Empêcher la fuite de contenu sensible en limitant les actions de collage dans les navigateurs

Ce scénario montre comment empêcher les utilisateurs de coller du contenu sensible dans des applications basées sur un navigateur à l’aide de Microsoft Purview DLP. En évaluant le contenu au moment où il est collé, les organisations peuvent détecter et contrôler les informations sensibles en temps réel, quelle que soit leur source.

À l’aide des contrôles Coller dans le navigateur avec des groupes de domaines de service sensibles, cette approche permet une application flexible, telle que l’audit, l’avertissement ou le blocage des actions de collage, en fonction du site web de destination. Cela permet de réduire le risque d’exposition accidentelle des données tout en permettant d’adapter les stratégies à différents niveaux de risque.

L’activité Coller dans le navigateur fonctionne indépendamment de la classification du fichier source et nécessite des règles configurées avec des groupes de domaines de service sensibles. Il n’est pas pris en charge avec le paramètre DLP du point de terminaison des domaines de service. Pour plus d’informations, consultez Activités de point de terminaison sur lesquelles vous pouvez surveiller et prendre des mesures.

Remarque

Les navigateurs web suivants sont pris en charge :

  • Microsoft Edge (Win/macOS)
  • Chrome (Win/macOS) - Extension Microsoft Purview pour Chrome Windows uniquement
  • Firefox (Win/macOS)- Extension Microsoft Purview pour Firefox Windows uniquement
  • Safari (macOS uniquement)

Importante

  • Si vous avez configuré la collecte de preuves pour les activités de fichier sur les appareils et que votre version du client anti-programme malveillant sur l’appareil est antérieure à 4.18.23110, lorsque vous implémentez ce scénario, Restreindre le collage de contenu sensible dans un navigateur, vous verrez des caractères aléatoires lorsque vous tentez d’afficher le fichier source dans Détails de l’alerte. Pour afficher le texte du fichier source réel, vous devez télécharger le fichier.
  • Si l’option Document n’a pas pu être analysée est sélectionnée comme action pour la règle correspondante, le fichier de preuve n’est pas capturé.

Conditions préalables et hypothèses

Cet article utilise le processus que vous avez appris dans Concevoir une stratégie de protection contre la perte de données pour vous montrer comment créer une stratégie de Protection contre la perte de données Microsoft Purview (DLP). Parcourez ces scénarios dans votre environnement de test pour vous familiariser avec l’interface utilisateur de création de stratégie.

Importante

Cet article présente un scénario hypothétique avec des valeurs hypothétiques. C’est uniquement à titre d’illustration. Remplacez vos propres types d’informations sensibles, étiquettes de confidentialité, groupes de distribution et utilisateurs.

La façon dont vous déployez une stratégie est aussi importante que la conception de stratégie. Cet article explique comment utiliser les options de déploiement afin que la stratégie atteigne votre objectif tout en évitant les interruptions coûteuses de l’activité.

Ce scénario utilise l’étiquette confidentialité . Il vous oblige donc à créer et à publier des étiquettes de confidentialité. Pour en savoir plus, reportez-vous à la rubrique :

Cette procédure utilise un groupe de distribution hypothétique Ressources humaines et un groupe de distribution pour l’équipe de sécurité au Contoso.com.

Cette procédure utilise des alertes, consultez : Bien démarrer avec les alertes de protection contre la perte de données

Mappage et instruction d’intention de stratégie

Nous, Contoso, voulons empêcher les utilisateurs d’exposer involontairement des informations sensibles en les collant dans des formulaires web ou des applications basées sur un navigateur. Les données sensibles, telles que les informations d’identification personnelle ou d’autres contenus réglementés, peuvent être copiées à partir de fichiers ou d’applications locaux et collées dans des sites web, ce qui crée un risque potentiel d’exfiltration des données. Pour résoudre ce problème, nous allons créer une stratégie qui évalue dynamiquement le contenu au moment où il est collé dans un navigateur pris en charge. En fonction de la sensibilité du contenu collé et du site web de destination, nous allons auditer, avertir ou bloquer l’action. Nous allons également utiliser des groupes de domaines de service sensibles pour appliquer différents niveaux d’application en fonction des sites web cibles. Cela nous permet d’équilibrer la sécurité et la facilité d’utilisation en appliquant des contrôles plus stricts aux domaines à haut risque tout en offrant une flexibilité pour les sites de confiance.

Statement Réponse à la question de configuration et mappage de configuration
« Nous voulons empêcher données sensibles d’être collés dans des formulaires web ou des champs de navigateur... » - Étendue administrative : répertoire complet
- Où surveiller : appareils uniquement
- Étendue de la stratégie : tous les utilisateurs/appareils ou utilisateurs ciblés
« Nous voulons évaluer le contenu au moment où il est collé, quelle que soit sa source... » - Condition : Le contenu contient les types d’informations sensibles sélectionnés
- Évaluation : classification en temps réel lors de l’événement de collage (indépendamment de la classification des fichiers sources)
« Nous voulons contrôler les actions de collage en fonction de la sensibilité du contenu... » - Action : Auditer ou restreindre les activités sur les appareils
- Type d’activité : Coller dans les navigateurs pris en charge
« Nous voulons différents niveaux d’application en fonction du site web de destination... » - Paramètres de point de terminaison : Créer des groupes de domaines de service sensibles
- Conception de règle : associer des restrictions de collage à des groupes de domaines spécifiques
« Nous voulons auditer, avertir ou bloquer les actions de collage en fonction du niveau de risque... » - Configuration de l’action : définir sur Audit, Bloquer avec remplacement ou Bloquer en fonction des besoins de mise en œuvre
« Nous voulons la flexibilité nécessaire pour adapter les restrictions entre différentes catégories de sites web... » - Conception de stratégie : plusieurs groupes d’URL/domaines (par exemple, sites approuvés ou non approuvés)
- Utiliser des exceptions ou plusieurs règles pour un contrôle granulaire
« Nous voulons nous assurer que la mise en œuvre se produit de manière cohérente sur les navigateurs pris en charge... » - Prise en charge des navigateurs : Microsoft Edge, Chrome, Firefox (avec extensions), Safari
- L’intégration DLP de point de terminaison garantit l’application de la stratégie dans les navigateurs pris en charge
« Nous voulons que les utilisateurs soient informés lorsque les actions de collage sont évaluées ou restreintes... » - Expérience utilisateur : conseils ou notifications de stratégie déclenchés lors de l’évaluation du collage
- Remarque de comportement : bref délai possible pendant la fin de la classification
« Nous voulons déployer et tester la stratégie avec le niveau d’application approprié... » - Mode de stratégie : configurable (tester, auditer ou appliquer)
- Déploiement : Envoyer la stratégie et valider le comportement avec des scénarios de test

Étapes de création d’une stratégie

Vous pouvez configurer différents niveaux d’application lorsqu’il s’agit de bloquer le collage de données dans un navigateur. Pour ce faire, créez différents groupes d’URL. Par instance, vous pouvez créer une stratégie qui met en garde les utilisateurs contre la publication de numéros de sécurité sociale (SSN) américains sur n’importe quel site web, et qui déclenche une action d’audit pour les sites web du groupe A. Vous pouvez créer une autre stratégie qui bloque complètement l’action de collage, sans donner d’avertissement, pour tous les sites web du groupe B.

Créer un groupe d’URL

  1. Connectez-vous au portail> Microsoft PurviewParamètres de protection contre la> perte de données (icône d’engrenage dans le coin supérieur gauche) >Paramètres du point de terminaison de protection contre la> perte de données, puis faites défiler jusqu’à Restrictions de navigateur et de domaine pour données sensibles. Développez la section .

  2. Faites défiler jusqu’à Groupes de domaines de service sensibles.

  3. Choisissez Créer un groupe de domaines de service sensible.

    1. Entrez un nom de groupe.
    2. Dans le champ Domaine de service sensible , entrez l’URL du premier site web que vous souhaitez surveiller, puis choisissez Ajouter un site.
    3. Continuez à ajouter des URL pour le reste des sites web que vous souhaitez surveiller dans ce groupe.
    4. Lorsque vous avez terminé d’ajouter toutes les URL à votre groupe, choisissez Enregistrer.

  4. Créez autant de groupes d’URL distincts que vous le souhaitez.

Restreindre le collage de contenu dans un navigateur

  1. Connectez-vous au portail >Microsoft PurviewStratégies de protection contre la> perte de données.

  2. Données stockées dans des sources connectées.

  3. Créez une stratégie DLP étendue à Appareils. Pour plus d’informations sur la création d’une stratégie DLP, consultez Créer et déployer des stratégies de protection contre la perte de données.

  4. Dans la page Définir les paramètres de stratégie du flux de création de stratégie DLP, sélectionnez Créer ou personnaliser des règles DLP avancées , puis choisissez Suivant.

  5. Dans la page Personnaliser les règles DLP avancées , choisissez Créer une règle.

  6. Entrez un nom et une description pour la règle.

  7. Développez Conditions, choisissez Ajouter une condition, puis sélectionnez Les types d’informations sensibles.

  8. Sous Contenu contient, faites défiler vers le bas et sélectionnez le nouveau type d’informations sensibles que vous avez précédemment choisi ou créé.

  9. Faites défiler jusqu’à la section Actions , puis choisissez Ajouter une action.

  10. Choisissez Auditer ou restreindre les activités sur les appareils

  11. Dans la section Actions , sous Domaine de service et activités de navigateur, sélectionnez Coller dans les navigateurs pris en charge.

  12. Définissez la restriction sur Audit, Bloquer avec remplacement ou Bloquer, puis choisissez Ajouter.

  13. Cliquez sur Enregistrer.

  14. Sélectionnez Suivant

  15. Indiquez si vous souhaitez tester votre stratégie, l’activer immédiatement ou la conserver, puis choisissez Suivant.

  16. Choose Submit.

Importante

Il peut y avoir un bref décalage entre le moment où l’utilisateur tente de coller du texte dans une page web et le moment où le système termine sa classification et répond. Si cette latence de classification se produit, vous pouvez voir à la fois des notifications d’évaluation de stratégie et case activée complètes dans Edge ou toast d’évaluation de stratégie sur Chrome et Firefox. Voici quelques conseils pour réduire le nombre de notifications :

  1. Les notifications sont déclenchées lorsque la stratégie du site web cible est configurée sur Bloquer ou Bloquer avec le remplacement coller dans le navigateur pour cet utilisateur. Vous pouvez configurer la définition de l’action globale sur Auditer , puis répertorier les sites web cibles en utilisant les exceptions en tant que Bloquer. Vous pouvez également définir l’action globale sur Bloquer , puis répertorier les sites web sécurisés en utilisant les exceptions comme Audit.
  2. Utilisez la dernière version du client Antimalware.
  3. Utilisez la dernière version du navigateur Edge, en particulier Edge 120.
  4. Installer ces bases de connaissances Windows
  • Last updated on