Översikt över dataförlustskydd i SharePoint Server 2016

Alla organisationer som vill följa företagsstandarder och branschföreskrifter måste kunna skydda känslig information och vidta åtgärder för att informationen inte ska röjas oavsiktligen. Exempel på känslig information som inte får läcka ut är ekonomisk information eller personligt identifierbar information, t.ex kreditkortsnummer, personnummer eller nationella ID-nummer. Du kan använda dataförlustskydd i form av en DLP-princip i SharePoint Server 2016 för att identifiera, övervaka och automatiskt skydda känslig information i webbplatssamlingar.

Med DLP kan du göra följande:

  • Skapa en DLP-fråga för att identifiera vilka typer av känslig information som finns i webbplatssamlingarna för närvarande. Innan du skapar DLP-principer kan det ofta vara praktiskt att kontrollera vilka olika typer av känslig information som personalen arbetar med och vilka webbplatssamlingar som innehåller känslig information. Med hjälp av en DLP-fråga kan du hitta känslig information vars hantering ofta regleras av branschföreskrifter. Du får en bättre förståelse för riskerna i hanteringen och kan därmed fatta beslut om vilken information DLP-principerna ska skydda och på vilka ställen informationen kan finnas.

  • Skapa en DLP-princip för att automatiskt övervaka och skydda känslig information i webbplatssamlingar. Du kan t.ex. konfigurera en princip som visar ett principtips för användarna om de sparar dokument som innehåller personligt identifierbar information. Dessutom kan principen blockera åtkomst till dokumenten i fråga för alla utom webbplatsägaren, innehållsägaren och den som senast ändrade dokumentet. Och slutligen, eftersom ingen vill att DLP-principerna ska hindra användarna från att utföra sina arbetsuppgifter har principtipset ett alternativ för att åsidosätta blockeringen, så att användarna kan fortsätta arbeta med dokument om de har en affärsrelaterad motivering till detta.

DLP-mallar

När du skapar en DLP-fråga eller en DLP-princip kan välja du från en lista med DLP-mallar som motsvarar vanliga efterlevnadskrav. Varje DLP-mall identifierar en specifik typ av känslig information – mallen U.S. Personally Identifiable Information (PII) Data identifierar t.ex. innehåll som innehåller amerikanska och brittiska passnummer, Individual Taxpayer Identification Numbers (ITIN) eller amerikanska Social Security Numbers (SSN).

DLP-principmallar

Typer av känslig information

En DLP-princip hjälper dig att skydda känslig information som definierats som olika typer av känslig information. SharePoint Server 2016 innehåller definitioner av vanliga typer av känslig information som är färdiga att använda, t.ex kreditkortsnummer, bankkontonummer, nationella ID-nummer och passnummer.

När en DLP-princip söker efter en typ av känslig information som exempelvis kreditkortsnummer, söker den inte bara efter ett nummer bestående av 16 siffror. Varje typ av känslig information definieras och identifieras genom en kombination av följande:

  • Nyckelord

  • Interna funktioner för att validera kontrollsummor eller sammansättning

  • Utvärdering av reguljära uttryck för att hitta mönstermatchningar

  • Andra innehållsgranskningar

Med hjälp av detta uppnås en hög grad av precision vid identifieringen samtidigt som antalet felaktiga resultat minskar, och därmed också antalet faktorer som fördröjer och påverkar det dagliga arbetet negativt.

Varje DLP-mall söker efter en eller flera typer av känslig information. Mer information om hur varje typ av känslig information fungerar finns i Vilka typer av känslig information letar SharePoint Server 2016 efter.

Den här DLP-mallen ...

Söker efter följande typer av känslig information ...

