了解设备上文件活动的证据收集

调查Microsoft Purview 数据丢失防护 (DLP) 事件或排查 DLP 策略问题时,获取与要引用的策略匹配的项的完整副本可能会有所帮助。 DLP 可以将与 DLP 策略匹配的项从已加入的 Windows 设备复制到 Azure 存储帐户。 然后,已对 Azure 存储 Blob 授予适当权限的 DLP 事件调查人员和管理员可以访问这些文件。

若要开始配置和使用该功能,请参阅从 设备收集与数据丢失防护策略匹配的文件入门

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

如果你不熟悉 purview DLP Microsoft,下面是实现 DLP 时所需的核心文章列表:

  1. 管理单元
  2. 了解Microsoft Purview 数据丢失防护 - 本文介绍数据丢失防护规则和 DLP 的实现Microsoft。
  3. 规划数据丢失防护 (DLP) - 通过完成本文,你将:
    1. 确定利益干系人
    2. 描述要保护的敏感信息类别
    3. 设置目标和策略
  4. 数据丢失防护策略参考 - 本文介绍 DLP 策略的所有组件以及每个组件如何影响策略的行为。
  5. 设计 DLP 策略 - 本文将指导你创建策略意向语句并将其映射到特定策略配置。
  6. 创建和部署数据丢失防护策略 - 本文介绍将映射到配置选项的一些常见策略意向方案,然后指导你配置这些选项。

设备上文件活动的证据收集适合 Purview

终结点 DLP 是 更大的 DLP 产品/服务的 一部分,也是 Microsoft Purview 中提供的更大范围的服务的一部分。 你应该了解设备上文件活动的证据收集如何适合更大的服务产品集。

设备和电子数据展示上的文件活动的证据收集

此功能创建与已载入 Windows 设备上 DLP 策略匹配的项的副本,并将这些副本放置在 Azure 存储帐户中。 这些副本不是在一个不变的状态保存的,不是该术语的法律意义上的证据。 如果需要查找并保留出于法律目的的项目,则应使用Microsoft Purview 电子数据展示解决方案。 电子发现(亦称为"电子数据展示")是用于识别和传递可用作法律案件证据的电子信息的过程。

设备上文件活动的证据收集以及上下文摘要

当项和用户对该项执行的活动与 DLP 策略中定义的条件匹配时, DLPRuleMatch 事件会显示在 活动资源管理器中。 这适用于 DLP 支持的每个位置。 DLPRuleMatch 事件包含匹配内容周围的有限文本量。 这种有限的文本量称为 上下文摘要

请务必了解设备上文件活动的证据收集与上下文摘要之间的差异。 设备上文件活动的证据收集仅适用于已载入的 Windows 设备。 它保存与 Azure 存储帐户的策略匹配的整个项的副本。 将为每个 DLP 策略规则匹配捕获上下文摘要,并且仅包含触发匹配的目标文本周围的有限数量的文本。

涵盖的用户活动

可以在设备上为文件活动配置证据收集,以便在用户尝试对匹配项执行以下其中一项活动时,将匹配项的副本保存到 Azure 存储帐户:

  • 复制到可移动 USB
  • 复制到网络共享
  • 打印
  • 使用未经允许的蓝牙应用复制或移动
  • 复制或移动 RDP
  • 上传到云服务域或从未启用的浏览器进行访问
  • 粘贴到支持的浏览器

在 DLP 策略中配置了这些活动的检测。 有关如何创建 DLP 策略的详细信息,请参阅创建和部署数据丢失防护策略和使用终结点数据丢失防护

涵盖的操作

在终结点 DLP 设置中为设备上的文件活动启用证据收集并将 DLP 策略配置为使用此功能时,它会为以下操作保存匹配项的副本:

  • 仅审核
  • 通过替代阻止
  • 阻止

这些操作在 DLP 策略中配置。 有关如何创建 DLP 策略的详细信息,请参阅 创建和部署数据丢失防护策略 和使用 终结点数据丢失防护

设计注意事项

Azure 存储帐户的区域

若要符合法规要求,请确保使用的 Azure 存储帐户与从中复制这些帐户的设备位于同一地缘政治或法规边界内。 此外,请注意 DLP 调查人员在保存敏感物品后将访问这些物品的地缘政治位置。 请考虑使用 管理单元 来适当地为每个 DLP 策略设置用户和设备管理的范围。 若要了解如何使用数据丢失防护来遵守数据隐私法规,请参阅 使用 Microsoft Purview 部署数据隐私法规的信息保护。 设备上文件活动的证据收集最多支持 10 个 Azure 存储帐户。

