For å overholde forretningsstandarder og bransjeforskrifter må organisasjoner beskytte sensitiv informasjon og forhindre utilsiktet fremlegging. Eksempler på sensitiv informasjon som du kanskje vil hindre fra å lekke utenfor organisasjonen, er økonomiske data eller personlig identifiserbar informasjon (PII), for eksempel kredittkortnumre, personnumre eller nasjonale ID-numre. Med en policy for hindring av datatap (DLP) i SharePoint Server 2016 kan du identifisere, overvåke og automatisk beskytte sensitiv informasjon på tvers av nettstedssamlingene.
Med DLP kan du:
-
Opprett en DLP-spørring for å identifisere hvilken sensitiv informasjon som nå finnes i områdesamlingene. Før du oppretter DLP-policyer, er det ofte nyttig å se hvilke typer sensitiv informasjon personer i organisasjonen arbeider med, og hvilke nettstedssamlinger som inneholder denne sensitive informasjonen. Med en DLP-spørring kan du finne sensitiv informasjon som er underlagt vanlige bransjeforskrifter, bedre forstå risikoene dine, og finne ut hva og hvor er den sensitive informasjonen som DLP-policyene må beskytte.
-
Opprett en DLP-policy for å overvåke og automatisk beskytte sensitiv informasjon i nettstedssamlingene. Du kan for eksempel konfigurere en policy som viser et policytips til brukere hvis de lagrer dokumenter som inneholder personlig identifiserbar informasjon. Videre kan policyen automatisk blokkere tilgang til disse dokumentene for alle unntatt områdeeieren, innholdseieren og den som sist endret dokumentet. Og til slutt, fordi du ikke vil at DLP-policyene skal hindre at andre får arbeidet gjort, har policytipset et alternativ for å overstyre blokkeringshandlingen, slik at personer kan fortsette å arbeide med dokumenter hvis de har en forretningsmessig begrunnelse.
DLP-maler
Når du oppretter en DLP-spørring eller en DLP-policy, kan du velge fra en liste over DLP-maler som samsvarer med vanlige forskriftsmessige krav. Hver DLP-mal identifiserer bestemte typer sensitiv informasjon – for eksempel identifiserer malen kalt U.S. Personally Identifiable Information (PII)-data innhold som inneholder amerikanske og britiske passnumre, amerikanske individuelle identifikasjonsnumre for skattebetalere (ITIN) eller amerikanske personnummer (SSN).
Sensitive informasjonstyper
En DLP-policy bidrar til å beskytte sensitiv informasjon, som er definert som en sensitiv informasjonstype. SharePoint Server 2016 inneholder definisjoner for mange vanlige sensitive informasjonstyper som er klare til bruk, for eksempel et kredittkortnummer, bankkontonumre, nasjonale ID-numre og passnumre.
Når en DLP-policy ser etter en sensitiv informasjonstype, for eksempel et kredittkortnummer, ser den ikke bare etter et 16-sifret nummer. Hver sensitive informasjonstype defineres og oppdages ved hjelp av en kombinasjon av:
-
Nøkkelord
-
Interne funksjoner for å validere kontrollsummer eller sammensetning
-
Evaluering av vanlige uttrykk for å finne mønstersamsvar
-
Annen innholdsundersøkelse
Dette hjelper DLP-gjenkjenning med å oppnå en høy grad av nøyaktighet, samtidig som du reduserer antallet falske positiver som kan forstyrre folks arbeid.
Hver DLP-mal ser etter én eller flere typer sensitiv informasjon. Hvis du vil ha mer informasjon om hvordan hver sensitive informasjonstype fungerer, kan du se Hva de sensitive informasjonstypene i SharePoint Server 2016 ser etter.
|
Denne DLP-malen... |
Ser etter disse sensitive informasjonstypene... |
|---|---|
|
U.S. Personally Identifiable Information (PII) Data |
USA / Storbritannia passnummer U.S. Individual Taxpayer Identification Number (ITIN) Personnummer i USA (SSN) |
|
U.S. Gramm-Leach-Bliley Act (GLBA) |
Kredittkortnummer Bankkontonummer i USA U.S. Individual Taxpayer Identification Number (ITIN) Personnummer i USA (SSN) |
|
PCI Data Security Standard (PCI DSS) |
Kredittkortnummer |
|
Britiske finansielle data |
Kredittkortnummer EU-debetkortnummer SWIFT-kode |
|
Amerikanske finansielle data |
ABA-rutingsnummer Kredittkortnummer Bankkontonummer i USA |
|
U.K. Personally Identifiable Information (PII) Data |
U.K. Folketrygdnummer (NINO) USA / Storbritannia passnummer |
|
U.K. Data Protection Act |
SWIFT-kode U.K. Folketrygdnummer (NINO) USA / Storbritannia passnummer |
|
Britiske personvern- og elektroniske kommunikasjonsforskrifter |
SWIFT-kode |
|
Us State Social Security Number Confidentiality Laws |
Personnummer i USA (SSN) |
|
Varslingslover om brudd på amerikanske delstater |
Kredittkortnummer Bankkontonummer i USA Amerikansk førerkortnummer Personnummer i USA (SSN) |
DLP-spørringer
Før du oppretter DLP-policyene, bør du se hvilken sensitiv informasjon som allerede finnes på tvers av nettstedssamlingene. Dette gjør du ved å opprette og kjøre DLP-spørringer i eDiscovery-senteret.
En DLP-spørring fungerer på samme måte som en eDiscovery-spørring. Basert på hvilken DLP-mal du velger, er DLP-spørringen konfigurert til å søke etter bestemte typer sensitiv informasjon. Først velger du plasseringene du vil søke i, og deretter kan du finjustere spørringen fordi den støtter KQL (Keyword Query Language). I tillegg kan du begrense spørringen ved å velge et datoområde, bestemte forfattere, SharePoint-egenskapsverdier eller plasseringer. Og akkurat som med en eDiscovery-spørring, kan du forhåndsvise, eksportere og laste ned spørringsresultatene.
DLP-policyer
En DLP-policy hjelper deg med å identifisere, overvåke og automatisk beskytte sensitiv informasjon som er underlagt vanlige bransjeforskrifter. Du velger hvilke typer sensitiv informasjon som skal beskyttes, og hvilke handlinger som skal utføres når innhold som inneholder slik sensitiv informasjon oppdages. En DLP-policy kan varsle samsvarsansvarlig ved å sende en hendelsesrapport, varsle brukeren med et policytips på nettstedet, og eventuelt blokkere tilgang til dokumentet for alle unntatt områdeeieren, innholdseieren og den som sist endret dokumentet. Til slutt har policytipset et alternativ for å overstyre blokkeringshandlingen, slik at personer kan fortsette å arbeide med dokumenter hvis de har en forretningsmessig begrunnelse eller trenger å rapportere en falsk positiv.
Du oppretter og administrerer DLP-policyer i senteret for samsvarspolicy. Oppretting av en DLP-policy er en totrinnsprosess: Først oppretter du DLP-policyen, og deretter tilordner du policyen til en områdesamling.
Trinn 1: Opprette en DLP-policy
Når du oppretter en DLP-policy, velger du en DLP-mal som ser etter typer sensitiv informasjon som du trenger for å identifisere, overvåke og automatisk beskytte.
Når en DLP-policy finner innhold som inkluderer minimum antall forekomster av en bestemt type sensitiv informasjon som du velger, for eksempel fem kredittkortnumre eller ett enkelt personnummer, kan DLP-policyen automatisk beskytte sensitiv informasjon ved å utføre følgende handlinger:
-
Sende en hendelsesrapport til personene du velger (for eksempel samsvarsansvarlig) med detaljer om hendelsen. Denne rapporten inneholder detaljer om det oppdagede innholdet, for eksempel tittelen, dokumenteieren og hvilken sensitiv informasjon som ble oppdaget. Hvis du vil sende hendelsesrapporter, må du konfigurere innstillinger for utgående e-post i Sentraladministrasjon.
