Übersicht über die Verhinderung von Datenverlust in SharePoint Server 2016 und 2019
Um Geschäftsstandards und Branchenvorschriften einzuhalten, müssen Unternehmen vertrauliche Informationen schützen und deren unbeabsichtigte Offenlegung verhindern. Beispiele für vertrauliche Informationen, die Sie möglicherweise nicht nach außen durchsickern lassen möchten, sind Finanzdaten oder personenbezogene Daten (PII) wie Kreditkartennummern, Sozialversicherungsnummern oder Personalausweisnummern. Mit einer Data Loss Prevention (DLP)-Richtlinie in SharePoint Server 2016 können Sie vertrauliche Informationen in Ihren Websitesammlungen identifizieren, überwachen und automatisch schützen.
Mit DLP können Sie:
Erstellen Sie eine DLP-Abfrage, um zu ermitteln, welche vertraulichen Informationen jetzt in Ihren Websitesammlungen vorhanden sind. Bevor Sie DLP-Richtlinien erstellen, ist es oft hilfreich zu sehen, mit welchen Arten von vertraulichen Informationen Personen in Ihrer Organisation arbeiten und welche Websitesammlungen diese vertraulichen Informationen enthalten. Mit einer DLP-Abfrage können Sie vertrauliche Informationen finden, die gängigen Branchenvorschriften unterliegen, Ihre Risiken besser verstehen und bestimmen, welche und wo sich die vertraulichen Informationen befinden, die Ihre DLP-Richtlinien schützen müssen.
Erstellen Sie eine DLP-Richtlinie, um vertrauliche Informationen in Ihren Websitesammlungen zu überwachen und automatisch zu schützen. Sie können beispielsweise eine Richtlinie einrichten, die Benutzern einen Richtlinientipp anzeigt, wenn sie Dokumente speichern, die personenbezogene Daten enthalten. Darüber hinaus kann die Richtlinie den Zugriff auf diese Dokumente automatisch für alle außer dem Eigentümer der Website, dem Inhaltseigentümer und demjenigen, der das Dokument zuletzt geändert hat, blockieren. Und schließlich, weil Sie nicht möchten, dass Ihre DLP-Richtlinien die Menschen daran hindern, ihre Arbeit zu erledigen, bietet der Richtlinientipp eine Option zum Überschreiben der Sperraktion, sodass die Menschen weiterhin mit Dokumenten arbeiten können, wenn sie eine geschäftliche Rechtfertigung haben.
DLP-Vorlagen
Wenn Sie eine DLP-Abfrage oder eine DLP-Richtlinie erstellen, können Sie aus einer Liste von DLP-Vorlagen auswählen, die allgemeinen gesetzlichen Anforderungen entsprechen. Jede DLP-Vorlage identifiziert bestimmte Arten sensibler Informationen – beispielsweise identifiziert die Vorlage mit dem Namen US Personally Identifiable Information (PII) Data Inhalte, die US- und UK-Passnummern, US-Steueridentifikationsnummern (ITIN) oder US-Sozialversicherungsnummern (SSN) enthalten ).
Sensible Informationstypen
Eine DLP-Richtlinie trägt zum Schutz vertraulicher Informationen bei, die als Typ vertraulicher Informationen definiert sind. SharePoint Server 2016 enthält Definitionen für viele gängige Typen vertraulicher Informationen, die Sie sofort verwenden können, z. B. Kreditkartennummern, Bankkontonummern, Personalausweisnummern und Passnummern.
Wenn eine DLP-Richtlinie nach einem vertraulichen Informationstyp wie einer Kreditkartennummer sucht, sucht sie nicht einfach nach einer 16-stelligen Nummer. Jeder sensible Informationstyp wird definiert und erkannt, indem eine Kombination aus Folgendem verwendet wird:
Schlüsselwörter
Interne Funktionen zur Validierung von Prüfsummen oder Zusammensetzung
Auswertung regulärer Ausdrücke, um Musterübereinstimmungen zu finden
Sonstige inhaltliche Prüfung
Dies trägt dazu bei, dass die DLP-Erkennung ein hohes Maß an Genauigkeit erreicht und gleichzeitig die Anzahl falsch positiver Ergebnisse reduziert wird, die die Arbeit von Menschen unterbrechen können.
