Сведения о Защита от потери данных Microsoft Purview JIT-защиты

Используйте JIT-защиту от потери данных конечных точек (DLP) для обнаружения и блокировки действий исходящего трафика в отслеживаемых файлах во время оценки политики.

JIT выполняет аудит и блокирует следующие действия исходящего трафика пользователей для защищенных элементов:

  • Копирование на съемный носитель
  • Копирование в общую сетевую папку
  • Print
  • Копирование или перемещение с помощью протокола удаленного рабочего стола (RDP)
  • Копирование или перемещение с помощью заблокированного приложения Bluetooth
  • Копирование в буфер обмена: JIT-аудит по умолчанию
  • Отправка в домен облачной службы с ограниченным доступом

Условия

В этой статье используются следующие термины:

  • Устаревшая классификация. Классификация, которая не была создана последней версией политики защиты от потери данных. Если политика обновляется после того, как элемент был оценен и классифицирован, этот элемент имеет устаревшую классификацию, пока он не будет переоценен с самой последней версией политики.
  • JIT-файл-кандидат: Files, которые не были оценены DLP или имеют устаревшую классификацию.
  • JIT-аудит. После включения JIT DLP конечной точки создает событие в обозревателе действий для каждого JIT-файла-кандидата. В событии обозревателя JIT-действий поле JIT-триггера имеет значение true, а значение режима принудительного примененияAudit.
  • JIT-блок. После включения JIT DLP конечной точки блокирует действие и создает событие в обозревателе действий для каждого JIT-файла-кандидата. В событии обозревателя JIT-действий поле JIT-триггера имеет значение true, а поле Режим принудительного применения — значение Block.

Примечание.

Конечная точка защиты от потери данных не создает DLPRuleMatch событие или оповещение.

  • JIT-уведомление выполняется. Когда пользователи, которые находятся в область JIT, пытаются выполнить исходящее действие в JIT-файле-кандидате, защита от потери данных конечной точки может заблокировать действие исходящего трафика и отобразить всплывающее уведомление. Это всплывающее уведомление называется JIT-всплывающее уведомление в процессе выполнения.
  • Полное уведомление об оценке JIT. Когда конечная точка DLP завершает оценку политики для JIT-файла-кандидата, конечная точка защиты от потери данных отображает всплывающее уведомление, чтобы сообщить пользователю. Это уведомление называется всплывающее всплывающее уведомление о завершении оценки JIT.
  • JIT-событие. Конечная точка защиты от потери данных записывает и отображает событие JIT в обозревателе действий при активации JIT-аудита или действий блокировки JIT. Для события задано JIT triggeredtrueзначение .
  • Резервное действие в случае сбоя. Эта конфигурация определяет режим принудительного применения, который должен применяться при оценке политики. Независимо от выбранного значения соответствующие данные телеметрии отображаются в обозревателе действий.

Снимок экрана: событие обозревателя действий, показывающее JIT-активацию, для которой задано значение true, а для режима принудительного применения задано значение Блокировать.

Принцип работы JIT-защиты

JIT блокирует действие исходящего трафика при выполнении всех следующих условий:

  • Пользователь пытается выполнить действие исходящего трафика для элемента, который никогда не классифицировался или классифицировался с использованием устаревшей политики. Устаревшая политика означает, что файл был классифицирован с помощью политики, которая с тех пор была обновлена, и файл не был переклассифицирован с помощью обновленной политики.
  • Пользователь находится в область JIT.
  • Существуют политики Защита от потери данных Microsoft Purview (DLP), которые блокируют или блокируют переопределение для действия исходящего трафика.
  • Действие исходящего трафика не находится в разрешенном расположении. Например, разрешенный принтер, USB-устройство, URL-адрес или сетевая папка.
  • Действие исходящего трафика не поддерживает JIT-приостановку и возобновление.
  • Оценка политики защиты от потери данных не завершается через пять секунд.

JIT-рабочий процесс

Схема рабочего процесса JIT-защиты для защиты от потери данных конечной точки.

  1. Пользователь пытается выполнить действие исходящего трафика на подключенном устройстве для одного или нескольких элементов-кандидатов JIT.

  2. Если задействованное действие из списка исключенных приложений, из расположения пути к исключенным файлам— расширение файла исключено, процесс завершается.

  3. Оценка завершается, и действие не блокируется JIT. Пользователю не отображается уведомление, и событие JIT-аудита не регистрируется.

  4. Защита от потери данных подтверждает, что пользователь находится в область для JIT. Если да, оценка продолжается. Если нет, процесс завершается на шаге 5.

  5. JIT не блокирует действие. Уведомление не отображается, и событие JIT-аудита регистрируется.

  6. DLP проверяет, есть ли блок или блок с действиями переопределения , определенными в любом правиле защиты от потери данных для предпринятого действия. Если да, оценка продолжается. В противном случае процесс завершается поведением, указанным на шаге 5.

  7. JIT не блокирует действие. Уведомление не отображается, и событие JIT-аудита регистрируется.

  8. Защита от потери данных проверяет, входит ли действие в разрешенную группу принтеров, группу USB, общую сетевую папку или URL-адрес. Если да, JIT не блокирует действие и завершает оценку политики.

  9. Активируется JIT-оценка.

