מבט כולל על מניעת אובדן נתונים ב- SharePoint Server 2016 וב- 2019

כדי לציית לתקנים עסקיים ולתקנות התעשייה, ארגונים צריכים להגן על מידע רגיש ולמנוע את החשיפה שאינה מוגנת. דוגמאות למידע רגיש שייתכן שתרצה למנוע דליפה מחוץ לארגון שלך כוללות נתונים פיננסיים או מידע המאפשר זיהוי אישי (PII), כגון מספרי כרטיסי אשראי, מספרי תעודת זהות או מספרי זיהוי לאומיים. עם מדיניות מניעת אובדן נתונים (DLP) ב- SharePoint Server 2016, באפשרותך לזהות, לנטר ולהגן באופן אוטומטי על מידע רגיש בכל אוספי האתרים שלך.

עם DLP, באפשרותך:

צור שאילתת DLP כדי לזהות איזה מידע רגיש קיים כעת באוספי האתרים שלך. לפני יצירת פריטי מדיניות DLP, מומלץ לעתים קרובות לראות עם אילו סוגים של מידע רגיש אנשים בארגון שלך עובדים, ועל אילו אוספי אתרים מכילים מידע רגיש זה. באמצעות שאילתת DLP, תוכל למצוא מידע רגיש בכפוף לתקנות המקובלות בתעשייה, להבין טוב יותר את הסיכונים שלך ולברר על מה והיכן נמצא המידע הרגיש שמדיניות DLP שלך צריכה להגן עליו.
צור מדיניות DLP כדי לנטר ולהגן באופן אוטומטי על מידע רגיש באוספים של האתרים שלך. לדוגמה, באפשרותך להגדיר מדיניות המציגה עצת מדיניות למשתמשים אם הם שומרים מסמכים המכילים מידע המאפשר זיהוי אישי. בנוסף, המדיניות יכולה לחסום באופן אוטומטי גישה למסמכים אלה עבור כולם מלבד בעלי האתר, בעלי התוכן ומי ששינה את המסמך לאחרונה. ולסיום, מאחר שאינך מעוניין שמדיניות DLP תמנע מאנשים לבצע את עבודתם, עצת המדיניות כוללת אפשרות לעקוף את פעולת החסימה, כך שאנשים יוכלו להמשיך לעבוד עם מסמכים אם יש להם יישור עסקי.

תבניות DLP

בעת יצירת שאילתת DLP או מדיניות DLP, באפשרותך לבחור מתוך רשימה של תבניות DLP התואמות לדרישות תקינה נפוצות. כל תבנית DLP מזהה סוגים ספציפיים של מידע רגיש – לדוגמה, התבנית בשם נתוני מידע המאפשר זיהוי אישי (PII) בארה"ב מזהה תוכן המכיל מספרי דרכון אמריקאיים ואוסטרליה, מספרי זיהוי פרטיים של משלם המסים (ITIN) בארה"ב או מספרי תעודת זהות (SSN) בארה"ב.

תבניות מדיניות DLP

סוגי מידע רגיש

מדיניות DLP עוזרת להגן על מידע רגיש, המוגדר כסוג מידע רגיש. SharePoint Server 2016 כולל הגדרות עבור סוגי מידע רגיש נפוצים רבים המוכנים לשימוש, כגון מספר כרטיס אשראי, מספרי חשבון בנק, מספרי זיהוי לאומיים ומספרי דרכון.

כאשר מדיניות DLP מחפש סוג מידע רגיש כגון מספר כרטיס אשראי, היא אינה פשוט מחפש מספר בן 16 ספרות. כל סוג מידע רגיש מוגדר ומ שזוהה באמצעות שילוב של:

מילות מפתח
פונקציות פנימיות לאימות בדיקת סיכום או קומפוזיציה
הערכה של ביטויים רגילים לאיתור התאמות לתבנית
בדיקת תוכן אחרת

פעולה זו מסייעת לזיהוי DLP להשיג מידת דיוק גבוהה, תוך צמצום מספר חיוביות מוטעות שעלולות להפריע לעבודת האנשים.

כל תבנית DLP מחפש סוג אחד או יותר של מידע רגיש. לקבלת מידע נוסף אודות אופן הפעולה של כל סוג מידע רגיש, ראה מה המראה של סוגי המידע הרגיש ב- SharePoint Server 2016.

תבנית DLP זו...	מחפש סוגי מידע רגישים אלה...
נתוני מידע המאפשר זיהוי אישי (PII) של ארה"ב	מספר דרכון אמריקאי/בריטי מספר זיהוי של משלם המסים (ITIN) בארה"ב מספר תעודת זהות בארה"ב (SSN)
ה-U.S. Gramm-Leach-Bliley Act (GLBA)	מספר כרטיס אשראי מספר חשבון בנק בארה"ב מספר זיהוי של משלם המסים (ITIN) בארה"ב מספר תעודת זהות בארה"ב (SSN)
PCI Data Security Standard (PCI DSS)	מספר כרטיס אשראי
נתונים פיננסיים (בריטניה)	מספר כרטיס אשראי מספר כרטיס חיוב של האיחוד האירופי קוד SWIFT
נתונים פיננסיים בארה"ב	מספר ניתוב ABA מספר כרטיס אשראי מספר חשבון בנק בארה"ב
נתוני מידע המאפשר זיהוי אישי (PII) בריטניה	מספר ביטוח לאומי (NINO) בריטניה מספר דרכון אמריקאי/בריטי
הגנה על נתונים (בריטניה)	קוד SWIFT מספר ביטוח לאומי (NINO) בריטניה מספר דרכון אמריקאי/בריטי
תקנות הפרטיות והתקשורת האלקטרונית (בריטניה)	קוד SWIFT
חוקי הסודיות של מספר תעודת זהות בארה"ב	מספר תעודת זהות בארה"ב (SSN)
חוקי הודעות להפרת מדינה בארה"ב	מספר כרטיס אשראי מספר חשבון בנק בארה"ב מספר רישיון נהיגה של ארה"ב מספר תעודת זהות בארה"ב (SSN)

שאילתות DLP

לפני שתיצור מדיניות DLP, ייתכן שתרצה לראות איזה מידע רגיש כבר קיים בכל אוספי האתרים שלך. לשם כך, עליך ליצור ולהפעיל שאילתות DLP במרכז הגילוי האלקטרוני.

לחצן 'צור שאילתת DLP'

שאילתת DLP פועלת באופן זהה לשאילתת גילוי אלקטרוני. בהתבסס על תבנית DLP שתבחר, השאילתה DLP מוגדרת לחיפוש סוגים ספציפיים של מידע רגיש. תחילה בחר את המיקומים שבהם ברצונך לחפש ולאחר מכן תוכל לכוונן את השאילתה מאחר שהיא תומכת בשפת שאילתות מפתח (KQL). בנוסף, באפשרותך לצמצם את השאילתה על-ידי בחירת טווח תאריכים, מחברים ספציפיים, ערכי מאפיינים של SharePoint או מיקומים. בדיוק כמו שאילתת גילוי אלקטרוני, באפשרותך להציג בתצוגה מקדימה, לייצא ולהוריד את תוצאות השאילתה.

שאילתת DLP המכילה סוגי מידע רגישים

פריטי מדיניות DLP

מדיניות DLP עוזרת לך לזהות, לנטר ולהגן באופן אוטומטי על מידע רגיש בכפוף לתקנות המקובלות בתעשייה. עליך לבחור באילו סוגי מידע רגיש להגן ועל הפעולות שיש לבצע כאשר מזוהה תוכן המכיל מידע רגיש כזה. מדיניות DLP יכולה להודיע למנהל התאימות על-ידי שליחת דוח אירוע, להודיע למשתמש באמצעות עצת מדיניות באתר, ותחסום באופן אופציונלי גישה למסמך עבור כולם מלבד בעלי האתר, בעלי התוכן ומי ששינה לאחרונה את המסמך. לבסוף, עצת המדיניות כוללת אפשרות לעקוף את פעולת החסימה, כך שאנשים יוכלו להמשיך לעבוד עם מסמכים אם יש להם יישור עסקי או יצטרכו לדווח על תוצאה חיובית מוטעית.

אתה יוצר ומנהל פריטי מדיניות DLP במרכז מדיניות התאימות. יצירת מדיניות DLP היא תהליך דו-שלבי: תחילה עליך ליצור את מדיניות DLP ולאחר מכן להקצות את המדיניות לאוסף אתרים.

מרכז מדיניות התאימות

שלב 1: יצירת מדיניות DLP

בעת יצירת מדיניות DLP, אתה בוחר תבנית DLP ש מחפש את סוגי המידע הרגיש שעליך לזהות, לנטר ולהגן באופן אוטומטי.

דף מדיניות DLP חדש

כאשר מדיניות DLP מוצאת תוכן הכולל את מספר המופעים המינימלי של סוג ספציפי של מידע רגיש שאתה בוחר - לדוגמה, חמישה מספרי כרטיסי אשראי או מספר תעודת זהות יחיד – מדיניות DLP יכולה להגן באופן אוטומטי על המידע הרגיש על-ידי ביצוע הפעולות הבאות:

שליחת דוח אירוע לאנשים שאתה בוחר (כגון מנהל התאימות שלך) עם פרטי האירוע. דוח זה כולל פרטים אודות התוכן שזוהה, כגון הכותרת, בעלי המסמך איזה מידע רגיש זוהה. כדי לשלוח דוחות אירוע, עליך לקבוע את התצורה של הגדרות דואר אלקטרוני יוצא בניהול המרכזי.
הודעה למשתמש באמצעות עצת מדיניות כאשר מסמכים המכילים מידע רגיש נשמרים או נערכים. עצת המדיניות מסבירה מדוע מסמך זה מתנגש עם מדיניות DLP, כדי שאנשים יוכלו לבצע פעולה מתקנות, כגון הסרת המידע הרגיש מהמסמך. כאשר המסמך נמצא בתאימות, עצת המדיניות נעלמת.
חסימת גישה לתוכן עבור כולם למעט בעלי האתר, הבעלים של המסמך והאדם האחרון ששינה את המסמך. אנשים אלה יכולים להסיר את המידע הרגיש מהמסמך או לבצע פעולות תיקון אחרות. כאשר המסמך נמצא בתאימות, ההרשאות המקוריות ישוחזרו באופן אוטומטי. חשוב להבין כי עצת המדיניות מאפשרת לאנשים לעקוף את פעולת החסימה. לכן, עצות מדיניות יכולות לסייע בהחנת משתמשים לגבי מדיניות ה- DLP שלך ולאכוף אותן מבלי למנוע מאנשים לבצע את עבודתם.

שלב 2: הקצאת מדיניות DLP

לאחר יצירת מדיניות DLP, עליך להקצות אותה לאוספי אתרים אחד או יותר, שבו הוא יכול להתחיל לעזור להגן על מידע רגיש במיקומים אלה. ניתן להקצות מדיניות בודדת לאוספי אתרים רבים, אך יש ליצור כל הקצאה בכל פעם.

הקצאות מדיניות עבור אוספי אתרים

עצות לגבי מדיניות

אתה מעוניין שאנשים בארגון שלך שיפעלו עם מידע רגיש יישארו תואמים למדיניות DLP שלך, אך אינך מעוניין לחסום את עבודתם שלא לצורך כדי לבצע את עבודתם. כאן עצות מדיניות יכולות לעזור.

עצת מדיניות היא הודעה או אזהרה שמופיעה כאשר מישהו עובד עם תוכן המתנגש עם מדיניות DLP - לדוגמה, תוכן כגון חוברת עבודה של Excel המכיל מידע המאפשר זיהוי אישי (PII) שנשמר באתר.

באפשרותך להשתמש בעצות מדיניות כדי להגביר את המודעות ולסייע בהחנת אנשים לגבי מדיניות הארגון שלך. עצות מדיניות גם מאפשרות לאנשים לעקוף את המדיניות, כך שהם לא ייחסמו אם יש להם צורך עסקי חוקי או אם המדיניות מזהה חיובית מוטעית.

הצגה או עקיפה של עצת מדיניות

כדי לבצע פעולה במסמך, כגון עקיפת מדיניות ה- DLP או דיווח על תוצאות חיוביות מוטעות, באפשרותך לבחור בתפריט פתח ... עבור הפריט כדי > הצג עצת מדיניות.

עצת המדיניות מפרטת את הבעיות בתוכן, ובאפשרותך לבחור פתור ולאחר מכן עקוף את עצת המדיניות או דווח על תוצאה חיובית מוטעית.

עצת מדיניות עבור מסמך עקיפת עצת מדיניות

פרטים על האופן שבו עצות מדיניות פועלות

שים לב שתוכן מתאים ליותר ממדיניות DLP אחת, אך רק עצת המדיניות ממדיניות המגבילה ביותר בעדיפות הגבוהה ביותר תוצג. לדוגמה, עצת מדיניות ממדיניות DLP החוסמת גישה לתוכן תוצג על-פני עצת מדיניות מכלל שנודיע פשוט למשתמש. פעולה זו מונעת מאנשים לראות הירארכיית עצות של מדיניות. כמו כן, אם עצות המדיניות במדיניות המגבילה ביותר מאפשרות לאנשים לעקוף את המדיניות, עקיפת מדיניות זו גם עוקפת את כל פריטי המדיניות האחרים שהתוכן תאם.

פריטי מדיניות DLP מסונכרנים עם אתרים ותוכן מוערך מולם מעת לעת ובסנכרון (עיין בסעיף הבא), ולכן ייתכן שיהיה עיכוב קצר בין הזמן שבו תיצור את מדיניות ה- DLP לתקופה שבה תתחיל לראות עצות מדיניות.

כיצד פועלת מדיניות DLP

DLP מזהה מידע רגיש באמצעות ניתוח תוכן עמוק (לא רק סריקת טקסט פשוטה). ניתוח תוכן עמוק זה משתמש בהתאמות למילות מפתח, בהערכת ביטויים רגילים, בפונקציות פנימיות ובשיטות אחרות כדי לזהות תוכן התואם למדיניות DLP שלך. ייתכן שרק אחוז קטן מהנתונים שלך נחשב לרגיש. מדיניות DLP יכולה לזהות, לנטר ולהגן באופן אוטומטי רק על נתונים אלה, מבלי להשפיע על אנשים שיפעלו עם שאר התוכן שלך או ישפיעו עליה.

לאחר יצירת מדיניות DLP במרכז מדיניות התאימות, היא מאוחסנת כהגדרת מדיניות באתר זה. לאחר מכן, בעת הקצאת המדיניות לאוספי אתרים שונים, המדיניות מסונכרנת למיקומים אלה, שבהם היא מתחילה להעריך תוכן ולאכוף פעולות כגון שליחת דוחות אירועים, הצגת עצות מדיניות וחוסמת גישה.

הערכת מדיניות באתרים

בכל אוספי האתרים שלך, המסמכים משתנים ללא הרף - הם נוצרים, נערך, משותפים וכן הלאה. משמעות הדבר היא שמסמכים יכולים להתנגש או להיות תואמים למדיניות DLP בכל עת. לדוגמה, אדם יכול להעלות מסמך שאינו מכיל מידע רגיש לאתר הצוות שלו, אך מאוחר יותר, אדם אחר יכול לערוך את אותו מסמך ולהוסיף לו מידע רגיש.

מסיבה זו, מדיניות DLP בודקת מסמכים עבור התאמות מדיניות לעתים קרובות ברקע. ניתן לחשוב על הערכת מדיניות אסינכרונית זו.