U.S. Personally Identifiable Information (PII) Data

U.S. / U.K. Passport Number

U.S. Individual Taxpayer Identification Number (ITIN)

U.S. Social Security Number (SSN)

U.S. Gramm-Leach-Bliley Act (GLBA)

Kreditkortsnummer

U.S. Bank Account Number

U.S. Individual Taxpayer Identification Number (ITIN)

U.S. Social Security Number (SSN)

PCI Data Security Standard (PCI DSS)

Kreditkortsnummer

U.K. Financial Data

Kreditkortsnummer

Betalkortsnummer (EU)

SWIFT-kod

U.S. Financial Data

ABA-routningsnummer

Kreditkortsnummer

U.S. Bank Account Number

U.K. Personally Identifiable Information (PII) Data

U.K. National Insurance Number (NINO)

U.S. / U.K. Passport Number

U.K. Data Protection Act

SWIFT-kod

U.K. National Insurance Number (NINO)

U.S. / U.K. Passport Number

U.K. Privacy and Electronic Communications Regulations

SWIFT-kod

U.S. State Social Security Number Confidentiality Laws

U.S. Social Security Number (SSN)

U.S. State Breach Notification Laws

Kreditkortsnummer

U.S. Bank Account Number

U.S. Driver's License Number

U.S. Social Security Number (SSN)

DLP-frågor

Innan du skapar några DLP-principer bör du kontrollera vilka typer av känslig information som redan finns i dina webbplatssamlingar. Gör detta genom att skapa och köra DLP-frågor i eDiscovery Center.

Knappen Skapa DLP-fråga

En DLP-fråga fungerar på samma sätt som en eDiscovery-fråga. Beroende på vilken DLP-mall du väljer är DLP-frågan redan konfigurerad för att söka efter specifika typer av känslig information. Ange först vilka platser som ska genomsökas. Du kan sedan finjustera frågan eftersom den har stöd för Keyword Query Language (KQL). Du kan dessutom begränsa frågan genom att välja ett datumintervall, vissa författare, värden för SharePoint-egenskapsvärden eller platser. Precis som med eDiscovery-frågor så kan du även här förhandsgranska, exportera och ladda ned sökresultaten.

DLP-fråga med känslig information

DLP-principer

Med hjälp av en DLP-princip kan du identifiera, övervaka och automatiskt skydda känslig information vars hantering regleras av branschföreskrifter. Du kan ange vilka typer av känslig information som ska skyddas och vilka åtgärder som ska vidtas när innehåll med känslig information upptäcks. En DLP-princip varskor ansvarig för uppfyllelse av myndighetskrav genom att skicka en incidentrapport och meddela användaren med ett principtips på webbplatsen. Om du vill kan du även blockera åtkomst till dokumentet för alla utom webbplatsägaren, innehållsägaren och den som senast ändrade dokumentet. Och slutligen, eftersom ingen vill hindra användarna från att utföra sina arbetsuppgifter har principtipset även ett alternativ för att åsidosätta blockeringen, så att användarna kan fortsätta arbeta med dokument om de har en affärsrelaterad motivering till detta eller vill rapportera felaktigheter.

Du skapar och hanterar DLP-principer i Center för efterlevnadsprinciper. Skapandet av en DLP-princip är en process i två steg. Börja med att skapa en DLP-princip och tilldela sedan principen till en webbplatssamling.

Center för efterlevnadsprinciper

Steg 1: Skapa en DLP-princip

När du skapar en DLP-princip kan välja du en DLP-mall som letar efter de typer av känslig information som vill identifiera, övervaka och skydda automatiskt.

Ny DLP-principsida

När en DLP-princip hittar innehåll med minsta antalet fördefinierade förekomster av en viss typ av känslig information – du kan t.ex. ange fem kreditkortsnummer eller ett enda Social Security Number – kommer DLP-principen att skydda den känsliga informationen automatiskt genom att vidta följande åtgärder:

  • Skicka en incidentrapport till personer som du har utsett (t.ex ansvarig för uppfyllelse av myndighetskrav) med information om händelsen. Den här rapporten innehåller information om identifierat innehåll, t.ex. titel, dokumentets ägare och vilken typ av känslig information som påträffades. Om du vill skicka incidentrapporter måste du konfigurera inställningar för utgående e-post i Central Administration.

  • Meddela användare med ett principtips när dokument som innehåller känslig information sparas eller redigeras. Principtips innehåller förklaringar till varför dokumentet står i konflikt med en DLP-princip så att rätt personer kan vidta åtgärder, t.ex. stryka känslig information från dokumentet. När dokumentet uppfyller alla regler och föreskrifter försvinner principtipset.

  • Blockera åtkomst till innehållet för alla utom webbplatsägaren, dokumentets ägare och personen som senast ändrade dokumentet. De här personerna får stryka känslig information från dokumentet eller vidta andra åtgärder. När dokumentet uppfyller alla regler och föreskrifter återställs de ursprungliga behörigheterna automatiskt. Det är viktigt att vara medveten om att principtipset faktiskt ger användarna möjlighet att åsidosätta blockeringen. Principtips informerar användarna om DLP-principerna och tillämpar dem utan att detta hindrar personer från att utföra sina arbetsuppgifter.

    Principtips som visar blockerad åtkomst till dokument

Steg 2: Tilldela en DLP-princip

När du har skapat en DLP-princip måste du tilldela den till en eller flera webbplatssamlingar, och ange på vilka platser den ska börja skydda känslig information. En enda princip kan tilldelas till många olika webbplatssamlingar, men varje tilldelning måste göras i en separat operation.

Principtilldelningar för webbplatssamlingar

Principtips

Självklart vill du att alla organisationen som arbetar med känslig information ska uppfylla reglerna som anges i DLP-principerna, men du vill heller inte skapa onödiga blockeringar som hindrar användarna från att sköta sina arbetsuppgifter. Det är här som principtipsen kommer in.

Ett principtips är ett meddelande eller en varning som visas när någon arbetar med innehåll som står i konflikt med en DLP-princip – t.ex. en Excel-arbetsbok som innehåller personligt identifierbar information och som har sparats på en webbplats.

Du kan använda principtipsen till att öka medvetenheten hos personalen och informera dem om organisationens principer. Principtipsen ger också användarna möjlighet att åsidosätta principer och blockeringar om de har affärsmässiga motiv eller om blockeringen skett på felaktiga grunder.

Visa eller åsidosätta ett principtips

Om du vill vidta åtgärder för ett dokument, t.ex. åsidosätta DLP-principen eller rapportera en felaktighet, kan du välja menyn Öppna... för objektet och sedan Visa principtips.

Principtipset visar alla problem som förknippas med innehållet och du kan då välja Lös och sedan Åsidosätta (för att kringgå begränsningar) eller Rapportera (om begränsningen skett på felaktiga grunder).

Principtips för ett dokument Åsidosätta ett principtips

Information om hur principtips fungerar

Observera att innehållet kan matcha fler än en DLP-princip, men endast principtipset för den högst prioriterade principen visas. Till exempel kommer ett principtips från en DLP-princip som blockerar åtkomst till innehållet att få prioritet över en regel som endast meddelar användaren. Tack vare detta slipper användarna se en störtflod av principtips. Om principtipset i den mest restriktiva principen tillåter att användare får åsidosätta den principen, kommer ett sådant åsidosättande även att åsidosätta alla andra principer som reagerat på innehållet.

DLP-principerna synkroniseras med webbplatser och innehåll, och utvärderas mot dem med jämna mellanrum med en asynkron metod (se nästa avsnitt). Det kan alltså uppstå en kort fördröjning mellan när du skapar DLP-principen och innan principtipsen börjar visas.

Så här fungerar DLP-principer

DLP identifierar känslig information med hjälp av djup innehållsanalys (inte bara en enkel genomsökning av text). Den djupa innehållsanalysen använder matchningar mot nyckelord, utvärdering av reguljära uttryck, interna funktioner och andra metoder för att identifiera innehåll som matchar dina DLP-principer. Potentiellt sett är endast en liten procentandel av all information att betrakta som känslig. En DLP-princip kan automatiskt identifiera, övervaka och skydda endast dessa data, utan att hindra eller påverka personer som arbetar med resten av innehållet.

När du har skapat en DLP-princip i Center för efterlevnadsprinciper lagras den som en principdefinition på webbplatsen. När du tilldelar olika webbplatssamlingar denna princip synkroniseras sedan principen med dessa platser. Den börjar då att utvärdera innehåll och genomdriva åtgärder som skickar rapporter, visar principtips och blockerar åtkomst.

Principutvärderingar på webbplatser

I alla webbplatssamlingar ändras är dokumenten i ständig förändring – de skapas, redigeras, delas och så vidare. Det innebär att dokumenten när som helst kan hamna i konflikt med eller bli kompatibla med en DLP-princip. En person kan t.ex. ladda upp ett dokument som inte innehåller någon känslig information på gruppwebbplatsen, men någon annan person kan givetvis redigera samma dokument vid ett senare tillfälle och lägga till känslig information i det.

Av den anledningen genomsöker DLP-principerna oavbrutet dokument i bakgrunden. Tänk på det som en sorts asynkron principutvärdering.

Ska vi ta en närmare titt på hur det fungerar? När personer lägger till eller ändrar dokument på sina webbplatser genomsöks innehållet av en sökmotor, vilket gör det lättare att hitta samma dokument längre fram. Medan detta sker genomsöks innehållet också i jakt på känslig information. All känslig information som påträffas lagras säkert i sökindexet, så att endast kompatibilitetsgruppen kan komma åt den. Vanliga användare har dock inte tillgång till detta. Varje DLP-princip som du har aktiverat körs i bakgrunden (asynkront) och gör regelbundna sökningar efter innehåll som ingår i en princip. Dessutom vidtas också åtgärder för att skydda mot oavsiktliga läckor.

Diagram som visar hur DLP-principen utvärderar innehållet asynkront

Avslutningsvis ska också nämnas att lika lätt som ett dokument kan hamna i konflikt med en DLP-princip kan det också bli kompatibelt. Om en person lägger till kreditkortsnummer i ett dokument kan det leda till att åtkomsten till dokumentet blockeras automatiskt av DLP-principen. Men om personen senare stryker den känsliga informationen tas begränsningen bort (i det här fallet blockeringen) automatiskt nästa gång dokumentet utvärderas mot principen.

DLP utvärderar allt innehåll som kan indexeras. Mer information om vilka filtyper som crawlas som standard finns i Filnamnstillägg som crawlas som standard och filtyper som analyseras.

Visa DLP-händelser i användningsloggar

Du kan se DLP-principernas aktiviteter i användningsloggarna för den server som kör SharePoint Server 2016. Du kan t.ex. visa den text som matats in av användarna när de har åsidosatt ett principtips eller rapporterat en felaktighet.

Först måste du aktivera alternativet i Central Administration (Övervakning > Konfigurera insamling av diagnostikdata > Simple Log Event Usage Data_SPUnifiedAuditEntry). Mer information om användningsloggning finns i Konfigurera insamling av diagnostikdata.

Alternativ för att aktivera DLP-användningsloggar

När du aktiverar den här funktionen kan du öppna användningsrapporter på servern och visa användarnas motiveringar till åsidosättanden av DLP-principtips tillsammans med andra DLP-händelser.

Skäl för användaråsidosättning i användningslogg

Innan du sätter igång med DLP

I det här avsnittet beskrivs några av de funktioner som DLP använder. De omfattar:

  • Starta söktjänsten och definiera ett crawlschema för innehållet, så att känslig information kan identifieras och klassificeras i webbplatssamlingar.

  • Aktivera utgående e-post.

  • Aktivera användningsrapporter för att kunna visa användarnas åsidosättanden och andra DLP-händelser.

  • Skapa webbplatssamlingar:

    • Skapa webbplatssamlingen eDiscovery Center DLP-frågor.

    • Skapa webbplatssamlingen Center för efterlevnadsprinciper för DLP-principer.

  • Skapa en säkerhetsgrupp för kompatibilitetsgruppen och lägg sedan till säkerhetsgruppen i ägargruppen i eDiscovery Center eller Center för efterlevnadsprinciper.

  • Om du vill köra DLP-frågor bör du visa behörigheter som krävs för allt innehåll som frågan genomsöker. Mer information finns i Skapa en DLP-fråga i SharePoint Server 2016.

Mer information

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Office Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×