開始收集裝置中符合資料外洩防護原則的檔案
本文將逐步引導您完成裝置上檔案活動辨識項收集的必要條件和設定步驟,並介紹如何檢視複製和儲存的專案。
提示
開始使用 Microsoft Security Copilot,以探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。
以下是針對裝置上的檔案活動設定和使用辨識項集合的高階步驟。
- 將裝置上線
- 瞭解您的需求建立受控 Azure 記憶體帳戶
- 將 Azure 記憶體 Blob 新增至您的帳戶
- 在Microsoft (預覽) 所管理的記憶體帳戶上啟用及設定辨識項集合
- 設定 DLP 原則
- 預覽辨識項
開始之前
開始這些程式之前,您應該檢閱 瞭解裝置上檔案活動的辨識項集合。
授權和訂用帳戶
開始使用 DLP 原則之前,請確認您的 Microsoft 365 訂閱 和任何附加元件。
如需授權的相關信息,請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 和 Windows 11 訂閱。
請參閱建立自定義角色型訪問控制 (RBAC) 所需的 Microsoft Entra ID P1 或 P2 的必要條件授權需求。
權限
Standard 需要 Microsoft Purview 資料外洩防護 (DLP) 許可權。 如需詳細資訊,請參閱<權限>。
將裝置上線
您必須先將 Windows 10/11 裝置上架到 Purview,才能使用複製相符的專案,請參閱將 Windows 裝置上線至 Microsoft 365 概觀。
瞭解您的需求
重要事項
每個容器都會繼承其所在記憶體帳戶的許可權。 您無法為每個容器設定不同的許可權。 如果您需要為不同的區域設定不同的許可權,您必須建立多個記憶體帳戶,而不是多個容器。
在設定 Azure 記憶體並將功能範圍設定給使用者之前,您應該有下列問題的解答。
您需要沿著角色或部門行區隔專案和存取嗎?
例如,如果您的組織想要有一組系統管理員或 DLP 事件調查員,以檢視您資深領導階層所儲存的檔案,以及另一組系統管理員或 DLP 事件調查員從人力資源儲存的專案,您應該為組織的資深領導階層建立一個 Azure 儲存器帳戶,併為人力資源部門建立另一個 Azure 儲存器帳戶。 這可確保 Azure 記憶體系統管理員或 DLP 事件調查人員只能從其各自的群組查看符合 DLP 原則的專案。
您要使用容器來組織儲存的專案嗎?
您可以在相同的記憶體帳戶內建立多個辨識項容器,以排序儲存的檔案。 例如,一個用於從人力資源部門儲存的檔案,另一個用於IT部門的檔案。
您有哪些策略可防止儲存的項目刪除或修改?
在 Azure 記憶體中,數據保護是指保護記憶體帳戶及其內數據免於遭到刪除或修改的策略,以及在刪除或修改數據之後還原數據的策略。 Azure 記憶體也提供災害復原選項,包括多層備援,以保護您的數據免於因硬體問題或天然災害而導致服務中斷。 如果主要區域中的數據中心變得無法使用,它也可以使用客戶管理的故障轉移來保護您的數據。 如需詳細資訊,請 參閱數據保護概觀。
您也可以為 Blob 資料設定不變性原則,以防止被覆寫或刪除的已儲存專案。 如需詳細資訊,請參閱 使用不可變記憶體儲存業務關鍵 Blob 數據
用於儲存和預覽辨識項的支援檔類型
可以儲存 | 可以預覽 |
---|---|
端點 DLP 監視的所有文件類型 | 在 OneDrive、SharePoint 和 Teams 中預覽檔案時支援的所有文件類型 |
將相符的項目儲存到您慣用的記憶體
若要儲存 Purview Microsoft在套用數據外洩防護原則時偵測到的辨識項,您需要設定記憶體。 執行這項作業的方法有兩種:
如需這兩種記憶體類型的詳細資訊和比較,請參閱 [ (預覽) 偵測到敏感性資訊時儲存辨識項] (dlp-copy-matched-items-learn.md#storing-evidence-when-sensitive-information-is-detected-on-policy match-preview) 。
建立客戶管理的記憶體
設定 Azure 記憶體帳戶、容器和 Blob 的程式記載於 Azure 檔集中。 以下是相關文章的連結,您可以參考以協助您開始使用:
- Azure Blob 儲存體 簡介
- 建立記憶體帳戶
- 默認為 ,並使用 Microsoft Entra ID 授權存取 Blob
- 使用 Azure 入口網站 管理 Blob 容器
- 使用 PowerShell 管理區塊 Blob
注意事項