若要了解如何使用数据丢失防护来遵守数据隐私法规,请参阅 使用 Microsoft Purview 部署数据隐私法规的信息保护

本地存储和带宽

默认情况下,匹配项的副本通过现有网络连接异步保存到配置的 Azure 存储帐户。 如果设备没有连接,则匹配项将保存在本地,最高限制为 500 MB。 最多可以将项目保存在本地 60 天。

虽然设备已连接到 Azure 存储帐户 URL,但带宽使用量没有限制。 证明设备上文件活动收集使用的带宽不会影响 高级分类扫描和保护的默认或配置的带宽限制。

Azure 存储帐户

客户负责创建和管理自己的 Azure 存储帐户。 如果不熟悉 Azure 存储,请参阅:

与策略匹配的项将从用户设备复制到已登录用户的安全上下文中的 Azure 存储帐户 Blob。 因此,属于策略范围的所有用户都必须对 Blob 存储具有读取和写入权限。 有关详细信息,请参阅 从设备收集与数据丢失防护策略匹配的文件入门

同样,审阅已保存项的所有管理员都必须具有 read Azure 存储帐户 Blob 的权限。 有关详细信息,请参阅 从设备收集与数据丢失防护策略匹配的文件入门

在检测到敏感信息时存储证据 (预览)

支持的文件类型

有关支持的文件类型的详细信息,请参阅 用于存储和预览证据的受支持文件类型

支持的存储类型

有两个选项可用于存储 Purview 在检测到内容中的敏感信息时收集的证据。 可以使用 客户管理的 数据存储或 Microsoft托管 数据存储 (预览) 。 应使用的选项取决于你的要求和用例。 为了帮助你做出决定,请查看下面的比较表。

存储类型比较

即使更改了存储类型,只要基于角色的访问控制 (RBAC) 权限保持不变,匹配的文件仍将继续包含在警报结果中。 由于客户管理的存储归客户所有,因此 DLP 管理员可以继续按文件直接从存储下载文件。

下表标识了客户管理的存储和Microsoft托管存储之间的差异,用于收集内容中检测到的敏感信息的证据。

Feature 元素 客户托管 Microsoft托管 (预览版)
文件保留期 可以根据需要/希望保留文件。 文件最多保留 120 天。
终结点设置 必须在终结点设置中添加 blob 存储 (容器 URL) ,然后使用 Microsoft Entra 管理中心为作用域内用户配置 blob 的显式用户权限。 配置终结点设置时,只需单击一下即可处理所有配置和权限。
策略和位置配置 必须为应用策略的每个位置按策略添加和配置存储 Blob。 无需为特定策略位置选择存储。
数据存储位置/区域 由客户选择 与 Microsoft Purview 租户相同的区域。
费用 除 Entra 订阅费用外,还收取存储成本。 今天的存储成本包含在 E5 中。 但是,Microsoft将监视存储使用情况,并且可能会根据过度使用而额外收费。 如果业务模型发生更改,这将单独传达给客户。
网络配置 必须允许存储 Blob 的容器 URL 通过网络防火墙。 必须在“允许”列表中包括 compliancedrive.microsoft.com ,以便它可以通过网络防火墙。

更改存储类型

客户可以随时在存储类型之间切换。 但是,最佳做法是仔细规划长期所需的存储类型,并为用例选择适当的选项。 有关这两种存储类型之间的差异的详细信息,请参阅 存储类型比较表

注意

切换存储类型时,需要刷新策略,以确保这些策略应用于新数据存储中的文件。

更改存储类型对证据文件的影响

如果基于角色的访问控制 (RBAC) 权限不变,即使更改了存储管理类型,匹配的文件也会继续包含在警报结果中。

由于你拥有客户管理的存储解决方案,因此 DLP 管理员可以在文件移动到Microsoft托管存储解决方案后,继续按文件直接下载文件。

后续步骤

下一步是为设备上的文件活动配置证据收集。

有关详细信息,请参阅 从设备收集与数据丢失防护策略匹配的文件入门