Oversigt over forebyggelse af datatab i SharePoint Server 2016

For at overholde forretningsstandarder og branchebestemmelser skal organisationer beskytte følsomme oplysninger og forhindre utilsigtet offentliggørelse. Finansielle data eller personidentificerbare oplysninger (PII), f.eks. kreditkortnumre, CPR-numre eller nationale id-numre er eksempler på følsomme oplysninger, som du muligvis gerne vil forhindre, slipper ud af virksomheden. Med en politik til forebyggelse af datatab (DLP) i SharePoint Server 2016 kan du identificere, overvåge og automatisk beskytte følsomme oplysninger på tværs af dine grupper af websteder.

Med DLP kan du:

  • Opret en DLP-forespørgsel for at identificere, hvilke følsomme oplysninger der nu findes i din gruppe af websteder. Før du opretter DLP-politikker, er det ofte nyttigt at se på, hvilke typer af følsomme oplysninger, som personer i din organisationen arbejder med, og hvilke grupper af websteder der indeholder disse følsomme oplysninger. Med en DLP-forespørgsel kan du finde følsomme oplysninger, som er underlagt fælles branchebestemmelser, bedre forstå dine risici og fastslå, hvilke følsomme oplysninger, der skal beskyttes af dine DLP-politikker, og hvor de er.

  • Opret en DLP-politik for at overvåge og automatisk beskytte følsomme oplysninger i dine grupper af websteder. Du kan f.eks. konfigurere en politik, der viser et politiktip til brugere, hvis de gemmer dokumenter, der indeholder personligt identificerbare oplysninger. Desuden kan politikken automatisk blokere adgang til disse dokumenter for alle undtaget ejeren af webstedet, ejeren af indholdet og vedkommende, der senest har ændret dokumentet. Og endelig, fordi du ikke vil have dine DLP-politikker til at forhindre folk i at udføre deres arbejde, giver politiktippet en mulighed for at tilsidesætte blokeringen, så personer fortsat kan arbejde med dokumenter, hvis de har en forretningsberettigelse.

DLP-skabeloner

Når du opretter en DLP-forespørgsel eller en DLP-politik, kan du vælge fra en liste over DLP-skabeloner, der svarer til almindelige lovmæssige krav. Hver DLP-skabelon identificerer bestemte typer af følsomme oplysninger – f.eks. den skabelon, der hedder USA Personidentificerbare oplysninger (PII) identificerer indhold, der inkluderer amerikanske og britiske pasnumre, amerikanske skatteyderes id-numre (ITIN) eller amerikanske CPR-numre (SSN).

DLP-politikskabeloner

Typer af følsomme oplysninger

En DLP-politik hjælper med at beskytte følsomme oplysninger, der er defineret som en følsom oplysningstype. SharePoint Server 2016 indeholder definitioner på mange almindelige typer af følsomme oplysninger, som er klar til brug, f.eks. et kreditkortnummer, bankkontonumre, nationale id-numre og pasnumre.

Når en DLP-politik søger efter en type af følsomme oplysninger, som f.eks. kreditkortnumre, søger den ikke blot efter et 16-cifret nummer. Hver type af følsomme oplysninger er defineret og registreret ved hjælp af en kombination af:

  • Nøgleord

  • Interne funktioner til at validere kontrolsummer eller sammensætning

  • Evaluering af regulære udtryk til at finde mønstre

  • Anden undersøgelse af indhold

Dette hjælper DLP-registrering med at opnå en høj grad af nøjagtighed, mens antallet af falske positive, der kan forhindre personers arbejde, reduceres.

Hver DLP-skabelon søger efter en eller flere typer af følsomme oplysninger. Du kan finde flere oplysninger om, hvordan hver type af følsomme oplysninger virker, under Hvad typerne af følsomme oplysninger i SharePoint Server 2016 søger efter.

Denne DLP-skabelon ...

Søger efter disse typer af følsomme oplysninger ...

