Verhindern sie das Durchlecken vertraulicher Inhalte, indem Sie Einfügeaktionen in Browser einschränken.

In diesem Szenario wird veranschaulicht, wie Benutzer mithilfe von Microsoft Purview DLP daran gehindert werden, vertrauliche Inhalte in browserbasierte Anwendungen einzufügen. Durch die Auswertung von Inhalten zum Zeitpunkt des Einfügens können Organisationen vertrauliche Informationen unabhängig von ihrer Quelle in Echtzeit erkennen und steuern.

Mithilfe von Steuerelementen in Browser einfügen mit Domänengruppen für sensible Dienste ermöglicht dieser Ansatz eine flexible Erzwingung – z. B. Überwachung, Warnung oder Blockieren von Einfügeaktionen – basierend auf der Zielwebsite. Dies trägt dazu bei, das Risiko einer versehentlichen Offenlegung von Daten zu verringern, während Richtlinien auf unterschiedliche Risikostufen zugeschnitten werden können.

Die Aktivität In Browser einfügen funktioniert unabhängig von der Klassifizierung der Quelldatei und erfordert Regeln, die mit Domänengruppen des vertraulichen Diensts konfiguriert sind. Dies wird mit der DLP-Einstellung dienstend domänenendpunkts nicht unterstützt. Weitere Informationen finden Sie unter Endpunktaktivitäten, die Sie überwachen und Maßnahmen ergreifen können.

Hinweis

Die folgenden Webbrowser werden unterstützt:

  • Microsoft Edge (Win/macOS)
  • Chrome (Win/macOS): Microsoft Purview-Erweiterung nur für Chrome Windows
  • Firefox (Win/macOS): Microsoft Purview-Erweiterung nur für Firefox Windows
  • Safari (nur macOS)

Wichtig

  • Wenn Sie die Beweissammlung für Dateiaktivitäten auf Geräten konfiguriert haben und Ihre Antischadsoftware-Clientversion auf dem Gerät älter als 4.18.23110 ist, werden beim Implementieren dieses Szenarios das Einfügen vertraulicher Inhalte in einen Browser einschränken zufällige Zeichen angezeigt, wenn Sie versuchen, die Quelldatei in warnungsdetails anzuzeigen. Um den tatsächlichen Quelldateitext anzuzeigen, sollten Sie die Datei herunterladen.
  • Wenn Dokument konnte nicht gescannt werden als Aktion für die übereinstimmenden Regel ausgewählt ist, wird die Beweisdatei nicht erfasst.

Voraussetzungen und Annahmen

In diesem Artikel wird anhand des Prozesses, den Sie unter Entwerfen einer Richtlinie zur Verhinderung von Datenverlust gelernt haben, erläutert, wie Sie eine Microsoft Purview Data Loss Prevention-Richtlinie (DLP) erstellen. Arbeiten Sie diese Szenarien in Ihrer Testumgebung durch, um sich mit der Benutzeroberfläche für die Richtlinienerstellung vertraut zu machen.

Wichtig

In diesem Artikel wird ein hypothetisches Szenario mit hypothetischen Werten vorgestellt. Dies dient nur zur Veranschaulichung. Ersetzen Sie Ihre eigenen Typen vertraulicher Informationen, Vertraulichkeitsbezeichnungen, Verteilergruppen und Benutzer.

Wie Sie eine Richtlinie bereitstellen, ist ebenso wichtig wie der Richtlinienentwurf. In diesem Artikel erfahren Sie, wie Sie die Bereitstellungsoptionen verwenden, damit die Richtlinie Ihre Absicht erreicht und gleichzeitig kostspielige Geschäftsunterbrechungen vermeidet.

In diesem Szenario wird die Vertraulichkeitsbezeichnung Vertraulich verwendet, sodass Sie Vertraulichkeitsbezeichnungen erstellen und veröffentlichen müssen. Weitere Informationen finden Sie unter:

Bei diesem Verfahren werden eine hypothetische Verteilergruppe Human Resources und eine Verteilergruppe für das Sicherheitsteam in Contoso.com verwendet.

In diesem Verfahren werden Warnungen verwendet. Weitere Informationen finden Sie unter Erste Schritte mit den Warnungen zur Verhinderung von Datenverlust.

Richtlinienabsichtsanweisung und Zuordnung

Wir, Contoso, möchten verhindern, dass Benutzer unbeabsichtigt vertrauliche Informationen offenlegen, indem sie in Webformulare oder browserbasierte Anwendungen eingefügt werden. Vertrauliche Daten wie personenbezogene Informationen oder andere regulierte Inhalte können aus lokalen Dateien oder Anwendungen kopiert und in Websites eingefügt werden, wodurch ein potenzielles Risiko für die Datenexfiltration entsteht. Um dies zu beheben, erstellen wir eine Richtlinie, die Inhalte dynamisch auswertet, sobald sie in einen unterstützten Browser eingefügt werden. Basierend auf der Vertraulichkeit der eingefügten Inhalte und der Zielwebsite werden wir die Aktion überwachen, warnen oder blockieren. Wir verwenden auch Domänengruppen für sensible Dienste , um je nach Zielwebsites verschiedene Erzwingungsebenen anzuwenden. Dies ermöglicht es uns, Sicherheit und Benutzerfreundlichkeit abzuwägen, indem wir strengere Kontrollen auf Domänen mit höherem Risiko anwenden und gleichzeitig Flexibilität für vertrauenswürdige Websites ermöglichen.

Statement Antwort zur Konfigurationsfrage und Konfigurationszuordnung
"Wir möchten verhindern, dass vertrauliche Daten in Webformulare oder Browserfelder eingefügt werden..." - Verwaltungsbereich: Vollständiges Verzeichnis
- Überwachungsort: Nur Geräte
- Richtlinienbereich: Alle Benutzer/Geräte oder Zielbenutzer
"Wir möchten Inhalte unabhängig von ihrer Quelle zum Zeitpunkt des Einfügens auswerten..." - Bedingung: Inhalt enthält ausgewählte Typen vertraulicher Informationen
- Auswertung: Echtzeitklassifizierung beim Einfügeereignis (unabhängig von der Quelldateiklassifizierung)
"Wir möchten Einfügeaktionen basierend auf der Vertraulichkeit des Inhalts steuern..." - Aktion: Überwachen oder Einschränken von Aktivitäten auf Geräten
- Aktivitätstyp: In unterstützte Browser einfügen
"Wir möchten unterschiedliche Durchsetzungsebenen abhängig von der Zielwebsite..." - Endpunkteinstellungen: Erstellen von Domänengruppen für vertrauliche Dienste
- Regelentwurf: Zuordnen von Einfügeeinschränkungen zu bestimmten Domänengruppen
"Wir möchten Aktionen basierend auf der Risikostufe überwachen, warnen oder blockieren..." - Aktionskonfiguration: Legen Sie je nach Erzwingungsanforderungen auf Überwachen, Blockieren mit Außerkraftsetzung oder Blockieren fest.
"Wir wollen Flexibilität, um Einschränkungen für verschiedene Kategorien von Websites anzupassen..." - Richtlinienentwurf: Mehrere URL-/Domänengruppen (z. B. vertrauenswürdige und nicht vertrauenswürdige Websites)
– Verwenden von Ausnahmen oder mehreren Regeln für eine präzise Steuerung
"Wir möchten sicherstellen, dass die Erzwingung in allen unterstützten Browsern konsistent erfolgt..." - Browserunterstützung: Microsoft Edge, Chrome, Firefox (mit Erweiterungen), Safari
- Endpunkt-DLP-Integration stellt die Richtlinienerzwingung in unterstützten Browsern sicher
"Wir möchten, dass Benutzer informiert werden, wenn Einfügeaktionen ausgewertet oder eingeschränkt werden..." - Benutzeroberfläche: Richtlinientipps oder Benachrichtigungen, die während der Einfügebewertung ausgelöst werden
- Verhaltenshinweis: Mögliche kurze Verzögerung beim Abschluss der Klassifizierung
"Wir möchten die Richtlinie mit der entsprechenden Erzwingungsstufe bereitstellen und testen..." - Richtlinienmodus: Konfigurierbar (Testen, Überwachen oder Erzwingen)
- Bereitstellung: Übermitteln von Richtlinien und Überprüfen des Verhaltens mit Testszenarien

Schritte zum Erstellen einer Richtlinie

Sie können verschiedene Erzwingungsebenen einrichten, wenn es darum geht, das Einfügen von Daten in einen Browser zu blockieren. Erstellen Sie dazu verschiedene URL-Gruppen. Für instance können Sie eine Richtlinie erstellen, die Benutzer davor warnt, US-Sozialversicherungsnummern (U.S. Social Security Numbers, SSN) auf einer beliebigen Website zu veröffentlichen und eine Überwachungsaktion für Websites in Gruppe A auszulösen. Sie können eine weitere Richtlinie erstellen, die die Einfügeaktion für alle Websites in Gruppe B vollständig blockiert , ohne eine Warnung zu geben.

Erstellen einer URL-Gruppe

  1. Melden Sie sich beim Microsoft Purview-Portal> Einstellungenzur Verhinderung von> Datenverlust(Zahnradsymbol in der oberen linken Ecke) >Einstellungen für Endpunkt zur Verhinderung von> Datenverlust an, und scrollen Sie nach unten zu Browser- und Domäneneinschränkungen, um vertrauliche Daten. Erweitern Sie den Abschnitt.

  2. Scrollen Sie nach unten zu Sensible Dienstdomänengruppen.

  3. Wählen Sie Create sensitive service domain group (Vertrauliche Dienstdomänengruppe erstellen) aus.

    1. Geben Sie einen Gruppennamen ein.
    2. Geben Sie im Feld Domäne des vertraulichen Diensts die URL für die erste Website ein, die Sie überwachen möchten, und wählen Sie dann Website hinzufügen aus.
    3. Setzen Sie das Hinzufügen von URLs für die restlichen Websites fort, die Sie in dieser Gruppe überwachen möchten.
    4. Wenn Sie mit dem Hinzufügen aller URLs zu Ihrer Gruppe fertig sind, wählen Sie Speichern aus.

  4. Erstellen Sie so viele separate Gruppen von URLs, wie Sie benötigen.

Einschränken des Einfügens von Inhalten in einen Browser

  1. Melden Sie sich beim Microsoft Purview-Portal> anRichtlinien zur Verhinderung von> Datenverlust.

  2. In verbundenen Quellen gespeicherte Daten.

  3. Erstellen Sie eine DLP-Richtlinie, die auf Geräte ausgerichtet ist. Informationen zum Erstellen einer DLP-Richtlinie finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust.

  4. Wählen Sie auf der Seite Richtlinieneinstellungen definieren im Workflow zur Erstellung von DLP-Richtlinien die Option Erweiterte DLP-Regeln erstellen oder anpassen aus, und wählen Sie dann Weiter aus.

  5. Wählen Sie auf der Seite Erweiterte DLP-Regeln anpassen die Option Regel erstellen aus.

  6. Geben Sie einen Namen und eine Beschreibung für die Regel ein.

  7. Erweitern Sie Bedingungen, wählen Sie Bedingung hinzufügen aus, und wählen Sie dann die Typen vertraulicher Informationen aus.

  8. Scrollen Sie unter Inhaltsinhalte nach unten, und wählen Sie den neuen Vertraulichen Informationstyp aus, den Sie zuvor ausgewählt oder erstellt haben.

  9. Scrollen Sie nach unten zum Abschnitt Aktionen , und wählen Sie Aktion hinzufügen aus.

  10. Wählen Sie Überwachen oder Einschränken von Aktivitäten auf Geräten aus.

  11. Wählen Sie im Abschnitt Aktionen unter Dienstdomänen- und Browseraktivitäten die Option In unterstützte Browser einfügen aus.

  12. Legen Sie die Einschränkung auf Überwachen, Blockieren mit Außerkraftsetzung oder Blockieren fest, und wählen Sie dann Hinzufügen aus.

  13. Wählen Sie Speichern aus.

  14. Klicken Sie auf Weiter.

  15. Wählen Sie aus, ob Sie Ihre Richtlinie testen, sofort aktivieren oder deaktivieren möchten, und wählen Sie dann Weiter aus.

  16. Wählen Sie Übermitteln aus.

Wichtig

Es kann eine kurze Zeitverzögerung zwischen dem Versuch des Benutzers, Text in eine Webseite einzufügen, und dem Zeitpunkt, an dem das System die Klassifizierung beendet und antwortet, liegen. Wenn diese Klassifizierungslatenz auftritt, werden möglicherweise sowohl Richtlinienauswertungs- als auch Check-Complete-Benachrichtigungen im Edge- oder Richtlinienauswertungs-Popup in Chrome und Firefox angezeigt. Hier sind einige Tipps zum Minimieren der Anzahl von Benachrichtigungen:

  1. Benachrichtigungen werden ausgelöst, wenn die Richtlinie für die Zielwebsite für den betreffenden Benutzer auf Blockieren oder Blockieren mit Außerkraftsetzung im Browser konfiguriert ist. Sie können das Festlegen der Gesamtaktion auf Überwachen konfigurieren und dann die Zielwebsites mit den Ausnahmen als Blockieren auflisten. Alternativ können Sie die Gesamtaktion auf Blockieren festlegen und dann sichere Websites mit den Ausnahmen als Audit auflisten.
  2. Verwenden Sie die neueste Antimalware-Clientversion.
  3. Verwenden Sie die neueste Edge-Browserversion, insbesondere Edge 120.
  4. Installieren Sie diese Windows-KBs.
  • Last updated on