Jede DLP-Vorlage sucht nach einer oder mehreren Arten vertraulicher Informationen. Weitere Informationen zur Funktionsweise der einzelnen Typen vertraulicher Informationen finden Sie unter Wonach die Typen vertraulicher Informationen in SharePoint Server 2016 suchen .
Diese DLP-Vorlage… | Sucht nach diesen sensiblen Informationstypen… |
|---|---|
US-Daten zu personenbezogenen Daten (PII). | US-/UK-Passnummer US-Steueridentifikationsnummer (ITIN) US-Sozialversicherungsnummer (SSN) |
US Gramm-Leach-Bliley Act (GLBA) | Kreditkartennummer US-Bankkontonummer US-Steueridentifikationsnummer (ITIN) US-Sozialversicherungsnummer (SSN) |
PCI-Datensicherheitsstandard (PCI DSS) | Kreditkartennummer |
UK-Finanzdaten | Kreditkartennummer EU-Debitkartennummer SWIFT-Code |
US-Finanzdaten | ABA-Routing-Nummer Kreditkartennummer US-Bankkontonummer |
Daten zu personenbezogenen Daten (PII) aus dem Vereinigten Königreich | UK National Insurance Number (NINO) US-/UK-Passnummer |
UK Datenschutzgesetz | SWIFT-Code UK National Insurance Number (NINO) US-/UK-Passnummer |
Datenschutz- und elektronische Kommunikationsbestimmungen des Vereinigten Königreichs | SWIFT-Code |
Gesetze zur Vertraulichkeit von US-amerikanischen Sozialversicherungsnummern | US-Sozialversicherungsnummer (SSN) |
US-Bundesgesetze zur Meldung von Verstößen | Kreditkartennummer US-Bankkontonummer US-Führerscheinnummer US-Sozialversicherungsnummer (SSN) |
DLP-Abfragen
Bevor Sie Ihre DLP-Richtlinien erstellen, möchten Sie möglicherweise sehen, welche vertraulichen Informationen bereits in Ihren Websitesammlungen vorhanden sind. Dazu erstellen und führen Sie DLP-Abfragen im eDiscovery Center aus.
Eine DLP-Abfrage funktioniert genauso wie eine eDiscovery-Abfrage. Je nachdem, welche DLP-Vorlage Sie auswählen, wird die DLP-Abfrage so konfiguriert, dass nach bestimmten Arten vertraulicher Informationen gesucht wird. Wählen Sie zuerst die Orte aus, die Sie durchsuchen möchten, und dann können Sie die Abfrage feinabstimmen, da sie Keyword Query Language (KQL) unterstützt. Darüber hinaus können Sie die Abfrage eingrenzen, indem Sie einen Datumsbereich, bestimmte Autoren, SharePoint-Eigenschaftswerte oder Standorte auswählen. Und genau wie bei einer eDiscovery-Abfrage können Sie die Abfrageergebnisse in der Vorschau anzeigen, exportieren und herunterladen.
DLP-Richtlinien
Eine DLP-Richtlinie hilft Ihnen, vertrauliche Informationen zu identifizieren, zu überwachen und automatisch zu schützen, die allgemeinen Branchenvorschriften unterliegen. Sie wählen aus, welche Arten von vertraulichen Informationen geschützt werden sollen und welche Maßnahmen ergriffen werden sollen, wenn Inhalte mit solchen vertraulichen Informationen erkannt werden. Eine DLP-Richtlinie kann den Compliance-Beauftragten durch Senden eines Vorfallberichts benachrichtigen, den Benutzer mit einem Richtlinientipp auf der Website benachrichtigen und optional den Zugriff auf das Dokument für alle außer dem Website-Eigentümer, dem Inhaltseigentümer und demjenigen, der das Dokument zuletzt geändert hat, blockieren. Schließlich bietet der Richtlinientipp eine Option zum Überschreiben der Blockierungsaktion, sodass Benutzer weiterhin mit Dokumenten arbeiten können, wenn sie eine geschäftliche Begründung haben oder einen Fehlalarm melden müssen.
Sie erstellen und verwalten DLP-Richtlinien im Compliance Policy Center. Das Erstellen einer DLP-Richtlinie erfolgt in zwei Schritten: Zuerst erstellen Sie die DLP-Richtlinie, und dann weisen Sie die Richtlinie einer Websitesammlung zu.
Schritt 1: Erstellen einer DLP-Richtlinie
Wenn Sie eine DLP-Richtlinie erstellen, wählen Sie eine DLP-Vorlage aus, die nach den Arten vertraulicher Informationen sucht, die Sie identifizieren, überwachen und automatisch schützen müssen.
Wenn eine DLP-Richtlinie Inhalte findet, die die von Ihnen ausgewählte Mindestanzahl von Instanzen einer bestimmten Art vertraulicher Informationen enthalten – beispielsweise fünf Kreditkartennummern oder eine einzelne Sozialversicherungsnummer –, kann die DLP-Richtlinie die vertraulichen Informationen automatisch schützen folgende Maßnahmen ergreifen:
Senden eines Vorfallberichts an die von Ihnen ausgewählten Personen (z. B. Ihren Compliance-Beauftragten) mit Einzelheiten zum Vorfall. Dieser Bericht enthält Details zu den erkannten Inhalten wie Titel, Eigentümer des Dokuments und welche vertraulichen Informationen erkannt wurden. Um Vorfallberichte zu senden, müssen Sie die Einstellungen für ausgehende E-Mail in der Zentraladministration konfigurieren.
Benachrichtigen des Benutzers mit einem Richtlinientipp , wenn Dokumente mit vertraulichen Informationen gespeichert oder bearbeitet werden. Der Richtlinientipp erklärt, warum dieses Dokument mit einer DLP-Richtlinie in Konflikt steht, damit die Benutzer Abhilfemaßnahmen ergreifen können, z. B. das Entfernen vertraulicher Informationen aus dem Dokument. Wenn das Dokument konform ist, verschwindet der Richtlinientipp.
Sperren des Zugriffs auf den Inhalt für alle außer dem Eigentümer der Website, dem Eigentümer des Dokuments und der Person, die das Dokument zuletzt geändert hat. Diese Personen können die vertraulichen Informationen aus dem Dokument entfernen oder andere Abhilfemaßnahmen ergreifen. Wenn das Dokument konform ist, werden die ursprünglichen Berechtigungen automatisch wiederhergestellt. Es ist wichtig zu verstehen, dass der Richtlinientipp den Benutzern die Möglichkeit gibt, die Sperraktion zu überschreiben. Richtlinientipps können somit dazu beitragen, Benutzer über Ihre DLP-Richtlinien aufzuklären und sie durchzusetzen, ohne die Menschen an ihrer Arbeit zu hindern.
Schritt 2: Zuweisen einer DLP-Richtlinie
Nachdem Sie eine DLP-Richtlinie erstellt haben, müssen Sie sie einer oder mehreren Websitesammlungen zuweisen, wo sie beginnen kann, vertrauliche Informationen an diesen Orten zu schützen. Eine einzelne Richtlinie kann vielen Websitesammlungen zugewiesen werden, aber jede Zuweisung muss einzeln erstellt werden.
Politische Tipps
Sie möchten, dass Personen in Ihrer Organisation, die mit vertraulichen Informationen arbeiten, Ihre DLP-Richtlinien einhalten, aber Sie möchten sie nicht unnötig daran hindern, ihre Arbeit zu erledigen. Hier können Tipps aus der Politik helfen.
Ein Richtlinientipp ist eine Benachrichtigung oder Warnung, die angezeigt wird, wenn jemand mit Inhalten arbeitet, die mit einer DLP-Richtlinie in Konflikt stehen – beispielsweise Inhalte wie eine Excel-Arbeitsmappe, die personenbezogene Daten (PII) enthält und auf einer Website gespeichert ist.
Sie können Richtlinientipps verwenden, um das Bewusstsein zu schärfen und Menschen über die Richtlinien Ihrer Organisation aufzuklären. Richtlinientipps geben Benutzern auch die Möglichkeit, die Richtlinie außer Kraft zu setzen, sodass sie nicht blockiert werden, wenn sie eine gültige geschäftliche Notwendigkeit haben oder wenn die Richtlinie einen Fehlalarm erkennt.
Anzeigen oder Überschreiben eines Richtlinientipps
Um Maßnahmen für ein Dokument zu ergreifen, z. B. das Außerkraftsetzen der DLP-Richtlinie oder das Melden eines Fehlalarms, können Sie das Menü Öffnen ... für das Element > Richtlinientipp anzeigen auswählen.
Der Richtlinientipp listet die Probleme mit dem Inhalt auf, und Sie können Beheben auswählen und dann den Richtlinientipp überschreiben oder einen Fehlalarm melden.
Details zur Funktionsweise von Richtlinientipps
Beachten Sie, dass Inhalte mit mehr als einer DLP-Richtlinie übereinstimmen können, aber nur der Richtlinientipp der restriktivsten Richtlinie mit der höchsten Priorität angezeigt wird. Beispielsweise wird ein Richtlinientipp von einer DLP-Richtlinie, die den Zugriff auf Inhalte blockiert, über einem Richtlinientipp von einer Regel angezeigt, die den Benutzer einfach benachrichtigt. Dadurch wird verhindert, dass Benutzer eine Kaskade von Richtlinientipps sehen. Wenn die Richtlinientipps in der restriktivsten Richtlinie es Personen ermöglichen, die Richtlinie außer Kraft zu setzen, werden durch das Außerkraftsetzen dieser Richtlinie auch alle anderen Richtlinien außer Kraft gesetzt, mit denen der Inhalt übereinstimmt.
DLP-Richtlinien werden mit Websites synchronisiert, und Inhalte werden regelmäßig und asynchron mit ihnen abgeglichen (siehe nächster Abschnitt). Daher kann es zwischen dem Zeitpunkt, an dem Sie die DLP-Richtlinie erstellen, und dem Zeitpunkt, an dem Sie beginnen, Richtlinientipps zu sehen, zu einer kurzen Verzögerung kommen.
Funktionsweise von DLP-Richtlinien
DLP erkennt vertrauliche Informationen mithilfe einer umfassenden Inhaltsanalyse (nicht nur eines einfachen Textscans). Diese tiefgreifende Inhaltsanalyse verwendet Keyword-Übereinstimmungen, die Auswertung regulärer Ausdrücke, interne Funktionen und andere Methoden, um Inhalte zu erkennen, die Ihren DLP-Richtlinien entsprechen. Möglicherweise gilt nur ein kleiner Prozentsatz Ihrer Daten als sensibel. Eine DLP-Richtlinie kann genau diese Daten identifizieren, überwachen und automatisch schützen, ohne Personen zu behindern oder zu beeinträchtigen, die mit dem Rest Ihrer Inhalte arbeiten.
Nachdem Sie eine DLP-Richtlinie im Compliance Policy Center erstellt haben, wird sie als Richtliniendefinition auf dieser Website gespeichert. Wenn Sie die Richtlinie dann verschiedenen Websitesammlungen zuweisen, wird die Richtlinie mit diesen Orten synchronisiert, wo sie beginnt, Inhalte auszuwerten und Aktionen wie das Senden von Vorfallberichten, das Anzeigen von Richtlinientipps und das Blockieren des Zugriffs durchzusetzen.
Richtlinienbewertung in Websites
In all Ihren Websitesammlungen ändern sich Dokumente ständig – sie werden ständig erstellt, bearbeitet, geteilt und so weiter. Dies bedeutet, dass Dokumente jederzeit mit einer DLP-Richtlinie in Konflikt geraten oder konform werden können. Beispielsweise kann eine Person ein Dokument, das keine vertraulichen Informationen enthält, auf ihre Teamwebsite hochladen, aber später kann eine andere Person dasselbe Dokument bearbeiten und ihm vertrauliche Informationen hinzufügen.
Aus diesem Grund prüfen DLP-Richtlinien häufig im Hintergrund Dokumente auf Richtlinienübereinstimmungen. Sie können sich dies als asynchrone Richtlinienauswertung vorstellen.