建立記憶體帳戶時,請務必選取 [ 啟用所有網络的公用存取]。 無法支援虛擬網路和IP位址以及使用私人存取
請務必儲存 Azure Blob 容器的名稱和 URL。 若要檢視 URL,請開啟 Azure 記憶體入口網站 >首頁>記憶體帳戶>容器>屬性
Azure Blob 容器 URL 的格式為:https://storageAccountName.blob.core.windows.net/containerName
。
將 Azure 記憶體 Blob 新增至您的帳戶
有數種方式可以將 Azure 記憶體 Blob 新增至您的帳戶。 選擇下列 其中一 種方法。
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
若要使用 Microsoft Purview 入口網站新增 Azure Blob 記憶體:
- 登入 Microsoft Purview 入口網站,然後選擇功能表欄中的 [ 設定 ] 齒輪。
- 選擇 [數據外泄防護]。
- 選取 [端點 DLP 設定]。
- 展開 裝置上檔案活動的安裝辨識項集合。
- 將切換從 [關閉] 變更為 [開啟]。
- 在 [ 在裝置上設定辨識項快取 ] 欄位中,選取裝置脫機時應該儲存在本機的時間量辨識項。 您可以選擇 7、 30 或 60 天。
- 選取 (客戶管理的存放區或Microsoft受控存放區 (預覽) ) 儲存體類型,然後選取 [+ 新增記憶體]。
- 針對 客戶管理的記憶體:
- 選擇 [客戶管理的存放區],然後選擇 [ + 新增記憶體]。
- 輸入 為帳戶命名,然後輸入記憶體 Blob 的 URL 。
- 選擇 [儲存]。
- 針對 Microsoft管理的記憶體:
- 選擇 Microsoft (預覽)
- 針對 客戶管理的記憶體:
設定 Azure Blob 記憶體的許可權
使用 Microsoft Entra 授權,您必須在 Blob 上) (角色群組設定兩組許可權:
- 一個供系統管理員和調查人員使用,以便檢視和管理辨識項
- 一個適用於需要從其裝置將專案上傳至 Azure 的使用者
最佳做法是對所有使用者強制執行 最低許可權 ,而不論角色為何。 藉由強制執行最低許可權,您可以確保用戶權力僅限於其角色所需的許可權。 若要設定用戶權力,請在 適用於 Office 365 的 Microsoft Defender 中建立角色和角色群組,Microsoft Purview。
適用於系統管理員和調查人員的 Azure Blob 許可權
建立 DLP 事件調查人員的角色群組之後,您必須設定後續的處理 者動作 和調查 數據動作 一節中所述的許可權。
如需設定 Blob 存取的詳細資訊,請參閱下列文章:
調查動作
設定這些物件和訴訟角色的動作權限:
物件 | 權限 |
---|---|
Microsoft.Storage/storageAccounts/blobServices | 讀取:列出 Blob 服務 |
Microsoft.Storage/storageAccounts/blobServices | 讀取:取得 Blob 服務屬性或統計數據 |
Microsoft.Storage/storageAccounts/blobServices/containers | 讀取:取得 Blob 容器 |
Microsoft.Storage/storageAccounts/blobServices/containers | 讀取:Blob 容器清單 |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | 讀取:讀取 Blob |
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | 其他:產生使用者委派密鑰 |
調查數據動作
物件 | 權限 |
---|---|
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | 讀取:讀取 Blob |
您用於這個角色群組的 JSON 看起來應該像這樣:
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
],
"notDataActions": []
}
]
適用於使用者的 Azure Blob 許可權
將這些物件和動作權限指派給使用者角色的 Azure Blob:
使用者動作
物件 | 權限 |
---|---|
Microsoft.Storage/storageAccounts/blobServices | 讀取:列出 Blob 服務 |
