Начало работы со сбором файлов, соответствующих политикам защиты от потери данных с устройств
В этой статье описаны предварительные требования и шаги по настройке для сбора доказательств для действий с файлами на устройствах, а также сведения о том, как просматривать копируемые и сохраненные элементы.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Ниже приведены общие шаги по настройке и использованию сбора доказательств для действий с файлами на устройствах.
- Подключение устройств
- Понимание требований. Создание управляемой учетной записи хранения Azure
- Добавление BLOB-объекта службы хранилища Azure в учетную запись
- Включение и настройка сбора доказательств в учетной записи хранения, управляемой корпорацией Майкрософт (предварительная версия)
- Настройка политики защиты от потери данных
- Предварительный просмотр доказательств
Подготовка к работе
Прежде чем приступить к выполнению этих процедур, ознакомьтесь со статьей Сведения о сборе доказательств для действий с файлами на устройствах.
Лицензирование и подписки
Прежде чем приступить к использованию политик защиты от потери данных, подтвердите подписку На Microsoft 365 и все надстройки.
Сведения о лицензировании см. в статье Подписки Microsoft 365, Office 365, Enterprise Mobility + Security и Windows 11 для предприятий.
См. предварительные требования к лицензированию для Microsoft Entra ID P1 или P2, необходимых для создания пользовательского управления доступом на основе ролей (RBAC).
Разрешения
требуются разрешения Standard Защита от потери данных Microsoft Purview (DLP). Дополнительные сведения см. в разделе Разрешения.
Подключение устройств
Перед использованием копирования соответствующих элементов необходимо подключить устройства Windows 10/11 в Purview, см. статью Общие сведения о подключении устройств Windows в Microsoft 365.
Общие сведения о своих требованиях
Важно!
Каждый контейнер наследует разрешения учетной записи хранения, в которую он находится. Вы не можете задать разные разрешения для каждого контейнера. Если необходимо настроить разные разрешения для разных регионов, необходимо создать несколько учетных записей хранения, а не несколько контейнеров.
Перед настройкой хранилища Azure и определением этой функции для пользователей должны быть ответы на приведенный ниже вопрос.
Необходимо ли разделять элементы и доступ по ролевому или отделу?
Например, если ваша организация хочет иметь один набор администраторов или следователей событий защиты от потери данных, которые могут просматривать сохраненные файлы от руководства, и другой набор администраторов или следователей событий защиты от потери данных для сохраненных элементов из кадровых ресурсов, необходимо создать одну учетную запись хранения Azure для высшего руководства организации и другую для отдела кадров. Это гарантирует, что администраторы службы хранилища Azure или исследователи событий защиты от потери данных могут видеть только элементы, соответствующие политикам защиты от потери данных, из соответствующих групп.
Вы хотите использовать контейнеры для упорядочения сохраненных элементов?
Вы можете создать несколько контейнеров подтверждений в одной учетной записи хранения для сортировки сохраненных файлов. Например, один для файлов, сохраненных из отдела кадров, а другой для файлов из ИТ-отдела.
Какова стратегия защиты от удаления или изменения сохраненных элементов?
В службе хранилища Azure защита данных относится как к стратегиям защиты учетной записи хранения и данных в ней от удаления или изменения, так и к восстановлению данных после удаления или изменения. Служба хранилища Azure также предлагает варианты аварийного восстановления, включая несколько уровней избыточности, чтобы защитить данные от сбоев службы из-за проблем с оборудованием или стихийных бедствий. Он также может защитить данные с помощью отработки отказа, управляемой клиентом, если центр обработки данных в основном регионе становится недоступным. Дополнительные сведения см. в статье Общие сведения о защите данных.
Вы также можете настроить политики неизменяемости для данных BLOB-объекта, которые защищают от перезаписи или удаления сохраненных элементов. Дополнительные сведения см. в статье Хранение критически важных для бизнеса данных BLOB-объектов с неизменяемым хранилищем.
Поддерживаемые типы файлов для хранения и предварительного просмотра доказательств
Может храниться | Можно просмотреть |
---|---|
Все типы файлов , отслеживаемые конечной точкой DLP | Все типы файлов, поддерживаемые для предварительного просмотра файлов в OneDrive, SharePoint и Teams |
Сохранение сопоставленных элементов в предпочитаемом хранилище
Чтобы сохранить доказательства, обнаруженные Microsoft Purview при применении политик защиты от потери данных, необходимо настроить хранилище. Это можно сделать двумя способами:
- Создание управляемого клиентом хранилища
- Создание хранилища, управляемого Корпорацией Майкрософт (предварительная версия)
Дополнительные сведения и сравнение этих двух типов хранилища см. в разделе [Хранение доказательств при обнаружении конфиденциальной информации (предварительная версия)](dlp-copy-matched-items-learn.md#storing-evidence-when-sensitive-information-is-detected-on-policy match-preview).
