Open in app

Sign in

Write

Sign in

微軟Purview簡介

Microsoft Purview 的風險和合規性解決方案可協助資安團隊偵測對組織的威脅,識別、分類和保護敏感資料,以及監控和報告合規性。

針對DLP的回應

DLP的告警可協助資安人員進行調查,以了解資安事故的全部範圍。 Microsoft Purview Compliance 或 Microsoft Defender for Cloud Apps 都會產生 DLP 告警。接收告警的人可能不是 DLP 政策的設定者,但了解這些政策對很重要,這樣解讀的人才能提出更改建議。

為了遵守業務標準和產業法規,組織必須保護敏感資訊並防止其無意洩露。敏感資訊可以包括財務資料或個人資訊,例如信用卡號、身份證字號或醫療記錄。

有了DPL政策,資安人員可以:

  • 識別多個位置的敏感訊息,例如 Exchange Online、SharePoint Online、OneDrive 和 Microsoft Teams。例如,可以識別儲存在任何 OneDrive 網中的包含信用卡號的任何文件,也可以監控特定人員的 OneDrive 。
  • 防止意外分享敏感資訊。例如,可以識別包含與組織外部人員共用的個資記錄的任何文件或電子郵件,然後自動封鎖對該文件的存取或封鎖發送電子郵件。
  • 監控和保護桌機板的 Excel、PowerPoint 和 Word 中的敏感資訊。就像 Exchange Online、SharePoint Online 和 OneDrive 中一樣,這些 Office 桌面程式包含識別敏感資訊和套用 DLP 政策的相同功能。當員工在這些 Office 程式中分享內容時,DLP 會提供持續監控。
  • 幫助使用者了解如何在不中斷工作流程的情況下保持合規性。資安人員可以向使用者介紹 DLP 政策並幫助員工保持合規性,而不會妨礙他們的工作。例如,如果使用者嘗試共用包含敏感資訊的文件,DLP 政策可以向他們發送電子郵件通知,並在文件庫的上下文中向他們顯示資安政策呈現,允許他們在有業務理由時覆寫該政策。相同的政策提示也出現在 Outlook 網頁版、Outlook、Excel、PowerPoint 和 Word 中。
  • 查看 DLP 告警和報告,其中顯示與公司的 DLP 政策相符的內容。

DLP的組件

以下各個DLP的組件介紹

敏感資訊類型

敏感資訊類型由可由正規表示式(regular expression)或函數識別的模式定義。此外,諸如關鍵字和checksums之類的佐證證據可用於識別敏感資訊類型。評估過程中也使用置信度(Confidence level)和接近度(proximity)。

Microsoft Purview Compliance 有內建的敏感資訊類型,例如信用卡號、銀行帳戶等。我們當然也可以用正規表示式、關鍵字或上傳的字典相符的客製敏感資訊類型。

Sensitivity labels

Sensitivity labels指定文件的分類。標籤可以是公開、私人或機密等。透過這些標籤,可以將更多功能套用於文件,例如加密。標籤由使用者手動或根據敏感資訊類型自動套用至文件。

DLP政策

DLP 政策包含一些基本內容:

  1. 保護內容的位置:Exchange Online、SharePoint Online 和 OneDrive 以及 Microsoft Teams 。
  2. 何時以及如何透過執行包含以下內容的規則來保護內容:
  • 在強制執行規則之前其內容必須符合的條件。例如,規則可能配置為僅查找包含已與組織外部人員共享的身分證字號的內容。
  • 希望規則在找到與條件相符的內容時自動執行的動作。例如,規則可以配置為封鎖對文件的存取並向使用者和稽核人員發送電子郵件通知。

可以設定文件政策來提供持續的合規性掃描、合法的eDiscovery作業、公開共享的敏感內容的 DLP 以及更多用例。 Microsoft Defender for Cloud Apps 可以基於 20 個metadata filters監視任何檔案類型。

針對DLP告警進行調查

查看來自 Microsoft Purview 中建立的 DLP 政策的 DLP 告警,有下列步驟:

進到purview網站,並依下圖點選

  1. 在左邊DLP 選單中點選Alerts
  2. 選擇filters來細化告警清單。選擇自訂列以列出想要查看的屬性。也可以選擇在任何column中對告警進行排序。
  3. 點選告警以查看詳細資訊。
  4. 選擇「Event」標籤可查看與告警關聯的所有事件。可以選擇特定事件來查看其詳細資訊。
  5. 選擇標籤中帶有Sensitive info的事件,然後選擇查看詳細資訊按鈕。
  6. 選擇告警的Overview tab並展開Manage alert部分。在「Assign」標籤下,可以變更狀態(Active, Investigating, Dismissed, or Resolved)。還可以加入評論並將告警分配給組織中的某人。
  7. 對告警採取所需的操作後,將告警的狀態設定為「已解決」。
  8. 若要查看工作流程管理的歷史記錄,選擇Management log tab。

針對Microsoft Defender for Cloud Apps的DLP告警進行調查

當使用 DLP 相關配置建立 Defender for Cloud Apps File policy時,可以在 Defender for Cloud Apps 的告警區域中調查file policy violation alerts。

