Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Политики сбора — это средство сбора и фильтрации событий в Microsoft Purview, которое позволяет отслеживать и классификацию событий из приложений и расположений, расположенных как внутри, так и за пределами границ доверия организации. Они позволяют фильтровать, какие события из ненадежных и доверенных источников передаются в Purview. После приема эти данные могут классифицироваться и использоваться различными решениями, используюющими сигналы Microsoft Purview, такими как обозреватель действий Microsoft Purview, Управление внутренними рисками Microsoft Purview, Microsoft Purview eDiscovery. Управление жизненным циклом данных Microsoft Purview.
Политики сбора помогают достичь следующих результатов безопасности данных:
Принимать только нужные события
Основная цель политик сбора — дать возможность определить события, которые ваша организация хочет перенести в Microsoft Purview, чтобы вы могли сосредоточиться на данных, которые вам нужны. Ниже приведены некоторые примеры того, как эта возможность может помочь вам.
Соответствие нормативным требованиям по географическому расположению
Ваша организация может охватывать геополитические и нормативные границы с разными регионами с разными требованиями к безопасности и конфиденциальности данных. Для одного из них может потребоваться прием всех событий в Purview, в то время как на другую область могут накладываться ограничения на то, какие события можно собирать. Политики сбора позволяют определять события, собираемые для каждого региона. Это позволяет удовлетворить требования к безопасности и конфиденциальности данных в каждом регионе, сохраняя при этом единое консолидированное представление конфиденциальной информации вашей организации.
Фильтрация ненужных событий
В вашей организации может быть много событий, которые собираются, но вы хотите видеть только те события, которые соответствуют вашим потребностям. Например, предположим, что ваша организация подключена ко всем устройствам и включила действие всегда аудит файлов для устройств в параметрах защиты от потери данных конечных точек. Это означает, что все действия файлов собираются и помещаются в обозреватель действий. Просеивание всех событий может замедлить исследование событий, так как вы отсортируете нежелательные данные, чтобы получить необходимые данные. С помощью политик коллекций можно отфильтровать события, которые не должны отображаться, прежде чем они попадают в обозреватель действий. Это поможет снизить уровень шума и упростить поиск событий, относящихся к вашей организации.
Принцип работы политик сбора
Ключ к пониманию политик сбора заключается в том, чтобы узнать, что такое событие.
Событие состоит из двух вещей:
- Условие, например Содержимое содержит или Расширение файла. Для этого требуется использовать классификаторы, например типы конфиденциальной информации. Например, условие может быть содержимое содержит тип конфиденциальной информации, например номер социального страхования США или расширение файла.docx> .
- Действие, которое пользователь может выполнить с конфиденциальным элементом, например файл, скопированный на съемный носитель
Политики сбора фильтруют события на основе:
- Соответствие одному или нескольким условиям и действиям, определенным в событии.
- Соответствие источнику данных или расположению, в котором происходит событие. Например, политика сбора может быть ограничена только сбором событий с устройств или только сбором событий из Copilot в Fabric.
Политика считается соответствующей при выполнении одного или нескольких условий (если только не выполнены условия И), а действие сопоставляется в источнике данных.
Несколько политик сбора для одного источника данных
Возможно, вашей организации потребуется создать несколько политик сбора для любого заданного источника данных. Политики сбора обрабатывают несколько сценариев политики иначе, чем DLP или другие политики Purview, которые присваивают приоритет оценке политики в зависимости от порядка создания политик.
На странице политики сбора отображаются все созданные отдельные политики. Но на серверной части во время оценки политики Microsoft Purview объединяет все политики сбора для источника данных в единую политику сбора для этого источника данных. Поэтому при определении совпадений используются все условия для источника данных.
Доступ к политикам коллекции
Политики сбора являются компонентом функции классификаторов портала Microsoft Purview. Доступ к ним можно получить из любого места на портале Purview, где доступна функция Классификаторы . Пример.
На портале Microsoft Purview выберите Решения> Политикисбораклассификаторов> защиты > отпотери данных.
Кроме того, вы можете получить доступ к политикам коллекции на портале Microsoft Purview из разделов Solutions>Information Protection>Classifiers>Collection Policies.
Общие сведения о конфигурации политики коллекции
У вас есть гибкость при создании и настройке политик сбора. Для всех политик сбора требуется одна и та же информация. Эти сведения необходимо знать , прежде чем приступать к созданию политики сбора. Дополнительные сведения о каждом шаге, включая поддерживаемую конфигурацию, см. в справочнике по политикам сбора.
Определите данные для обнаружения путем настройки условий, необходимых для соответствия политике. Существует пять поддерживаемых условий:
-
Содержимое содержит классификаторы, которые используют типы конфиденциальной информации и обучаемые классификаторы. Можно ограничить всеми классификаторами, всеми классификаторами, кроме выбранных, или только определенными классификаторами.
Примечание.
Расположение устройств не поддерживает использование обучаемых классификаторов.
