Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Информационная безопасность

Microsoft Purview Метки чувствительности, лучшие практики для настройки?

На чтение 9 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Предыстория
  3. Что я хотел бы настроить
  4. Созданный тип конфиденциальной информации
  5. Создание метки
  6. Публикация политики метки
  7. Тестирование и основная проблема
  8. Другие вопросы
  9. Ответ или решение
  10. Best Practices for Setting Up Microsoft Purview Sensitivity Labels
  11. Введение
  12. 1. Создание чувствительного типа информации
  13. 2. Применение метки
  14. 3. Публикация и тестирование политики
  15. 4. Высокая степень уверенности
  16. 5. Уведомления и предупреждения
  17. Часто задаваемые вопросы
  18. Какой тип пользовательских сообщений выбрать?
  19. Какие виды меток и предупреждений доступны?
  20. Наилучший подход к обеспечению безопасности?
  21. Заключение

Вопрос или проблема

Предыстория

В моей компании произошло более чем несколько недавних случаев нарушения безопасности, связанных с социальным инженерией и поддельными электронными письмами.

Злоумышленник, подделывающий одного из наших клиентов, отправляет электронное письмо пользователю нашей компании с сообщением “Мы обновили нашу банковскую информацию, пожалуйста, делайте все будущие платежи на этот новый номер счета.” или “Мы все еще ждем, когда вы обработаете EFT для счета XXXX на сумму XXX, пожалуйста, убедитесь, что вы используете наш новый номер счета XXXXXX.”

Наши клиенты, дай им Бог здоровья, с радостью платили большие суммы денег этим злоумышленникам, полагая, что они являются клиентами.

У меня появилась идея для системы, которая ищет слова, такие как “EFT, Перевод средств, Способ оплаты, Банковский счет, Обновление счета” и т.д.

Используя эти ключевые слова, система автоматически помечает это электронное письмо сообщением, подобным
"ЕСЛИ КЛИЕНТ ПРОСИТ ВАС ОБНОВИТЬ БАНКОВСКУЮ ИНФОРМАЦИЮ ИЛИ СДЕЛАТЬ ПЛАТЕЖ НА НОВЫЙ СЧЕТ, СВЯЖИТЕСЬ С КЛИЕНТОМ ПЕРВЫМ ДЕЛОМ И ПОТВЕРДИТЕ."
В каком-то всплывающем окне, подсказке или баннерном сообщении.

Что я хотел бы настроить

Проще говоря, мы хотим иметь какой-то визуальный флаг (такой как баннер или подсказка), который автоматически появляется у конечного пользователя, когда он получает электронное письмо, содержащее заданные ключевые слова. В частности, входящие письма извне нашего тенанта.

Судя по моим исследованиям, я считаю, что автоматическая маркировка меток чувствительности с подсказкой должна достичь того, что я ищу.

Изображение от Microsoft, показывающее, что я, как я считаю, ищу.

Я посмотрел несколько руководств, но у меня возникли проблемы с их реализацией. Ниже приведены шаги, которые я уже выполнил.

Созданный тип конфиденциальной информации

  1. Перейдите в “Классификация данных > Типы конфиденциальной информации”.
  2. “Создать тип конфиденциальной информации”
  3. “Определить шаблоны для этого типа конфиденциальной информации”, создал Шаблон #1 со списком ключевых слов.
  4. “Основной элемент” установлен на “Список ключевых слов”.
  5. В разделе “Регистронезависимый” добавил несколько ключевых слов, которые, как я хотел бы, активировали подсказку политики.
  6. Нет вспомогательных элементов, никаких дополнительных проверок.
  7. Высокий уровень уверенности.

Создание метки

  1. Создана метка в меню защиты информации.
  2. Эта метка получила описание для пользователя и цвет метки.
  3. Определен диапазон на “Только элементы”, данный момент не интересуют Teams или Схематизированные карты данных.
  4. Установлено “Применить маркировку содержимого”.
  5. В разделе маркировки содержимого применил Заголовок и Нижний колонтитул (водяной знак не установлен) с сообщением, которое я хочу, чтобы пользователи видели.
  6. В разделе “Автоматическая маркировка для файлов и электронных писем” применил маркировку содержимого к типу конфиденциальной информации, который я ранее создал. HCL, 1-любые экземпляры.
  7. “Когда содержимое соответствует этим условиям > Автоматически применить метку”
  8. “Показывать сообщения пользователю”, использовал тот же текст, что и ранее.
  9. “Группы и Сайты”, этот раздел пропущен.

