防止通过接收不当分类来防止数据泄漏,以便澳大利亚政府遵守 PSPF
本文为澳大利亚政府组织提供配置指南,通过监视和防止Microsoft 365 服务收到分类不当的项目,降低数据泄漏的风险。 其目的是帮助组织改善其信息安全状况。 本文中的建议符合保护 性安全策略框架 (PSPF) 和 信息安全手册 (ISM) 中所述的要求。
政府组织需要确保高度敏感信息受到保护,使其不被传递到低敏感度环境中。 这包括应用了高于组织允许的分类的信息,以及Microsoft 365 云环境中不适合在 365 云环境中使用的信息 (,例如 SECRET 和 TOP SECRET 信息) 。
阻止传输标记不当的电子邮件
ISM-0565 强制采取措施,防止通过电子邮件泄露数据:
| 要求 | 详情 |
|---|---|
| ISM-0565 (2024 年 6 月) | Email服务器配置为使用不适当的保护标记阻止、记录和报告电子邮件。 |
除了 ISM-0565 之外,本指南中的控制措施与 PSPF) (保护性安全策略框架 保持一致。 在 Microsoft 365 中,安全分类与使用敏感度标签的 ISM (信息安全手册) 和 PSPF 安全控制一致。 项目必须在政府中具有敏感度标签,因为规定的安全控制和管理与项目相关联。
Microsoft澳大利亚政府组织的 Purview 部署通常是配对配置, 需要对所有项进行标记。 此强制标记配置允许组织满足 PSPF 策略 8 要求 1,因为创建项目时会应用标签。 将标签应用于所有项目可确保它们获得适当的保护并降低泄露风险。
数据丢失防护 (DLP) 策略配置为:
- 通过防止传输、接收和进一步分发比本文中称为非授权分类) 的环境中允许 (更高分类的项目,防止数据溢出:和
- 防止传输未标记的电子邮件,这些电子邮件尚未评估敏感度,或者可能指示有人试图绕过安全控制。
阻止传输未发送的分类
为了阻止接收和/或进一步传输机密物品,以及平台中不应存在的项目,必须首先建立识别此类信息的方法。 此类方法包括:
- 对主题标记和电子邮件 x-protected-marking x-headers 进行评估,以确定应用于传入项目的分类。
- 使用敏感信息类型 (SCT) (如 标识敏感信息) 中所述,以识别不应存在于平台上的信息。 这些 SIT 包括关键字 (keyword) 标识符,例如“SEC=SECRET”和“SEC=TOP-SECRET”,以及存在于高度敏感项中的其他政府关键字。
- 结合使用 未发布的 敏感度标签和自动标记作为识别平台上不应存在的项的方法。 有关详细信息,请参阅 标签了解超出受保护级别的信息。
为了阻止未发送分类的溢出,使用了一组 DLP 策略。 由于可用的策略条件取决于组织使用的服务,因此需要多个策略来涵盖所有可用的信道。 针对 Exchange 服务的策略是大多数组织的建议起点。
DLP 策略包含一个或多个规则,这些规则将利用以下条件:
- 内容包含、 敏感信息类型、 机密关键字 SIT、或
- 内容包含、 敏感度标签、 机密、或
-
标头匹配模式、
X-Protective-Marking : SEC=SECRET或 -
主题匹配模式,
\[SEC=SECRET
规则应具有 阻止所有人的操作,该操作在 限制访问或加密Microsoft 365 位置中的内容 选项下可用。
ISM-0133 是与报告操作相关的 DLP:
| 要求 | 详情 |
|---|---|
| ISM-0133 (2024 年 6 月) | 发生数据泄漏时,系统会建议数据所有者,并限制对数据的访问。 |
警报操作对于防止任何进一步的数据溢出和加快清理活动非常重要。 可以在单个 DLP 规则中配置多个操作。 组织安全团队,以确定适当的警报操作。 通过 DLP 接口提供的选项通过 Power Automate 和安全信息与事件管理 (SIEM) 解决方案(如Sentinel)进行扩展。
