Proteggere per impostazione predefinita con Microsoft Purview e proteggersi dall'oversharing - Fase 2
Questa guida è suddivisa in quattro fasi:
- Introduzione
- Fase 1: Foundational - Iniziare con l'etichettatura predefinita
- Fase 2: Gestito - File di indirizzi con la massima riservatezza (questa pagina)
- Fase 3: Ottimizzata: espandere l'intero data estate di Microsoft 365
- Fase 4: Strategica: operare, espandere e retroattive azioni
Nella prima fase è stato illustrato come proteggere contenuti nuovi e aggiornati. In questa fase viene illustrato come proteggere i dati esistenti, a partire dai dati più sensibili.
Fase 2: Gestito - File di indirizzi con la massima riservatezza
Identificare i siti con priorità da:
- Siti noti, inclusi i siti dei team di leadership
- Esplora contenuto con un numero elevato di documenti sensibili
- Creazione di report
- API Graph per siti con un'elevata quantità di informazioni riservate
Nota
Se si è scelto di impostare i file predefiniti su Riservato\Tutti i dipendenti, è consigliabile concentrarsi sui siti con un'etichetta con priorità più alta.
Configurare manualmente l'etichettatura predefinita della libreria dei siti con priorità
Attualmente, la configurazione richiede due passaggi separati:
- Aggiungere un'etichetta di riservatezza al sito di SharePoint.
- Definire un'etichetta di riservatezza come impostazione predefinita per i file nelle raccolte di SharePoint.
I proprietari del sito possono configurare le etichette di riservatezza nei siti di SharePoint e l'etichetta della raccolta predefinita nelle raccolte. Gli amministratori di SharePoint possono configurare l'etichetta di riservatezza del sito nel portale di amministrazione di SharePoint. In seguito verrà illustrato come configurare l'etichettatura di riservatezza in siti e raccolte con PowerShell.
Etichettatura automatica per le credenziali e le condizioni contestuali
Purview offre l'etichettatura automatica sul lato client e sul lato servizio.
Sul lato client offre la flessibilità della consapevolezza e del processo decisionale degli utenti finali. Nel contesto della protezione per impostazione predefinita, l'etichettatura lato client è particolarmente utile per consigliare un'etichettatura di riservatezza più elevata per i destinatari con soglie inferiori di informazioni riservate. Gli utenti possono decidere di accettare o non accettare la raccomandazione e segnalare se il suggerimento per l'etichetta non è appropriato.
L'etichettatura automatica sul lato client garantisce la consapevolezza degli utenti finali e la flessibilità decisionale. Quando si protegge per impostazione predefinita, l'etichettatura lato client è particolarmente utile per consigliare un'etichettatura di riservatezza più elevata per i destinatari con soglie più basse di informazioni riservate. Gli utenti possono quindi decidere di accettare o non accettare la raccomandazione e segnalarla se il suggerimento per l'etichetta non è appropriato.
Le etichette sul lato servizio si applicano ai file esistenti in OneDrive e SharePoint e nel trasporto per i messaggi di posta elettronica e forniscono altre condizioni, ad esempio condizioni contestuali per:
- Tipo di file
- dimensioni dei file
- Proprietà di documento
Nel contesto della guida protetta per impostazione predefinita, la protezione viene eseguita prima in base al contesto del sito, anziché solo al tipo di informazioni riservate. Pertanto, è possibile usare condizioni contestuali, ad esempio Impostare l'etichetta su Riservato\Tutti i dipendenti in tutte le estensioni di file office/.pdf per questi siti e indirizzare rapidamente i siti con priorità esistente. Nella fase 3 vengono illustrate altre opzioni su larga scala.
Importante
È consigliabile configurare i criteri di etichettatura automatica in Tutte le credenziali per le informazioni riservate perché queste informazioni sono più apprezzate dagli avversari. Per l'etichettatura automatica sul lato client, impostare l'etichetta su Altamente riservato\Specifica Persone. Per l'etichettatura automatica sul lato servizio, impostare l'etichetta su Altamente riservato\Tutti i dipendenti.
Attivare La prevenzione della perdita dei dati per il contenuto non etichettato
In questa fase, la base è ben posizionata, le impostazioni predefinite sono sicure e abbiamo iniziato a gestire i dati esistenti. Abilitazione delle regole di prevenzione della perdita dei dati (DLP) per gli utenti senza etichetta (usare la condizione Contenuto non etichettato ) in Endpoint ed Exchange accelera l'etichettatura del contenuto da parte degli utenti e impedisce la condivisione di contenuto non etichettato.
È consigliabile attivare questa condizione della regola DLP per endpoint DLP con tipi di file Office/PDF e per le azioni restrittive pertinenti, ad esempio il caricamento nel cloud. Gli utenti devono aprire ed etichettare i file prima di caricare i file nei siti Web.
Attivare le regole di comportamento relative alla protezione adattiva e alla perdita di dati
Insider Risk Management (IRM) offre un livello di analisi e controllo basato sui comportamenti degli utenti. Nel contesto sicuro per impostazione predefinita usando le etichette di riservatezza, IRM può identificare e avvisare quando gli utenti stanno declassando le etichette o scaricando, offuscando e/o esfiltrando il contenuto.
Gli amministratori hanno il controllo dei trigger e delle soglie. Inoltre, è ora possibile usare La protezione adattiva per rafforzare le regole di prevenzione della perdita dei dati in base al rischio dell'utente. Ad esempio, una regola DLP può essere verificata per impostazione predefinita quando si condividono file con l'etichetta Generale. A un utente identificato come ad alto rischio può essere impedito di condividere lo stesso file.
Consiglio
È consigliabile attivare e testare un criterio predefinito con Protezione adattiva ed eseguire l'iterazione, se applicabile, nelle regole DLP esistenti.
IRM offre molte altre funzionalità, configurazioni e controlli. Esaminare i riferimenti seguenti e i progetti di distribuzione di Purview futuri che illustrano in modo più dettagliato La gestione dei rischi Insider.
Fase 2 - Riepilogo
- Usare le etichette di riservatezza con i siti di Microsoft Teams, Gruppi e SharePoint
- Aggiungere un'etichetta di riservatezza alla raccolta documenti di SharePoint
- Configurare un'etichetta di riservatezza predefinita per una raccolta documenti di SharePoint
- Applicare automaticamente un'etichetta di riservatezza in Microsoft 365
Vedere anche
- Definizione dell'entità di tutte le credenziali
- Informazioni di riferimento per i criteri di prevenzione della perdita dei dati
- Introduzione alla gestione dei rischi Insider
- Contribuire a mitigare dinamicamente i rischi con la protezione adattiva
- Informazioni sulla protezione adattiva nella prevenzione della perdita di dati
- Analizzare le attività di gestione dei rischi Insider
- Procedure consigliate per la gestione del volume degli avvisi nella gestione dei rischi Insider
- Crea e gestisci i criteri di gestione dei rischi Insider
Passare alla fase 3: Ottimizzata: espandere l'intera area dati di Microsoft 365