Публикация политики метки

  1. Опубликовано только для меня как тестового пользователя.
  2. “Настройки политики”, все параметры оставлены пустыми. Не нужно, чтобы пользователи взаимодействовали с предупреждением метки.
  3. “Стандартная метка для документов” Пропущено
  4. “Стандартные настройки для электронных писем” = Нет. Не хочу, чтобы метка применялась ко всем письмам, только к тем, которые соответствуют типу конфиденциальной информации.
  5. “Стандартные настройки для встреч и событий календаря” Пропущено
  6. “Стандартные настройки для контента Power BI” Пропущено

Тестирование и основная проблема

После всех этих шагов я отправил электронное письмо со своего личного Gmail на свою корпоративную почту, содержащее все ключевые слова, которые я ранее определил.

Я получил письмо, но не увидел, чтобы появилась какая-либо подсказка или баннер.
Предполагая, что это может быть проблема с развертыванием, зависящая от времени, я подождал 24 часа и попытался снова; с теми же результатами.

Есть мысли? У меня такое ощущение, что я, вероятно, упускаю что-то очевидное.

Другие вопросы

  1. Было много отдельных шагов, где, казалось, я мог создать сообщение для пользователя. Какой из этих вариантов мне следует включить? Мне нужно, чтобы все они были включены?

  2. Какие различные виды маркировки содержимого или подсказок оповещения доступны для выбора?

  3. Является ли это наилучшим курсом действий для достижения того, что я ищу? Есть ли какое-то другое решение, которое могло бы помочь мне достичь желаемого результата и которое может быть более эффективным?

В общем, наиболее полезные ссылки – это сводки из документации MSFT:

По меткам чувствительности:
https://learn.microsoft.com/en-us/microsoft-365/compliance/sensitivity-labels?view=o365-worldwide

Метки по умолчанию (включение):
https://learn.microsoft.com/en-us/microsoft-365/compliance/mip-easy-trials?source=recommendations&view=o365-worldwide

Метки для приложений Office (включая Outlook):
https://learn.microsoft.com/en-us/microsoft-365/compliance/sensitivity-labels-office-apps?view=o365-worldwide

Таблица возможностей меток чувствительности в Outlook:
https://learn.microsoft.com/en-us/microsoft-365/compliance/sensitivity-labels-versions?view=o365-worldwide#sensitivity-label-capabilities-in-outlook

Применение обязательной маркировки (автоматической и обучаемой):
https://learn.microsoft.com/en-us/microsoft-365/compliance/apply-sensitivity-label-automatically?view=o365-worldwide

Вырезка:
Специфично для автоматической маркировки для Exchange:

  • В отличие от ручной маркировки или автоматической маркировки с помощью приложений Office, PDF
    вложения, а также вложения Office также сканируются на
    условия, которые вы указываете в своей политике автоматической маркировки. Когда происходит совпадение, метка применяется к электронному письму, но не к вложению.

— Для PDF-файлов, если метка применяет шифрование, эти файлы, если
нешифрованные, теперь шифруются с использованием шифрования сообщений, когда ваш
тенант включен для PDF-вложений. Настройки шифрования
прилагаются от электронной почты.

–Для этих файлов Office поддерживаются Word, PowerPoint и Excel. Если метка применяет шифрование и эти файлы нешифрованные, они теперь шифруются с использованием шифрования сообщений.
Настройки шифрования унаследованы от электронной почты.

  • Если у вас есть правила почтового потока Exchange или политики предотвращения потери данных Microsoft Purview (DLP), которые применяют шифрование IRM: Когда содержимое определяется такими правилами или политиками и политикой автоматической маркировки,
    метка применяется. Если эта метка применяет шифрование, настройки IRM
    из правил почтового потока Exchange или политик DLP игнорируются. Однако, если эта метка не применяет шифрование, настройки IRM
    из правил почтового потока или политик DLP применяются дополнительно к метке.

  • Электронная почта, у которой есть шифрование IRM без метки, будет заменена на
    метку с любыми настройками шифрования, когда происходит совпадение с помощью
    автоматической маркировки.

  • Входящее электронное письмо помечается, когда происходит совпадение с вашими
    условиями автоматической маркировки. Если эта метка настроена на шифрование,
    то это шифрование всегда применяется, когда отправитель из вашей
    организации. По умолчанию это шифрование не применяется, когда
    отправитель находится за пределами вашей организации, но может быть применено, настроив
    Дополнительные настройки для электронной почты и указав владельца управления правами.