USA Personidentificerbare oplysninger (PII)-data

USA/Storbritannien Pasnummer

USA Skatteyderes id-nummer (ITIN)

USA CPR-nummer (SSN)

USA Gramm-Leach-Bliley Act (GLBA)

Kreditkortnummer

USA Bankkontonummer

USA Skatteyderes id-nummer (ITIN)

USA CPR-nummer (SSN)

PCI Datasikkerhedsstandard (PCI DSS)

Kreditkortnummer

Storbritannien Finansielle data

Kreditkortnummer

EU-debetkortnummer

SWIFT-kode

USA Finansielle data

ABA-registreringsnummer

Kreditkortnummer

USA Bankkontonummer

Storbritannien Personidentificerbare oplysninger (PII)-data

Storbritannien Nationalt forsikringsnummer (NINO)

USA/Storbritannien Pasnummer

Storbritannien Lov om databeskyttelse

SWIFT-kode

Storbritannien Nationalt forsikringsnummer (NINO)

USA/Storbritannien Pasnummer

Storbritannien Regler for beskyttelse af personlige oplysninger og elektronisk kommunikation

SWIFT-kode

USA Statslige love om hemmeligholdelse af personnummer

USA CPR-nummer (SSN)

USA Statslige love om meddelelse om sikkerhedsbrud

Kreditkortnummer

USA Bankkontonummer

USA Kørekortnummer

USA CPR-nummer (SSN)

DLP-forespørgsler

Før du opretter dine DLP-politikker, ønsker du måske at se, hvilke følsomme oplysninger der allerede findes på tværs af dine grupper af websteder. For at gøre dette skal du oprette og køre DLP-forespørgsler i eDiscovery Center.

Knappen Opret DLP-forespørgsel

En DLP-forespørgsel fungerer på samme måde som en eDiscovery-forespørgsel. Afhængigt af, hvilken DLP-skabelon du vælger, er DLP-forespørgslen konfigureret til at søge efter bestemte typer af følsomme oplysninger. Først skal du vælge de placeringer, du vil søge i, og derefter kan du finjustere forespørgslen, da den understøtter KQL (Sprog til forespørgsel af nøgleord). Du kan desuden indskrænke forespørgslen ved at vælge et datoområde, bestemte forfattere, SharePoint-egenskabsværdier eller placeringer. Og på samme måde som en eDiscovery-forespørgsel kan du få vist et eksempel, eksportere og downloade resultaterne af forespørgslen.

DLP-forespørgsel, der indeholder følsomme oplysningstyper

DLP-politikker

En DLP-politik hjælper dig med at identificere, overvåge og automatisk beskytte følsomme oplysninger, der er underlagt fælles branchebestemmelser. Du vælger, hvilke typer følsomme oplysninger, der skal beskyttes, og hvilke handlinger, der skal udføres, når indhold, der inkluderer disse følsomme oplysninger, registreres. En DLP-politik kan underrette compliance officeren ved at sende en hændelsesrapport, informere brugere med en politiktip på webstedet og eventuelt blokere adgangen til dokumentet for alle, undtaget ejeren af webstedet, ejeren af indholdet og vedkommende, der senest har ændret dokumentet. Endelig giver politiktippet mulighed for at tilsidesætte blokeringen, så personer fortsat kan arbejde med dokumenter, hvis de har en forretningsberettigelse eller har brug for at rapportere en falsk positiv.

Du kan oprette og administrere DLP-politikker i Center til overholdelse af politik. Oprettelse af en DLP-politik er en proces i to trin: Først opretter du DLP-politikken, og derefter tildeler du den en gruppe af websteder.

Center til overholdelse af politik

Trin 1: Oprettelse af en DLP-politik

Når du opretter en DLP-politik, kan du vælge en DLP-skabelon, der søger efter typer af følsomme oplysninger, du automatisk vil identificere, overvåge og beskytte.

Ny side til DLP-politik

Når en DLP-politik finder indhold, der indeholder det mindste antal forekomster af en bestemt type af følsomme oplysninger, som du vælger – for eksempel fem kreditkortnumre eller et enkelt CPR-nummer – kan DLP-politikken automatisk beskytte de følsomme oplysninger ved at udføre følgende handlinger:

  • Sende en rapport om hændelsen til de personer, du vælger (f.eks. din compliance officer) med oplysninger om begivenheden. Denne rapport indeholder oplysninger om det registrerede indhold som f.eks. titel, dokumentets ejer, og hvilke følsomme oplysninger der blev registreret. Hvis du vil sende hændelsesrapporter, skal du konfigurere indstillinger for udgående mail i Central administration.

  • Underrette brugeren med et politiktip, når dokumenter, der indeholder følsomme oplysninger, gemmes eller redigeres. Politiktippet forklarer, hvorfor dokumentet er i konflikt med en DLP-politik, så brugerne kan gøre noget mod det ved f.eks. at fjerne de følsomme oplysninger fra dokumentet. Når dokumentet er i overensstemmelse med reglerne, forsvinder politiktippet.

  • Blokere adgang til indholdet for alle, undtaget ejeren af webstedet, ejeren af dokumentet og den person, der senest har ændret dokumentet. Disse personer kan fjerne følsomme oplysninger fra dokumentet eller gøre noget andet ved det. Når dokumentet er i overensstemmelse med reglerne, gendannes de oprindelige tilladelser automatisk. Det er vigtigt at forstå, at politiktippet giver brugerne mulighed for at tilsidesætte blokeringen. Politiktippet kan således hjælpe med at informere brugerne om dine DLP-politikker og gennemtvinge dem uden at forhindre folk i at udføre deres arbejde.

    Politiktip, der viser blokeret adgang til dokument

Trin 2: Tildeling af en DLP-politik

Når du opretter en DLP-politik, skal du tildele den en eller flere grupper af websteder, hvor den kan begynde at hjælpe med at beskytte følsomme oplysninger på disse placeringer. En enkelt politik kan tildeles mange grupper af websteder, men de enkelte tildelinger skal oprettes en ad gangen.

Tildeling af politikker til grupper af websteder

Politiktip

Du ønsker, at de personer i din virksomhed, som arbejder med følsomme oplysninger, skal forblive i overensstemmelse med dine DLP-politikker, men du ønsker ikke at hindre dem unødigt i at udføre deres arbejde. Her kan politiktip hjælpe.

Et politiktip er en meddelelse eller en advarsel, der vises, når en person arbejder med indhold, som er i konflikt med en DLP-politik – såsom en Excel-projektmappe, der indeholder personidentificerbare oplysninger (PII), og som er gemt på et websted.

Du kan bruge politiktip til at skabe opmærksomhed og hjælpe med at informere personer om virksomhedens politikker. Politiktip giver også personer mulighed for at tilsidesætte politikken, så de ikke blokeres, hvis de har et begrundet forretningsbehov, eller hvis politikken registrerer en falsk positiv.

Visning eller tilsidesættelse af en politiktip

Hvis du vil reagere på et dokument ved f.eks. at tilsidesætte en DLP-politik eller rapportere en falsk positiv, kan du vælge menuen Åbn... for elementet > politiktip.

Politiktippet viser en liste over problemer med indholdet, og du kan vælge Løs og derefter tilsidesætte politiktippet eller rapportere en falsk positiv.

Politiktip til et dokument Tilsidesættelse af en politiktip

Oplysninger om, hvordan politiktip fungerer

Bemærk, at det er muligt for indhold at svare til mere end én DLP-politik, men kun politiktippet fra den mest restriktive, højest prioriterede politik vil blive vist. F.eks. vises et politiktip fra en DLP-politik, der blokerer adgangen til indhold, frem for et politiktip i en regel, der blot underretter brugeren. Dette afholder brugere fra at se en kaskade af politiktip. Hvis politiktippet i den mest restriktive politik desuden giver brugere tilladelse til at tilsidesætte politikken, vil en tilsidesættelse af denne politik også tilsidesætte alle andre politikker, som indholdet matchede.

DLP-politikker er synkroniserede med websteder, og indhold evalueres mod dem med jævne mellemrum og asynkront (se næste afsnit), så der kan være en kort forsinkelse mellem det tidspunkt, du opretter DLP-politikken, og det tidspunkt, du kan begynde at se politiktip.

Sådan fungerer DLP-politikker

DLP registrerer følsomme oplysninger ved hjælp af omfattende analyse af indholdet (ikke kun en enkel tekstscanning). Denne omfattende indholdsanalyse bruger forekomster af nøgleord, evaluering af almindelige udtryk, interne funktioner og andre metoder til at registrere indhold, der svarer til dine DLP-politikker. Potentielt betragtes kun en lille procentdel af dine data som følsomme. En DLP-politik kan identificere, overvåge og automatisk udelukkende beskytte disse data uden at forhindre eller påvirke personer, som arbejder med resten af indholdet.

Når du har oprettet en DLP-politik i Center til overholdelse af politik, gemmes den som en politikdefinition i det pågældende websted. Når du derefter tildeler forskellige grupper af websteder politikken, synkroniseres politikken med disse placeringer, hvorefter den begynder at evaluere indhold og gennemtvinge handlinger som f.eks. at sende hændelsesrapporter, vise politiktip og blokere adgang.

