Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Политики сбора — это средство сбора и фильтрации событий в Microsoft Purview, которое позволяет отслеживать и классификацию событий из приложений и расположений, расположенных как внутри, так и за пределами границ доверия организации. Они позволяют фильтровать, какие события из ненадежных и доверенных источников передаются в Purview. После приема эти данные могут классифицироваться и использоваться различными решениями, используюющими сигналы Microsoft Purview, такими как обозреватель действий Microsoft Purview, Управление внутренними рисками Microsoft Purview, Microsoft Purview eDiscovery. Управление жизненным циклом данных Microsoft Purview.
Политики сбора помогают достичь следующих результатов безопасности данных:
Принимать только нужные события
Основная цель политик сбора — дать возможность определить события, которые ваша организация хочет перенести в Microsoft Purview, чтобы вы могли сосредоточиться на данных, которые вам нужны. Ниже приведены некоторые примеры того, как эта возможность может помочь вам.
Соответствие нормативным требованиям по географическому расположению
Ваша организация может охватывать геополитические и нормативные границы с разными регионами с разными требованиями к безопасности и конфиденциальности данных. Для одного из них может потребоваться прием всех событий в Purview, в то время как на другую область могут накладываться ограничения на то, какие события можно собирать. Политики сбора позволяют определять события, собираемые для каждого региона. Это позволяет удовлетворить требования к безопасности и конфиденциальности данных в каждом регионе, сохраняя при этом единое консолидированное представление конфиденциальной информации вашей организации.
Фильтрация ненужных событий
В вашей организации может быть много событий, которые собираются, но вы хотите видеть только те события, которые соответствуют вашим потребностям. Например, предположим, что ваша организация подключена ко всем устройствам и включила действие всегда аудит файлов для устройств в параметрах защиты от потери данных конечных точек. Это означает, что все действия файлов собираются и помещаются в обозреватель действий. Просеивание всех событий может замедлить исследование событий, так как вы отсортируете нежелательные данные, чтобы получить необходимые данные. С помощью политик коллекций можно отфильтровать события, которые не должны отображаться, прежде чем они попадают в обозреватель действий. Это поможет снизить уровень шума и упростить поиск событий, относящихся к вашей организации.
Принцип работы политик сбора
Ключ к пониманию политик сбора заключается в том, чтобы узнать, что такое событие.
Событие состоит из двух вещей:
- Условие, например Содержимое содержит или Расширение файла. Для этого требуется использовать классификаторы, например типы конфиденциальной информации. Например, условие может быть содержимое содержит тип конфиденциальной информации, например номер социального страхования США или расширение файла.docx.
- Действие, которое пользователь может выполнить с конфиденциальным элементом, например файл, скопированный на съемный носитель
Политики сбора фильтруют события на основе:
- Соответствие одному или нескольким условиям и действиям, определенным в событии.
- Соответствие источнику данных или расположению, в котором происходит событие. Например, политика сбора может быть ограничена только сбором событий с устройств или только сбором событий из Microsoft Security Copilot для Fabric.
Политика считается соответствующей при выполнении одного или нескольких условий (если только не выполнены условия И), а действие сопоставляется в источнике данных.
Несколько политик сбора для одного источника данных
Скорее всего, вашей организации потребуется создать несколько политик сбора для любого источника данных. Политики сбора обрабатывают несколько сценариев политики иначе, чем DLP или другие политики Purview, которые присваивают приоритет оценке политики в зависимости от порядка создания политик.
На странице политики сбора отображаются все созданные отдельные политики. Но на серверной части во время оценки политики Microsoft Purview объединяет все политики сбора для источника данных в единую политику сбора для этого источника данных. Поэтому при определении совпадений используются все условия для источника данных.
Общие сведения о конфигурации политики коллекции
У вас есть гибкость при создании и настройке политик сбора. Для всех политик сбора требуется одна и та же информация. Эти сведения необходимо знать , прежде чем приступать к созданию политики сбора
-
Выберите и область условия, необходимые для соответствия политике. Политики сбора поддерживают три типа условий:
- Содержимое содержит , который использует типы конфиденциальной информации (SIT). Можно ограничить всеми классификаторами, всеми классификаторами, кроме выбранных, или только определенными классификаторами.