  • Когда метка применяет шифрование, эмитент управления правами и
    владелец управления правами – это человек, который отправляет электронное письмо, когда
    отправитель из вашей собственной организации. Когда отправитель за пределами вашей
    организации, вы можете указать владельца управления правами для входящей
    электронной почты, которая помечена и зашифрована вашей политикой.

  • Если метка настроена на применение динамических маркеров, имейте в виду, что
    для входящих электронных писем эта настройка может привести к отображению
    имен людей за пределами вашей организации.

Определение политики DLP с уведомлениями:
https://learn.microsoft.com/en-us/microsoft-365/compliance/use-notifications-and-policy-tips?view=o365-worldwide

Советы по политике DLP:
https://learn.microsoft.com/en-us/microsoft-365/compliance/dlp-policy-tips-reference?view=o365-worldwide

Ответ или решение

Best Practices for Setting Up Microsoft Purview Sensitivity Labels

Введение

В условиях возрастания угроз безопасности, таких как социальная инженерия и мошеннические электронные письма, компании должны принимать активные меры для защиты своих данных и предотвращения финансовых потерь. Одним из эффективных решений является использование меток чувствительности (sensitivity labels) в Microsoft Purview. Эта статья поможет вам правильно настроить метки чувствительности, учитывая примеры, предоставленные в вашем описании.

1. Создание чувствительного типа информации

Вы правильно начали процесс создания чувствительного типа информации, но важно удостовериться, что параметры, такие как уровень доверия и список ключевых слов, были правильно настроены.

  • Рекомендации: Убедитесь, что все ключевые слова, связанные с финансами, включены в ваш список. Рассмотрите возможность создания нескольких шаблонов для различных типов угроз.

2. Применение метки

Пока вы создали метку и назначили историю содержания, необходимо убедиться, что каждое поле настроено правильно.

  • Пояснение по пользовательским сообщениям: Выберите одно стандартное сообщение для отображения пользователям и убедитесь, что оно включено в параметры метки. Это одно сообщение будет достаточно для предотвращения путаницы.

3. Публикация и тестирование политики

Вы правильно создали и протестировали политику на тестовом пользователе, но убедитесь, что вы:

  • Убедились в том, что политика публикации активна и что изменения были применены на уровне всей компании, а не только для отдельного пользователя.
  • Проверка времени развертывания: Иногда изменения могут занять некоторое время для применения. Если прошло 24 часа и вы не видите результатов, попробуйте проверить правильность настроек или протестировать с другого адреса, чтобы убедиться, что проблема не в конкретном у устройстве или профиле.

4. Высокая степень уверенности

Вы установили высокий уровень уверенности для вашей чувствительной информации, что правильно, но также проверьте условия, при которых метка может быть применена. Возможно, ваши ключевые слова слишком специфичны или имеются конфликты в правилах, которые препятствуют их срабатыванию.

5. Уведомления и предупреждения

  • Уведомления об ошибках: Настройка DLP (защита данных от потерь) может дополнительно усилить вашу защиту. Использование DLP для установки уведомлений на основе содержания ваших электронных писем поможет выявить риски в реальном времени.
    • Пример: Используйте "Политические советы" на основе условий DLP для настройки предупреждений для пользователей на основе их действий или даже попыток отправить подозрительные платежи.

Часто задаваемые вопросы

Какой тип пользовательских сообщений выбрать?

Лучше всего выбрать одно сообщение, которое будет четким и понятным. Это поможет избежать путаницы у пользователей и упростит процесс.

Какие виды меток и предупреждений доступны?

Вы можете использовать заголовки, подзаголовки или даже добавить изображения. Ваша цель — сделать уведомление визуально заметным, чтобы избежать его игнорирования пользователями.

Наилучший подход к обеспечению безопасности?

Хотя использование меток чувствительности является эффективным, не забывайте о других мерами безопасности, таких как обучение сотрудников, регулярные проверки безопасности и внедрение многофакторной аутентификации.

Заключение

Настройка меток чувствительности в Microsoft Purview — это мощный шаг к защите вашей организации от мошенничества и других угроз. Следуя рекомендациям и лучшим практикам, вы улучшите защиту своих данных и снижение риска утечек. Ваша задача — не только настроить метки, но и регулярно обновлять и проверять их настройки, чтобы адаптироваться к меняющимся угрозам и обеспечить безопасность компании в долгосрочной перспективе.

compliance data-leakage dlp microsoft sensitive-data-exposure
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности