设计数据丢失防护策略
在实施策略之前,花时间设计策略可以更快地获得所需的结果,并且与创建它然后单独通过试错进行优化相比,意外问题更少。 记录策略设计还有助于沟通、策略评审、故障排除和进一步优化。
如果你不熟悉Microsoft Purview DLP,在开始设计策略之前,阅读以下文章会很有帮助:
提示
开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot。
开始之前
如果你不熟悉 purview DLP Microsoft,下面是实现 DLP 时需要的核心文章列表:
- 管理单元
- 了解Microsoft Purview 数据丢失防护 - 本文介绍数据丢失防护规则和 DLP 的实现Microsoft
- 规划数据丢失防护 (DLP) - 通过本文,你将:
- 数据丢失防护策略参考 - 本文介绍 DLP 策略的所有组件以及每个组件如何影响策略的行为
- 设计 DLP 策略 - 本文 (正在阅读) 指导你创建策略意向语句并将其映射到特定策略配置。
- 创建和部署数据丢失防护策略 - 本文介绍一些映射到配置选项的常见策略意向方案,然后指导你配置这些选项。
- 了解如何调查数据丢失防护警报 - 本文介绍从创建到最终修正和策略优化的警报的生命周期。 它还介绍了用于调查警报的工具。
策略设计概述
设计策略 主要涉及明确 定义业务需求,在策略意向声明中记录这些需求,然后将 这些需求映射到策略配置。 使用在规划阶段做出的决策来告知一些策略设计决策。
定义策略的意向
你应该能够在单个语句中总结你拥有的每个策略的业务意向。 开发此语句可推动组织中的对话,完全充实后,此语句直接将策略链接到业务目的,并为策略设计提供路线图。 规划数据丢失防护 (DLP) 一文中的步骤可帮助你开始使用策略意向声明。
请记住,如 DLP 策略配置概述中所述,所有 DLP 策略都要求你:
- 选择要监视的内容
- 选择 “策略范围”。
- 选择要监视 的位置。
- 选择要应用于项的策略必须匹配的条件。
- 选择满足策略条件时要执行的操作。
例如,下面是一个虚构的意向声明初稿,它提供了所有五个问题的答案:
“我们是一家美国组织,我们需要检测包含 HIPAA 涵盖的敏感医疗保健信息的 Office 文档,这些文档存储在 OneDrive/SharePoint 中,并防止在 Teams 聊天和频道消息中共享该信息,并限制每个人与未经授权的第三方共享这些信息。
开发策略设计时,可能会修改和扩展语句。
将业务需求映射到策略配置
让我们分解示例草稿语句,并将其映射到 DLP 策略配置点。 此示例假定你使用的是不受限制的 DLP 管理员帐户,并且未配置管理单元。
语句 | 配置问题解答和配置映射 |
---|---|
“我们是一家总部位于美国的组织,我们需要检测包含 HIPAA 涵盖的敏感医疗保健信息的 Office 文档。 |
-
要监视的内容:Office 文档,使用 美国健康保险法 (HIPAA) 模板 - 匹配条件: (预配置但可编辑) - 项包含美国。 SSN 和缉毒署 (DEA) 编号、国际疾病分类 (ICD-9-CM) 、国际疾病分类 (ICD-10-CM) ,内容与组织 外部的人员共享- 驱动对话以阐明检测的触发阈值,例如 置信度,实例 计数 (称为泄漏容错) 。 |
...存储在 OneDrive/SharePoint 中并防止在 Teams 聊天和频道消息中共享的信息... | - 监视位置:通过包括或排除 OneDrive 和 SharePoint 网站以及 Teams 聊天/频道帐户或通讯组来确定 位置范围 。 策略范围 (预览) : 完整目录 |
...并限制所有人与未经授权的第三方共享这些项目。” |
-
要执行的操作: 在Microsoft 365 个位置 添加限制访问或加密内容 - 就触发策略时要执行的操作展开对话,包括共享限制等保护性操作、通知和警报等感知操作,以及允许用户替代阻止操作等用户授权操作 |
此示例未涵盖 DLP 策略的所有配置点;需要扩展它。 但是,在开发自己的 DLP 策略意向语句时,它应该能让你思考正确的方向。
重要
请记住,你选择的位置 () 会影响你是否可以使用敏感信息类型、敏感度标签和保留标签。 你选择的位置 () 也会影响可用的操作。 有关详细信息 ,请参阅数据丢失防护策略参考 。
复杂规则设计
SharePoint 和 OneDrive 中的上述 HIPAA 内容是 DLP 策略的一个简单示例。 DLP 规则生成器支持布尔逻辑 (AND、OR、NOT) 和嵌套组。
重要
- 所有现有 异常 都替换为条件内嵌套组中的 NOT 条件。
- 需要创建组才能使用多个运算符。
重要
当 Office 桌面客户端应用、 (Word、Outlook、Excel 和 PowerPoint) 中的操作与使用复杂条件的策略匹配时,用户将只看到使用内容包含敏感信息条件的规则的策略提示。
示例 1 我们需要阻止所有包含信用卡号码的收件人的电子邮件,或者应用了“高度机密”敏感度标签,但如果电子邮件是从财务团队中的某人发送给的,则不要阻止该电子邮件adele.vance@contoso.com
示例 2 Contoso 需要阻止包含受密码保护的文件或 zip 文档文件扩展名 (“zip”或“7z”) 的所有电子邮件,但如果收件人位于 contoso.com 域或 fabrikam.com 域,或者发件人是 Contoso HR 组的成员,则不要阻止电子邮件。
重要
- 在嵌套组中使用 NOT 条件将替换 异常 功能。
- 需要创建组才能使用多个运算符。
重要
当 Office 桌面客户端应用中的操作 (Word、Outlook、Excel 和 PowerPoint) 与使用复杂条件的策略匹配时,用户将仅看到使用内容包含敏感信息条件的规则的策略提示。
策略设计过程
完成规划 数据丢失防护 (DLP) 中的步骤 - 通过完成本文,你将:
熟悉 数据丢失防护策略参考 ,以便了解 DLP 策略的所有组件以及每个组件如何影响策略的行为。
熟悉 DLP 策略模板包含的内容。
与关键利益干系人一起制定策略意向声明。 请参阅本文前面的示例。
确定此策略如何适合整体 DLP 策略策略。
重要
策略创建后无法重命名。 如果必须重命名策略,则必须创建一个具有所需名称的新策略并停用旧名称。 因此,从一开始就决定所有策略将使用的命名结构。
将策略意向语句中的项映射到配置选项。
决定从哪个策略模板开始:预定义的或自定义的。
在创建策略之前,请浏览模板并组合所需的所有信息。 你可能会发现策略意向声明中未涵盖某些配置点。 没关系。 向利益干系人返回,以消除任何缺少的配置点的要求。
记录所有策略设置的配置,并与利益干系人一起查看它们。 可以重复使用策略意向语句映射到配置点,该配置点现已完全充实。