Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust

Eine Microsoft Purview Data Loss Prevention-Richtlinie (DLP) enthält viele Konfigurationsoptionen. Jede Option ändert das Verhalten der Richtlinie. In diesem Artikel werden einige gängige Absichtsszenarien für Richtlinien vorgestellt, die Sie Konfigurationsoptionen zuordnen. Anschließend führt sie Sie durch die Konfiguration dieser Optionen. Nachdem Sie sich mit diesen Szenarien vertraut machen, können Sie die DLP-Richtlinienerstellungs-UX verwenden, um Ihre eigenen Richtlinien zu erstellen.

Wie Sie eine Richtlinie bereitstellen, ist ebenso wichtig wie der Richtlinienentwurf. Sie haben mehrere Optionen zum Steuern der Richtlinienbereitstellung. In diesem Artikel erfahren Sie, wie Sie diese Optionen verwenden, damit die Richtlinie Ihre Absicht erreicht und gleichzeitig kostspielige Geschäftsunterbrechungen vermeidet.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Bevor Sie beginnen

Wenn Sie noch nicht mit Microsoft Purview DLP vertraut sind, finden Sie hier eine Liste der wichtigsten Artikel, mit denen Sie bei der Implementierung von DLP vertraut sein sollten:

  1. Administrative Einheiten
  2. Informationen zu Microsoft Purview Data Loss Prevention: In diesem Artikel werden die Disziplin zur Verhinderung von Datenverlust und die Implementierung von DLP durch Microsoft vorgestellt.
  3. Planen der Verhinderung von Datenverlust (Data Loss Prevention, DLP): In diesem Artikel gehen Sie wie folgt vor:
    1. Identifizieren von Projektbeteiligten
    2. Beschreiben der Kategorien vertraulicher Informationen, die geschützt werden sollen
    3. Ziele und Strategie festlegen
  4. Richtlinienreferenz zur Verhinderung von Datenverlust : In diesem Artikel werden alle Komponenten einer DLP-Richtlinie vorgestellt und erläutert, wie sich diese auf das Verhalten einer Richtlinie auswirkt.
  5. Entwerfen einer DLP-Richtlinie : In diesem Artikel erfahren Sie, wie Sie eine Richtlinienabsichtsanweisung erstellen und sie einer bestimmten Richtlinienkonfiguration zuordnen.
  6. Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust : Dieser Artikel, den Sie jetzt lesen, enthält einige allgemeine Richtlinienabsichtsszenarien, die Sie Konfigurationsoptionen zuordnen. Es führt Sie dann durch die Konfiguration dieser Optionen und enthält Anleitungen zum Bereitstellen einer Richtlinie.
  7. Erfahren Sie mehr über die Untersuchung von Warnungen zur Verhinderung von Datenverlust : In diesem Artikel wird der Lebenszyklus von Warnungen von der Erstellung bis hin zur endgültigen Korrektur und Richtlinienoptimierung vorgestellt. Außerdem werden sie in die Tools eingeführt, die Sie zum Untersuchen von Warnungen verwenden.

SKU/Abonnement-Lizenzierung

Bevor Sie mit der Verwendung von DLP-Richtlinien beginnen, bestätigen Sie Ihr Microsoft 365-Abonnement und alle Add-Ons.

Informationen zur Lizenzierung finden Sie unter Microsoft 365, Office 365, Enterprise Mobility + Security und Windows 11 Subscriptions for Enterprises.

Berechtigungen

Das Konto, das Sie zum Erstellen und Bereitstellen von Richtlinien verwenden, muss Mitglied einer dieser Rollengruppen sein.

  • Compliance-Administrator
  • Compliancedatenadministrator
  • Informationsschutz
  • Information Protection-Administrator
  • Sicherheitsadministrator

Wichtig

Stellen Sie sicher, dass Sie den Unterschied zwischen einem uneingeschränkten Administrator und einem Administrator mit eingeschränkten Verwaltungseinheiten verstehen, indem Sie verwaltungseinheiten lesen, bevor Sie beginnen.

Differenzierte Rollen und Rollengruppen

Es gibt Rollen und Rollengruppen, mit denen Sie Ihre Zugriffssteuerungen optimieren können.

