Evitare la perdita di contenuto sensibile limitando le azioni di incollamento nei browser

Questo scenario illustra come impedire agli utenti di incollare contenuto sensibile in applicazioni basate su browser usando Microsoft Purview DLP. Valutando il contenuto nel momento in cui viene incollato, le organizzazioni possono rilevare e controllare le informazioni sensibili in tempo reale, indipendentemente dall'origine.

Usando Incolla ai controlli del browser con gruppi di dominio del servizio sensibili, questo approccio consente un'applicazione flessibile, ad esempio il controllo, l'avviso o il blocco delle azioni di incollamento, in base al sito Web di destinazione. Ciò consente di ridurre il rischio di esposizione accidentale ai dati, consentendo al tempo stesso di adattare i criteri ai diversi livelli di rischio.

L'attività Incolla nel browser funziona in modo indipendente dalla classificazione del file di origine e richiede regole configurate con gruppi di dominio del servizio sensibili. Non è supportato con l'impostazione DLP dell'endpoint dei domini di servizio . Per altre informazioni, vedere Attività endpoint su cui è possibile monitorare e intervenire

Nota

Sono supportati i Web browser seguenti:

  • Microsoft Edge (Win/macOS)
  • Chrome (Win/macOS)- Estensione Microsoft Purview solo per Windows Chrome
  • Firefox (Win/macOS)- Estensione Microsoft Purview solo per Firefox Per Windows
  • Safari (solo macOS)

Importante

  • Se è stata configurata la raccolta di prove per le attività dei file nei dispositivi e la versione client antimalware nel dispositivo è precedente alla 4.18.23110, quando si implementa questo scenario, Limitare l'incollamento di contenuto sensibile in un browser, verranno visualizzati caratteri casuali quando si tenta di visualizzare il file di origine in Dettagli avviso. Per visualizzare il testo effettivo del file di origine, è necessario scaricare il file.
  • Se non è possibile analizzare Document come azione per la regola corrispondente, il file di prova non verrà acquisito.

Prerequisiti e presupposti

Questo articolo usa il processo appreso in Progettare criteri di prevenzione della perdita dei dati per illustrare come creare un criterio di Prevenzione della perdita dei dati Microsoft Purview (DLP). Usare questi scenari nell'ambiente di test per acquisire familiarità con l'interfaccia utente di creazione dei criteri.

Importante

Questo articolo presenta uno scenario ipotetico con valori ipotetici. È solo a scopo illustrativo. Sostituire i propri tipi di informazioni riservate, etichette di riservatezza, gruppi di distribuzione e utenti.

La modalità di distribuzione di un criterio è altrettanto importante per la progettazione dei criteri. Questo articolo illustra come usare le opzioni di distribuzione in modo che i criteri raggiungano la finalità, evitando costose interruzioni aziendali.

Questo scenario usa l'etichetta di riservatezza Riservato , pertanto è necessario creare e pubblicare etichette di riservatezza. Per altre informazioni, vedere:

Questa procedura usa un ipotetico gruppo di distribuzione Risorse umane e un gruppo di distribuzione per il team di sicurezza in Contoso.com.

Questa procedura usa gli avvisi, vedere: Introduzione agli avvisi di prevenzione della perdita dei dati

Istruzione e mapping delle finalità dei criteri

Contoso vuole impedire agli utenti di esporre involontariamente informazioni sensibili incollandole in web form o applicazioni basate su browser. I dati sensibili, ad esempio informazioni personali o altri contenuti regolamentati, possono essere copiati da file o applicazioni locali e incollati in siti Web, creando un potenziale rischio di esfiltrazione dei dati. Per risolvere questo aspetto, verrà creato un criterio che valuta dinamicamente il contenuto nel momento in cui viene incollato in un browser supportato. In base alla sensibilità del contenuto incollato e del sito Web di destinazione, l'azione verrà verificata, avvisata o bloccata. Useremo anche gruppi di dominio del servizio sensibili per applicare diversi livelli di imposizione a seconda dei siti Web di destinazione. In questo modo, è possibile bilanciare sicurezza e usabilità applicando controlli più severi ai domini a rischio più elevato, garantendo al contempo la flessibilità per i siti attendibili.

Istruzione Risposta alla domanda di configurazione e mapping della configurazione
"Vogliamo impedire che dati sensibili vengano incollati in web form o campi del browser..." - Ambito amministrativo: directory completa
- Dove monitorare: solo dispositivi
- Ambito dei criteri: tutti gli utenti/dispositivi o gli utenti di destinazione
"Vogliamo valutare il contenuto nel momento in cui viene incollato, indipendentemente dalla sua origine..." - Condizione: il contenuto contiene i tipi di informazioni sensibili selezionati
- Valutazione: classificazione in tempo reale all'evento paste (indipendente dalla classificazione dei file di origine)
"Vogliamo controllare le azioni incolla in base alla riservatezza del contenuto..." - Azione: Controllare o limitare le attività nei dispositivi
- Tipo di attività: incollare nei browser supportati
"Vogliamo livelli diversi di imposizione a seconda del sito Web di destinazione..." - Impostazioni endpoint: Creare gruppi di dominio del servizio sensibili
- Progettazione delle regole: associare le restrizioni di incollamento a gruppi di dominio specifici
"Vogliamo controllare, avvisare o bloccare le azioni incolla in base al livello di rischio..." - Configurazione dell'azione: impostare su Controllo, Blocca con override o Blocca a seconda delle esigenze di imposizione
"Vogliamo flessibilità per personalizzare le restrizioni tra diverse categorie di siti Web..." - Progettazione dei criteri: più URL/gruppi di dominio (ad esempio siti attendibili o non attendibili)
- Usare eccezioni o più regole per il controllo granulare
"Vogliamo garantire che l'imposizione avvenga in modo coerente tra i browser supportati..." - Supporto del browser: Microsoft Edge, Chrome, Firefox (con estensioni), Safari
- L'integrazione della prevenzione della perdita dei dati degli endpoint garantisce l'applicazione dei criteri nei browser supportati
"Vogliamo che gli utenti vengano informati quando le azioni incolla vengono valutate o limitate..." - Esperienza utente: suggerimenti per i criteri o notifiche attivate durante la valutazione incolla
- Nota sul comportamento: possibile breve ritardo durante il completamento della classificazione
"Si vuole distribuire e testare i criteri con il livello di imposizione appropriato..." - Modalità criteri: configurabile (test, controllo o imposizione)
- Distribuzione: inviare criteri e convalidare il comportamento con scenari di test

