设计数据丢失防护策略

在实施策略之前,花时间设计策略可以更快地获得所需的结果,并且与创建它然后单独通过试错进行优化相比,意外问题更少。 记录策略设计还有助于沟通、策略评审、故障排除和进一步优化。

如果你不熟悉Microsoft Purview DLP,在开始设计策略之前,阅读以下文章会很有帮助:

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

开始之前

如果你不熟悉 purview DLP Microsoft,下面是实现 DLP 时需要的核心文章列表:

  1. 管理单元
  2. 了解Microsoft Purview 数据丢失防护 - 本文介绍数据丢失防护规则和 DLP 的实现Microsoft
  3. 规划数据丢失防护 (DLP) - 通过本文,你将:
    1. 确定利益干系人
    2. 描述要保护的敏感信息类别
    3. 设置目标和策略
  4. 数据丢失防护策略参考 - 本文介绍 DLP 策略的所有组件以及每个组件如何影响策略的行为
  5. 设计 DLP 策略 - 本文 (正在阅读) 指导你创建策略意向语句并将其映射到特定策略配置。
  6. 创建和部署数据丢失防护策略 - 本文介绍一些映射到配置选项的常见策略意向方案,然后指导你配置这些选项。
  7. 了解如何调查数据丢失防护警报 - 本文介绍从创建到最终修正和策略优化的警报的生命周期。 它还介绍了用于调查警报的工具。

策略设计概述

设计策略 主要涉及明确 定义业务需求,在策略意向声明中记录这些需求,然后将 这些需求映射到策略配置。 使用在规划阶段做出的决策来告知一些策略设计决策。

定义策略的意向

你应该能够在单个语句中总结你拥有的每个策略的业务意向。 开发此语句可推动组织中的对话,完全充实后,此语句直接将策略链接到业务目的,并为策略设计提供路线图。 规划数据丢失防护 (DLP) 一文中的步骤可帮助你开始使用策略意向声明。

请记住,如 DLP 策略配置概述中所述,所有 DLP 策略都要求你:

  • 选择要监视的内容
  • 选择 “策略范围”。
  • 选择要监视 的位置。
  • 选择要应用于项的策略必须匹配的条件。
  • 选择满足策略条件时要执行的操作。

例如,下面是一个虚构的意向声明初稿,它提供了所有五个问题的答案:

“我们是一家美国组织,我们需要检测包含 HIPAA 涵盖的敏感医疗保健信息的 Office 文档,这些文档存储在 OneDrive/SharePoint 中,并防止在 Teams 聊天和频道消息中共享该信息,并限制每个人与未经授权的第三方共享这些信息。

开发策略设计时,可能会修改和扩展语句。

将业务需求映射到策略配置

让我们分解示例草稿语句,并将其映射到 DLP 策略配置点。 此示例假定你使用的是不受限制的 DLP 管理员帐户,并且未配置管理单元。

重要

请确保在开始之前阅读管理单元,了解不受限制的管理员和管理单元受限管理员之间的区别。

语句 配置问题解答和配置映射
“我们是一家总部位于美国的组织,我们需要检测包含 HIPAA 涵盖的敏感医疗保健信息的 Office 文档。 - 要监视的内容:Office 文档,使用 美国健康保险法 (HIPAA) 模板
- 匹配条件: (预配置但可编辑) - 项包含美国。 SSN 和缉毒署 (DEA) 编号、国际疾病分类 (ICD-9-CM) 、国际疾病分类 (ICD-10-CM) ,内容与组织
外部的人员共享- 驱动对话以阐明检测的触发阈值,例如 置信度,实例 计数 (称为泄漏容错) 。
...存储在 OneDrive/SharePoint 中并防止在 Teams 聊天和频道消息中共享的信息... - 监视位置:通过包括或排除 OneDrive 和 SharePoint 网站以及 Teams 聊天/频道帐户或通讯组来确定 位置范围策略范围 (预览) : 完整目录
...并限制所有人与未经授权的第三方共享这些项目。” - 要执行的操作Microsoft 365 个位置
添加限制访问或加密内容 - 就触发策略时要执行的操作展开对话,包括共享限制等保护性操作、通知和警报等感知操作,以及允许用户替代阻止操作等用户授权操作

此示例未涵盖 DLP 策略的所有配置点;需要扩展它。 但是,在开发自己的 DLP 策略意向语句时,它应该能让你思考正确的方向。

重要

请记住,你选择的位置 () 会影响你是否可以使用敏感信息类型、敏感度标签和保留标签。 你选择的位置 () 也会影响可用的操作。 有关详细信息 ,请参阅数据丢失防护策略参考

复杂规则设计

SharePoint 和 OneDrive 中的上述 HIPAA 内容是 DLP 策略的一个简单示例。 DLP 规则生成器支持布尔逻辑 (AND、OR、NOT) 和嵌套组。

重要

  • 所有现有 异常 都替换为条件内嵌套组中的 NOT 条件
  • 需要创建组才能使用多个运算符。

重要

当 Office 桌面客户端应用、 (Word、Outlook、Excel 和 PowerPoint) 中的操作与使用复杂条件的策略匹配时,用户将只看到使用内容包含敏感信息条件的规则的策略提示。

  • 示例 1 我们需要阻止所有包含信用卡号码的收件人的电子邮件,或者应用了“高度机密”敏感度标签,但如果电子邮件是从财务团队中的某人发送给的,则不要阻止该电子邮件adele.vance@contoso.com

  • 示例 2 Contoso 需要阻止包含受密码保护的文件或 zip 文档文件扩展名 (“zip”或“7z”) 的所有电子邮件,但如果收件人位于 contoso.com 域或 fabrikam.com 域,或者发件人是 Contoso HR 组的成员,则不要阻止电子邮件。

重要

  • 在嵌套组中使用 NOT 条件将替换 异常 功能。
  • 需要创建组才能使用多个运算符。

重要

当 Office 桌面客户端应用中的操作 (Word、Outlook、Excel 和 PowerPoint) 与使用复杂条件的策略匹配时,用户将仅看到使用内容包含敏感信息条件的规则的策略提示。

策略设计过程

  1. 完成规划 数据丢失防护 (DLP) 中的步骤 - 通过完成本文,你将:

    1. 确定利益干系人
    2. 描述要保护的敏感信息类别
    3. 设置目标和策略
    4. 定义策略部署计划
  2. 熟悉 数据丢失防护策略参考 ,以便了解 DLP 策略的所有组件以及每个组件如何影响策略的行为。

  3. 熟悉 DLP 策略模板包含的内容

  4. 与关键利益干系人一起制定策略意向声明。 请参阅本文前面的示例。

  5. 确定此策略如何适合整体 DLP 策略策略。

    重要

    策略创建后无法重命名。 如果必须重命名策略,则必须创建一个具有所需名称的新策略并停用旧名称。 因此,从一开始就决定所有策略将使用的命名结构。

  6. 将策略意向语句中的项映射到配置选项。

  7. 决定从哪个策略模板开始:预定义的或自定义的。

  8. 在创建策略之前,请浏览模板并组合所需的所有信息。 你可能会发现策略意向声明中未涵盖某些配置点。 没关系。 向利益干系人返回,以消除任何缺少的配置点的要求。

  9. 记录所有策略设置的配置,并与利益干系人一起查看它们。 可以重复使用策略意向语句映射到配置点,该配置点现已完全充实。

  10. 创建策略草稿 并参考 策略部署 计划。

另请参阅