點選manage alerts:在「Alerts」頁面中,選擇「Open」作為「解決方案狀態」。

儀表板的這一部分可讓我們全面了解任何可疑活動或違反既定政策的行為。它可以幫助我們維護為雲端環境定義的安全狀況。

對於每個告警,我們需要調查並確定違規的性質和所需的回應。

  • 可以按告警類型或嚴重性來過濾告警,以先處理最重要。
  • 選擇特定告警。根據告警的類型,我們將看到在變更告警狀態之前可以採取的各種操作。
  • 可以根據應用程式進行過濾 — 列出的應用程式是 Defender for Cloud Apps 偵測到活動的應用程式。
  • 調查告警時,需要處理三種類型的違規行為:

Serious violations — 這需要立即處裡的,例如:

  • 對於可疑活動告警報,可能需要暫停帳號,直到使用者變更密碼。
  • 對於資料外洩,可能需要限制權限或隔離檔案。
  • 如果發現新應用程序,我們可能希望在proxy server或防火牆上對其進行封鎖。

Questionable violations — 這可以稍後再處裡的。

  • 可以聯絡使用者或使用者的主管以了解在搞甚麼鬼。
  • 讓活動繼續進行,以收集更多的資料。

Authorized violations or anomalous behavior — 合法使用可能會導致違規或異常行為。通常直接結束這一個告警。

每當消除告警時,提交有關消除告警原因的回饋非常重要。 Defender for Cloud Apps 團隊使用此回饋來指示告警的準確性。然後,這些資訊將用於微調機器學習模型,以應對未來的告警。我們可以遵循以下準則來決定如何對告警進行分類:

  • 如果是合法使用觸發了告警並且不是安全性問題,則可能是以下類型之一:
    — Benign positive:告警準確,但活動合法。我們可以忽略告警並將原因設為Actual severity is lower 或Not interesting。
    — 誤報(False positive):告警不準確。關閉警報並將原因設為「告警不準」。
  • 如果雜訊太大而無法確定告警的合法性和準確性,將其忽略並將原因設為「太多類似告警」。
  • True positive:如果告警與由內部人員或外部人員惡意或無意實施的實際風險事件相關,則應在採取所有適當的操作來修復該事件後,將該事件設為「Resolve」。

了解不同的告警類型非常重要,因為這些非 DLP 告也可以提供對安全事故的深入了解。以下清單提供了可以觸發的告警類型,並推薦了解決這些警報的方法。

告警類型: Activity policy violation。
此類告警是我們建立的政策的結果。
處理方式:
若要大量處理此類告警,在Policy center作業以減緩這些告警。透過添加更多過濾器和更精細的控制來微調政策以排除不重要的告警。如果政策準確,告警是必要的,並且我們希望立即停止違規行為,需要在政策中添加自動補救措施。因為告警太多(狼來了),會減少我們對告警的戒心。

告警類型: File policy violation
此類告警是我們建立的政策的結果。
處理方式:
跟上一個一樣。

告警類型: Compromised account
當 Defender for Cloud Apps 識別出被攻擊成功的帳號時,會觸發此類警報。
這意味著該帳戶很可能被未經授權的方式使用。
處理方式:
暫停該帳號,直到能夠聯繫到該使用者並確保他們更改密碼。

告警類型:Inactive account
當某個帳號在 60 天內未在我們的雲端應用程式清單之中使用時,就會觸發此告警。
處理方式:
聯絡使用者和使用者的主管以確定該帳號是否仍然有效。如果不是,請凍結使用者並終止應用程式的授權。

告警類型:New admin user
提醒我們已連接應用程式的特權帳戶變更。
處理方式:
確認使用者需要新的管理員權限。如果不是,建議撤銷管理員權限以減少暴露。

告警類型: New admin location
提醒我們已連接應用程式的特權帳戶變更。
處理方式:
確認來自該異常位置的登入是合法的。如果不是,建議撤銷管理員權限或暫停帳戶以減少暴露。

告警類型:New location
有關從新位置存取連接的應用程式的資訊告警,每個國家/地區僅觸發一次。 處理方式:
調查特定使用者的活動。

告警類型:New discovered service
這是有關Shadow IT 的告警。 Cloud Discovery 偵測到新應用程式。
處理方式:
根據app catalog評估服務的風險。

告警類型:Suspicious activity
此告警讓我們知道已偵測到與組織中的預期活動或使用者不一致的異常活動。
處理方式:
調查該行為並與使用者確認。此類告警是開始了解有關IT環境的更多資訊並使用這些告警建立新政策的地方。例如,如果有人突然將大量資料上傳到連接的應用程式之一,我們可以設定規則來管理此類異常行為。

告警類型:Use of personal account
此告警讓我們知道新的個人帳號可以存取連接的應用程式中的資源。
處理方式:
刪除使用者在外部帳戶中的協作。

微軟365
Microsoft 365
Purview
合規
資安

--

--

運用"雲端服務"加速企業的數位轉型願景
運用"雲端服務"加速企業的數位轉型願景

Written by 運用"雲端服務"加速企業的數位轉型願景

405 Followers
1 Following

我們協助您駕馭名為"雲端運算"的怪獸,馴服它為您所用。諮詢請來信jason.kao@suros.com.tw. https://facebook.com/jason.kao.for.cloud

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams