Az üzleti szabványoknak és az iparági előírásoknak való megfelelés érdekében a szervezeteknek meg kell védeniük a bizalmas információkat, és meg kell akadályozni azok véletlen nyilvánosságra hozatalát. A szervezeten kívüli kiszivárogtatást megakadályozó bizalmas információk közé tartozhatnak például pénzügyi adatok vagy személyazonosításra alkalmas adatok (PII), például hitelkártyaszámok, társadalombiztosítási számok vagy nemzeti azonosítók. A SharePoint Server 2016 adatveszteség-megelőzési (DLP) házirendjével azonosíthatja, figyelheti és automatikusan megvédheti a bizalmas adatokat a webhelycsoportokban.
A DLP-vel a következőkkel végezheti el a következőt:
-
Hozzon létre egy DLP-lekérdezést, amely azonosítja, hogy milyen bizalmas adatok vannak a webhelycsoportokban. A DLP-házirendek létrehozása előtt gyakran hasznos látni, hogy a szervezeten belüli személyek milyen típusú bizalmas információkkal dolgoznak, és mely webhelycsoportok tartalmazzák ezeket a bizalmas információkat. Egy DLP-lekérdezéssel megkeresheti a gyakori iparági szabályozások hatálya alá tartozó bizalmas információkat, jobban megértheti a kockázatokat, és meghatározhatja, hogy a DLP-szabályzatok milyen bizalmas információkat és hol védenek.
-
Hozzon létre egy DLP-házirendet a webhelycsoportok bizalmas adatainak figyeléséhez és automatikus védelméhez. Beállíthat például egy házirendet, amely egy házirendtippet jelenít meg a felhasználóknak, ha személyazonosításra alkalmas adatokat tartalmazó dokumentumokat mentenek. Emellett a szabályzat automatikusan letilthatja a hozzáférést ezekhez a dokumentumokhoz mindenki számára, kivéve a webhelytulajdonost, a tartalomtulajdonost és a dokumentumot utoljára módosító személyeket. Végül pedig, mivel nem szeretné, hogy a DLP-szabályzatok megakadályozzák a felhasználók munkáját, a házirendtippnek lehetősége van felülbírálni a blokkolási műveletet, hogy a felhasználók üzleti indoklás esetén is dolgozhassanak a dokumentumokon.
DLP-sablonok
DLP-lekérdezés vagy DLP-szabályzat létrehozásakor a gyakori szabályozási követelményeknek megfelelő DLP-sablonok listájából választhat. Minden DLP-sablon meghatározott típusú bizalmas adatokat azonosít – például az Usa-beli személyazonosításra alkalmas adatok (PII) nevű sablon azonosítja az egyesült államokbeli és az egyesült királyságbeli útlevélszámokat, az egyesült államokbeli egyéni adófizetői azonosítószámokat (ITIN) vagy az egyesült államokbeli társadalombiztosítási számokat (SSN).
Bizalmasadat-típusok
A DLP-házirendek segítenek a bizalmas adatok védelmében, amely bizalmas információtípusként van definiálva. A SharePoint Server 2016 számos olyan gyakori bizalmasadat-típus definícióit tartalmazza, amelyek használatra készek, például hitelkártyaszám, bankszámlaszámok, nemzeti azonosítók és útlevélszámok.
Amikor egy DLP-házirend bizalmas adattípust, például hitelkártyaszámot keres, nem csak egy 16 jegyű számot keres. Az egyes bizalmasadat-típusokat a rendszer a következő kombinációkkal definiálja és észleli:
-
Kulcsszavak
-
Belső függvények ellenőrzőösszegek vagy összetétel ellenőrzéséhez
-
Reguláris kifejezések kiértékelése minta egyezések kereséséhez
-
Egyéb tartalomvizsgálat
Ez segít a DLP-észlelésben, hogy nagy pontosságot érjen el, miközben csökkenti az emberek munkáját megszakító téves pozitívok számát.