Создание управляемого клиентом хранилища
Процедуры настройки учетной записи хранения, контейнера и больших двоичных объектов Azure описаны в наборе документов Azure. Ниже приведены ссылки на соответствующие статьи, которые помогут вам приступить к работе:
- Введение в Хранилище BLOB-объектов Azure
- Создание учетной записи хранения
- По умолчанию и авторизация доступа к blob-объектам с помощью Microsoft Entra ID
- Управление контейнерами BLOB-объектов с помощью портал Azure
- Управление блочных BLOB-объектов с помощью PowerShell
Примечание.
При создании учетной записи хранения обязательно выберите Включить общедоступный доступ из всех сетей. Поддержка виртуальных сетей и IP-адресов и использование частного доступа недоступна
Обязательно сохраните имя и URL-адрес контейнера BLOB-объектов Azure. Чтобы просмотреть URL-адрес, откройте портал > хранилища Azure Home Storage AccountsContainer Properties (Свойстваконтейнера>учетных записей хранениядома>).>
Формат URL-адреса контейнера BLOB-объектов Azure:https://storageAccountName.blob.core.windows.net/containerName
.
Добавление BLOB-объекта службы хранилища Azure в учетную запись
Существует несколько способов добавления BLOB-объекта службы хранилища Azure в учетную запись. Выберите один из приведенных ниже методов.
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.
- Портал Microsoft Purview
- Политика защиты от потери данных на портале Microsoft Purview
- Портал соответствия требованиям
- Рабочий процесс политики защиты от потери данных на портале соответствия требованиям
Чтобы добавить хранилище BLOB-объектов Azure с помощью портала Microsoft Purview, выполните следующие действия.
- Войдите на портал Microsoft Purview и выберите шестеренку Параметры в строке меню.
- Выберите Защита от потери данных.
- Выберите Параметры защиты от потери данных в конечной точке.
- Разверните раздел Настройка сбора доказательств для действий с файлами на устройствах.
- Измените переключатель с "Выкл." на "Включено".
- В поле Set evidence cache on device (Установка кэша доказательств на устройстве ) выберите время локального сохранения доказательств, когда устройство находится в автономном режиме. Можно выбрать 7, 30 или 60 дней.
- Выберите тип хранилища (магазин, управляемый клиентом или Microsoft Managed Store (предварительная версия)), а затем выберите + Добавить хранилище.
- Для хранилища, управляемого клиентом:
- Выберите Хранилище, управляемое клиентом: и нажмите кнопку + Добавить хранилище.
- Введите имя учетной записи и введите URL-адрес blob-объекта хранилища.
- Выберите Сохранить.
- Для хранилища, управляемого Корпорацией Майкрософт:
- Выберите Microsoft Managed Store (предварительная версия)
- Для хранилища, управляемого клиентом:
Настройка разрешений для хранилища BLOB-объектов Azure
Используя Microsoft Entra авторизацию, необходимо настроить два набора разрешений (групп ролей) для больших двоичных объектов:
- Один для администраторов и следователей, чтобы они могли просматривать доказательства и управлять ими
- Для пользователей, которым необходимо отправлять элементы в Azure со своих устройств
Рекомендуется обеспечить минимальные привилегии для всех пользователей, независимо от роли. Применяя минимальные привилегии, вы гарантируете, что разрешения пользователя ограничены только теми разрешениями, которые необходимы для их роли. Чтобы настроить разрешения пользователей, создайте роли и группы ролей в Microsoft Defender для Office 365 и Microsoft Purview.
Разрешения на большой двоичный объект Azure для администраторов и следователей
После создания группы ролей для следователей инцидентов защиты от потери данных необходимо настроить разрешения, описанные в следующих разделах Действия следователя и Действия с данными следователя .
Дополнительные сведения о настройке доступа к BLOB-объектам см. в следующих статьях:
- Авторизация доступа к данным BLOB-объектов в портал Azure
- Назначение разрешений на уровне общего ресурса.
Действия следователя
Настройте следующие разрешения на объекты и действия для роли следователя:
Объект | Разрешения |
---|---|
Microsoft.Storage/storageAccounts/blobServices | Чтение: перечисление служб BLOB-объектов |
Microsoft.Storage/storageAccounts/blobServices | Чтение: получение свойств или статистики службы BLOB-объектов |
Microsoft.Storage/storageAccounts/blobServices/containers | Чтение: получение контейнера BLOB-объектов |
Microsoft.Storage/storageAccounts/blobServices/containers | Чтение: список контейнеров BLOB-объектов |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | Чтение: чтение BLOB-объекта |
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Другое. Создание ключа делегирования пользователя |
Действия с данными следователя
Объект | Разрешения |
---|---|
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | Чтение: чтение BLOB-объекта |
Json для группы ролей следователя должен выглядеть следующим образом:
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
],
"notDataActions": []
}
]
Разрешения для большого двоичного объекта Azure для пользователей
Назначьте blob-объекту Azure следующие разрешения на объекты и действия для роли пользователя:
Действия пользователя
Объект | Разрешения |
---|---|
Microsoft.Storage/storageAccounts/blobServices | Чтение: перечисление служб BLOB-объектов |
Microsoft.Storage/storageAccounts/blobServices/containers | Чтение: получение контейнера BLOB-объектов |
Microsoft.Storage/storageAccounts/blobServices/containers | Запись: размещение контейнера BLOB-объектов |
Действия с данными пользователя
Объект | Разрешения |
---|---|
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | Запись: запись BLOB-объекта |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | Прочее: добавление содержимого BLOB-объекта |
Json для группы ролей пользователей должен выглядеть следующим образом:
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
],
"notDataActions": []
}
]
Включение и настройка сбора доказательств в учетной записи хранения, управляемой корпорацией Майкрософт (предварительная версия)
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.