Microsoft.Storage/storageAccounts/blobServices/containers | 讀取:取得 Blob 容器 |
Microsoft.Storage/storageAccounts/blobServices/containers | 寫入:放置 Blob 容器 |
用戶數據動作
物件 | 權限 |
---|---|
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | 寫入:寫入 Blob |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | 其他:新增 Blob 內容 |
使用者角色群組的 JSON 看起來應該像這樣:
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
],
"notDataActions": []
}
]
在Microsoft (預覽) 所管理的記憶體帳戶上啟用和設定辨識項收集)
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
若要在 Microsoft 從 Microsoft Purview 入口網站內管理的記憶體帳戶上啟用和設定辨識項集合:
- 登入功能表欄中的 Microsoft Purview 入口網站>設定 齒輪。
- 選擇 [數據外泄防護]。
- 選取 [端點 DLP 設定]。
- 展開 裝置上檔案活動的安裝辨識項集合 ,並將切換開關設定為 [開啟]。
- 在 [ 選取記憶體類型] 下,選擇 [Microsoft受控記憶體]。
設定 DLP 原則
如往常般建立 DLP 原則。 如需原則設定範例,請 參閱建立和部署數據外洩防護原則。
使用下列設定來設定原則:
- 請確定 [裝置 ] 是唯一選取的位置。
- 在 [事件報告] 中,將 [當 規則相符時傳送警示給系統管理員 ] 切換為 [ 開啟]。
- 在 [事件報告] 中,選取 [收集原始檔案] 作為端點上所有所選檔案活動的辨識項。
- 選取您想要的記憶體帳戶。
- 選取您要將相符項目複製到 Azure 記憶體的活動,例如:
- 貼到支持的瀏覽器
- 上傳至雲端服務網域或存取不允許的瀏覽器
- 複製到卸除式 USB 裝置
- 複製到網路共用
- 使用不允許的藍牙應用程式複製或移動
- 使用 RDP 複製或移動
預覽辨識項
視您選取的記憶體類型而定,預覽辨識項的方式不同。
記憶體類型 | 預覽選項 |
---|---|
客戶管理 |
-
使用活動總管 - 使用合規性入口網站 |
Microsoft Managed (預覽) |
-
使用活動總管 - 使用合規性入口網站 |
透過活動總管預覽辨識項
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 登入 Microsoft Purview 入口網站>數據外泄防護>活動總管。
- 使用 [ 日期] 下拉式列表,選取您感興趣期間 的開始 和 結束 日期。
- 在結果清單中,按兩下您想要調查之活動的明細專案。
- 在飛出視窗窗格中,儲存辨識項的 Azure Blob 連結會出現在 [辨識 項檔案] 下方。
- 選取 [Azure Blob 記憶體] 連結,以顯示相符的檔案。
透過合規性入口網站的 [警示] 頁面預覽辨識項
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 登入 Microsoft Purview 入口網站>數據外洩防護>警示。
- 使用 [ 日期] 下拉式列表,選取您感興趣期間 的開始 和 結束 日期。
- 在結果清單中,按兩下您想要調查之活動的明細專案。
- 在飛出視窗窗格中,選 取 [檢視詳細數據]。
- 選取 [ 事件] 索 引標籤。
- 在 [ 詳細數據] 窗格中,選取 [ 來源] 索引標籤。相符的檔案隨即顯示。
注意事項
如果 Azure 記憶體 Blob 中已經存在相符的檔案,則在變更檔案且使用者對其採取動作之前,將不會再次上傳。
已知行為
- 如果系統當機或重新啟動,儲存在裝置快取中的檔案將不會保存。
- 可以從裝置上傳的檔案大小上限為 500 MB。
- 如果在掃描的檔案上觸發 Just-In-Time Protection ,或如果檔案儲存在網路共用上,則不會收集辨識項檔案。
- 當多個檔案在相同程式中開啟 (非辦公室應用程式) ,且其中一個符合原則的檔案輸出時,會針對所有檔案觸發 DLP 事件。 未擷取任何辨識項。
- 如果在單一檔案中偵測到多個原則規則,只有在設定最嚴格的原則規則來收集辨識項時,才會儲存辨識項檔案。