Hier ist eine Liste der anwendbaren Rollen. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

  • DLP-Complianceverwaltung
  • Information Protection-Administrator
  • Information Protection-Analyst
  • Information Protection-Ermittler
  • Information Protection-Leser

Hier finden Sie eine Liste der anwendbaren Rollengruppen. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

  • Informationsschutz
  • Information Protection-Administratoren
  • Information Protection-Analysten
  • Information Protection-Ermittler
  • Information Protection-Leser

Szenarien zur Richtlinienerstellung

Im vorherigen Artikel Entwerfen einer DLP-Richtlinie wurden Sie in die Methodik zum Erstellen einer Richtlinienabsichtsanweisung und anschließenden Zuordnen dieser Absichtsanweisung zu Richtlinienkonfigurationsoptionen eingeführt. In diesem Abschnitt werden diese Beispiele sowie einige weitere Beispiele verwendet, die Sie durch den eigentlichen Richtlinienerstellungsprozess führen. Sie sollten diese Szenarien in Ihrer Testumgebung durcharbeiten, um sich mit der Benutzeroberfläche für die Richtlinienerstellung vertraut zu machen.

Es gibt so viele Konfigurationsoptionen im Richtlinienerstellungsflow, dass es nicht möglich ist, jede oder sogar die meisten Konfigurationen abzudecken. In diesem Artikel werden daher einige der häufigsten DLP-Richtlinienszenarien behandelt. Wenn Sie diese durchgehen, erhalten Sie praktische Erfahrungen in einer Vielzahl von Konfigurationen.

Szenario 1: Blockieren von E-Mails mit Guthaben Karte Nummern

Wichtig

Dies ist ein hypothetisches Szenario mit hypothetischen Werten. Dies dient nur zur Veranschaulichung. Sie sollten Ihre eigenen Vertraulichen Informationstypen, Vertraulichkeitsbezeichnungen, Verteilergruppen und Benutzer ersetzen.

Voraussetzungen und Annahmen für Szenario 1

In diesem Szenario wird die Vertraulichkeitsbezeichnung Streng vertraulich verwendet. Daher müssen Sie Vertraulichkeitsbezeichnungen erstellt und veröffentlicht haben. Weitere Informationen finden Sie unter:

Dieses Verfahren verwendet ein hypothetisches Verteilergruppen-Finanzteam bei Contoso.com und einen hypothetischen SMTP-Empfänger adele.vance@fabrikam.com.

In diesem Verfahren werden Warnungen verwendet. Weitere Informationen finden Sie unter Erste Schritte mit den Warnungen zur Verhinderung von Datenverlust.

Szenario 1: Richtlinienabsichtsanweisung und -zuordnung

Wir müssen E-Mails an alle Empfänger blockieren, die Guthaben Karte Nummern enthalten oder auf die die Vertraulichkeitsbezeichnung "streng vertraulich" angewendet wird, es sei denn, die E-Mail wird von jemandem aus dem Finanzteam an adele.vance@fabrikam.comgesendet. Wir möchten den Complianceadministrator jedes Mal benachrichtigen, wenn eine E-Mail blockiert wird, und den Benutzer benachrichtigen, der das Element gesendet hat, und niemand darf den Block außer Kraft setzen. Verfolgen Sie alle Vorkommen dieses Ereignisses mit hohem Risiko im Protokoll nach, und wir möchten, dass die Details aller Ereignisse erfasst und zur Untersuchung zur Verfügung gestellt werden.

