Informazioni sulla prevenzione della perdita di dati

Le organizzazioni dispongono di informazioni sensibili sotto il loro controllo, ad esempio dati finanziari, dati proprietari, numeri di carta di credito, cartelle cliniche o numeri di previdenza sociale. Per proteggere questi dati sensibili e ridurre il rischio di sovrasciezione, è necessario un modo per impedire agli utenti di condividere in modo inappropriato dati sensibili con persone che non dovrebbero averlo. Questa procedura è denominata prevenzione della perdita dei dati (DLP).

In Microsoft Purview si implementa la prevenzione della perdita dei dati definendo e applicando criteri di prevenzione della perdita dei dati. Con un criterio DLP, è possibile identificare, monitorare e proteggere automaticamente gli elementi sensibili in:

  • Servizi di Microsoft 365, ad esempio account Teams, Exchange, SharePoint e OneDrive
  • Applicazioni di Office come Word, Excel e PowerPoint
  • endpoint Windows 10, Windows 11 e macOS (tre versioni rilasciate più recenti)
  • app cloud non Microsoft
  • condivisioni file locali e SharePoint locale
  • Power BI

La prevenzione della perdita dei dati rileva gli elementi sensibili usando l'analisi approfondita del contenuto, non solo tramite una semplice analisi del testo. Il contenuto viene analizzato:

  • Per le corrispondenze dei dati primari alle parole chiave.
  • Dalla valutazione delle espressioni regolari
  • Per convalida della funzione interna
  • In base alle corrispondenze di dati secondarie che si trovano in prossimità della corrispondenza dei dati primari.
  • La prevenzione della perdita dei dati usa anche algoritmi di Machine Learning e altri metodi per rilevare il contenuto corrispondente ai criteri DLP.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Prima di iniziare

Se non si ha familiarità con Microsoft Purview DLP, di seguito è riportato un elenco degli articoli principali necessari durante l'implementazione della prevenzione della perdita dei dati:

  1. Unità amministrative
  2. Informazioni su Prevenzione della perdita dei dati Microsoft Purview: l'articolo che si sta leggendo presenta ora la disciplina di prevenzione della perdita dei dati e l'implementazione di Microsoft per la prevenzione della perdita dei dati
  3. Pianificare la prevenzione della perdita dei dati ( DLP) : seguendo questo articolo:
    1. Identificare gli stakeholder
    2. Descrivere le categorie di informazioni riservate da proteggere
    3. Impostare obiettivi e strategia
  4. Informazioni di riferimento sui criteri di prevenzione della perdita dei dati : questo articolo presenta tutti i componenti di un criterio DLP e il modo in cui ognuno influenza il comportamento di un criterio
  5. Progettare un criterio DLP : questo articolo illustra come creare un'istruzione di finalità dei criteri e mapparla a una configurazione di criteri specifica.
  6. Creare e distribuire criteri di prevenzione della perdita dei dati : questo articolo presenta alcuni scenari comuni di finalità dei criteri che verranno mappati alle opzioni di configurazione, quindi illustra come configurare tali opzioni.
  7. Informazioni sull'analisi degli avvisi di prevenzione della perdita dei dati : questo articolo illustra il ciclo di vita degli avvisi dalla creazione, fino alla correzione finale e all'ottimizzazione dei criteri. Presenta anche gli strumenti usati per analizzare gli avvisi.

Licenze e sottoscrizioni

Per informazioni dettagliate sulle sottoscrizioni che supportano la prevenzione della perdita dei dati, vedere le linee guida di Microsoft 365 per la sicurezza & conformità .

La prevenzione della perdita dei dati fa parte dell'offerta Microsoft Purview più ampia

La prevenzione della perdita dei dati è solo uno degli strumenti di Microsoft Purview che verranno usati per proteggere gli elementi sensibili ovunque si trovino o viaggino. È consigliabile comprendere gli altri strumenti nel set di strumenti Microsoft Purview, il modo in cui interagiscono e funzionano meglio insieme. Per altre informazioni sul processo di protezione delle informazioni, vedere Strumenti di Microsoft Purview .

Azioni di protezione dei criteri di prevenzione della perdita dei dati

I criteri DLP consentono di monitorare le attività eseguite dagli utenti su elementi sensibili inattivi, elementi sensibili in transito o elementi sensibili in uso e quindi intraprendere azioni di protezione. Ad esempio, quando un utente tenta un'azione non consentita, ad esempio la copia di un elemento sensibile in una posizione non approvata o la condivisione di informazioni mediche in un messaggio di posta elettronica, la prevenzione della perdita dei dati può:

  • mostra un suggerimento per i criteri popup all'utente che li avvisa che potrebbe provare a condividere un elemento sensibile in modo inappropriato
  • bloccare la condivisione e, tramite un suggerimento per i criteri, consentire all'utente di ignorare il blocco e acquisire la giustificazione degli utenti
  • bloccare la condivisione senza l'opzione di sostituzione
  • per i dati inattivi, gli elementi sensibili possono essere bloccati e spostati in una posizione di quarantena sicura
  • per la chat di Teams, le informazioni sensibili non verranno visualizzate

Tutte le attività monitorate dalla prevenzione della perdita dei dati vengono registrate nel log di controllo di Microsoft 365 per impostazione predefinita e indirizzate a Esplora attività.

