从模板创建 DLP 策略

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

开始使用 DLP 策略的最简单的方法最常见方法是使用包括在Office 365模板之一。您可以使用这些模板,或自定义这些规则,以满足您的组织特定的合规性要求。

Office 365包括可以帮助您满足广泛的常见策略法规和业务需求的超过 40 现成的模板。例如,有 DLP 策略模板:

  • 格雷姆-里奇-比利雷法案 (GLBA)

  • 支付卡行业数据安全标准 (PCI-DSS)

  • 美国个人身份信息(美国 PII)

  • 美国健康保险法案 (HIPAA)

您可以通过修改任何现有的规则或添加新规则来微调模板。例如,您可以将新的敏感信息类型添加到规则中,以及修改规则中的计数以使其更难以触发或更易于触发,使用户通过提供业务理由替代规则中的操作,或更改要向其发送通知和事件报告的用户。对于许多常见的合规性方案来说,DLP 策略模板都是一个灵活的起点。

您还可以选择不带有任何默认规则的自定义模板,从头开始配置您的 DLP 策略以满足组织的特定合规性要求。

示例: 将敏感信息标识跨所有OneDrive for Business网站并限制访问权限的组织外部的人员

OneDrive for Business帐户方便的人员跨组织协作和共享文档。但合规专员的一个常见的问题是敏感信息存储在OneDrive for Business帐户可能与您的组织外部的人员意外共享。DLP 策略可帮助减轻风险。

在此示例中,您将创建 DLP 策略,用于标识美国 PII 数据,其中包括单个纳税人标识数字 (传送)、 社会保险号码和美国 passport 数字。您将通过使用模板,开始,然后您将修改的模板,以满足您的组织合规性要求 — 具体而言,您可以:

  • 添加多种类型的敏感 information—U.S。 银行帐户数字以及美国驱动程序的许可证,以便 DLP 策略保护敏感数据的更多。

  • 策略更敏感,以使单个匹配项的敏感信息足以限制外部用户访问权限。

  • 允许用户通过提供业务理由或报告误报来替代这些操作。通过这种方式,您的 DLP 策略不会阻止组织中的用户完成其工作,前提是他们具有共享此敏感信息的有效业务原因。

从模板创建 DLP 策略

  1. 转到 https://protection.office.com

  2. 登录到Office 365使用您的工作或学校帐户。您现在Office 365 安全与合规中心中。

  3. 在安全与合规中心 > 左侧导航栏 >数据丢失保护>策略> + 创建策略

    创建策略按钮

  4. 选择保护敏感信息所需的类型的 DLP 策略模板 >下一步

    将在此示例中,选择隐私>美国个人身份信息 (PII) 数据因为它已包含的大多数要保护的敏感信息的类型,您将在以后添加一些。

    当您选择一个模板时,您可以阅读右侧若要了解的敏感信息模板类型的保护说明。

    用于选择 DLP 策略模板的页面

  5. 命名策略 >下一步

  6. 若要选择要保护 DLP 策略的位置,请执行下列操作之一:

    • 选择Office 365 中的所有位置>下一步

    • 选择让我选择的特定位置>下一步。对于此示例中,选择此选项。

      包括或排除整个的位置,如所有 Exchange 电子邮件或所有 OneDrive 帐户,请打开或关闭切换该位置状态

      要包括仅对特定 SharePoint 网站或OneDrive for Business帐户,请切换到的状态,,然后单击在包括选择特定的网站或帐户下的链接。当将策略应用于网站中,配置,因为策略将自动应用到该网站的所有子网站的规则。

      DLP 策略可以在其中应用的位置选项

      在此示例中,来保护敏感信息存储在所有OneDrive for Business帐户,关闭状态Exchange 电子邮件SharePoint 网站,并保留上的OneDrive 帐户状态

  7. 选择使用高级设置>下一步

  8. DLP 策略模板包含预定义的规则的条件和操作的检测并采取特定类型的敏感信息。您可以编辑、 删除或关闭任何现有的规则,或添加新的。完成后,单击下一步

    美国 PII 策略模板中展开的规则

    本示例中,在美国 PII 数据模板包含两个预定义的规则:

    • 音量太低的内容检测到美国 PII此规则条件查找包含之间的三种类型的敏感信息 (传送、 SSN 和美国 passport 号)、 与组织外部的人员共享中的文件的每个 1 和 10 个匹配项的文件。如果找到,规则将发送电子邮件通知到主网站集管理员,文档所有者和上次修改者文档。

    • 大量内容检测到美国 PII此规则查找包含 10 个或更多个匹配项的每个相同的三条敏感信息类型的文件与组织外部的人员共享中的文件。如果找到,此操作还会发送电子邮件通知,以及其限制访问该文件。对于OneDrive for Business帐户中的内容,这意味着文档的权限是受限主网站集管理员、 文档所有者和上次修改文档的人员之外的任何用户。

    以满足您的组织的特定要求,您可能想要触发,轻松规则,以便单个匹配项的敏感信息足以阻止外部用户的访问权限。查看这些规则之后, 您了解您不需要低和高计数规则 — 需要仅当找到的敏感信息的任何事件阻止访问一条规则。