כך זה עובד. כאשר אנשים מוסיפים או משתנים מסמכים באתרים שלהם, מנוע החיפוש סורק את התוכן, כך שתוכל לחפש אותו מאוחר יותר. בזמן שזה קורה, גם התוכן נסרק כדי לאתר מידע רגיש. כל המידע הרגיש שנמצא מאוחסן באופן מאובטח באינדקס החיפוש, כך שרק צוות התאימות יוכל לגשת אליו, אך לא למשתמשים טיפוסיים. כל מדיניות DLP שהפעלת פועלת ברקע (באופן אסינכרוני), מחפש לעתים קרובות אחר תוכן התואם למדיניות והחלת פעולות כדי להגן עליה מפני דליפות לא מתאימות.

דיאגרמה המציגה כיצד מדיניות DLP מעריכה תוכן באופן אסינכרוני

לבסוף, מסמכים עשויים להתנגש עם מדיניות DLP, אך הם יכולים גם להיות תואמים למדיניות DLP. לדוגמה, אם אדם מוסיף מספרי כרטיסי אשראי למסמך, מדיניות DLP עלולה לחסום גישה למסמך באופן אוטומטי. אך אם האדם יסיר מאוחר יותר את המידע הרגיש, הפעולה (במקרה זה, חסימה) תבטל באופן אוטומטי בפעם הבאה שהמסמך יוערך מול המדיניות.

הפונקציה DLP מעריכה את כל התוכן שניתן להוסיף לאינדקס. לקבלת מידע נוסף אודות סוגי הקבצים שנסרקים כברירת מחדל, ראה סיומות שמות קבצים שנסרקו כברירת מחדל וסוגי קבצים סרוקים.

הצגת אירועי DLP ביומני השימוש

באפשרותך להציג פעילות מדיניות DLP ביומני רישום השימוש בשרת שבו פועל SharePoint Server 2016. לדוגמה, באפשרותך להציג את הטקסט שהוזן על-ידי משתמשים כאשר הם עוקפים עצת מדיניות או מדווחים על חיובית מוטעית.

תחילה עליך להפעיל את האפשרות בניהול המרכזי (ניטור נתונים> קביעת תצורה של איסוף נתוני שימוש ותקינות > שימוש באירועי יומן Data_SPUnifiedAuditEntry). לקבלת מידע נוסף אודות רישום שימוש, ראה קביעת תצורה של איסוף נתוני שימוש ותקינות.

אפשרות להפעיל יומני שימוש ב- DLP

לאחר הפעלת תכונה זו, באפשרותך לפתוח את דוחות השימוש בשרת ולהצג את היישורים המסופקים על-ידי משתמשים לעקיפת עצת מדיניות DLP, יחד עם אירועי DLP אחרים.

סיבה לעקיפת משתמשים ביומן השימוש

לפני שתתחיל בעבודה עם DLP

נושא זה מתאר חלק מהתכונות שבהן תלוי DLP. חוויות אלה כוללות:

כדי לזהות ולסווג מידע רגיש אוספי האתרים שלך, הפעל את שירות החיפוש והגדיר לוח זמנים לסריקה עבור התוכן שלך.
הפעל דואר אלקטרוני יוצא.
כדי להציג עקיפות משתמשים ואירועים אחרים של DLP, הפעל את דוח השימוש.
צור את אוספי האתרים:
- עבור שאילתות DLP, צור את אוסף האתרים של מרכז הגילוי האלקטרוני.
- עבור פריטי מדיניות DLP, צור את אוסף האתרים של מרכז מדיניות התאימות.
צור קבוצת אבטחה עבור צוות התאימות ולאחר מכן הוסף קבוצת אבטחה לקבוצה 'בעלים' במרכז הגילוי האלקטרוני או במרכז מדיניות התאימות.
כדי להפעיל שאילתות DLP, נדרשות הרשאות תצוגה עבור כל התוכן שהשאילתה תחפש – לקבלת מידע נוסף, ראה יצירת שאילתת DLP ב- SharePoint Server 2016.