-
Varsler brukeren med et policytips når dokumenter som inneholder sensitiv informasjon, lagres eller redigeres. Policytipset forklarer hvorfor dokumentet er i konflikt med en DLP-policy, slik at personer kan utføre utbedringstiltak, for eksempel fjerne sensitiv informasjon fra dokumentet. Når dokumentet samsvarer, forsvinner policytipset.
-
Blokkerer tilgang til innholdet for alle unntatt områdeeieren, dokumenteieren og personen som sist endret dokumentet. Disse personene kan fjerne sensitiv informasjon fra dokumentet eller utføre andre utbedringstiltak. Når dokumentet samsvarer, gjenopprettes de opprinnelige tillatelsene automatisk. Det er viktig å forstå at policytipset gir personer muligheten til å overstyre blokkeringshandlingen. Policytips kan dermed bidra til å lære brukerne om DLP-policyene dine og håndheve dem uten å hindre folk i å gjøre arbeidet sitt.
Trinn 2: Tilordne en DLP-policy
Når du har opprettet en DLP-policy, må du tilordne den til én eller flere områdesamlinger, der den kan begynne å beskytte sensitiv informasjon på disse plasseringene. Én enkelt policy kan tilordnes til mange områdesamlinger, men hver tildeling må opprettes én om gangen.
Policytips
Du vil at personer i organisasjonen som arbeider med sensitiv informasjon, skal være i samsvar med DLP-policyene dine, men du vil ikke blokkere dem unødvendig fra å få arbeidet gjort. Det er her policytips kan hjelpe.
Et policytips er et varsel eller en advarsel som vises når noen arbeider med innhold som er i konflikt med en DLP-policy, for eksempel innhold som en Excel-arbeidsbok som inneholder personlig identifiserbar informasjon (PII), og som lagres på et nettsted.
Du kan bruke policytips til å øke bevisstheten og bidra til å lære opp personer om organisasjonens retningslinjer. Policytips gir også personer muligheten til å overstyre policyen, slik at de ikke blokkeres hvis de har et gyldig forretningsbehov, eller hvis policyen oppdager en falsk positiv.
Vise eller overstyre et policytips
Hvis du vil utføre handlinger i et dokument, for eksempel overstyre DLP-policyen eller rapportere en falsk positiv, kan du velge Åpne ... -menyen for elementet > Vis policytips.
Policytipset viser problemene med innholdet, og du kan velge Løs, og deretter overstyre policytipset eller rapportere en falsk positiv.
Detaljer om hvordan policytips fungerer
Vær oppmerksom på at det er mulig for innhold å samsvare med mer enn én DLP-policy, men bare policytipset fra den mest restriktive policyen med høyest prioritet vises. Et policytips fra en DLP-policy som blokkerer tilgang til innhold, vises for eksempel over et policytips fra en regel som bare varsler brukeren. Dette hindrer personer i å se en kaskade av policytips. Hvis policytipsene i den mest restriktive policyen tillater at personer overstyrer policyen, overstyrer overstyringen av denne policyen også eventuelle andre policyer som innholdet samsvarer med.
DLP-policyer synkroniseres til områder, og innholdet evalueres mot dem med jevne mellomrom og asynkront (se neste del), så det kan være en kort forsinkelse mellom tidspunktet da du opprettet DLP-policyen og tidspunktet da du begynte å se policytips.
Slik fungerer DLP-policyer
DLP oppdager sensitiv informasjon ved hjelp av dyp innholdsanalyse (ikke bare en enkel tekstskanning). Denne dype innholdsanalysen bruker nøkkelordsamsvar, evaluering av vanlige uttrykk, interne funksjoner og andre metoder for å oppdage innhold som samsvarer med DLP-policyene. Potensielt anses bare en liten prosentandel av dataene som sensitive. En DLP-policy kan identifisere, overvåke og automatisk beskytte bare disse dataene, uten å hindre eller påvirke personer som arbeider med resten av innholdet.
Når du har opprettet en DLP-policy i samsvarspolicysenteret, lagres den som en policydefinisjon på dette nettstedet. Etter hvert som du tilordner policyen til forskjellige nettstedssamlinger, synkroniseres policyen til disse plasseringene, der den begynner å evaluere innhold og håndheve handlinger som å sende hendelsesrapporter, vise policytips og blokkere tilgang.
Policyevaluering på områder
På tvers av alle nettstedssamlingene er dokumenter i stadig endring – de blir stadig opprettet, redigert, delt og så videre. Dette betyr at dokumenter kan komme i konflikt eller bli kompatible med en DLP-policy når som helst. En person kan for eksempel laste opp et dokument som ikke inneholder sensitiv informasjon til gruppenettstedet, men senere kan en annen person redigere det samme dokumentet og legge til sensitiv informasjon i det.
På grunn av dette kontrollerer DLP-policyer dokumenter for policysamsvar ofte i bakgrunnen. Du kan se på dette som asynkron policyevaluering.
Slik fungerer det. Når andre legger til eller endrer dokumenter på nettstedene sine, skanner søkemotoren innholdet, slik at du kan søke etter det senere. Mens dette skjer, skannes også innholdet for sensitiv informasjon. All sensitiv informasjon som blir funnet, lagres sikkert i søkeindeksen, slik at bare samsvarsteamet har tilgang til den, men ikke vanlige brukere. Hver DLP-policy som du har aktivert, kjører i bakgrunnen (asynkront), kontrollerer søk ofte etter innhold som samsvarer med en policy, og bruker handlinger for å beskytte den mot utilsiktede lekkasjer.
Til slutt kan dokumenter komme i konflikt med en DLP-policy, men de kan også bli kompatible med en DLP-policy. Hvis en person for eksempel legger til kredittkortnumre i et dokument, kan det føre til at en DLP-policy blokkerer tilgangen til dokumentet automatisk. Men hvis personen senere fjerner sensitiv informasjon, angres handlingen (i dette tilfellet blokkering) automatisk neste gang dokumentet evalueres mot policyen.
DLP evaluerer alt innhold som kan indekseres. Hvis du vil ha mer informasjon om hvilke filtyper som kravlesøks som standard, kan du se Standard kravlesøkte filtyper og analyserte filtyper.
Vis DLP-hendelser i bruksloggene
Du kan vise DLP-policyaktivitet i bruksloggene på serveren som kjører SharePoint Server 2016. Du kan for eksempel vise teksten som skrives inn av brukere når de overstyrer et policytips eller rapporterer en falsk positiv.
Først må du aktivere alternativet i Sentraladministrasjon (Overvåking > Konfigurere innsamling av bruks- og tilstandsdata > bruk av enkle logghendelser Data_SPUnifiedAuditEntry). Hvis du vil ha mer informasjon om trafikklogging, kan du se Konfigurere innsamling av bruks- og tilstandsdata.
Når du har aktivert denne funksjonen, kan du åpne bruksrapportene på serveren og vise justeringene som er angitt av brukerne for å overstyre et DLP-policytips, sammen med andre DLP-hendelser.
Før du kommer i gang med DLP
Dette emnet beskriver noen av funksjonene som DLP avhenger av. Disse er:
-
Hvis du vil oppdage og klassifisere sensitiv informasjon i nettstedssamlingene, starter du søketjenesten og definerer en tidsplan for kravlesøk for innholdet.
-
Slå på utgående e-post.
-
Hvis du vil vise brukeroverstyringer og andre DLP-hendelser, aktiverer du bruksrapporten.
-
Opprett områdesamlingene:
-
Opprett områdesamlingen for eDiscovery-senteret for DLP-spørringer.
-
For DLP-policyer oppretter du områdesamlingen for samsvarspolicysenteret.
-
-
Opprett en sikkerhetsgruppe for samsvarsteamet, og legg deretter til sikkerhetsgruppen i Eiere-gruppen i eDiscovery-senteret eller senter for samsvarspolicy.
-
Hvis du vil kjøre DLP-spørringer, kreves det visningstillatelser for alt innhold som spørringen vil søke i. Hvis du vil ha mer informasjon, kan du se Opprette en DLP-spørring i SharePoint Server 2016.