- Содержимое содержит метки конфиденциальности (предварительная версия), в котором используются метки конфиденциальности. Можно ограничить определенными метками конфиденциальности. Поддерживается только при обнаружении облачных приложений браузера и сети.
- Размер документа равен или больше, чем в байтах, килобайтах (КБ), мегабайтах (МБ), гигабайтах (ГБ) или терабайтах (ТБ).
- Документ равен или меньше, чем, как измеряется в байтах, килобайтах (КБ), мегабайтах (МБ), гигабайтах (ГБ) или терабайтах (ТБ).
- Расширение файла — это расширение, которое использует расширения файлов.
-
Содержимое содержит классификаторы, которые используют типы конфиденциальной информации и обучаемые классификаторы. Можно ограничить всеми классификаторами, всеми классификаторами, кроме выбранных, или только определенными классификаторами.
Выберите действия , необходимые для соответствия политике. Поддерживаемые действия относятся к источнику данных. Для устройств существует 19 поддерживаемых действий, таких как копирование файла на съемный носитель, печать файла и отправка файла в облако. Полный список поддерживаемых действий доступен в справочнике по политикам сбора.
Выберите , где применить политику, выбрав источник данных.
В зависимости от выбранной политики могут быть настроены дополнительные параметры , такие как включение отслеживания содержимого для взаимодействия с ИИ и метод обнаружения облачных приложений.
Сбор содержимого для взаимодействия с ИИ
Чтобы обеспечить соответствие нормативным требованиям, можно решить, следует ли записывать и хранить все обнаруженные запросы и ответы из любых источников данных искусственного интеллекта, добавленных в политику. Это упрощает обнаружение и защиту захваченного содержимого с помощью дополнительных политик и решений Microsoft Purview. Эта возможность не включает содержимое в файлы, к которым предоставлен общий доступ с помощью генеративного ИИ, и применяется только к:
- Возможности Copilot
- Корпоративный ИИ
- Неуправляемые облачные приложения, классифицируемые как генеративный ИИ
- Все неуправляемые приложения ИИ область
Если параметр не включен, контент, обнаруженный в запросах и ответах, ограничивается только конфиденциальной информацией.
Примечание.
Чтобы записать содержимое ИИ, необходимо иметь условие Содержимое содержит классификаторы значение Все.
Политики сбора и Управление внутренними рисками Microsoft Purview
В зависимости от конфигурации политики сбора могут повлиять на поведение Управление внутренними рисками Microsoft Purview политики. При настройке политики внутренних рисков она отслеживает показатели служб и сторонних поставщиков, чтобы помочь вам быстро выявлять, рассматривать и реагировать на действия, связанные с рисками. Используя журналы из Microsoft 365 и Microsoft Graph, управление внутренними рисками позволяет определить конкретные политики для определения индикаторов риска. Эти политики позволяют выявлять рискованные действия и действовать для снижения этих рисков.
Предупреждение
При настройке и развертывании политики сбора устройств, если возникает конфликт между тем, что политика управления внутренними рисками настроена для мониторинга, и тем, для чего настроена фильтрация политики сбора, приоритет имеет конфигурация политики сбора. Это означает, что если политика управления внутренними рисками настроена для мониторинга определенного действия, но политика сбора настроена для фильтрации этого действия, действие не собирается и недоступно для проверки в управлении внутренними рисками. Это относится только к индикаторам устройств в политиках управления внутренними рисками и только при развертывании политики сбора устройств. Если политика сбора настроена для сбора данных, для чего политика управления внутренними рисками не настроена, то выполняется сбор индикатора, но управление внутренними рисками игнорирует его.
Политики сбора и защита от потери данных конечных точек
Если включена функция Всегда аудит файлов для устройств , все действия для файлов Office, PDF и CSV собираются по умолчанию. Если вы хотите изменить действия, собираемые для устройств в этом случае, это можно сделать, настроив политику сбора, предназначенную для устройств. Если действие "Всегда аудит файлов" для устройств не включено, действия не собираются с устройств, даже если политика сбора создается для устройств.
Политики сбора не могут влиять на поведение политик защиты от потери данных, только то, что собирается и записывается для событий файла аудита на устройствах.
Политики сбора и Управление состоянием безопасности данных Microsoft Purview и Управление состоянием безопасности данных для ИИ Purview
При использовании политик одним щелчком в Майкрософт Управление состоянием безопасности данных или Майкрософт Управление состоянием безопасности данных для ИИ (DSPM для ИИ), можно выполнить действия с рекомендациями, которые автоматически создают политики сбора данных от вашего имени.
Вы можете просматривать и отслеживать результаты этих политик в специализированных интерфейсах в DSPM и DSPM для ИИ, а также в обозревателе действий. Эти политики автоматически именуются в интерфейсе быстрой политики. После создания эти политики коллекции можно просматривать и изменять так же, как и политики коллекции, созданные с помощью рабочего процесса.