So funktioniert das. Wenn Benutzer Dokumente auf ihren Websites hinzufügen oder ändern, scannt die Suchmaschine den Inhalt, sodass Sie später danach suchen können. Dabei werden die Inhalte auch nach sensiblen Informationen durchsucht. Alle gefundenen vertraulichen Informationen werden sicher im Suchindex gespeichert, sodass nur das Compliance-Team darauf zugreifen kann, nicht jedoch typische Benutzer. Jede DLP-Richtlinie, die Sie aktiviert haben, wird im Hintergrund (asynchron) ausgeführt, überprüft die Suche häufig auf Inhalte, die einer Richtlinie entsprechen, und wendet Maßnahmen an, um sie vor unbeabsichtigten Lecks zu schützen.
Schließlich können Dokumente mit einer DLP-Richtlinie in Konflikt geraten, aber sie können auch mit einer DLP-Richtlinie konform werden. Wenn eine Person beispielsweise Kreditkartennummern zu einem Dokument hinzufügt, kann dies dazu führen, dass eine DLP-Richtlinie den Zugriff auf das Dokument automatisch blockiert. Wenn die Person die vertraulichen Informationen jedoch später entfernt, wird die Aktion (in diesem Fall das Blockieren) automatisch rückgängig gemacht, wenn das Dokument das nächste Mal anhand der Richtlinie ausgewertet wird.
DLP wertet alle Inhalte aus, die indiziert werden können. Weitere Informationen dazu, welche Dateitypen standardmäßig gecrawlt werden, finden Sie unter Standardmäßig gecrawlte Dateinamenerweiterungen und geparste Dateitypen .
Zeigen Sie DLP-Ereignisse in den Nutzungsprotokollen an
Sie können die DLP-Richtlinienaktivität in den Nutzungsprotokollen auf dem Server anzeigen, auf dem SharePoint Server 2016 ausgeführt wird. Beispielsweise können Sie den Text anzeigen, der von Benutzern eingegeben wird, wenn sie einen Richtlinientipp außer Kraft setzen oder einen falsch positiven Wert melden.
Zuerst müssen Sie die Option in der Zentraladministration aktivieren ( Überwachung > Nutzungs- und Integritätsdatenerfassung konfigurieren > Nutzungsdaten für einfache Protokollereignisse_SPUnifiedAuditEntry ). Weitere Informationen zur Nutzungsprotokollierung finden Sie unter Nutzungs- und Integritätsdatenerfassung konfigurieren .
Nachdem Sie diese Funktion aktiviert haben, können Sie die Nutzungsberichte auf dem Server öffnen und die von Benutzern bereitgestellten Begründungen für das Außerkraftsetzen eines DLP-Richtlinientipps zusammen mit anderen DLP-Ereignissen anzeigen.
Bevor Sie mit DLP beginnen
In diesem Thema werden einige der Features beschrieben, von denen DLP abhängig ist. Diese beinhalten:
Um vertrauliche Informationen in Ihren Websitesammlungen zu erkennen und zu klassifizieren, starten Sie den Suchdienst und definieren Sie einen Crawlzeitplan für Ihre Inhalte.
Aktivieren Sie ausgehende E-Mails.
Aktivieren Sie den Nutzungsbericht, um Benutzerüberschreibungen und andere DLP-Ereignisse anzuzeigen.
Erstellen Sie die Websitesammlungen:
Erstellen Sie für DLP-Abfragen die eDiscovery Center-Websitesammlung.
Erstellen Sie für DLP-Richtlinien die Websitesammlung des Compliance-Richtliniencenters.
Erstellen Sie eine Sicherheitsgruppe für Ihr Compliance-Team, und fügen Sie dann der Gruppe „Besitzer" im eDiscovery Center oder im Compliance Policy Center eine Sicherheitsgruppe hinzu.
Zum Ausführen von DLP-Abfragen sind Anzeigeberechtigungen für alle Inhalte erforderlich, die von der Abfrage durchsucht werden – weitere Informationen finden Sie unter Erstellen einer DLP-Abfrage in SharePoint Server 2016 .
No comments:
Post a Comment