Passaggi per creare criteri

È possibile impostare diversi livelli di imposizione quando si tratta di bloccare l'incollamento dei dati in un browser. A tale scopo, creare gruppi di URL diversi. Ad esempio, è possibile creare un criterio che avvisa gli utenti dalla pubblicazione di numeri di previdenza sociale (SSN) negli Stati Uniti in qualsiasi sito Web e che attiva un'azione di controllo per i siti Web nel gruppo A. È possibile creare un altro criterio che blocca completamente l'azione incolla, senza fornire un avviso, per tutti i siti Web nel gruppo B.

Creare un gruppo di URL

  1. Accedere al portale > di Microsoft PurviewImpostazioni diprevenzione> della perdita dei dati (icona a ingranaggio nell'angolo in alto a sinistra) >Impostazioni dell'endpointdi prevenzione> della perdita dei dati e scorrere verso il basso fino a Restrizioni del browser e del dominio per dati sensibili. Espandere la sezione .

  2. Scorrere verso il basso fino a Gruppi di dominio del servizio sensibili.

  3. Scegliere Crea gruppo di dominio del servizio sensibile.

    1. Immettere un nome di gruppo.
    2. Nel campo Dominio servizio sensibile immettere l'URL per il primo sito Web da monitorare e quindi scegliere Aggiungi sito.
    3. Continuare ad aggiungere URL per il resto dei siti Web che si desidera monitorare in questo gruppo.
    4. Al termine dell'aggiunta di tutti gli URL al gruppo, scegliere Salva.

  4. Creare tutti i gruppi di URL separati necessari.

Limitare l'incollamento di contenuto in un browser

  1. Accedere al portale >di Microsoft PurviewCriteri di prevenzione> della perdita dei dati.

  2. Dati archiviati in origini connesse.

  3. Creare un criterio DLP con ambito Dispositivi. Per informazioni su come creare criteri di prevenzione della perdita dei dati, vedere Creare e distribuire criteri di prevenzione della perdita dei dati.

  4. Nella pagina Definisci impostazioni dei criteri nel flusso di creazione dei criteri DLP selezionare Crea o personalizza regole DLP avanzate e quindi scegliere Avanti.

  5. Nella pagina Personalizza regole DLP avanzate scegliere Crea regola.

  6. Immettere un nome e una descrizione per la regola.

  7. Espandere Condizioni, scegliere Aggiungi condizione e quindi selezionare Tipi di informazioni sensibili.

  8. In Contenuto contiene scorrere verso il basso e selezionare il nuovo tipo di informazioni riservate scelto o creato in precedenza.

  9. Scorrere verso il basso fino alla sezione Azioni e scegliere Aggiungi un'azione.

  10. Scegliere Controlla o limita le attività nei dispositivi

  11. Nella sezione Azioni , in Attività del browser e del dominio del servizio selezionare Incolla nei browser supportati.

  12. Impostare la restrizione su Controlla, Blocca con override o Blocca e quindi scegliere Aggiungi.

  13. Scegliere Salva.

  14. Scegliere Avanti

  15. Scegliere se testare i criteri, attivarli immediatamente o mantenerli disattivati e quindi scegliere Avanti.

  16. Choose Submit.

Importante

Può verificarsi un breve intervallo di tempo tra quando l'utente tenta di incollare testo in una pagina Web e quando il sistema termina la classificazione e risponde. Se si verifica questa latenza di classificazione, è possibile che vengano visualizzate sia le notifiche di valutazione dei criteri che di verifica-completamento in Edge o l'avviso popup di valutazione dei criteri in Chrome e Firefox. Ecco alcuni suggerimenti per ridurre al minimo il numero di notifiche:

  1. Le notifiche vengono attivate quando i criteri per il sito Web di destinazione sono configurati su Blocca o Blocca con l'override incolla nel browser per l'utente. È possibile configurare l'impostazione dell'azione complessiva su Controlla e quindi elencare i siti Web di destinazione usando le eccezioni come Blocco. In alternativa, è possibile impostare l'azione complessiva su Blocca e quindi elencare i siti Web sicuri usando le eccezioni come Controllo.
  2. Usare la versione più recente del client Antimalware.
  3. Usare la versione più recente del browser Edge, in particolare Edge 120.
  4. Installare questi KB Windows
  • Last updated on