶意) 。

当由于操作与前三种方案之一一致而触发 DLP 策略时，向用户提供反馈很有价值。 反馈允许用户更正错误、组织修复配置或制定所需的业务流程。 如果策略由于恶意活动而触发，则用户反馈会提醒用户注意其操作。 组织需要考虑用户反馈的风险与收益，并决定适合其情况的最佳方法。

冲突前的 DLP 策略提示

如果选择提供用户反馈，策略提示是帮助用户在 Outlook 客户端中直接触发时的绝佳方法。 在发送电子邮件和触发违反策略、可能避免纪律或令人尴尬的情况之前，它们会提醒用户注意问题。 策略提示是通过 DLP 规则配置中的策略提示选项配置的。 应用于电子邮件方案时，此配置的最终用户体验是，他们在正在起草的电子邮件顶部收到警告提示：

当用户忽略策略提示时，会触发其他 DLP 策略操作，例如阻止操作。 还提供了一系列通知选项，包括实时显示的通知，通知用户其电子邮件已被阻止。

还应考虑 DLP 事件工作负荷的策略提示的好处。 在触发阻止操作和关联的警报之前，使用策略提示可减少 DLP 风险事件。 好处是安全团队需要管理的事件更少。

有关 DLP 通知和策略提示的详细信息，请参阅发送电子邮件通知和显示 DLP 策略的策略提示。

DLP 事件管理

实施 DLP 的组织应考虑其 DLP 事件管理方法，包括：

• 使用什么工具来管理 DLP 事件？
• 哪些 DLP 事件严重性需要管理员采取措施，以及所需的解决时间是多少？
• 哪个团队负责管理 DLP 事件 (例如安全、数据或隐私团队) ？
• 需要哪些资源？

有四种Microsoft解决方案可用于帮助监视和管理 DLP 事件：

• Microsoft Defender XDR
• DLP 警报仪表板
• 活动资源管理器
• Microsoft Sentinel

Microsoft Defender XDR

Microsoft Defender XDR是一种全面的安全解决方案，可提供跨终结点、电子邮件、标识、云应用和基础结构的跨域威胁防护和响应。 它为安全团队提供威胁环境的完整视图，从而提供针对高级攻击的简化和高效的防御，从而实现更有效的调查和自动修正。 Microsoft Defender XDR是建议在 Microsoft 365 内管理 DLP 事件的方法。

有关使用 Microsoft Defender XDR 进行 DLP 事件管理的详细信息，请参阅使用 Microsoft Defender XDR 调查数据丢失防护警报。

DLP 警报仪表板

Microsoft Purview 警报仪表板从Microsoft Purview 合规门户可见。 仪表板为管理员提供 DLP 事件的可见性。 有关如何在 DLP 策略中配置警报并使用 DLP 警报管理仪表板的信息，请参阅 DLP 警报仪表板入门。

活动资源管理器

活动资源管理器是Microsoft Purview 合规门户中提供的仪表板，提供 DLP 事件的不同视图。 此工具不用于管理事件，而是为管理员提供更深入的见解和更宽的筛选器以及纵向行为。 有关活动资源管理器的详细信息，请参阅 活动资源管理器。

Microsoft Sentinel

Microsoft Sentinel是一种可缩放的云原生安全信息和事件管理 (SIEM) ，可为 SIEM 和安全业务流程、自动化和响应 (SOAR) 提供智能而全面的解决方案。 可以将连接器配置为将 DLP 事件信息从Microsoft Defender XDR导入到Microsoft Sentinel。 建立此连接允许将更多Sentinel更高级的调查和自动化功能用于 DLP 事件管理。 有关使用 Sentinel 进行 DLP 事件管理的详细信息，请参阅使用 Microsoft Sentinel 调查数据丢失防护警报。