下面是一个完成的 DLP 规则示例,用于标识和停止在 Exchange 上分发 SECRET 项目:
策略名称: EXO - 阻止未指定的分类
| 规则名称 | 条件 | 操作 |
|---|---|---|
| 阻止机密项 | 内容包含敏感信息类型: 机密关键字 自定义 SIT,其中包含可能与 SECRET 分类一致的术语。 OR 标头匹配模式: X-Protective-Marking : SEC=SECRET OR 主题匹配模式: \[SEC=SECRET OR 内容包含敏感度标签: 秘密 |
限制访问或加密Microsoft 365 个位置的内容: - 阻止用户接收电子邮件 - 阻止所有人 配置适当的事件严重性和警报。 |
在上一规则中应用的逻辑可用于创建更多 DLP 策略,以阻止非授权分类跨其他服务分布,包括:
- SharePoint
- OneDrive
- Teams 聊天和频道消息 (排除敏感度标签条件)
- 通过 EndPoint DLP (设备,包括未通过的网络、USB、位置等 )
- 通过 Defender for Cloud Apps 上传到云服务
- 本地文件存储库
阻止传输未标记的电子邮件
若要阻止传输未标记的电子邮件,可以根据自定义策略模板配置 DLP 策略,并将其应用于 Exchange 服务。
阻止未标记电子邮件策略的传输需要两个规则:
- 通过 从 Microsoft 365 共享的内容的传出项的第一个规则, 其中与我的组织外部人员 处于条件。
- 第二个规则适用于 从 Microsoft 365 共享的内容, 仅与组织内部人员共享。
规则需要异常,该异常通过启用了 NOT 操作数的条件组应用。 条件组包括 内容包含的条件、 敏感度标签 ,并且已选择环境中可用的所有标签。
生成电子邮件的服务不属于适用于Microsoft 365 应用版客户端的强制标记配置。 因此,每当发送非用户生成的电子邮件时,都会触发此 DLP 策略。 它针对Microsoft服务生成的安全警报、来自扫描仪和多功能设备的电子邮件 (MFD) 以及来自人力资源或工资系统等应用程序的电子邮件触发。 若要确保策略不会阻止基本业务流程,需要将异常包含在 NOT 组中。 例如:
- 或发件人域是microsoft.com,用于捕获安全性和 SharePoint 警报。
- OR发件人是组的成员,组包含有权绕过此要求的帐户。
- 或发件人 IP 地址以及办公室 MFD 的地址。
每当发送不包含所列敏感度标签之一的电子邮件时,规则就会触发,除非发件人通过配置例外之一免除。
这些 DLP 规则应具有 阻止每个人 的操作以及适当的严重性和报告操作。
以下警报要求与应用于传出项目的 DLP 规则相关:
| 要求 | 详情 |
|---|---|
| ISM-1023 (2024 年 6 月) | 将通知阻止的入站电子邮件的预期收件人和阻止的出站电子邮件的发件人。 |
为了满足此要求,已将应用于传出项目的 DLP 规则配置为通知尝试发送该项目的用户。
提示
过渡到敏感度标签的政府组织可以选择配置策略提示,而不是阻止或警报操作。 此类策略可用于建议标签选择,而无需将其配置为硬性要求。 虽然这并不严格满足 ISM 中的要求,但它可以让用户更优雅地部署 Microsoft Purview 功能。
阻止未标记电子邮件的示例 DLP 策略
以下 DLP 策略适用于 Exchange 服务,并防止通过未标记的电子邮件丢失信息:
策略名称: EXO - 阻止未标记的电子邮件
| Rule | 条件 | 操作 |
|---|---|---|
| 阻止传出未标记的电子邮件 | 内容从 Microsoft 365 共享,与组织外部的人员共享 AND 条件 组 NOT 内容包含敏感度标签: - 选择所有标签 或 发件人域为: - microsoft.com - 包括其他异常 |
限制访问或加密Microsoft 365 个位置的内容: - 阻止用户接收电子邮件 - 阻止所有人 |