Anweisung Antwort zur Konfigurationsfrage und Konfigurationszuordnung
"Wir müssen E-Mails an alle Empfänger blockieren..." - Überwachungsort: Exchange-Verwaltungsbereich-
: Vollständiges Verzeichnis-
Aktion: Zugriff einschränken oder Inhalte an Microsoft 365-Speicherorten > verschlüsseln Benutzer am Empfangen von E-Mails oder zugriff auf freigegebene SharePoint-, OneDrive- und Teams-Dateien > Blockieren aller Benutzer
"... die Guthaben Karte Nummern enthalten oder die Vertraulichkeitsbezeichnung "streng vertraulich" angewendet werden..." - Was überwacht werden soll , verwenden Sie die Bedingungen der benutzerdefinierten Vorlage
- , um eine Übereinstimmung zu bearbeiten, um die Vertraulichkeitsbezeichnung "Streng vertraulich " hinzuzufügen.
"... außer, wenn..." - Konfiguration der Bedingungsgruppe: Erstellen einer geschachtelten booleschen NOT-Bedingungsgruppe, die mit den ersten Bedingungen verknüpft ist, mithilfe eines booleschen AND
"... Die E-Mail wird von jemanden aus dem Finanzteam gesendet..." - Bedingung für Übereinstimmung: Absender ist Mitglied von
"... und ..." - Bedingung für Übereinstimmung: Fügen Sie der Gruppe NOT eine zweite Bedingung hinzu.
"... an ..."adele.vance@fabrikam.com - Bedingung für Übereinstimmung: Absender ist
"... Benachrichtigen..." - Benutzerbenachrichtigungen: Richtlinientipps aktiviert
- : aktiviert
"... der Complianceadministrator jedes Mal, wenn eine E-Mail blockiert wird, und benachrichtigt den Benutzer, der das Element gesendet hat..." - Richtlinientipps: Aktiviert:
- Diese Personen benachrichtigen: ausgewählt
- Die Person, die den Inhalt gesendet, freigegeben oder geändert hat: ausgewählt E-Mail
- an diese zusätzlichen Personen senden: E-Mail-Adresse des Complianceadministrators hinzufügen
"... und niemand darf den Block außer Kraft setzen... - Außerkraftsetzungen von M365-Diensten zulassen: nicht ausgewählt
"... Verfolgen Sie alle Vorkommen dieses Ereignisses mit hohem Risiko im Protokoll nach, und wir möchten, dass die Details aller Ereignisse erfasst und zur Untersuchung zur Verfügung gestellt werden." - Verwenden Sie diesen Schweregrad in Administratorwarnungen und -berichten: hoch
Warnung an Administratoren senden, wenn eine Regelübereinstimmung auftritt: Aktivierte Option
- Warnung senden, wenn eine Aktivität mit der Regel übereinstimmt: ausgewählt.-

Schritte zum Erstellen einer Richtlinie für Szenario 1

Wichtig

Für diese Prozedur zur Richtlinienerstellung akzeptieren Sie die standardmäßigen Ein-/Ausschlusswerte und lassen die Richtlinie deaktiviert. Sie ändern diese, wenn Sie die Richtlinie bereitstellen.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Anmelden beim Microsoft Purview-Portal

  2. Öffnen Sie die Lösung zur Verhinderung von Datenverlust , und navigieren Sie zu Richtlinien>+ Richtlinie erstellen.

  3. Wählen Sie in der Liste Kategorien die Option Benutzerdefiniert aus.

  4. Wählen Sie in der Liste Vorschriften die Option Benutzerdefiniert aus.

  5. Wählen Sie Weiter aus.

  6. Geben Sie der Richtlinie einen Namen und eine Beschreibung. Sie können hier die Richtlinienabsichtsanweisung verwenden.

    Wichtig

    Richtlinien können nicht umbenannt werden

  7. Wählen Sie Weiter aus.

  8. Zuweisen von Administratoreinheiten. Um die Richtlinie auf alle Benutzer anzuwenden, akzeptieren Sie die Standardeinstellung.

  9. Wählen Sie Weiter aus.

  10. Wählen Sie aus, wo die Richtlinie angewendet werden soll. Wählen Sie nur den Exchange-E-Mail-Speicherort aus. Deaktivieren Sie alle anderen Speicherorte.

  11. Wählen Sie Weiter aus.

  12. Auf der Seite Richtlinieneinstellungen definieren sollte die Option Erweiterte DLP-Regeln erstellen oder anpassen bereits ausgewählt sein.

  13. Wählen Sie Weiter aus.

  14. Wählen Sie Regel erstellen aus. Benennen Sie die Regel, und geben Sie eine Beschreibung an.

  15. Wählen Sie unter Bedingungendie Option Bedingung> hinzufügenInhalt enthält aus.

  16. (Optional) Geben Sie einen Gruppennamen ein.

  17. (Optional) Auswählen eines Gruppenoperators

  18. Wählen SieAdd Sensitive information types>Credit Card Number (Kreditkartennummer) hinzufügen> aus.

  19. Wählen Sie Hinzufügen aus.

  20. Wählen Sie im Abschnitt Inhalt enthält die OptionVertraulichkeitsbezeichnungen>streng vertraulichhinzufügen> und dann Hinzufügen aus.

  21. Wählen Sie als Nächstes unter dem Abschnitt Inhalt enthältdie Option Gruppe hinzufügen aus.

  22. Lassen Sie den Booleschen Operator auf AND festgelegt, und legen Sie dann den Umschalter auf NOT fest.

  23. Wählen Sie Bedingung hinzufügen aus.

  24. Wählen Sie Absender ist Mitglied von aus.

  25. Wählen Sie Gruppen hinzufügen oder entfernen aus.

  26. Wählen Sie Finanzteam und dann Hinzufügen aus.

  27. Wählen Sie Bedingung> hinzufügenEmpfänger ist aus.

  28. Geben Sie im Feld E-Mail den Wert Hinzufügen ein adele.vance@fabrikam.com , und wählen Sie es aus.

  29. Wählen Sie unter Aktionen die Option Aktion> hinzufügenZugriff einschränken oder Inhalte an Microsoft 365-Speicherorten verschlüsseln aus.

  30. Wählen Sie Benutzer am Empfangen von E-Mails oder zugriff auf freigegebene SharePoint-, OneDrive- und Teams-Dateien blockieren aus, und wählen Sie dann Alle Benutzer blockieren aus.

  31. Legen Sie die Umschaltfläche Benutzerbenachrichtigungen auf Ein fest.

  32. Wählen Sie Email Benachrichtigungen>Die Person benachrichtigen aus, die den Inhalt gesendet, freigegeben oder zuletzt geändert hat.

  33. Wählen Sie aus, ob die entsprechende E-Mail-Nachricht an die Benachrichtigung angefügt werden soll.

  34. Wählen Sie aus, ob Richtlinientipps hinzugefügt werden sollen.

  35. Stellen Sie unter Benutzerovverides sicher, dass Außerkraftsetzungen von Microsoft 365-Apps und -Diensten zulassen... NICHT ausgewählt ist.

  36. Legen Sie unter Incidentberichtedie Option Diesen Schweregrad in Administratorwarnungen und -berichten verwenden auf Hoch fest.

  37. Legen Sie die Option Warnung senden jedes Mal, wenn eine Aktivität mit der Regel übereinstimmt , auf Ein fest.

  38. Wählen Sie Speichern aus.

  39. Wählen Sie Weiter und dann Richtlinie im Simulationsmodus ausführen aus.

  40. Wählen Sie Weiter und dann Absenden aus.

  41. Klicken Sie auf Fertig.

Szenario 2: Blockieren der Freigabe vertraulicher Elemente über SharePoint und OneDrive in Microsoft 365 für externe Benutzer

Für SharePoint und OneDrive in Microsoft 365 erstellen Sie eine Richtlinie, um die Freigabe vertraulicher Elemente für externe Benutzer über SharePoint und OneDrive zu blockieren.

Voraussetzungen und Annahmen für Szenario 2

In diesem Szenario wird die Vertraulichkeitsbezeichnung Vertraulich verwendet. Daher müssen Sie Vertraulichkeitsbezeichnungen erstellt und veröffentlicht haben. Weitere Informationen finden Sie unter:

Bei diesem Verfahren werden eine hypothetische Verteilergruppe Human Resources und eine Verteilergruppe für das Sicherheitsteam in Contoso.com verwendet.

In diesem Verfahren werden Warnungen verwendet. Weitere Informationen finden Sie unter Erste Schritte mit den Warnungen zur Verhinderung von Datenverlust.

Szenario 2: Richtlinienabsichtsanweisung und -zuordnung

Wir müssen die gesamte Freigabe von SharePoint- und OneDrive-Elementen für alle externen Empfänger blockieren, die Sozialversicherungsnummern, Gutschriften Karte Daten enthalten oder über die Vertraulichkeitsbezeichnung "Vertraulich" verfügen. Wir möchten, dass dies für niemanden im Personalteam gilt. Wir müssen auch die Anforderungen an Warnungen erfüllen. Wir möchten unser Sicherheitsteam jedes Mal per E-Mail benachrichtigen, wenn eine Datei freigegeben und dann blockiert wird. Darüber hinaus möchten wir, dass der Benutzer per E-Mail und nach Möglichkeit innerhalb der Benutzeroberfläche benachrichtigt wird. Schließlich möchten wir keine Ausnahmen von der Richtlinie und müssen diese Aktivität innerhalb des Systems sehen können.

Anweisung Antwort zur Konfigurationsfrage und Konfigurationszuordnung
"Wir müssen die gesamte Freigabe von SharePoint- und OneDrive-Elementen für alle externen Empfänger blockieren..." - Administrativer Bereich: Vollständiges Verzeichnis
- Wo überwacht werden soll: SharePoint-Websites, OneDrive-Konten
- Bedingungen für eine Übereinstimmung: Erste Bedingung > außerhalb meiner Organisation
- freigegeben Aktion: Zugriff einschränken oder Inhalte an Microsoft 365-Speicherorten > verschlüsseln Benutzer am Empfangen von E-Mails oder am Zugriff auf freigegebene SharePoint blockieren, OneDrive > Nur Personen außerhalb Ihrer organization
"... die Sozialversicherungsnummern, Guthaben Karte Daten enthalten oder die Vertraulichkeitsbezeichnung "Vertraulich" aufweisen..." - Überwachen: Verwenden der benutzerdefinierten Vorlage
- Bedingung für eine Übereinstimmung: Erstellen einer zweiten Bedingung, die mit der ersten Bedingung verknüpft ist, mit einem booleschen AND-Bedingungen
- für eine Übereinstimmung: Zweite Bedingung, erste Bedingungsgruppe > Inhalt enthält vertrauliche Informationstypen U.S. Sozialversicherungsnummer (SSN), Kreditkartennummer
- Bedingung Gruppenkonfiguration Erstellen Sie eine zweite Bedingungsgruppe, die mit der ersten durch boolesche OR
- verbunden istBedingung für eine Übereinstimmung: Zweite Bedingungsgruppe, zweite Bedingung > Inhalt enthält eine dieser Vertraulichkeitsbezeichnungen Vertraulich.
"... Wir möchten, dass dies für niemanden im Personalteam gilt..." - Anwendungsort : Ausschließen der OneDrive-Konten des Personalteams
"... Wir möchten unser Sicherheitsteam jedes Mal mit einer E-Mail benachrichtigen, wenn eine Datei freigegeben und dann blockiert wird..." - Incidentberichte: Senden sie eine Warnung an Administratoren, wenn eine Regelübereinstimmung auftritt
- E-Mail-Benachrichtigungen an diese Personen senden (optional):Fügen Sie das Sicherheitsteam
- Hinzufügung von Warnungen, wenn eine Aktivität mit der Regel übereinstimmt: Ausgewählt E-Mail-Incidentberichte
- verwenden, um Sie zu benachrichtigen, wenn eine Richtlinienübereinstimmung auftritt: On
- Send notifications to these people: Add individual admins as desired
- Sie können auch die folgenden Informationen in den Bericht einschließen: Wählen Sie alle Optionen aus.
"... Darüber hinaus möchten wir, dass der Benutzer per E-Mail und nach Möglichkeit innerhalb der Benutzeroberfläche benachrichtigt wird..." - Benutzerbenachrichtigungen: Bei
- "Benachrichtigen" verwendet in Office 365 mit einem Richtlinientipp: ausgewählt
"... Schließlich möchten wir keine Ausnahmen von der Richtlinie und müssen in der Lage sein, diese Aktivität im System zu sehen..." -Benutzerüberschreibungen: Nicht ausgewählt

Wenn die Bedingungen konfiguriert sind, sieht die Zusammenfassung wie folgt aus:

Richtlinienbedingungen für die Übereinstimmungszusammenfassung für Szenario 2.

Schritte zum Erstellen einer Richtlinie für Szenario 2

Wichtig

Für die Zwecke dieses Richtlinienerstellungsverfahrens lassen Sie die Richtlinie deaktiviert. Sie ändern diese, wenn Sie die Richtlinie bereitstellen.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Anmelden beim Microsoft Purview-Portal

  2. Wählen SieRichtlinien>zur Verhinderung von> Datenverlust + Richtlinie erstellen aus.

  3. Wählen Sie sowohl in der Liste Kategorien als auch in der Liste Vorschriften die Option Benutzerdefiniert aus.

  4. Wählen Sie Weiter aus.

  5. Geben Sie der Richtlinie einen Namen und eine Beschreibung. Sie können hier die Richtlinienabsichtsanweisung verwenden.

    Wichtig

    Richtlinien können nicht umbenannt werden.

  6. Wählen Sie Weiter aus.

  7. Übernehmen Sie das Standardverzeichnis Vollständig auf der Seite Administratoreinheiten zuweisen .

  8. Wählen Sie Weiter aus.

  9. Wählen Sie aus, wo die Richtlinie angewendet werden soll.

    1. Stellen Sie sicher, dass die Speicherorte der SharePoint-Websites und OneDrive-Konten ausgewählt sind.
    2. Deaktivieren Sie alle anderen Speicherorte.
    3. Wählen Sie bearbeiten in der Spalte Bereich neben OneDrive-Konten aus.
    4. Wählen Sie Alle Benutzer und Gruppen und dann Benutzer und Gruppen ausschließen aus.
    5. Wählen Sie +Ausschließen und dann Gruppen ausschließen aus.
    6. Wählen Sie Personalwesen aus.
  10. Wählen Sie Fertig und dann Weiter aus.

  11. Auf der Seite Richtlinieneinstellungen definieren sollte die Option Erweiterte DLP-Regeln erstellen oder anpassen bereits ausgewählt sein. Wählen Sie Weiter aus.

  12. Wählen Sie auf der Seite Erweiterte DLP-Regeln anpassendie Option + Regel erstellen aus.

  13. Geben Sie der Regel einen Namen und eine Beschreibung.

  14. Wählen Sie Bedingung hinzufügen aus, und verwenden Sie die folgenden Werte:

    1. Wählen Sie Inhalt wird von Microsoft 365 freigegeben aus.
    2. Wählen Sie mit Personen außerhalb meiner organization aus.
  15. Wählen Sie Bedingung hinzufügen aus, um eine zweite Bedingung zu erstellen und diese Werte zu verwenden.

    1. Wählen Sie Inhalt enthält aus.
  16. Wählen SieVertraulichkeitsbezeichnungen>hinzufügen> und dann Vertraulich aus.

  17. Wählen Sie Hinzufügen aus.

  18. Fügen Sie unter Aktionen eine Aktion mit den folgenden Werten hinzu:

    1. Beschränken Sie den Zugriff, oder verschlüsseln Sie den Inhalt an Microsoft 365-Speicherorten.
    2. Blockieren Sie nur Personen außerhalb Ihrer organization.
  19. Legen Sie die Umschaltfläche Benutzerbenachrichtigungen auf Ein fest.

  20. Wählen Sie Benutzer in Office 365 Diensten mit einem Richtlinientipp benachrichtigen und dann Benutzer benachrichtigen, der den Inhalt gesendet, freigegeben oder zuletzt geändert hat.

  21. Stellen Sie unter Benutzerüberschreibungen sicher, dass Außerkraftsetzung von M365-Diensten zulassenNICHT ausgewählt ist.

  22. Unter Incidentberichte:

    1. Legen Sie Diesen Schweregrad in Administratorwarnungen und -berichten verwenden auf Niedrig fest.
    2. Legen Sie die Umschaltfläche für Warnung an Administratoren senden, wenn eine Regeleinstimmung auftritt , auf Ein fest.
  23. Wählen Sie unter E-Mail-Benachrichtigungen an diese Personen senden (optional)die Option + Benutzer hinzufügen oder entfernen aus, und fügen Sie dann die E-Mail-Adresse des Sicherheitsteams hinzu.

  24. Wählen Sie Speichern und dann Weiter aus.

  25. Wählen Sie auf der Seite Richtlinienmodusdie Option Richtlinie im Simulationsmodus ausführen und Richtlinientipps im Simulationsmodus anzeigen aus.

  26. Wählen Sie Weiter und dann Absenden aus.

  27. Klicken Sie auf Fertig.

Bereitstellung)

Bei einer erfolgreichen Richtlinienbereitstellung geht es nicht nur darum, die Richtlinie in Ihre Umgebung zu bringen, um Steuerelemente für Benutzeraktionen zu erzwingen. Eine planlose, übereilte Bereitstellung kann sich negativ auf den Geschäftsprozess auswirken und Ihre Benutzer verärren. Diese Folgen verlangsamen die Akzeptanz der DLP-Technologie in Ihrem organization und das sicherere Verhalten, das sie fördert. Letztendlich werden Ihre sensiblen Elemente langfristig weniger sicher.

Bevor Sie mit der Bereitstellung beginnen, stellen Sie sicher, dass Sie die Richtlinienbereitstellung gelesen haben. Es bietet Ihnen einen umfassenden Überblick über den Richtlinienbereitstellungsprozess und allgemeine Anleitungen.

In diesem Abschnitt werden die drei Arten von Steuerelementen näher erläutert, die Sie gemeinsam verwenden, um Ihre Richtlinien in der Produktion zu verwalten. Denken Sie daran, dass Sie diese jederzeit ändern können, nicht nur während der Richtlinienerstellung.

Drei Achsen der Bereitstellungsverwaltung

Es gibt drei Achsen, mit denen Sie den Richtlinienbereitstellungsprozess, den Bereich, den Status der Richtlinie und die Aktionen steuern können. Sie sollten immer einen inkrementellen Ansatz für die Bereitstellung einer Richtlinie verfolgen, beginnend vom Modus mit den geringsten Auswirkungen/Simulation bis hin zur vollständigen Erzwingung.

Wenn Ihr Richtlinienstatus lautet Ihr Richtlinienbereich kann Auswirkungen von Richtlinienaktionen
Ausführen der Richtlinie im Simulationsmodus Der Richtlinienbereich von Standorten kann eng oder breit sein. – Sie können eine beliebige Aktion
konfigurieren – keine Benutzerbeeinträchtigung durch konfigurierte Aktionen
– Admin Warnungen sehen und Aktivitäten nachverfolgen können.
Ausführen der Richtlinie im Simulationsmodus mit Richtlinientipps Die Richtlinie sollte auf eine Pilotgruppe ausgerichtet sein und dann den Bereich erweitern, während Sie die Richtlinie optimieren. – Sie können jede Aktion
konfigurieren– keine Benutzerbeeinträchtigung durch konfigurierte Aktionen
– Benutzer können Richtlinientipps und Warnungen
erhalten – Admin Warnungen sehen und Aktivitäten nachverfolgen können
Aktivieren Alle Zielstandortinstanzen – Alle konfigurierten Aktionen werden für Benutzeraktivitäten
erzwungen– Admin sieht Warnungen und kann Aktivitäten nachverfolgen.
Lassen Sie es aus. n/v n/v

State

State ist das primäre Steuerelement, das Sie zum Rollout einer Richtlinie verwenden. Wenn Sie die Richtlinie erstellt haben, legen Sie den Status der Richtlinie auf Deaktiviert bleiben fest. Sie sollten diesen Zustand beibehalten, während Sie an der Richtlinienkonfiguration arbeiten und bis Sie eine endgültige Überprüfung erhalten und sich abmelden. Der Status kann auf Folgendes festgelegt werden:

  • Ausführen der Richtlinie im Simulationsmodus: Es werden keine Richtlinienaktionen erzwungen, Ereignisse werden überwacht. In diesem Zustand können Sie die Auswirkungen der Richtlinie in der Übersicht über den DLP-Simulationsmodus und die DLP-Aktivitäts-Explorer-Konsole überwachen.
  • Führen Sie die Richtlinie im Simulationsmodus aus, und zeigen Sie Richtlinientipps im Simulationsmodus an: Es werden keine Aktionen erzwungen, aber Benutzer erhalten Richtlinientipps und Benachrichtigungs-E-Mails, um ihr Bewusstsein zu erhöhen und sie zu schulen.
  • Sofort aktivieren: Dies ist der vollständige Erzwingungsmodus.
  • Auslassen: Die Richtlinie ist inaktiv. Verwenden Sie diesen Zustand beim Entwickeln und Überprüfen Ihrer Richtlinie vor der Bereitstellung.

Sie können den Status einer Richtlinie jederzeit ändern.

Aktionen

Aktionen sind das, was eine Richtlinie als Reaktion auf Benutzeraktivitäten für vertrauliche Elemente ausführt. Da Sie diese jederzeit ändern können, können Sie mit den am wenigsten betroffenen, Zulassen (für Geräte) und Nur überwachen (für alle anderen Speicherorte) beginnen, die Überwachungsdaten sammeln und überprüfen und sie verwenden, um die Richtlinie zu optimieren, bevor Sie zu restriktiveren Aktionen wechseln.

  • Zulassen: Die Benutzeraktivität ist zulässig, sodass keine Geschäftsprozesse betroffen sind. Sie erhalten Überwachungsdaten, und es gibt keine Benutzerbenachrichtigungen oder Warnungen.

    Hinweis

    Die Aktion Zulassen ist nur für Richtlinien verfügbar, die auf den Standort Geräte festgelegt sind.

  • Nur überwachen: Die Benutzeraktivität ist zulässig, sodass keine Geschäftsprozesse betroffen sind. Sie erhalten Überwachungsdaten, und Sie können Benachrichtigungen und Warnungen hinzufügen, um das Bewusstsein zu erhöhen und Ihre Benutzer zu schulen, um zu wissen, dass es sich um ein riskantes Verhalten handelt. Wenn Ihr organization beabsichtigt, später restriktivere Aktionen zu erzwingen, können Sie dies auch Ihren Benutzern mitteilen.

  • Blockieren mit Außerkraftsetzung: Die Benutzeraktivität ist standardmäßig blockiert. Sie können das Ereignis überwachen, Warnungen und Benachrichtigungen auslösen. Dies wirkt sich auf den Geschäftsprozess aus, aber Ihre Benutzer haben die Möglichkeit, den Block zu überschreiben und einen Grund für die Außerkraftsetzung anzugeben. Da Sie direktes Feedback von Ihren Benutzern erhalten, kann diese Aktion Ihnen helfen, falsch positive Übereinstimmungen zu identifizieren, die Sie verwenden können, um die Richtlinie weiter zu optimieren.

    Hinweis

    Für Exchange Online und SharePoint in Microsoft 365 werden Außerkraftsetzungen im Abschnitt "Benutzerbenachrichtigungen" konfiguriert.

  • Blockieren: Die Benutzeraktivität wird blockiert, egal was passiert. Sie können das Ereignis überwachen, Warnungen und Benachrichtigungen auslösen.

Richtlinienbereich

Jede Richtlinie ist auf einen oder mehrere Speicherorte festgelegt, z. B. Exchange, SharePoint in Microsoft 365, Teams und Geräte. Wenn Sie einen Standort auswählen, fallen standardmäßig alle Instanzen dieses Standorts unter den Bereich, und keine davon sind ausgeschlossen. Sie können die Instanzen des Standorts (z. B. Standorte, Gruppen, Konten, Verteilergruppen, Postfächer und Geräte), auf die die Richtlinie angewendet wird, weiter verfeinern, indem Sie die Ein-/Ausschließoptionen für den Standort konfigurieren. Weitere Informationen zu Den Ein-/Ausschließoptionen finden Sie unter Speicherorte.

Im Allgemeinen haben Sie mehr Flexibilität bei der Bereichsdefinition, während sich die Richtlinie im Zustand Richtlinie im Simulationsmodus ausführen befindet, da keine Aktionen ausgeführt werden. Sie können nur mit dem Bereich beginnen, für den Sie die Richtlinie entworfen haben, oder allgemein gehen, um zu sehen, wie sich die Richtlinie auf vertrauliche Elemente an anderen Speicherorten auswirken würde.

Wenn Sie dann den Status in Richtlinie im Simulationsmodus ausführen ändern und Richtlinientipps anzeigen, sollten Sie Ihren Bereich auf eine Pilotgruppe beschränken, die Ihnen Feedback geben und Early Adopters sein kann, die beim Onboarding eine Ressource für andere sein können.

Wenn Sie die Richtlinie auf Sofort aktivieren verschieben, erweitern Sie den Bereich auf alle Instanzen von Speicherorten, die Sie beim Entwerfen der Richtlinie vorgesehen haben.

Schritte zur Richtlinienbereitstellung

  1. Nachdem Sie die Richtlinie erstellt und ihren Status auf Keep it off festgelegt haben, führen Sie eine abschließende Überprüfung mit Ihren Projektbeteiligten durch.
  2. Ändern Sie den Zustand in Richtlinie im Simulationsmodus ausführen. Der Standortbereich kann an diesem Punkt breit sein, sodass Sie Daten zum Verhalten der Richtlinie an mehreren Standorten sammeln oder einfach mit einem einzelnen Standort beginnen können.
  3. Optimieren Sie die Richtlinie basierend auf den Verhaltensdaten, damit sie die Geschäftsabsicht besser erfüllt.
  4. Ändern Sie den Zustand in Richtlinie im Simulationsmodus ausführen und Richtlinientipps anzeigen. Verfeinern Sie den Bereich der Standorte, um bei Bedarf eine Pilotgruppe zu unterstützen, und verwenden Sie Ein-/Ausschlüsse, damit die Richtlinie zuerst in dieser Pilotgruppe eingeführt wird.
  5. Sammeln Sie Benutzerfeedback sowie Warnungs- und Ereignisdaten, und optimieren Sie bei Bedarf die Richtlinie und Ihre Pläne weiter. Stellen Sie sicher, dass Sie alle Probleme beheben, die Von Ihren Benutzern angezeigt werden. Bei Ihren Benutzern treten höchstwahrscheinlich Probleme auf und stellen Fragen zu Dingen, an die Sie während der Entwurfsphase nicht gedacht haben. Entwickeln Sie an diesem Punkt eine Gruppe von Superusern. Sie können eine Ressource sein, um andere Benutzer zu trainieren, wenn der Umfang der Richtlinie erhöht wird und mehr Benutzer ins Onboarding kommen. Bevor Sie mit der nächsten Phase der Bereitstellung fortfahren, stellen Sie sicher, dass die Richtlinie Ihre Steuerungsziele erreicht hat.
  6. Ändern Sie den Zustand in Sofort aktivieren. Die Richtlinie ist vollständig bereitgestellt. Überwachen sie DLP-Warnungen und den DLP-Aktivitäts-Explorer. Adresswarnungen.