  10. JIT проверяет, поддерживает ли действие приостановку и возобновление JIT-функции.

  11. Если да, оценка продолжается.

  12. Для всех действий, которые завершают оценку политики в течение трех секунд, применяется действие политики.

  13. Для действия аудита действие возобновляется, сообщение не отображается для пользователя, а событие JIT-аудита регистрируется в журнале аудита.

  14. Для действия блокировки действие блокируется. Пользователю отображается сообщение о заблокированном действии, а событие JIT-аудита регистрируется в журнале аудита.

  15. Пользователь видит сообщение политики с кнопкой "Просмотреть файлы " или кнопкой "Выполнить действие ". Оценка политики завершается.

  16. Для блока с действием переопределения действие блокируется, пользователю отображается блок с сообщением переопределения, чтобы он смог переопределить блок при необходимости, а событие аудита JIT и блок с событием переопределения регистрируются в журнале аудита.

  17. Для всех элементов, которые не завершили оценку политики защиты от потери данных в течение трех секунд или не поддерживают возобновление, JIT-оценка позволяет использовать еще две секунды.

  18. Для всех действий, которые завершают оценку политики защиты от потери данных в течение выделенных двух секунд, применяется действие политики.

  19. Для действия политики аудита действие блокируется, так как действие не поддерживает возобновление, а событие блока JIT регистрируется в журнале аудита.

  20. Пользователь видит полное сообщение об оценке политики и ему будет предложено повторить попытку. Оценка политики завершается.

  21. Для действия политики блокировки действие блокируется, отображается сообщение о заблокированном действии, а событие блока JIT регистрируется в журнале аудита и оценка завершается.

  22. Для блока с действием политики переопределения действие блокируется, отображается блок с сообщением переопределения, чтобы пользователь смог переопределить блок по мере необходимости, а событие JIT-блока и блок с событием переопределения регистрируются в журнале аудита и завершении оценки.

  23. Для всех элементов, которые не завершили оценку политики защиты от потери данных в течение пяти секунд, действие блокируется, пользователю отображается сообщение JIT-выполнения . Событие блока JIT регистрируется в журнале аудита.

  24. JIT-процесс позволяет выполнить оценку политики еще 30 секунд, пока действие заблокировано.

  25. Если оценка политики защиты от потери данных завершается в течение этих 30 секунд, пользователю показано сообщение JIT-оценка завершено и пользователю предлагается повторить действие.

  26. Если оценка политики защиты от потери данных не завершается в течение 30 секунд, применяется резервное действие JIT.

  27. Пользователю отображается полное сообщение оценки политики JIT , и оценка завершается. Пользователю будет предложено повторить попытку действия.

Пользовательский интерфейс JIT-защиты

В этом разделе описывается взаимодействие с клиентом защиты от вредоносных программ версии 4.18.25080 или более поздней.

Возобновление поддержки для каждого действия

Защита от потери данных в конечной точке автоматически возобновляет эти действия, если оценка политики завершается в течение 3 секунд:

  • Копирование на съемный носитель
  • Копирование в общую сетевую папку

Если оценка политики занимает больше 3 секунд, необходимо повторить действие после того, как появится всплывающее всплывающее уведомление о завершении оценки политики JIT.

Повторите следующие действия после того, как конечная точка защиты от потери данных завершит оценку политики:

  • Print
  • Копирование или перемещение с помощью протокола удаленного рабочего стола (RDP)
  • Копирование или перемещение с использованием запрещенного приложения Bluetooth
  • Копирование в буфер обмена: JIT-аудит по умолчанию

Выполнение действия в одном файле

Когда пользователь выполняет действие в одном файле, защита от потери данных конечной точки принимает действие JIT-аудита в следующих случаях:

  • пользователь не входит в параметр JIT-области
  • Для действия не существует блока или блока с переопределением
  • действие предназначено для разрешенного принтера, съемных носителей, общей сетевой папки или веб-сайта
  • оценка политики для файла завершается в течение 5 секунд для действий, поддерживающих JIT-возобновление, или завершается в течение нескольких секунд для действий, которые не поддерживают JIT-возобновление.

Конечная точка защиты от потери данных блокирует действие с уведомлением (без оповещения) и применяет JIT-блок только в том случае, если оценка политики занимает более 5 секунд.

Выполнение действия с несколькими файлами

Когда пользователь выполняет действие с несколькими файлами одновременно, защита от потери данных конечной точки принимает действие JIT-аудита в следующих случаях:

  • пользователь не входит в параметр JIT-области
  • Для выполненного действия не существует блока или блока с переопределением
  • действие выполняется на разрешенном принтере, на разрешенном съемном носителе или на разрешенном сетевом ресурсе.

Для JIT-файлов-кандидатов конечная точка DLP активирует оценку политики, объединяет уведомления для файлов, которые завершаются в течение 5 секунд для действий, поддерживающих возобновление, и автоматически возобновляет действие. Если действие не поддерживает возобновление, конечная точка защиты от потери данных активирует оценку политики и объединяет уведомления для файлов, которые завершаются в течение 2 секунд. В обоих случаях защита от потери данных в конечной точке не создает всплывающее уведомление JIT. Он показывает только окончательный вердикт политики в консолидированном тосте.

  • Last updated on