透過收到不適當的分類來防止數據外泄,以符合 PSPF 的澳大利亞政府規範
本文提供有關設定的指引,以透過監視並防止Microsoft 365服務接收分類不當的專案,來降低數據外泄的風險。 其目的是協助組織改善其資訊安全性狀態。 本文中的建議與保護安全策略架構 (PSPF) 和 資訊安全性手冊 (ISM) 中所述的需求一致。
政府組織必須確保高敏感性資訊受到保護,以避免傳遞至較低的敏感度環境。 這包括套用的分類資訊高於組織允許的分類,以及不適合在 Microsoft 365 雲端環境中使用的資訊 (例如,SECRET 和 TOP SECRET 資訊) 。
封鎖不當加上標籤的電子郵件傳輸
ISM-0565 會強制執行措施,以防止透過電子郵件洩漏數據:
| 需求 | 詳細資料 |
|---|---|
| ISM-0565 (2024 年 6 月) | Email 伺服器設定為封鎖、記錄和報告具有不當保護標記的電子郵件。 |
除了 ISM-0565 之外,本指南中的控件還與保護 安全策略架 構 (PSPF) 一致。 在 Microsoft 365 中,安全性分類會與使用敏感度標籤的 ISM (資訊安全性手冊) 和 PSPF 安全性控制件一致。 專案在政府中必須有敏感度標籤,因為指定的安全性控制和管理與專案相關聯。
Microsoft澳大利亞政府組織的 Purview 部署通常是配對的組態, 需要將標籤應用程式套用到所有專案。 此強制標籤設定可讓組織符合 PSPF 原則 8 需求 1,如同建立專案時,套用標籤一樣。 將標籤套用至所有專案,可確保它們能獲得適當的保護,並降低遭到入侵的風險。
數據外洩防護 (DLP) 原則設定為兩者:
- 防止傳輸、接收及進一步散發比在環境中允許之分類較高的專案,以防止數據溢出, (本文中稱為非) 分類;和
- 防止傳輸未標記的電子郵件,這些電子郵件尚未評估敏感度,或可能表示嘗試略過安全性控制。
封鎖非已認可分類的傳輸
若要封鎖分類專案的收據和/或進一步傳輸,以及平臺中不應該存在的專案,必須先建立識別這類資訊的方法。 這類方法包括:
- 主體標記和電子郵件 x-保護標記 x 標頭的評估,以判斷套用至傳入項目的分類。
- 使用敏感性資訊類型 (SIT) (,如 識別敏感性資訊) 中所討論,以識別平臺上不應該存在的資訊。 這些 SIT 包含關鍵詞識別碼,例如 'SEC=SECRET' 和 'SEC=TOP-SECRET',以及其他存在於高度敏感性專案中的 Government 關鍵詞。
- 使用 未發佈的 敏感度標籤搭配自動套用標籤作為方法,以識別平臺上不應該存在的專案。 如需詳細資訊,請參閱 超出受保護層級的信息標籤。
若要封鎖未通過分類的溢出,會使用一組 DLP 原則。 由於可用的原則條件取決於組織所使用的服務,因此需要數個原則來涵蓋所有可用的通訊通道。 針對大多數組織而言,針對 Exchange 服務解決的原則是建議的起點。
DLP 原則包含一或多個規則,這些規則會利用下列條件:
- 內容包含敏感 性資訊類型、 秘密關鍵詞 SIT、OR
- 內容包含、 敏感度標籤、 SECRET、OR
-
標頭符合模式、
X-Protective-Marking : SEC=SECRET、OR -
主旨比對模式,
\[SEC=SECRET
規則應具有 封鎖所有人的動作,這可在 [限制存取權] 或 [加密Microsoft 365 位置] 選項下 提供。
ISM-0133 與報告動作相關 DLP:
| 需求 | 詳細資料 |
|---|---|
| ISM-0133 (2024 年 6 月) | 當數據溢出發生時,系統會建議數據擁有者,並限制數據的存取權。 |
警示動作對於防止任何進一步的數據外泄以及加速清除活動非常重要。 您可以在單一 DLP 規則中設定多個動作。 組織安全性小組,以判斷適當的警示動作。 透過 DLP 介面提供的選項會透過 Power Automate 和安全性資訊及事件管理 (SIEM) 解決方案來擴充,例如 Sentinel。
以下是在 Exchange 上識別和停止散發 SECRET 專案的已完成 DLP 規則範例:
原則名稱: EXO - 封鎖未通過的分類
| 規則名稱 | 條件 | 動作 |
|---|---|---|
| 封鎖 SECRET 專案 | 內容包含敏感性資訊類型: Secret 關鍵詞 自定義 SIT,其中包含可能與 SECRET 分類一致的詞彙。 OR 標頭符合模式: X-Protective-Marking : SEC=SECRET OR 主旨符合模式: \[SEC=SECRET OR 內容包含敏感度標籤: 秘密 |
限制存取或加密Microsoft 365 個位置中的內容: - 封鎖使用者接收電子郵件 - 封鎖所有人 設定適當的事件嚴重性和警示。 |
在上一個規則中套用的邏輯可用來建立更多 DLP 原則,以封鎖在其他服務之間散佈未指定的分類,包括:
- SharePoint
- OneDrive
- teams 聊天和頻道訊息 (排除敏感度標籤條件)
- 透過端點 DLP (的裝置,包括非用戶網路、USB、位置等 )
- 透過 Defender for Cloud Apps 上傳至雲端服務
- 內部部署檔案存放庫
封鎖未標記電子郵件的傳輸
若要封鎖未標記電子郵件的傳輸,可以根據自定義原則範本設定 DLP 原則,並套用至 Exchange 服務。
封鎖傳輸未標記的電子郵件原則需要兩個規則:
- 透過從 Microsoft 365 與組織外部人員共用的內容,傳出專案的第一個規則。
- 第二個規則會套用至 從 Microsoft 365 共用的內容, 僅適用於組織內的人員。
規則需要例外狀況,此例外狀況會透過已啟用 NOT 操作數的條件群組套用。 條件群組包含 內容包含的條件、 敏感度標籤 ,並已選取環境中的所有可用標籤。
產生電子郵件的服務不適用於 Microsoft 365 Apps 客戶端的強制標籤設定。 因此,每當傳送非用戶產生的電子郵件時,就會觸發此 DLP 原則。 它會針對Microsoft服務所產生的安全性警示、掃描器和多功能裝置 (MFD) 的電子郵件,以及人力資源或薪資系統等應用程式的電子郵件觸發。 若要確保原則不會封鎖必要的商務程式,例外狀況必須包含在 NOT 群組中。 例如:
- OR發件人網域 microsoft.com,可擷取安全性和SharePoint警示。
- OR發件者是群組的成員,其群組包含授權略過此需求的帳戶。
- OR發件者 IP 位址是 ,以及辦公室 MFD 的位址。
除非發件人透過其中一個設定的例外狀況豁免,否則每當傳送的電子郵件不包含其中一個列出的敏感度標籤時,就會觸發此規則。
這些 DLP 規則應具有 封鎖所有人 的動作,以及適當的嚴重性和報告動作。
下列警示需求與套用至傳出專案的 DLP 規則相關:
| 需求 | 詳細資料 |
|---|---|
| ISM-1023 (2024 年 6 月) | 系統會通知封鎖之輸入電子郵件的預期收件者,以及封鎖輸出電子郵件的寄件者。 |
為了符合這項需求,套用至傳出專案的 DLP 規則會設定為通知嘗試傳送項目的使用者。
提示
正在轉換為敏感度標籤的政府組織可以選擇設定原則提示,而不是封鎖或警示動作。 這類原則可用來建議標籤選取,而不將其設定為硬性需求。 雖然這並不完全符合 ISM 中的需求,但它可讓使用者更順利地部署 Microsoft Purview 功能。
封鎖未標記電子郵件的 DLP 原則範例
下列 DLP 原則適用於 Exchange 服務,並防止透過未標記的電子郵件遺失資訊:
原則名稱: EXO - 封鎖未標記的電子郵件
| 規則 | 條件 | 動作 |
|---|---|---|
| 封鎖外寄未標記的電子郵件 | 內容會從Microsoft 365 與組織外部的人員共用 和 條件 群組 NOT 內容包含敏感度標籤: - 選取所有標籤 OR 寄件者網域為: - microsoft.com - 包含其他例外狀況 |
限制存取或加密Microsoft 365 個位置中的內容: - 封鎖使用者接收電子郵件 - 封鎖所有人 |