Использование политик защиты от потери данных Office 365 для защиты ценных ИТ-данных
В большинстве случаев информация, используемая для создания утечки данных, поступает из сети, иногда по ошибке. Но с помощью политик DLP (защита от потери данных) мы можем помочь нашим конечным пользователям, заблокировав передачу важной информации внутренним и внешним получателям.
Имейте в виду, что DLP — это не серебряная пуля, которая раз и навсегда устранит любую утечку информации из вашей среды. Если в вашей среде есть злоумышленник, который хочет удалить информацию, то просто DLP будет недостаточно. Нам нужно иметь больше средств контроля безопасности, чтобы избежать перемещения информации из вашей компании или, по крайней мере, сделать это сложнее.
В этой статье мы собираемся защитить нашего клиента Office 365 от обмена ненужной и ценной ИТ-информацией, которая может включать IP-адреса, защищенную информацию Azure и строки подключения SQL. Используя Центр безопасности Office 365, мы можем использовать DLP для защиты информации, предназначенной для внутреннего или внешнего обмена в нескольких технологиях, таких как Teams, Exchange, SharePoint и OneDrive.
Создание политики защиты от потери данных
Первым шагом является вход на портал Office 365 в качестве администратора в области администрирования, нажмите «Центр администрирования», а затем «Безопасность и соответствие требованиям».
На портале безопасности и соответствия требованиям Office 365 разверните Предотвращение потери данных и щелкните Политика. С правой стороны у нас будет несколько диаграмм о DLP, которые в настоящее время используются в организации. Нажмите «Создать политику», чтобы начать создание нашей новой политики защиты от потери данных.
На странице . На этой странице мы можем выбрать по и сузить список по стране, чтобы найти какие-либо конкретные правила, которые будут применяться. В нашей текущей статье. Мы выберем Custom, Custom Policy и нажмем Next.
На странице пометьте новую политику защиты от потери данных, которую мы сейчас создаем. В нашей статье она будет называться . Нажмите «Далее».
На странице выберите и нажмите «Далее». На новой странице выберите продукты, для которых вы хотите включить текущую политику защиты от потери данных, и мы начнем с простой электронной почты Exchange и нажмите «Далее».
Для каждого отдельного продукта мы можем выбрать, каких пользователей/объектов мы хотим включить или исключить. Эта опция может быть полезна, если мы нацелены на определенную группу объектов, а также для целей тестирования.
На странице нажмите «Изменить», расположенную под параметром «Найти содержимое, содержащее файлы. Появится новая страница , нажмите «Добавить», а затем выберите «Конфиденциальный тип информации». Появится новая колонка, нажмите «Добавить», и появится список всех доступных типов конфиденциальной информации. Выберите все записи, которые начинаются с Azure, IP-адреса и строки подключения к SQL Server.
После выбора всех необходимых типов информации нажмите «Добавить », «Готово » и, прежде чем нажать «Сохранить», у нас есть возможность настроить точность, указав минимальное и максимальное значение, которое мы ищем для каждого типа информации. Оставим пока значения по умолчанию. Нажмите Сохранить.
Результатом операций, которые мы только что выполнили, будет список всех , которые мы будем рассматривать как часть этой политики защиты от потери данных, и нам нужно определить область действия этой политики. Мы собираемся выбирать только людей из моей организации. Нажмите «Далее».
На той же вкладке мастера есть вторая страница. В разделе На странице мы можем определить, будем ли мы отправлять советы по политике и электронные письма пользователям, которые отправляют конфиденциальную информацию, включив параметр Показать советы по политике пользователям и отправить им уведомление по электронной почте. Чтобы настроить, нам нужно нажать на ссылку «Настроить подсказку» и отправить по электронной почте. (Мы проверяем эту опцию в этом разделе, подождите немного.)
Мы также можем определить, сколько экземпляров события будет разрешено до запуска инцидента. Мы также можем определить, будут ли отчеты отправляться по электронной почте (выбрав параметр « Отправлять отчеты об инцидентах по электронной почте») и кто будет их получать (нажав «Выбрать, что включить в отчет и кто его получит »). И последнее, но не менее важное: мы можем защитить эту информацию для совместного использования и просмотра получателями. Нажмите Далее.
При настройке политики защиты от потери данных мастер обеспечивает большую гибкость: мы можем отправить уведомление пользователю, который создал/поделился/последним изменил контент, определенной группе людей (выбрав владельца SharePoint или OneDrive или с указанием адреса электронной почты).
Еще одна интересная функция — возможность изменить текст, который будет отправлен по электронной почте, и подсказки политики.
страницу, мы можем включить или выключить это, а также в тестовом режиме, где контент будет общим. Тем не менее, советы политики будут отображаться. Нажмите Далее.
На странице будет указана сводка всех вариантов, которые мы делали. Нажмите «Создать». Политика защиты от потери данных может занять до одного часа, поэтому имейте это в виду и выпейте кофе, прежде чем тестировать новую политику защиты от потери данных.
Изменение существующей политики
Во время создания мы можем определить несколько параметров, связанных с новой политикой. Однако при редактировании любой заданной политики у нас есть еще больше доступных параметров, включая количество экземпляров для порогов и любой заданной политики, и такая конфигурация может быть определена для каждого .
Чтобы изменить политику, выберите политику из списка и в новой колонке щелкните Изменить политику.
Просто чтобы дать представление о доступной гибкости, в первой строке (элемент 1) мы можем перейти прямо к конкретной настройке, которая применяется только к настройке ». Мы можем определить минимальное и максимальное количество экземпляров для каждого (элемент 2) и точность для каждой отдельной записи (элемент 3). Мы также можем добавить группы, и для каждой группы мы можем определить, должны ли соответствовать все типы информации или любой из них.
Тестирование политики
Первый шаг — получить некоторую информацию, которую мы не хотим разглашать, и мы собираемся скопировать один из любой данной учетной записи хранения, и мы будем использовать эту информацию для тестирования политики защиты от потери данных. Или мы можем просто ввести IP-адрес и подтвердить его таким же образом.
Первый тест — открыть сообщение электронной почты, добавить IP-адрес и отправить коллеге. В отчете будет представлена информация для всех правил, в которых содержимое соответствует одному из типов информации.
Мы можем изменить политику защиты от потери данных и включить другое местоположение, например, Teams. Через несколько минут мы можем попытаться скопировать и вставить ключ доступа к хранилищу, и результат должен быть похож на то, что изображено на изображении ниже.