    展开规则命名的内容的音量太低检测到美国 PII以便 >删除规则

    删除规则按钮

  9. 现在,在此示例中,您需要添加两个敏感信息类型 (美国银行帐号和美国驱动程序的许可证数字),允许用户覆盖一条规则,并将计数更改的任何事件。您可以通过编辑个规则执行所有这些,因此选择大量内容检测到美国 PII >编辑规则

    编辑规则按钮

  10. 若要添加的敏感信息类型,在条件部分 >添加或更改的类型。然后,在添加或更改类型下 > 选择添加> 选择美国银行帐号美国驱动程序的许可证数>添加>完成

    添加或更改类型的选项

    添加或更改类型窗格

  11. 若要更改的计数 (的敏感信息触发规则所需的实例数) 下实例计数> 选择每种类型的最小值 > 输入1。最小计数不能为空。最大计数可以为空。空最大值转换为任何

    完成后,所有类型的敏感信息的最小值计数应都为1 ,最大数量都应该任何。换言之,这种类型的敏感信息的任何事件将满足这种情况。

    敏感信息类型的的实例计数

  12. 为最终状态的自定义,您不希望您 DLP 策略,以阻止他们拥有有效的业务理由或遇到误报,以便您希望用户通知,包括选项以覆盖阻止操作时执行工作的人员。

    用户通知部分中,您可以看到的电子邮件通知和策略提示都启用了默认情况下,为该模板中的规则。

    用户替代部分中,您可以看到的业务理由覆盖处于打开状态,但不是覆盖以报告误报。选择自动如果他们将其作为误报报告覆盖规则

    用户通知部分和用户会覆盖部分

  13. 顶部的规则编辑器中,更改此规则的名称默认大量内容检测到美国 PII使用美国 PII 检测到任何内容因为现在由其敏感信息类型的任何事件。

  14. 在规则编辑器中的底部 >保存

  15. 查看此规则的操作和条件 >下一步

    在右侧,请注意状态切换规则。如果您关闭整个策略,也应关闭的策略中包含的所有规则。但是,下面介绍您可以关闭特定规则而不关闭整个策略。当您需要调查产生大量误报的规则,则很有用。

  16. 在下一页上,阅读并了解以下,,然后选择是否要启用规则或首先测试该 >下一步

    在创建 DLP 策略之前,您应考虑逐步部署策略,在完全强制执行策略之前评估其影响,并测试其有效性。例如,您不希望新的 DLP 策略在无意中阻止用户访问完成工作所需的上千个文档。

    如果您创建的 DLP 策略具有较大的潜在影响,建议您按以下顺序执行操作:

    1. 在不使用策略提示的情况下启动测试模式,然后使用 DLP 报告评估影响。您可以使用 DLP 报告查看匹配策略的次数、位置、类型和严重性。根据结果,您可以在需要时微调规则。在测试模式下,DLP 策略不会影响您组织内的工作人员的工作效率。

    2. 移动到使用通知和策略提示的测试模式,以便您可以开始向用户介绍合规性策略,让用户对将要应用的规则做好准备。在这一阶段,您还可以要求用户报告误报,便于您进一步优化规则。

    3. 启用策略,强制执行规则,并保护内容。继续监视 DLP 报告及任何事件报告或通知,确保结果是您所期望的。

    使用测试模式和启用策略的选项

  17. 查看此策略设置 > 选择创建

创建并启用 DLP 策略之后,其部署到它包括SharePoint Online网站或OneDrive for Business帐户,如策略的开始位置自动强制该内容在其规则任何内容源。

查看 DLP 策略的状态

在任何时候,您可以在安全与合规中心的数据丢失保护部分策略页上查看 DLP 策略的状态。此处,您可以找到重要的信息,如成功启用或禁用,策略或策略是否处于测试模式。

下面介绍了不同的状态及其含义。

状态

描述

正在启用...

系统正在将策略部署到它所包含的内容源。策略尚未强制应用于所有源。

测试并发送通知

策略处于测试模式。不会应用规则中的操作,但可以收集策略匹配项,并通过使用 DLP 报告进行查看。有关策略匹配项的通知会发送给指定的收件人。

测试但不发送通知

策略处于测试模式。不会应用规则中的操作,但可以收集策略匹配项,并通过使用 DLP 报告进行查看。有关策略匹配项的通知不会发送给指定的收件人。

启用

策略处于活动状态并且已强制应用。策略已成功部署到它的所有内容源。

正在禁用...

系统正在将策略从它包含的内容源中移除。策略可能仍处于活动状态并在某些源上强制应用。禁用策略可能需要 45 分钟。

禁用

策略处于非活动状态且未强制应用。系统会保存策略的设置(源、关键字、持续时间等)。

正在删除…

系统正在删除策略。策略处于非活动状态且未强制应用。

禁用 DLP 策略

您可以编辑或任何时候关闭 DLP 策略。关闭策略禁用所有策略中的规则。

若要编辑或关闭 DLP 策略,在策略页上 > 选择策略 >编辑策略

编辑策略按钮

此外,您可以关闭每个规则分别通过编辑策略,并根据上述内容,然后切换关闭该规则,状态

更多信息

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×