Grundlegendes zum Bereitstellungs- und Simulationsmodus von DLP-Richtlinien

  • 10 Minuten

Das Überstürzen einer Bereitstellung zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) kann zu unbeabsichtigten Konsequenzen führen, z. B. zum Blockieren legitimer Aktionen oder zum Generieren falsch positiver Ergebnisse. Dies kann Benutzer frustrieren und zu Richtlinienvermeidung führen, wodurch vertrauliche Daten letztendlich weniger sicher sind. Die Verwendung eines inkrementellen Ansatzes für die Bereitstellung trägt dazu bei, diese Risiken zu minimieren, während Sie Daten sammeln, die Richtlinie optimieren und eine reibungslosere Einführung in den organization fördern können.

Drei Achsen der DLP-Bereitstellungsverwaltung

Wenn Sie eine DLP-Richtlinie bereitstellen, müssen drei Standard Faktoren berücksichtigt werden:

  • Status der Richtlinie
  • Geltungsbereich der Richtlinie
  • Von der Richtlinie ausgeführte Aktionen

Das Verständnis, wie diese Faktoren zusammenarbeiten, ist wichtig für die Bereitstellung von DLP-Richtlinien, die Ihre Sicherheitsziele erfüllen, ohne die Produktivität zu beeinträchtigen.

Status der Richtlinie

DLP-Richtlinien können auf unterschiedliche Zustände festgelegt werden, je nachdem, wo sie sich im Bereitstellungsprozess befinden. Der Zustand bestimmt, ob die Richtlinie aktiv, inaktiv oder im Simulationsmodus ausgeführt wird.

  • Auszuschalten: Die Richtlinie ist inaktiv, und es werden keine Daten überwacht oder Aktionen ausgeführt. Dieser Zustand ist nützlich, wenn Sie die Richtlinie noch konfigurieren oder überprüfen.
  • Ausführen der Richtlinie im Simulationsmodus: Die Richtlinie überwacht Aktivitäten und zeichnet Verstöße auf, ohne Aktionen zu erzwingen, sodass Sie die Auswirkungen der Richtlinie ohne Unterbrechung von Benutzerworkflows auswerten können.
  • Ausführen der Richtlinie im Simulationsmodus mit Richtlinientipps: Zusätzlich zur Überwachungsaktivität zeigt dieser Modus Benutzern Warnungen oder Tipps an, wenn ihre Aktionen die Richtlinie auslösen würden. Es informiert Benutzer über riskante Verhaltensweisen, ohne sie zu blockieren.
  • Sofort aktivieren: Die Richtlinie wird vollständig erzwungen, was bedeutet, dass alle konfigurierten Aktionen wie Blockieren oder Warnungen angewendet werden.

Geltungsbereich der Richtlinie

Der Bereich definiert, wo die Richtlinie angewendet wird. Wählen Sie zunächst Speicherorte wie Exchange, SharePoint, Teams oder Geräte aus. Standardmäßig deckt die Richtlinie alle Instanzen an diesem Speicherort ab. Sie können dann bestimmte Instanzen wie bestimmte Websites, Benutzer oder Gruppen einschließen oder ausschließen.

Im Simulationsmodus können Sie die Richtlinie testen, ohne sie zu erzwingen. Dadurch können Sie verschiedene Bereichseinstellungen ausprobieren. Bevor Sie die Richtlinie vollständig bereitstellen, können Sie sie auf eine kleinere Pilotgruppe anwenden, um Feedback zu erhalten. Sobald Sie bereit sind, können Sie die Richtlinie auf alle von Ihnen ausgewählten Standorte anwenden.

Von der Richtlinie ausgeführte Aktionen

Aktionen definieren, wie eine DLP-Richtlinie auf Richtlinienverstöße reagiert. Diese Aktionen können von der passiven Überwachung bis zur vollständigen Erzwingung reichen:

  • Zulassen: Die Aktion ist zulässig, aber zu Überwachungszwecken protokolliert. Dies ist nur für Geräterichtlinien verfügbar.
  • Nur überwachen: Die Aktion ist zulässig, aber das Ereignis wird protokolliert. Auf diese Weise können Sie Daten sammeln, ohne Workflows zu unterbrechen, und Warnungen und Benachrichtigungen enthalten, um Benutzer zu trainieren.
  • Blockieren mit Außerkraftsetzung: Die Aktion des Benutzers wird blockiert, kann aber durch Angabe einer Begründung überschrieben werden. Dies kann Ihnen helfen, falsch positive Ergebnisse während der Richtlinieneinschränkung zu identifizieren.
  • Blockieren: Die Aktion ist vollständig blockiert, und Benutzer können nicht fortfahren. Warnungen und Benachrichtigungen werden generiert, um Administratoren über den Verstoß zu informieren.

Indem Sie mit Aktionen wie Nur überwachen beginnen und schrittweise zu restriktiveren Aktionen wie Blockieren mit Außerkraftsetzung oder Blockieren wechseln, können Sie Richtlinien optimieren, ohne den täglichen Betrieb zu unterbrechen.

Grundlegendes zum Simulationsmodus

Im Simulationsmodus können Sie sehen, wie sich eine DLP-Richtlinie in Ihrer Umgebung verhalten würde, ohne sie vollständig zu erzwingen. Dieser Modus wird so ausgeführt, als wäre die Richtlinie vollständig bereitgestellt, aber es werden keine Aktionen ausgeführt, sodass es keine Auswirkungen auf Benutzeraktivitäten oder Geschäftsprozesse gibt. Im Gegensatz zu vorherigen Testmodi werden alle simulierten Ergebnisse in einem dedizierten Dashboard gemeldet, sodass Sie vollständigen Einblick in die potenziellen Auswirkungen der Richtlinie erhalten.

Gründe für die Verwendung des Simulationsmodus

  • Testen der Auswirkung der Richtlinie: Im Simulationsmodus wird angezeigt, welche Elemente gekennzeichnet werden würden, wenn die Richtlinie erzwungen würde, sodass Sie den Umfang und die Wirksamkeit der Richtlinie bewerten können.
  • Optimieren von Richtlinien: Mithilfe der Simulationsergebnisse können Sie die Bedingungen, Aktionen oder den Umfang der Richtlinie anpassen, um falsch positive Ergebnisse zu minimieren und sicherzustellen, dass die Richtlinie den Geschäftsanforderungen entspricht.
  • Schulung von Benutzern: Im Simulationsmodus mit Richtlinientipps werden Benutzer über riskante Verhaltensweisen informiert, ohne blockiert zu werden, was das Bewusstsein für Complianceanforderungen erhöht.

Der Simulationsmodus ist wichtig, um unerwartete Unterbrechungen zu verhindern, wenn die Richtlinie live geschaltet wird.

Funktionsweise des Simulationsmodus

Der Simulationsmodus bietet Einblicke in alle unterstützten Standorte:

  • Echtzeitüberprüfung: Für Standorte wie Exchange, Teams und Endpunkte werden Inhalte in Echtzeit gescannt, wenn neue Elemente erstellt oder geändert werden.
  • Sucht nach vorhandenen Inhalten: Für SharePoint und OneDrive scannt der Simulationsmodus sowohl neue als auch vorhandene Elemente und bietet eine umfassende Übersicht darüber, wie sich die Richtlinie auf diese auswirken würde.

Simulationsergebnisse werden in drei Standard Ansichten dargestellt:

  • Simulationsübersicht: Fasst die Leistung der Richtlinie zusammen und zeigt die Gesamtzahl der gescannten Elemente, übereinstimmenden Elemente und Warnungsdetails an.

    Screenshot: Übersichtsansicht der Simulation für den DLP-Simulationsmodus

  • Zu überprüfende Elemente: Zeigt eine Liste aller Elemente an, die von der Richtlinie gekennzeichnet worden wären, zusammen mit relevanten Metadaten.

    Screenshot: Elemente für die Überprüfungsansicht für den DLP-Simulationsmodus

  • Warnungen: Zeigt alle Warnungen an, die von der Richtlinie generiert worden wären, wenn sie erzwungen worden wäre, und verwendet dabei das gleiche Format wie die DLP-Warnungskonsole.

    Screenshot: Warnungsansicht für den DLP-Simulationsmodus

Verwenden des Simulationsmodus zum Optimieren von Richtlinien

Der Simulationsmodus bietet eine sichere Möglichkeit, Ihre Richtlinien zu testen und zu verfeinern, bevor sie erzwungen werden. Wenn beispielsweise eine DLP-Richtlinie zu viele falsch positive Ergebnisse generiert, können Sie die Richtlinie klonen, Anpassungen vornehmen und die neue Version im Simulationsmodus ausführen, um die Änderungen zu überprüfen.

Beispiel: Angenommen, Sie verfügen über eine DLP-Richtlinie, die so festgelegt ist, dass E-Mails mit Guthaben Karte Nummern blockiert werden. Es kennzeichnet jedoch auch viele legitime interne Kommunikation. Durch Ausführen einer Simulation können Sie falsch positive Ergebnisse identifizieren, die Richtlinie durch Einschränken des Bereichs oder Anpassen der Bedingungen verfeinern und erneut testen, ohne den E-Mail-Fluss zu unterbrechen.

Führen Sie beim Bereitstellen einer DLP-Richtlinie die folgenden Schritte aus, um eine reibungslose Implementierung sicherzustellen:

  1. Beginnen Sie mit dem Simulationsmodus: Erstellen Sie Ihre Richtlinie im Simulationsmodus, um ihre potenziellen Auswirkungen zu bewerten, ohne Geschäftsprozesse zu stören.
  2. Optimieren der Richtlinie: Überprüfen Sie die Simulationsergebnisse, verfeinern Sie die Richtlinie, um falsch positive Ergebnisse zu reduzieren, und passen Sie den Bereich oder die Bedingungen nach Bedarf an.
  3. Pilotgruppe mit Richtlinientipps: Sobald die Richtlinie optimiert wurde, führen Sie sie für eine kleine Gruppe von Benutzern mit aktivierten Richtlinientipps aus. Dies trägt dazu bei, das Bewusstsein zu erhöhen und gleichzeitig weitere Verbesserungen basierend auf Feedback zu ermöglichen.
  4. Vollständige Erzwingung: Nachdem die Richtlinie getestet und optimiert wurde, verschieben Sie sie in den Vollständigen Erzwingungsmodus. Überwachen Sie die Leistung mit den DLP-Warnungen Dashboard und Activity Explorer.

Eine gut geplante DLP-Bereitstellung umfasst mehr als das Erstellen und Aktivieren von Richtlinien. Mithilfe des Simulationsmodus, der Optimierung von Aktionen und der schrittweisen Einführung der Richtlinie können Sie sicherstellen, dass Ihre organization DLP-Richtlinien mit minimaler Unterbrechung einführt.