Evaluering af politikker på websteder

På tværs af alle dine grupper af websteder ændrer dokumenter sig hele tiden – de bliver konstant oprettet, redigeret, delt osv. Dette betyder, at dokumenter kan skabe konflikter eller komme i overensstemmelse med en DLP-politik når som helst. F.eks. kan en person overføre et dokument, der ikke indeholder følsomme oplysninger til et teamwebsted, men senere kan en anden person redigere det samme dokument og tilføje følsomme oplysninger.

Derfor kontrollerer DLP-politikker jævnligt dokumenter for politikoverensstemmelse i baggrunden. Du kan betragte dette som asynkron politikevaluering.

Sådan fungerer det. Når personer tilføjer eller ændrer dokumenter på deres websteder, scanner søgemaskinen indholdet, så du kan søge efter det senere. Mens dette sker, scannes indholdet også for følsomme oplysninger. Alle fundne følsomme oplysninger gemmes sikkert i søgeindekset, så kun compliance-teamet har adgang til dem, men ikke almindelige brugere. Hver DLP-politik, som du har aktiveret, kører i baggrunden (asynkront) og kontrollerer regelmæssigt søgninger for alt indhold, der svarer til en politik, og iværksætter handlinger for at beskytte mod utilsigtede lækager.

Diagram, der viser, hvordan DLP-politik evaluerer indhold asynkront

Dokumenter kan være i konflikt med en DLP-politik, men de kan også komme i overensstemmelse med en DLP-politik. Hvis en person f.eks. føjer kreditkortnumre til et dokument, kan det medføre, at en DLP-politik automatisk blokerer adgang til dokumentet. Men hvis personen fjerner de følsomme oplysninger senere, annulleres handlingen (i dette tilfælde blokeringen) automatisk, næste gang dokumentet evalueres mod politikken.

DLP evaluerer alt indhold, der kan indekseres. Du kan finde flere oplysninger om, hvilke filtyper der registreres som standard i Standard for gennemsøgte filtypenavne og fortolkede filtyper.

Vis DLP-hændelser i statistiklogfiler

Du kan få DLP-politikaktivitet vist i statistiklogfiler på den server, der kører SharePoint Server 2016. Du kan f.eks. se den tekst, der er angivet af brugere, når de tilsidesætter et politiktip, eller rapporterer en falsk positiv.

Du skal først aktivere indstillingen i Central administration (Overvågning > Konfigurer indsamling af statistik- og tilstandsoplysninger > Enkel hændelse i statistiklogfil Data_SPUnifiedAuditEntry). Du kan finde flere oplysninger om brug af logføring i Konfigurer indsamling af statistik- og tilstandsoplysninger.

Mulighed for at aktivere DLP-statistiklogfiler

Når du har aktiveret denne funktion, kan du åbne statistikrapporter på serveren og få vist begrundelserne, som angives af brugere for at tilsidesætte et DLP-politiktip sammen med andre DLP-hændelser.

Årsag til brugers tilsidesætte i statistiklog

Før du går i gang med DLP

Dette emne beskriver nogle af de funktioner, som DLP afhænger af. Disse omfatter:

  • At registrere og klassificere følsomme oplysninger i dine grupper af websteder, starte søgetjenesten og definere en søgeplan til dit indhold.

  • Aktivér udgående mail.

  • For at få vist brugertilsidesættelser og andre DLP-hændelser skal du aktivere statistikrapporten.

  • Opret grupper af websteder:

    • Opret eDiscovery Center for gruppen af websteder til DLP-forespørgsler.

    • Opret Center til overholdelse af politik for gruppen af websteder til DLP-forespørgsler.

  • Opret en sikkerhedsgruppe for dit specialteam i overholdelse af regler og standarder, og føj derefter sikkerhedsgruppe til gruppen Ejere i eDiscovery Center eller Center til overholdelse af politik.

  • Hvis du vil køre DLP-forespørgsler, er det nødvendigt med visningstilladelser for alt indhold, der søges efter med forespørgslen – få mere at vide i Opret en DLP-forespørgsel i SharePoint Server 2016.

Flere oplysninger

Del Facebook Facebook Twitter Twitter Mail Mail

Var disse oplysninger nyttige?

Fantastisk! Har du mere feedback?

Hvordan kan vi forbedre det?

Tak for din feedback!

×