创建和部署数据丢失防护策略

  • 项目

Microsoft Purview 数据丢失防护 (DLP) 策略中有许多配置选项。 每个选项都会更改策略的行为。 本文介绍映射到配置选项的策略的一些常见意向方案。 然后指导你配置这些选项。 熟悉这些方案后,可以使用 DLP 策略创建 UX 来创建自己的策略。

部署策略的方式与策略设计一样重要。 有多个 选项可用于控制策略部署。 本文介绍如何使用这些选项,以便策略在避免代价高昂的业务中断的同时实现你的意图。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

开始之前

如果你不熟悉 Microsoft Purview DLP,下面是实现 DLP 时应熟悉的核心文章列表:

  1. 管理单元
  2. 了解Microsoft Purview 数据丢失防护 - 本文介绍数据丢失防护规则和 Microsoft DLP 的实现。
  3. 规划数据丢失防护 (DLP) - 通过本文,你将:
    1. 确定利益干系人
    2. 描述要保护的敏感信息类别
    3. 设置目标和策略
  4. 数据丢失防护策略参考 - 本文介绍 DLP 策略的所有组件以及每个组件如何影响策略的行为。
  5. 设计 DLP 策略 - 本文将指导你创建策略意向语句并将其映射到特定策略配置。
  6. 创建和部署数据丢失防护策略 - 本文介绍映射到配置选项的一些常见策略意向方案。 然后,它将指导你配置这些选项,并提供有关部署策略的指导。
  7. 了解如何调查数据丢失防护警报 - 本文介绍从创建到最终修正和策略优化的警报的生命周期。 它还介绍了用于调查警报的工具。

SKU/订阅许可

开始使用 DLP 策略之前,请确认 Microsoft 365 订阅 和任何加载项。

有关许可的信息,请参阅适用于企业的 Microsoft 365、Office 365、企业移动性 + 安全性和Windows 11订阅

权限

用于创建和部署策略的帐户必须是其中一个角色组的成员

  • 合规性管理员
  • 合规性数据管理员
  • 信息保护
  • 信息保护管理员
  • 安全管理员

重要

请确保在开始之前阅读管理单元,了解不受限制的管理员和管理单元受限管理员之间的区别。

细化角色和角色组

可以使用一些角色和角色组来微调访问控制。

下面是适用角色的列表。 若要了解详细信息,请参阅Microsoft Purview 合规门户中的权限

  • DLP 合规性管理
  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者

下面是适用角色组的列表。 若要了解详细信息,请参阅要详细了解它们,请参阅Microsoft Purview 合规门户中的权限

  • 信息保护
  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者

策略创建方案

上一篇文章 设计 DLP 策略 介绍了创建策略意向语句,然后将该意向语句映射到策略配置选项的方法。 本部分采用这些示例以及更多示例,并指导你完成实际的策略创建过程。 应在测试环境中完成这些方案,以熟悉策略创建 UI。

策略创建流程中的配置选项太多,无法涵盖每个配置,甚至大多数配置。 因此,本文介绍了几种最常见的 DLP 策略方案。 完成这些操作可提供跨各种配置的实践经验。

方案 1 阻止具有信用卡数字的电子邮件

重要

这是一个具有假设值的假设方案。 它仅用于说明目的。 应替换自己的敏感信息类型、敏感度标签、通讯组和用户。

方案 1 先决条件和假设

此方案使用 高度机密 敏感度标签,因此需要创建并发布了敏感度标签。 若要了解详细信息,请参阅:

此过程使用位于 Contoso.com 的假设通讯组 财务团队 和假设的 SMTP 收件人 adele.vance@fabrikam.com

此过程使用警报,请参阅: 数据丢失防护警报入门

方案 1 策略意向声明和映射

我们需要阻止向包含信用卡号码或应用了“高度机密”敏感度标签的所有收件人发送电子邮件,除非电子邮件是从财务团队adele.vance@fabrikam.com中的某人发送到 的。 我们希望在每次电子邮件被阻止时通知合规性管理员,并通知发送项目的用户,任何人都不能覆盖该阻止。 在日志中跟踪此高风险事件的所有事件,我们希望捕获并可用于调查的任何事件的详细信息

语句 配置问题解答和配置映射
“我们需要阻止发送给所有收件人的电子邮件...” - 监视位置:Exchange
- 管理范围:完整目录
- 操作:限制访问或加密 Microsoft 365 位置 > 中的内容 阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive 和 Teams 文件 > 阻止所有人
"...包含信用卡数字或应用了“高度机密”敏感度标签...” - 要监视的内容 使用自定义模板
- 匹配条件 对其进行编辑以添加 高度机密 敏感度标签
"...除非...” - 条件组配置:使用布尔 AND 创建联接到第一个条件的嵌套布尔 NOT 条件组
"...电子邮件是从财务团队中的某人发送的...” - 匹配条件:发件人是 的成员
"...和...” - 匹配条件:向 NOT 组添加第二个条件
"...到 adele.vance@fabrikam.com...” - 匹配条件:发件人为
"...通知...” - 用户通知:已启用
- 策略提示:已启用
"...每次阻止电子邮件时合规性管理员,并通知发送项目的用户...“。 - 策略提示:启用
- 通知这些人员:选择
- 发送、共享或修改内容的人员:选择
- “向这些其他人发送电子邮件:添加合规性管理员的电子邮件地址”
"...并且不允许任何人替代该块... - 允许从 M365 服务替代:未选择
"...在日志中跟踪此高风险事件的所有事件,我们希望捕获并可用于调查的任何事件的详细信息。” - 在管理员警报和报告中使用此严重性级别
- 发生规则匹配时,高向管理员发送警报:选择每次
- 活动与规则匹配时发送警报:已选择

为方案 1 创建策略的步骤

重要

出于此策略创建过程的目的,你将接受默认的 include/exclude 值,并使策略保持关闭状态。 部署策略时,你将更改这些策略。

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户

  2. 打开 数据丢失防护 解决方案并导航到 “策略>+ 创建策略”。

  3. “类别”列表中选择“自定义”。

  4. “法规”列表中选择“自定义”。

  5. 选择“下一步”。

  6. 为策略指定名称 “名称”“说明”。 可在此处使用策略意向语句。

    重要

    无法重命名策略

  7. 选择“下一步”。

  8. 分配管理单位。 若要将策略应用于所有用户,请接受默认设置。

  9. 选择“下一步”。

  10. 选择应用策略的位置。 仅选择 Exchange 电子邮件 位置。 取消选择所有其他位置。

  11. 选择“下一步”。

  12. “定义策略设置” 页上,应已选择 “创建或自定义高级 DLP 规则 ”选项。

  13. 选择“下一步”。

  14. 选择“ 创建规则”。 命名规则并提供说明。

  15. “条件 ”下,选择 “添加条件>内容包含”

  16. (可选) 输入 组名称

  17. (可选) 选择 组运算符

  18. 选择 “添加>敏感信息类型>信用卡号”。

  19. 选择添加

  20. 仍在 “内容包含 ”部分,选择“ 添加>敏感度标签>高度机密 ”,然后选择“ 添加”。

  21. 接下来,在 “内容包含 ”部分下,选择 “添加组”。

  22. 将布尔运算符保留设置为 AND,然后将开关设置为 NOT

  23. 选择 “添加条件”。

  24. 选择 “发件人是其成员”。

  25. 选择“ 添加或删除组”。

  26. 选择“ 财务团队 ”,然后选择“ 添加”。

  27. 选择 “添加条件>收件人是”。

  28. 在电子邮件字段中,输入 adele.vance@fabrikam.com 并选择“ 添加 ”。

  29. “操作”下,选择“添加操作>限制访问或加密 Microsoft 365 位置中的内容

  30. 选择“ 阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive 和 Teams 文件”,然后选择“ 阻止所有人”。

  31. “用户通知” 切换开关设置为 “开”。

  32. 选择“Email通知>”通知发送、共享或上次修改内容的人员

  33. 选择是否将 匹配的电子邮件附加到通知

  34. 选择是否添加 策略提示

  35. “用户 ovverides”下,确保选择“允许从 Microsoft 365 应用和服务进行替代...”

  36. “事件报告”下,将 “在管理员警报和报表中使用此严重性级别 ”设置为 “高”。

  37. 将每次活动与规则切换开关匹配时发送警报设置为“开”。

  38. 选择“保存”。

  39. 选择 “下一步”,然后选择“ 在模拟模式下运行策略”。

  40. 选择 “下一步 ”,然后选择“ 提交”。

  41. 选择“完成”

方案 2 阻止通过 Microsoft 365 中的 SharePoint 和 OneDrive 与外部用户共享敏感项目

对于 Microsoft 365 中的 SharePoint 和 OneDrive,可以创建一个策略来阻止通过 SharePoint 和 OneDrive 与外部用户共享敏感项目。

方案 2 先决条件和假设

此方案使用 机密 敏感度标签,因此需要你已创建并发布了敏感度标签。 若要了解详细信息,请参阅:

此过程使用假设的通讯组 Human Resources 和 Contoso.com 的安全团队的通讯组。

此过程使用警报,请参阅: 数据丢失防护警报入门

方案 2 策略意向声明和映射

我们需要阻止与包含社会安全号码、信用卡数据或具有“机密”敏感度标签的所有外部收件人共享 SharePoint 和 OneDrive 项目。 我们不希望这适用于人力资源团队的任何人。 我们还必须满足警报要求。 我们希望在每次共享文件并阻止文件时通过电子邮件通知安全团队。 此外,如果可能,我们希望通过电子邮件和界面中向用户发出警报。 最后,我们不希望策略出现任何异常,并且需要能够在系统中查看此活动。

语句 配置问题解答和配置映射
“我们需要阻止所有外部收件人共享 SharePoint 和 OneDrive 项目...”。 - 管理范围:完整目录
- 监视位置:SharePoint 网站、OneDrive 帐户
- 匹配条件:第一条件>在我的组织
- 外部共享操作:限制访问或加密 Microsoft 365 位置>中的内容 阻止用户接收电子邮件或访问共享 SharePoint,OneDrive > 仅阻止组织外部的人员
"...包含社会保险号码、信用卡数据或具有“机密”敏感度标签...” - 要监视的内容对匹配使用自定义模板
- 条件:创建第二个条件,该条件联接到第一个条件的布尔值和
- 匹配条件:第二个条件,第一个条件组>内容包含敏感信息类型美国社会安全号码 (SSN) ,信用卡号
- 条件组配置创建第二个条件组连接到第一个条件组通过布尔或
- 匹配条件:第二个条件组,第二个条件>内容包含这些敏感度标签中的任何一个机密
"...我们不希望这适用于人力资源团队的任何人...“。 - 应用位置 排除人力资源团队 OneDrive 帐户
"...我们希望在每次共享文件时通过电子邮件通知安全团队...“。 - 事件报告:发生
- 规则匹配时向管理员发送警报,向这些人发送电子邮件警报 (可选) :添加安全团队
- 每次活动与规则匹配时发送警报:选择“
- 使用电子邮件事件报告”在发生策略匹配时通知你:向
- 这些人发送通知时:根据需要
- 添加单个管理员还可以在报表中包含以下信息:选择所有选项
"...此外,我们希望通过电子邮件和界面(如果可能)向用户发出警报...“。 - 用户通知:在“通知”上
- ,使用Office 365中的策略提示:已选择
"...最后,我们不希望策略出现任何异常,并且需要能够在系统中查看此活动...“。 -用户替代:未选择

配置条件后,摘要如下所示:

方案 2 的匹配摘要的策略条件。

为方案 2 创建策略的步骤

重要

出于此策略创建过程的目的,请将策略保持关闭状态。 部署策略时,可以更改这些策略。

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户

  2. 选择 “数据丢失防护>策略>+ 创建策略”。

  3. “类别”列表和“法规”列表中选择“自定义”。

  4. 选择“下一步”。

  5. 为策略指定名称 “名称”“说明”。 可在此处使用策略意向语句。

    重要

    无法重命名策略。

  6. 选择“下一步”。

  7. 接受“分配管理单元”页上的默认完整目录

  8. 选择“下一步”。

  9. 选择应用策略的位置。

    1. 确保已选择 SharePoint 网站OneDrive 帐户 位置。
    2. 取消选择所有其他位置。
    3. OneDrive 帐户旁边的“范围”列中选择“编辑”。
    4. 选择“ 所有用户和组 ”,然后选择“ 排除用户和组”。
    5. 选择 “+排除 ”,然后选择 “排除组”。
    6. 选择“ 人力资源”。

  10. 选择 “完成” ,然后选择“ 下一步”。

  11. “定义策略设置” 页上,应已选择 “创建或自定义高级 DLP 规则 ”选项。 选择“下一步”。

  12. “自定义高级 DLP 规则 ”页上,选择“ + 创建规则”。

  13. 为规则提供 “名称”“说明”。

  14. 选择“ 添加条件 ”,并使用以下值:

    1. 选择 “从 Microsoft 365 共享内容”。
    2. 选择组织外部的人员

  15. 选择“ 添加条件” 以创建第二个条件并使用这些值。

    1. 选择“ 内容包含”。

  16. 选择 “添加>敏感度标签> ”,然后选择 “机密”。

  17. 选择添加

  18. “操作”下,添加具有以下值的操作:

    1. 限制访问或加密 Microsoft 365 位置中的内容
    2. 仅阻止组织外部的人员

  19. “用户通知” 开关设置为 “打开”。

  20. 选择“使用策略提示通知Office 365服务中的用户”,然后选择“通知发送、共享或上次修改内容的用户”。

  21. “用户替代”下,确保选择“允许 M365 服务替代”。

  22. “事件报告”下:

    1. “在管理员警报和报表中使用此严重级别 ”设置为 “低”。
    2. 规则匹配发生时向管理员发送警报 的切换开关设置为 “开”。

  23. 在“ 向这些人发送电子邮件警报 (可选) ”下,选择“ + 添加或删除用户 ”,然后添加安全团队的电子邮件地址。

  24. 选择 “保存” ,然后选择“ 下一步”。

  25. “策略模式 ”页上,选择“ 在模拟模式下运行策略 ”和“ 在模拟模式下显示策略提示”。

  26. 选择 “下一步 ”,然后选择“ 提交”。

  27. 选择“完成”

部署

成功的策略部署不仅仅是将策略引入环境以强制控制用户操作。 杂乱无章的、匆忙的部署可能会对业务流程产生负面影响,并惹恼用户。 这些后果会减缓组织中 DLP 技术的接受度,以及它所促进的更安全的行为。 从长远来看,最终降低敏感项的安全性。

在开始部署之前,请确保已通读 策略部署。 它提供策略部署过程的广泛概述和一般指南。

本部分更深入地探讨在一起用于管理生产策略的三种类型的控件。 请记住,你可以随时更改其中任何一项,而不仅仅是在策略创建期间。

部署管理的三个轴

可以使用三个轴来控制策略部署过程、范围、策略状态和操作。 应始终采用增量方法来部署策略,从影响最小/模拟模式 到完全实施。

当策略状态为 策略范围可以是 策略操作的影响
在模拟模式下运行策略 位置的策略范围可以是窄或宽 - 可以配置任何操作
- 配置的操作
不会影响用户 - 管理员查看警报并可以跟踪活动
使用策略提示在模拟模式下运行策略 应将策略的范围限定为面向试点组,然后在优化策略时扩展范围 - 可以配置任何操作
- 配置的操作
不会影响用户 - 用户可以接收策略提示和警报
- 管理员查看警报并可以跟踪活动
将其打开 所有目标位置实例 - 对用户活动
强制实施所有配置的操作 - 管理员可查看警报并可以跟踪活动
将其关闭 不适用 不适用

状态

State 是用于推出策略的主要控件。 创建完策略后,将策略的状态设置为 “使其关闭”。 在处理策略配置时,应将其保留为此状态,直到获得最终评审并注销为止。 状态可以设置为:

  • 在模拟模式下运行策略:不强制实施任何策略操作,对事件进行审核。 处于此状态时,可以在 DLP 模拟模式概述和 DLP 活动资源管理器 控制台中监视策略的影响。
  • 在模拟模式下运行策略,并在模拟模式下显示策略提示:不会强制实施任何操作,但用户会收到策略提示和通知电子邮件,以提高其认知度并对其进行教育。
  • 立即将其打开:这是完全强制模式。
  • 将其关闭:策略处于非活动状态。 在部署前开发和查看策略时使用此状态。

可以随时更改策略的状态。

操作

操作是策略在响应敏感项上的用户活动时执行的操作。 由于可以随时更改这些内容,因此可以从影响最小、 允许 设备) (和 仅审核 所有其他位置) (开始,收集和查看审核数据,并在移动到限制性更严格的操作之前使用它来优化策略。

  • 允许:允许发生用户活动,因此不会影响任何业务流程。 你会收到审核数据,并且没有任何用户通知或警报。

    注意

    “允许”操作仅适用于作用域为“设备”位置的策略。

  • 仅审核:允许发生用户活动,因此不会影响任何业务流程。 你获取审核数据,可以添加通知和警报,以提高认知度,并培训用户知道他们正在执行的操作是一种有风险的行为。 如果你的组织打算稍后强制实施更严格的操作,你也可以告诉用户这一点。

  • 使用替代阻止:默认情况下会阻止用户活动。 可以审核事件、引发警报和通知。 这会影响业务流程,但用户可以选择替代块并提供替代原因。 由于你从用户那里获得直接反馈,因此此操作可以帮助你识别误报匹配项,可用于进一步优化策略。

    注意

    对于 Microsoft 365 中的 Exchange online 和 SharePoint,将在用户通知部分中配置替代。

  • 阻止:无论什么,用户活动都将被阻止。 可以审核事件、引发警报和通知。

策略范围

每个策略的范围限定为一个或多个位置,例如 Exchange、Microsoft 365 中的 SharePoint、Teams 和设备。 默认情况下,选择某个位置时,该位置的所有实例都属于该范围,并且不会排除任何实例。 通过配置位置的包含/排除选项,可以进一步优化位置 (实例(如站点、组、帐户、通讯组、邮箱和设备)) 应用策略。 若要详细了解包括/排除范围选项,请参阅 位置

通常,在策略处于 模拟模式状态下运行策略 时,可以更灵活地确定范围,因为不会采取任何操作。 可以仅从为策略设计的范围开始,也可以广泛了解策略将如何影响其他位置的敏感项。

然后,将状态更改为 “在模拟模式下运行策略”并显示策略提示时,应将范围缩小到一个试点组,该试点组可以提供反馈,成为早期采用者,当其他人加入时,他们可以成为他们的资源。

移动策略以 立即将其打开时,可以扩大范围,以包括设计策略时所需的所有位置实例。

策略部署步骤

  1. 创建策略并将其状态设置为 “使其关闭”后,请与利益干系人进行最终评审。
  2. 将状态更改为 在模拟模式下运行策略。 此时,位置范围可能很宽,因此可以跨多个位置收集有关策略行为的数据,或者仅从单个位置开始。
  3. 根据行为数据优化策略,使其更好地满足业务意图。
  4. 将状态更改为 在模拟模式下运行策略并显示策略提示。 根据需要优化位置范围以支持试点组,并利用包含/排除,以便策略首先推出到该试点组。
  5. 收集用户反馈以及警报和事件数据,如果需要,请进一步优化策略和计划。 请确保解决用户提出的所有问题。 你的用户很可能遇到问题,并提出有关你在设计阶段未想到的问题。 此时开发一组超级用户。 当策略范围增加且加入更多用户时,它们可以是帮助培训其他用户的资源。 在转到下一阶段部署之前,请确保策略已实现控制目标。
  6. 将状态更改为 立即将其打开。 策略已完全部署。 监视 DLP 警报和 DLP 活动资源管理器。 地址警报。