Minden DLP-sablon egy vagy több bizalmas információt keres. Az egyes bizalmasadat-típusok működésével kapcsolatos további információkért lásd: Milyen bizalmasadat-típusokat keresnek a SharePoint Server 2016-ban?
|
Ez a DLP-sablon... |
Ezeket a bizalmasadat-típusokat keresi... |
|---|---|
|
Az Egyesült Államok személyazonosításra alkalmas adatai |
Egyesült államokbeli/egyesült királyságbeli útlevélszám Egyesült államokbeli egyéni adófizetői azonosítószám (ITIN) Egyesült államokbeli társadalombiztosítási szám (SSN) |
|
Amerikai Gramm-Leach-Bliley Act (GLBA) |
Hitelkártyaszám Egyesült államokbeli bankszámlaszám Egyesült államokbeli egyéni adófizetői azonosítószám (ITIN) Egyesült államokbeli társadalombiztosítási szám (SSN) |
|
PCI Data Security Standard (PCI DSS) |
Hitelkártyaszám |
|
Egyesült Királyság pénzügyi adatai |
Hitelkártyaszám Az Európai Unió országainak bankkártyaszámai SWIFT-kód |
|
Amerikai pénzügyi adatok |
ABA bankazonosító kód Hitelkártyaszám Egyesült államokbeli bankszámlaszám |
|
Egyesült Királyságbeli személyazonosításra alkalmas adatok |
Egyesült királyságbeli nemzeti biztosítási szám (NINO) Egyesült államokbeli/egyesült királyságbeli útlevélszám |
|
Egyesült Királyság adatvédelmi törvénye |
SWIFT-kód Egyesült királyságbeli nemzeti biztosítási szám (NINO) Egyesült államokbeli/egyesült királyságbeli útlevélszám |
|
Egyesült Királyság adatvédelmi és elektronikus kommunikációs szabályzatai |
SWIFT-kód |
|
Amerikai állami társadalombiztosítási szám bizalmassági törvények |
Egyesült államokbeli társadalombiztosítási szám (SSN) |
|
Az Amerikai Egyesült Államok állambiztonsági szabálysértésekkel kapcsolatos értesítési törvényei |
Hitelkártyaszám Egyesült államokbeli bankszámlaszám Egyesült államokbeli jogosítványszám Egyesült államokbeli társadalombiztosítási szám (SSN) |
DLP-lekérdezések
A DLP-házirendek létrehozása előtt érdemes lehet megtekintenie, hogy milyen bizalmas információk léteznek már a webhelycsoportokban. Ehhez DLP-lekérdezéseket kell létrehoznia és futtatnia az Elektronikus adatok feltárása központban.
A DLP-lekérdezések ugyanúgy működnek, mint az elektronikus adatfeltárási lekérdezések. A választott DLP-sablon alapján a DLP-lekérdezés úgy van konfigurálva, hogy meghatározott típusú bizalmas adatokat keressen. Először válassza ki a keresendő helyeket, majd finomhangolhatja a lekérdezést, mert támogatja a kulcsszólekérdezés nyelvét (KQL). Emellett egy dátumtartomány, adott szerzők, SharePoint-tulajdonságértékek vagy helyek kiválasztásával szűkítheti a lekérdezést. Az elektronikus feltárási lekérdezéshez hasonlóan megtekintheti, exportálhatja és letöltheti a lekérdezés eredményeit.
DLP-szabályzatok
A DLP-házirendek segítségével azonosíthatja, monitorozhatja és automatikusan megvédheti a közös iparági szabályozások hatálya alá tartozó bizalmas adatokat. Kiválaszthatja, hogy milyen típusú bizalmas adatokat kell védenie, és milyen műveleteket kell végrehajtania az ilyen bizalmas információkat tartalmazó tartalom észlelésekor. A DLP-házirendek értesíthetik a megfelelőségi tisztviselőt egy incidensjelentés küldésével, a felhasználót egy házirendtipptel a webhelyen, és opcionálisan letilthatja a dokumentumhoz való hozzáférést a webhely tulajdonosán, a tartalomtulajdonoson és a dokumentum utolsó módosításán áteső személyen kikapcsolva. Végül a szabályzattippnek lehetősége van felülbírálni a blokkolási műveletet, így a felhasználók továbbra is dolgozhatnak a dokumentumokkal, ha üzleti indoklással rendelkeznek, vagy ha hamis pozitív eredményt kell jelenteniük.
DLP-szabályzatokat a Megfelelőségi szabályzatok központban hozhat létre és kezelhet. A DLP-házirendek létrehozása két lépésből áll: először létre kell hoznia a DLP-házirendet, majd hozzá kell rendelnie a házirendet egy webhelycsoporthoz.
1. lépés: DLP-szabályzat létrehozása
DLP-szabályzat létrehozásakor olyan DLP-sablont választ, amely megkeresi az azonosításhoz, monitorozáshoz és automatikus védelemhez szükséges bizalmas adatok típusait.
Ha egy DLP-házirend olyan tartalmat talál, amely tartalmazza a kiválasztott bizalmas adatok minimális számát (például öt hitelkártyaszámot vagy egyetlen társadalombiztosítási számot), akkor a DLP-házirend az alábbi műveletek végrehajtásával automatikusan képes megvédeni a bizalmas adatokat:
-
Incidensjelentés küldése a kiválasztott személyeknek (például a megfelelőségi tisztviselőnek) az esemény részleteivel. Ez a jelentés tartalmazza az észlelt tartalom részleteit, például a címet, a dokumentum tulajdonosát és az észlelt bizalmas információkat. Incidensjelentések küldéséhez konfigurálnia kell a kimenő e-mail-beállításokat a központi felügyeletben.
-
A felhasználó értesítése egy házirendtipptel a bizalmas adatokat tartalmazó dokumentumok mentésekor vagy szerkesztésekor. A házirendtipp elmagyarázza, hogy ez a dokumentum miért ütközik egy DLP-szabályzattal, hogy a felhasználók javítási műveletet hajthassanak végre, például eltávolíthassák a bizalmas adatokat a dokumentumból. Ha a dokumentum megfelelő, a szabályzattipp eltűnik.
-
A tartalomhoz való hozzáférés letiltása mindenki számára, kivéve a webhely tulajdonosát, a dokumentum tulajdonosát és a dokumentumot utoljára módosító személyt. Ezek a személyek eltávolíthatják a bizalmas adatokat a dokumentumból, vagy más javítási műveletet hajthatnak végre. Ha a dokumentum megfelelő, a rendszer automatikusan visszaállítja az eredeti engedélyeket. Fontos tisztában lenni azzal, hogy a szabályzattipp lehetővé teszi, hogy felülbírálják a blokkolási műveletet. A házirendtippek így segíthetnek a felhasználóknak a DLP-szabályzatok megismerésében és betartatásában anélkül, hogy akadályozná a felhasználókat a munkájukban.
2. lépés: DLP-szabályzat hozzárendelése
Miután létrehozott egy DLP-házirendet, hozzá kell rendelnie egy vagy több webhelycsoporthoz, ahol megkezdheti a bizalmas adatok védelmét ezekben a helyeken. Egyetlen szabályzat több webhelycsoporthoz is hozzárendelhető, de mindegyik hozzárendelést egyenként kell létrehozni.
Házirendtippek
Azt szeretné, hogy a szervezet bizalmas információkkal dolgozó tagjai megfeleljenek a DLP-szabályzatoknak, de nem szeretné szükségtelenül letiltani őket a munkájuk elvégzésében. Itt segíthetnek a szabályzattippek.
A házirendtippek olyan értesítések vagy figyelmeztetések, amelyek akkor jelennek meg, ha valaki olyan tartalommal dolgozik, amely ütközik egy DLP-házirenddel – például olyan tartalommal, mint egy személyazonosításra alkalmas adatokat (PII) tartalmazó Excel-munkafüzet, amelyet egy webhelyre ment.
A szabályzattippek segítségével növelheti a tudatosságot, és felkészítheti a felhasználókat a szervezet házirendjeire. A szabályzattippekkel a felhasználók felülbírálhatják a szabályzatot, így nem lesznek letiltva, ha érvényes üzleti igényük van, vagy ha a szabályzat téves pozitív eredményt észlel.
Szabályzattipp megtekintése vagy felül bírálása
Ha műveletet szeretne végezni egy dokumentumon, például felül szeretné bírálni a DLP-házirendet, vagy hamis pozitív értéket szeretne jelenteni, válassza a Megnyitás ... menüt az elemhez > Házirendmegtekintési tipp megtekintése.
A házirendtipp felsorolja a tartalommal kapcsolatos problémákat, és kiválaszthatja a Feloldás lehetőséget, majd felülbírálhatja a szabályzattippet vagy a Téves pozitív jelentés lehetőséget .
A szabályzattippek működésének részletei
Vegye figyelembe, hogy a tartalom egynél több DLP-szabályzatnak is megfelelhet, de csak a legszigorúbb, legmagasabb prioritású szabályzat házirendtippje jelenik meg. Például egy olyan DLP-házirend házirendtippje, amely blokkolja a tartalomhoz való hozzáférést, egy olyan szabály házirendtippén keresztül jelenik meg, amely egyszerűen értesíti a felhasználót. Ez megakadályozza, hogy a felhasználók a szabályzattippek kaszkádját láthassák. Továbbá, ha a legszigorúbb szabályzatban szereplő szabályzattippek lehetővé teszik, hogy a felhasználók felülbírálják a szabályzatot, akkor a szabályzat felülbírálása felülbírálja a tartalomnak megfelelő többi házirendet is.
A DLP-házirendek szinkronizálódnak a webhelyekre, és a tartalom kiértékelése rendszeres időközönként és aszinkron módon történik (lásd a következő szakaszt), így a DLP-házirend létrehozása és a szabályzattippek megtekintésének megkezdése között rövid késleltetés lehet.
A DLP-szabályzatok működése
A DLP mélytartalom-elemzéssel észleli a bizalmas információkat (nem csak egy egyszerű szöveges vizsgálattal). Ez a mély tartalomelemzés kulcsszó-egyezéseket, reguláris kifejezések kiértékelését, belső függvényeket és más módszereket használ a DLP-szabályzatoknak megfelelő tartalom észlelésére. A rendszer az adatoknak csak egy kis százalékát tekinti bizalmasnak. A DLP-szabályzatok képesek azonosítani, monitorozni és automatikusan védeni csak azokat az adatokat, anélkül, hogy akadályoznák vagy befolyásolnák azokat, akik a tartalom többi részével dolgoznak.
Miután létrehozott egy DLP-szabályzatot a Megfelelőségi házirend-központban, a rendszer az adott webhelyen tárolja azt szabályzatdefinícióként. Ezután, amikor a szabályzatot különböző webhelycsoportokhoz rendeli, a rendszer szinkronizálja a házirendet azokkal a helyekkel, ahol megkezdi a tartalom kiértékelését és az olyan műveletek kényszerítését, mint az incidensjelentések küldése, a házirendtippek megjelenítése és a hozzáférés letiltása.
Szabályzatok kiértékelése a webhelyeken
Az összes webhelycsoportban a dokumentumok folyamatosan változnak – folyamatosan jönnek létre, szerkesztenek, osztanak meg és így tovább. Ez azt jelenti, hogy a dokumentumok bármikor ütközhetnek egy DLP-szabályzattal, vagy megfelelővé válhatnak. Például egy személy feltölthet egy olyan dokumentumot, amely nem tartalmaz bizalmas információkat a csoportwebhelyre, de később egy másik személy szerkesztheti ugyanazt a dokumentumot, és bizalmas információkat adhat hozzá.
Ezért a DLP-szabályzatok gyakran ellenőrzik a dokumentumokban, hogy a szabályzatok megegyeznek-e a háttérben. Ezt aszinkron szabályzatértékelésnek tekintheti.
Így működik. Amikor a felhasználók dokumentumokat adnak hozzá vagy módosítanak a webhelyükön, a keresőmotor megvizsgálja a tartalmat, hogy később rákereshessenek. Amíg ez történik, a tartalom bizalmas információkat is keres. A talált bizalmas információkat a rendszer biztonságosan tárolja a keresési indexben, hogy csak a megfelelőségi csapat férhessen hozzá, de a tipikus felhasználókhoz nem. Minden bekapcsolt DLP-szabályzat a háttérben fut (aszinkron módon), ellenőrzi a szabályzatnak megfelelő tartalmak gyakori keresését, és műveleteket alkalmaz a véletlen szivárgások elleni védelem érdekében.
Végül a dokumentumok ütközhetnek egy DLP-szabályzattal, de a DLP-szabályzatnak is megfelelővé válhatnak. Ha például egy személy hitelkártyaszámokat ad hozzá egy dokumentumhoz, előfordulhat, hogy egy DLP-szabályzat automatikusan letiltja a dokumentumhoz való hozzáférést. Ha azonban a személy később eltávolítja a bizalmas adatokat, a művelet (ebben az esetben a blokkolás) automatikusan vissza lesz vonva a dokumentum következő kiértékelésekor a szabályzat alapján.
A DLP kiértékeli az indexelhető tartalmakat. Az alapértelmezés szerint bejárt fájltípusokról további információt az Alapértelmezett bejárt fájlnévkiterjesztések és az elemzett fájltípusok című témakörben talál.
DLP-események megtekintése a használati naplókban
A DLP-házirendtevékenységeket a SharePoint Server 2016-ot futtató kiszolgáló használati naplóiban tekintheti meg. Megtekintheti például a felhasználók által megadott szöveget, amikor felülbírálnak egy szabályzattippet, vagy hamis pozitív eredményt adnak.
Először be kell kapcsolnia a Központi felügyelet (Monitorozási > Használati és állapotadatok gyűjtésének konfigurálása > Simple Log Event Usage Data_SPUnifiedAuditEntry) beállítását. A használati naplózással kapcsolatos további információkért lásd: Használati és állapotadatok gyűjtésének konfigurálása.
A funkció bekapcsolása után megnyithatja a használati jelentéseket a kiszolgálón, és megtekintheti a felhasználók által a DLP-házirendtippek felülbírálására vonatkozó indoklásokat, valamint a többi DLP-eseményt.
A DLP használatának megkezdése előtt
Ez a témakör néhány olyan funkciót ismertet, amelyektől a DLP függ. Ezek közé tartoznak az alábbiak:
-
A webhelycsoportok bizalmas adatainak észleléséhez és besorolásához indítsa el a keresési szolgáltatást, és határozza meg a tartalom bejárási ütemezését.
-
Kapcsolja be a kimenő e-maileket.
-
A felhasználói felülbírálások és más DLP-események megtekintéséhez kapcsolja be a használati jelentést.
-
Hozza létre a webhelycsoportokat:
-
DLP-lekérdezésekhez hozza létre az Elektronikus adatok feltárása központ webhelycsoportot.
-
DLP-szabályzatok esetén hozza létre a Megfelelőségi házirendközpont webhelycsoportot.
-
-
Hozzon létre egy biztonsági csoportot a megfelelőségi csapat számára, majd adja hozzá a biztonsági csoportot a Tulajdonosok csoporthoz az Elektronikus adatok feltárása központban vagy a Megfelelőségi szabályzatközpontban.
-
DLP-lekérdezések futtatásához a lekérdezés által keresendő összes tartalomhoz megtekintési engedélyek szükségesek – további információt A DLP-lekérdezés létrehozása a SharePoint Server 2016-ban című témakörben talál.