Примечание.
Расположение устройств не поддерживает использование обучаемых классификаторов.
Размер документа на основе размера равен или меньше, аразмер документа больше, чем в байтах.
Расширение файла — это расширение, которое использует расширения файлов.
Выберите действия, необходимые для соответствия политике . Поддерживаемые действия относятся к источнику данных. Для устройств существует 19 поддерживаемых действий, таких как копирование файла на съемный носитель, печать файла и отправка файла в облако. Полный список поддерживаемых действий доступен в продукте.
Выбор источника данных -
- В предварительной версии устройств политики сбора поддерживают подключенные источники данных.
- В предварительной версии политики сбора безопасности сетевых данных поддерживают неуправляемые облачные приложения и адаптивные приложения область.
- Определения область устройств основаны на пользователях и группах. Вы можете область всех пользователей и групп, всех пользователей и групп, кроме выбранных, или включать только определенных пользователей и группы.
Доступ к политикам коллекции
Политики сбора являются компонентом функции классификаторов портала Microsoft Purview. Доступ к ним можно получить из любого места на портале Purview, где доступна функция Классификаторы . Пример.
На портале Microsoft Purview выберите Решения> Политикисбораклассификаторов> защиты > отпотери данных.
Кроме того, вы можете получить доступ к политикам коллекции на портале Microsoft Purview из разделов Solutions>Information Protection>Classifiers>Collection Policies.
Политики сбора и Microsoft Purview внутри управления рисками
В зависимости от конфигурации политики сбора могут повлиять на поведение Управление внутренними рисками Microsoft Purview политики. При настройке политики внутренних рисков она отслеживает показатели служб и сторонних поставщиков, чтобы помочь вам быстро выявлять, рассматривать и реагировать на действия, связанные с рисками. Используя журналы из Microsoft 365 и Microsoft Graph, управление внутренними рисками позволяет определить конкретные политики для определения индикаторов риска. Эти политики позволяют выявлять рискованные действия и действовать для снижения этих рисков.
Предупреждение
При настройке и развертывании политики сбора, если возникает конфликт между тем, что настроена для отслеживания политики управления внутренними рисками, и тем, для чего настроена фильтрация политики сбора, приоритет имеет конфигурация политики сбора. Это означает, что если политика управления внутренними рисками настроена для мониторинга определенного действия, но политика сбора настроена для фильтрации этого действия, действие не собирается и недоступно для проверки в управлении внутренними рисками. Это относится только к индикаторам устройств в политиках управления внутренними рисками. Если политика сбора настроена для сбора данных, для чего политика управления внутренними рисками не настроена, то выполняется сбор индикатора, но управление внутренними рисками игнорирует его.
Политики сбора и защита от потери данных конечных точек
Если включена активность всегда аудита для устройств , все события для файлов Office, PDF и CSV собираются по умолчанию. Если вы хотите изменить события, собираемые для устройств в этом случае, это можно сделать, настроив политику сбора, предназначенную для устройств. Если действие постоянного аудита для устройств не включено, политики сбора не повлияют на события, собираемые с устройств.
Политики сбора не могут влиять на поведение политик защиты от потери данных, только то, что собирается и записывается для событий файла аудита на устройствах.
Политики сбора и Управление состоянием безопасности данных Microsoft Purview и Управление состоянием безопасности данных для ИИ Purview
При использовании политик одним щелчком в Microsoft Управление состоянием безопасности данных или Microsoft Управление состоянием безопасности данных для ИИ (DSPM для ИИ), можно выполнить действия с рекомендациями, которые автоматически создают политики сбора данных от вашего имени.
Вы можете просматривать и отслеживать результаты этих политик в специализированных интерфейсах в DSPM и DSPM для ИИ, а также в обозревателе действий. Эти политики автоматически именуются в интерфейсе быстрой политики. После создания эти политики коллекции можно просматривать и изменять так же, как и политики коллекции, созданные с помощью рабочего процесса.