Чтобы включить и настроить сбор доказательств в учетной записи хранения, управляемой корпорацией Майкрософт, на портале Microsoft Purview:
- Войдите в разделПараметрыпортала> Microsoft Purview в строке меню.
- Выберите Защита от потери данных.
- Выберите Параметры защиты от потери данных в конечной точке.
- Разверните узел Настройка сбора доказательств для действий с файлами на устройствах и установите переключатель в значение Вкл.
- В разделе Выберите тип хранилища выберите Хранилище, управляемое корпорацией Майкрософт.
Настройка политики защиты от потери данных
Создайте политику защиты от потери данных, как обычно. Примеры конфигурации политики см. в статье Создание и развертывание политик защиты от потери данных.
Настройте политику с помощью следующих параметров:
- Убедитесь, что устройство — это единственное выбранное расположение.
- В отчетах об инцидентах установите переключатель Отправить оповещение администраторам при совпадении правила с значением Включено.
- В разделе Отчеты об инцидентах выберите Собрать исходный файл в качестве доказательства всех действий с выбранными файлами в конечной точке.
- Выберите нужную учетную запись хранения.
- Выберите действия, для которых вы хотите скопировать соответствующие элементы в хранилище Azure, например:
- Вставка в поддерживаемые браузеры
- Отправка в домены облачной службы или доступ к не разрешенным браузерам
- Копирование на съемное USB-устройство
- Копирование в сетевую папку
- Копирование или перемещение с помощью не разрешенного приложения Bluetooth
- Копирование или перемещение с помощью RDP
Предварительный просмотр доказательств
Существует несколько способов предварительного просмотра доказательств в зависимости от выбранного типа хранилища.
Тип хранилища | Параметры предварительного просмотра |
---|---|
Управление клиентом |
-
Использование обозревателя действий - Использование портала соответствия требованиям |
Microsoft Managed (предварительная версия) |
-
Использование обозревателя действий - Использование портала соответствия требованиям |
Предварительный просмотр доказательств с помощью обозревателя действий
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.
- Войдите вобозреватель действийпо предотвращению> потери данных на портале> Microsoft Purview.
- В раскрывающемся списке Дата выберите даты начала и окончания для интересующего вас периода.
- В списке результатов дважды щелкните элемент строки действия, которое вы хотите исследовать.
- Во всплывающей области ссылка на большой двоичный объект Azure, в котором хранятся доказательства, отображается в разделе Файл доказательства.
- Выберите ссылку хранилище BLOB-объектов Azure, чтобы отобразить соответствующий файл.
Предварительный просмотр доказательств на странице оповещений на портале соответствия требованиям
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.
- Войдите на портал >Microsoft PurviewОповещения озащите> от потери данных.
- В раскрывающемся списке Дата выберите даты начала и окончания для интересующего вас периода.
- В списке результатов дважды щелкните элемент строки действия, которое вы хотите исследовать.
- Во всплывающей области выберите Просмотреть сведения.
- Перейдите на вкладку События .
- В области Сведения выберите вкладку Источник. Отобразится соответствующий файл.
Примечание.
Если соответствующий файл уже существует в большом двоичном объекте хранилища Azure, он не будет отправлен повторно, пока не будут внесены изменения в файл и пользователь не примет с ним действие.
Известные варианты поведения
- Файлы, хранящиеся в кэше устройств, не сохраняются при сбое или перезапуске системы.
- Максимальный размер файлов, которые можно отправить с устройства, составляет 500 МБ.
- Если JIT-защита активируется в отсканированном файле, или, если файл хранится в сетевой папке, файл подтверждения не собирается.
- При открытии нескольких файлов в одном процессе (не office-приложениях) и отправке одного из файлов, соответствующих политике, для всех файлов активируются события защиты от потери данных. Никаких доказательств не захвачено.
- Если в одном файле обнаружено несколько правил политики, файл доказательства сохраняется только в том случае, если для сбора доказательств настроено самое строгое правило политики.