מבט כולל על מניעת אובדן נתונים SharePoint Server 2016 ו- 2019

כדי לציית לתקנים עסקיים ולתקנות בתעשייה, ארגונים צריכים להגן על מידע רגיש ולמנוע את החשיפה בשוגג. דוגמאות למידע רגיש שייתכן שתרצה למנוע דולף מחוץ לארגון שלך כוללות נתונים פיננסיים או מידע המאפשר זיהוי אישי (PII), כגון מספרי כרטיסי אשראי, מספרי תעודת זהות או מספרי זיהוי לאומיים. באמצעות מדיניות מניעת אובדן נתונים (DLP) ב- SharePoint Server 2016, באפשרותך לזהות, לנטר ולהגן באופן אוטומטי על מידע רגיש בכל אוספי האתרים שלך.

באמצעות DLP, באפשרותך:

צור שאילתת DLP כדי לזהות איזה מידע רגיש קיים כעת באוספים של האתרים שלך. לפני יצירת פריטי מדיניות DLP, לעתים קרובות כדאי לראות אילו סוגים של מידע רגיש אנשים בארגון שלך עובדים איתם, עם אילו אוספי אתרים מכילים מידע רגיש זה. באמצעות שאילתת DLP, תוכל למצוא מידע רגיש בכפוף לתקנות נפוצות בתעשייה, להבין טוב יותר את הסיכונים שלך ולקבוע מהו המידע הרגיש שמדיניות DLP שלך צריכה להגן עליו.
צור מדיניות DLP כדי לנטר ולהגן באופן אוטומטי על מידע רגיש באוספים של האתרים שלך. לדוגמה, באפשרותך להגדיר מדיניות המציגה תיאור מדיניות למשתמשים אם הם שומרים מסמכים המכילים מידע המאפשר זיהוי אישי. בנוסף, המדיניות יכולה לחסום באופן אוטומטי גישה למסמכים אלה עבור כולם, מלבד בעלי האתר, בעלי התוכן ומי ששינה לאחרונה את המסמך. ואחרונה, מכיוון שאין ברצונך שמדיניות DLP שלך תמנע מאנשים לבצע את עבודתם, עצה המדיניות כוללת אפשרות לעקוף את פעולת החסימה, כך שאנשים יכולים להמשיך לעבוד עם מסמכים אם יש להם הצדקה עסקית.

תבניות DLP

בעת יצירת שאילתת DLP או מדיניות DLP, באפשרותך לבחור מתוך רשימה של תבניות DLP התואמות לדרישות התקינה הנפוצות. כל תבנית DLP מזהה סוגים ספציפיים של מידע רגיש – לדוגמה, התבנית הנקראת נתוני מידע המאפשר זיהוי אישי (PII) מזהה תוכן המכיל מספרי דרכון של ארצות הברית ו- U.K. , מספרי זיהוי של משלם המסים הבודדים (ITIN) בארה"ב או מספרי ביטוח לאומי (SSN).

תבניות מדיניות DLP

סוגי מידע רגישים

מדיניות DLP עוזרת להגן על מידע רגיש, המוגדר כסוג מידע רגיש. SharePoint Server 2016 כולל הגדרות עבור סוגי מידע רגישים נפוצים רבים המוכנים לשימוש, כגון מספר כרטיס אשראי, מספרי חשבון בנק, מספרי זיהוי לאומיים ומספרי דרכון.

כאשר מדיניות DLP מחפש סוג מידע רגיש, כגון מספר כרטיס אשראי, היא אינה פשוט מחפש מספר בן 16 ספרות. כל סוג מידע רגיש מוגדר ומזהה באמצעות שילוב של:

מילות מפתח
פונקציות פנימיות לאימות תיבות ביקורת או חיבור
הערכה של ביטויים רגילים כדי למצוא התאמות דפוס
בדיקת תוכן אחרת

פעולה זו מסייעת לזיהוי DLP להשיג מידת דיוק גבוהה תוך צמצום מספר התוצאות החיוביות השגויות, ה יכולות להפריע לעבודה של אנשים.

כל תבנית DLP מחפש סוג אחד או יותר של מידע רגיש. לקבלת מידע נוסף אודות אופן ההדפסה של כל סוג מידע רגיש, ראה אילו סוגי מידע רגישים ב- SharePoint Server 2016 מחפשים.

תבנית DLP זו...	מחפש סוגי מידע רגישים אלה...
נתוני מידע המאפשר זיהוי אישי (PII) בארה"ב	מספר דרכון אמריקאי/בריטי ארה"ב- מספר זיהוי משלם המסים הבודד (ITIN) מספר תעודת זהות בארה"ב (SSN)
ארצות הברית Gramm-Leach-Bliley Act (GLBA)	מספר כרטיס אשראי מספר חשבון בנק בארה"ב ארה"ב- מספר זיהוי משלם המסים הבודד (ITIN) מספר תעודת זהות בארה"ב (SSN)
PCI Data Security Standard (PCI DSS)	מספר כרטיס אשראי
בריטניה - נתונים פיננסיים	מספר כרטיס אשראי מספר כרטיס חיוב של EU קוד SWIFT
נתונים פיננסיים בארה"ב	מספר ניתוב ABA מספר כרטיס אשראי מספר חשבון בנק בארה"ב
בריטניה. נתוני מידע המאפשר זיהוי אישי (PII)	בריטניה - מספר ביטוח לאומי (NINO) מספר דרכון אמריקאי/בריטי
U.K. Data Protection Act	קוד SWIFT בריטניה - מספר ביטוח לאומי (NINO) מספר דרכון אמריקאי/בריטי
בריטניה - תקנות פרטיות ותקשורת אלקטרונית	קוד SWIFT
חוקי הסודיות של מספר ביטוח לאומי בארה"ב	מספר תעודת זהות בארה"ב (SSN)
חוקי הודעות על הפרת מדינה בארה"ב	מספר כרטיס אשראי מספר חשבון בנק בארה"ב מספר רישיון של ארה"ב מספר תעודת זהות בארה"ב (SSN)

שאילתות DLP

לפני שתיצור את פריטי המדיניות של DLP, ייתכן שתרצה לראות איזה מידע רגיש כבר קיים בכל אוספי האתרים שלך. לשם כך, עליך ליצור ולהפעיל שאילתות DLP במרכז גילוי אלקטרוני.

לחצן יצירת שאילתת DLP

שאילתת DLP פועלת זהה לשאילתת גילוי אלקטרוני. בהתבסס על תבנית DLP שתבחר, תצורת שאילתת DLP נקבעה לחיפוש סוגים ספציפיים של מידע רגיש. תחילה בחר את מיקומי החיפוש שברצונך לחפש ולאחר מכן תוכל לכוונן את השאילתה מכיוון שהיא תומכת בשפת שאילתת מילות מפתח (KQL). בנוסף, באפשרותך לצמצם את השאילתה על-ידי בחירת טווח תאריכים, מחברים ספציפיים, SharePoint או מיקומים. ו בדיוק כמו שאילתת גילוי אלקטרוני, באפשרותך להציג בתצוגה מקדימה, לייצא ולהוריד את תוצאות השאילתה.

שאילתת DLP המכילה סוגי מידע רגישים

מדיניות DLP

מדיניות DLP עוזרת לך לזהות, לנטר ולהגן באופן אוטומטי על מידע רגיש בכפוף לתקנות נפוצות בתעשייה. אתה בוחר אילו סוגים של מידע רגיש יש להגן עליהם, והפעולות שיש לבצע בעת זיהוי תוכן המכיל מידע רגיש כזה. מדיניות DLP יכולה להודיע לקצין התאימות על-ידי שליחת אירוע הדוח, ליידע את המשתמש באמצעות תיאור מדיניות באתר, וחסימת גישה למסמך עבור כולם, מלבד בעלי האתר, הבעלים של התוכן ומי ששינה לאחרונה את המסמך. לבסוף, עצות המדיניות כוללות אפשרות לעקוף את פעולת החסימה, כך שאנשים יכולים להמשיך לעבוד עם מסמכים אם יש להם הצדקה עסקית או אם יש להם צורך הדוח חיובי שגוי.

באפשרותך ליצור ולנהל פריטי מדיניות DLP במרכז מדיניות התאימות. יצירת מדיניות DLP היא תהליך דו-שלים: תחילה עליך ליצור את מדיניות DLP ולאחר מכן להקצות את המדיניות לאוסף אתרים.

מרכז מדיניות תאימות

שלב 1: יצירת מדיניות DLP

בעת יצירת מדיניות DLP, אתה בוחר תבנית DLP ש מחפש את סוגי המידע הרגישים שתצטרך לזהות, לנטר ולהגן עליהם באופן אוטומטי.

דף מדיניות DLP חדש

כאשר מדיניות DLP מוצאת תוכן הכולל את מספר המופעים המינימלי של סוג ספציפי של מידע רגיש שאתה בוחר – לדוגמה, חמישה מספרי כרטיסי אשראי או מספר תעודת זהות יחיד – מדיניות DLP יכולה להגן באופן אוטומטי על המידע הרגיש על-ידי ביצוע הפעולות הבאות:

שליחת אירוע הדוח לאנשים שאתה בוחר (כגון נציג התאימות שלך) עם פרטי האירוע. אפשרות הדוח כוללת פרטים אודות התוכן שזוהה, כגון הכותרת, הבעלים של המסמך, ואת המידע הרגיש שזוהה. כדי לשלוח דוחות אירוע, עליך לקבוע את התצורה של הגדרות דואר אלקטרוני יוצאות לניהול המרכזי.
הודעה למשתמש עם תיאור מדיניות כאשר מסמכים המכילים מידע רגיש נשמרים או נערכים. תיאור המדיניות מסביר מדוע מסמך זה מתנגש עם מדיניות DLP, כך שאנשים יכולים לבצע פעולות מתקנת, כגון הסרת המידע הרגיש מהמסמך. כאשר המסמך נמצא בתאימות, תיאור המדיניות נעלם.
חסימת גישה לתוכן עבור כולם, למעט הבעלים של האתר, הבעלים של המסמך והאדם האחרון ששינה את המסמך. אנשים אלה יכולים להסיר את המידע הרגיש מהמסמך או לבצע פעולות מתקנת אחרות. כאשר המסמך נמצא בתאימות, ההרשאות המקוריות ישוחזרו באופן אוטומטי. חשוב להבין שטיפ המדיניות מאפשר לאנשים לעקוף את פעולת החסימה. כך, עצות מדיניות יכולות לסייע בחינוך של משתמשים לגבי מדיניות DLP שלך ולאכוף אותם מבלי למנוע מאנשים לעשות את עבודתם.

שלב 2: הקצאת מדיניות DLP

לאחר יצירת מדיניות DLP, עליך להקצות אותה לאוספי אתרים אחד או יותר, שם היא יכולה להתחיל להגן על מידע רגיש ב מיקומים אלה. ניתן להקצות מדיניות בודדת לאוספי אתרים רבים, אך יש ליצור כל מטלה אחת בכל פעם.

הקצאות מדיניות עבור אוספי אתרים

עצות מדיניות

אתה מעוניין שאנשים בארגון שלך שפועלים עם מידע רגיש יישארו תואמים למדיניות ה- DLP שלך, אך אינך מעוניין לחסום אותם ללא צורך בצורך כדי שהם לא יעבדו. כאן עצות מדיניות יכולות לעזור.

עצה של מדיניות היא הודעה או אזהרה שמופיעה כאשר מישהו עובד עם תוכן המתנגש עם מדיניות DLP - לדוגמה, תוכן כגון חוברת עבודה של Excel המכיל מידע המאפשר זיהוי אישי (PII) והוא נשמר באתר.

באפשרותך להשתמש בתיצות מדיניות כדי להגביר את המודעות ולסייע לך לחנך אנשים לגבי המדיניות של הארגון שלך. עצות מדיניות גם מספקות לאנשים אפשרות לעקוף את המדיניות, כך שהם לא ייחסמו אם יש להם צורך עסקי חוקי או אם המדיניות מזהה חיובי שגוי.

הצגה או עקיפה של תיאור מדיניות

כדי לבצע פעולה במסמך, כגון לעקוף את מדיניות DLP או לדווח על חיובי שגוי, באפשרותך לבחור את תפריט פתח ... עבור הפריט > הצג תיאור מדיניות.

תיאור המדיניות מפרט את הבעיות בתוכן, ו באפשרותך לבחור באפשרות פתרון ולאחר מכן לעקוף את תיאור המדיניות או לדווח על חיובי שגוי.

תיאור מדיניות עבור מסמך עקיפת עצה של מדיניות

פרטים אודות אופן עבודתו של עצות מדיניות

שים לב שתוכן יכול להתאים ליותר ממדיניות DLP אחת, אך רק תיאור המדיניות מהמדיניות המגבילה ביותר, בעדיפות הגבוהה ביותר, יוצג. לדוגמה, תיאור מדיניות ממדיניות DLP חוסמת גישה לתוכן יוצג על-פני עצה של מדיניות בכלל שפשוט מודיע למשתמש. פעולה זו מונעת מאנשים לראות דירוג של עצות מדיניות. כמו כן, אם עצות המדיניות במדיניות המגבילה ביותר מאפשרות לאנשים לעקוף את המדיניות, עקיפת מדיניות זו עוקפת גם פריטי מדיניות אחרים שהתוכן התאים להם.

פריטי מדיניות DLP מסונכרנים עם אתרים ותוכן מוערך מולם מעת לעת ואסינכרוני (עיין בסעיף הבא), ולכן ייתכן שיהיה עיכוב קצר בין הזמן שתיצור את מדיניות DLP ועד שתתחיל לראות עצות מדיניות.

כיצד פועלים פריטי מדיניות DLP

DLP מזהה מידע רגיש באמצעות ניתוח תוכן עמוק (לא רק סריקת טקסט פשוטה). ניתוח תוכן עמוק זה משתמש בהתאמת מילות מפתח, בהערכת ביטויים רגילים, בפונקציות פנימיות ובשיטות אחרות כדי לזהות תוכן שמתאים למדיניות DLP שלך. ייתכן שרק אחוז קטן מהנתונים שלך נחשב לרגיש. מדיניות DLP יכולה לזהות, לנטר ולהגן באופן אוטומטי רק על נתונים אלה, מבלי להשפיע או להשפיע על אנשים שפועלים עם שאר התוכן שלך.

לאחר יצירת מדיניות DLP במרכז מדיניות התאימות, היא מאוחסנת בהגדרת מדיניות באתר זה. לאחר מכן, בעת הקצאת המדיניות לאוספי אתרים שונים, המדיניות מסונכרנת עם מיקומים אלה, כאשר היא מתחילה להעריך תוכן ולאכוף פעולות כגון שליחת דוחות אירוע, הצגת עצות מדיניות וחסימת גישה.

הערכת מדיניות באתרים

בכל אוספי האתרים שלך, המסמכים משתנים ללא הרף - הם נוצרים ללא הרף, נערכים, משותפים, וכך הלאה. משמעות הדבר שמסמכים יכולים להתנגש או להיות תואמים למדיניות DLP בכל עת. לדוגמה, אדם יכול להעלות מסמך ללא מידע רגיש לאתר הצוות שלו, אך מאוחר יותר, אדם אחר יכול לערוך את אותו מסמך ולהוסיף לו מידע רגיש.

מסיבה זו, פריטי מדיניות DLP בודקים אם המסמכים תואמים למדיניות לעתים קרובות ברקע. ניתן לחשוב על כך כהערכה אסינכרונית של מדיניות.

כך זה עובד. כאשר אנשים מוסיפים או משתנים מסמכים באתרים שלהם, מנוע החיפוש סורק את התוכן, כך שתוכל לחפש אותם מאוחר יותר. בזמן שזה קורה, התוכן גם נסרק לקבלת מידע רגיש. כל מידע רגיש שנמצא מאוחסן באופן מאובטח באינדקס החיפוש, כך שרק צוות התאימות יוכל לגשת אליו, אך לא למשתמשים טיפוסיים. כל מדיניות DLP שהפעלת פועלת ברקע (באופן אסינכרוני), בודקת לעתים קרובות חיפוש אחר תוכן שמתאים למדיניות והחלת פעולות כדי להגן עליה מפני דליפות בשוגג.

דיאגרמה המציגה כיצד מדיניות DLP מעריכה תוכן באופן אסינכרוני

לבסוף, מסמכים יכולים להתנגש עם מדיניות DLP, אך הם יכולים גם להיות תואמים למדיניות DLP. לדוגמה, אם אדם מוסיף מספרי כרטיסי אשראי למסמך, היא עשויה לגרום למדיניות DLP לחסום גישה למסמך באופן אוטומטי. אך אם האדם יסיר מאוחר יותר את המידע הרגיש, הפעולה (במקרה זה, חסימה) תבטל באופן אוטומטי בפעם הבאה שהמסמך יוערך מול המדיניות.

DLP מעריך את כל התוכן שזמין לאינדקס. לקבלת מידע נוסף אודות סוגי הקבצים שנסורקים כברירת מחדל, ראה סיומות שמות קבצים שנסורקות כברירת מחדל וסוגי קבצים סרוקים.

הצגת אירועי DLP ביומני השימוש

באפשרותך להציג פעילות מדיניות DLP ביומני השימוש בשרת שבו פועל SharePoint Server 2016. לדוגמה, באפשרותך להציג את הטקסט שהוזן על-ידי משתמשים כאשר הם עוקפים תיאור מדיניות או הדוח חיובי שגוי.

תחילה עליך להפעיל את האפשרות ב'ניהול מרכזי' (ניטור > קביעת תצורה של איסוף נתוני שימוש ות תקינות > פשוט של שימוש Data_SPUnifiedAuditEntry). לקבלת מידע נוסף אודות רישום שימוש, ראה קביעת תצורה של איסוף נתוני שימוש ות תקינות.

אפשרות להפעיל יומני שימוש של DLP

לאחר הפעלת תכונה זו, באפשרותך לפתוח את דוחות השימוש בשרת ו להציג את ההצדקות המסופקות על-ידי משתמשים לעקיפת עצה של מדיניות DLP, יחד עם אירועים אחרים של DLP.

סיבה לעקיפת משתמש ביומן השימוש

לפני תחילת העבודה עם DLP

נושא זה מתאר חלק מהתכונות ש- DLP תלויות הבאות. חוויות אלה כוללות:

כדי לזהות ולסווג מידע רגיש באוספים של האתרים שלך, הפעל את שירות החיפוש והגדיר לוח זמנים לסריקה עבור התוכן שלך.
הפעל דואר אלקטרוני יוצא.
כדי להציג עקיפות משתמשים ואירועים אחרים של DLP, הפעל את הדוח.
צור את אוספי האתרים:
- עבור שאילתות DLP, צור את אוסף האתרים של מרכז גילוי אלקטרוני.
- עבור פריטי מדיניות DLP, צור את אוסף האתרים מרכז מדיניות התאימות.
צור קבוצת אבטחה עבור צוות התאימות שלך ולאחר מכן הוסף קבוצת אבטחה לקבוצה 'בעלים' במרכז גילוי אלקטרוני או במרכז מדיניות התאימות.
כדי להפעיל שאילתות DLP, נדרשות הרשאות תצוגה עבור כל התוכן שהשאילתה תחפש – לקבלת מידע נוסף, ראה יצירת שאילתת DLP ב- SharePoint Server 2016.