Ciclo di vita della prevenzione della perdita dei dati

Un'implementazione DLP segue in genere queste fasi principali.

Piano per la prevenzione della perdita dei dati

Il monitoraggio e la protezione della prevenzione della perdita dei dati sono nativi delle applicazioni usate dagli utenti ogni giorno. Ciò consente di proteggere gli elementi sensibili dell'organizzazione da attività rischiose, anche se gli utenti non sono abituati a pensare e procedure di prevenzione della perdita dei dati. Se l'organizzazione e gli utenti non hanno a che fare con le procedure di prevenzione della perdita dei dati, l'adozione della prevenzione della perdita dei dati potrebbe richiedere una modifica ai processi aziendali e si verifica un cambiamento di cultura per gli utenti. Tuttavia, con una pianificazione, un test e un'ottimizzazione appropriati, i criteri di prevenzione della perdita dei dati proteggeranno gli elementi sensibili riducendo al minimo eventuali interruzioni dei processi aziendali.

Pianificazione della tecnologia per la prevenzione della perdita dei dati

Tenere presente che la prevenzione della perdita dei dati come tecnologia può monitorare e proteggere i dati inattivi, i dati in uso e i dati in movimento nei servizi di Microsoft 365, Windows 10, Windows 11 e macOS (tre versioni rilasciate più recenti), condivisioni file locali e SharePoint locale. Esistono implicazioni di pianificazione per le diverse posizioni, il tipo di dati da monitorare e proteggere e le azioni da eseguire quando si verifica una corrispondenza dei criteri.

Pianificazione dei processi aziendali per la prevenzione della perdita dei dati

I criteri DLP possono impedire agli utenti di eseguire attività non consentite, ad esempio la condivisione inappropriata di informazioni riservate tramite posta elettronica. Durante la pianificazione dei criteri DLP, è necessario identificare i processi aziendali che toccano gli elementi sensibili. I proprietari del processo aziendale possono aiutare a identificare i comportamenti utente appropriati che devono essere consentiti e comportamenti utente inappropriati da proteggere. È consigliabile pianificare i criteri e distribuirli in modalità di simulazione e valutarne l'impatto prima di eseguirli in modalità più restrittive.

Pianificazione della cultura organizzativa per la prevenzione della perdita dei dati

Un'implementazione DLP corretta dipende tanto dal fatto che gli utenti siano sottoposti a training e acclimatati alle procedure di prevenzione della perdita dei dati quanto dai criteri ben pianificati e ottimizzati. Poiché gli utenti sono molto coinvolti, assicurarsi di pianificare la formazione anche per loro. È possibile usare strategicamente i suggerimenti per i criteri per aumentare la consapevolezza con gli utenti prima di modificare lo stato dei criteri dalla modalità di simulazione a quella più restrittiva.

Preparare la prevenzione della perdita dei dati

È possibile applicare criteri di prevenzione della perdita dei dati ai dati inattivi, ai dati in uso e ai dati in movimento in posizioni quali:

  • Exchange Online posta elettronica
  • Siti di SharePoint Online
  • Account di OneDrive
  • Messaggi di chat e canali di Teams
  • Microsoft Defender for Cloud Apps (istanze)
  • Windows 10, Windows 11 e dispositivi macOS (tre versioni rilasciate più recenti)
  • Repository locali
  • siti Power BI

Ognuno di essi ha prerequisiti diversi. Gli elementi sensibili in alcune posizioni, ad esempio Exchange Online, possono essere portati sotto l'ombrello della prevenzione della perdita dei dati semplicemente configurando un criterio che si applica a tali posizioni. Altri, ad esempio i repository di file locali, richiedono una distribuzione dello scanner di protezione delle informazioni di Microsoft Purview. È necessario preparare l'ambiente, creare codice per i criteri e testarli accuratamente prima di attivare eventuali azioni di blocco.

Distribuire i criteri nell'ambiente di produzione

Progettare i criteri

Per iniziare, definire gli obiettivi di controllo e come si applicano a ogni carico di lavoro. Elaborare un criterio che impersoni gli obiettivi. È possibile iniziare con un carico di lavoro alla volta o su tutti i carichi di lavoro. Non c'è ancora alcun impatto. Per altre informazioni, vedere Creare e distribuire criteri di prevenzione della perdita dei dati.

Implementare i criteri in modalità di simulazione

Valutare l'impatto dei controlli implementandoli con un criterio DLP in modalità di simulazione. Le azioni definite in un criterio non vengono applicate mentre il criterio è in modalità di simulazione. È possibile applicare i criteri a tutti i carichi di lavoro in modalità di simulazione, in modo da ottenere l'intera gamma di risultati, ma è possibile iniziare con un carico di lavoro, se necessario. Per altre informazioni, vedere Distribuzione dei criteri.

Monitorare i risultati e ottimizzare i criteri

Durante la modalità di simulazione, monitorare i risultati dei criteri e ottimizzarli in modo che soddisfino gli obiettivi di controllo, garantendo al tempo stesso che non si influiranno negativamente o inavvertitamente sui flussi di lavoro e sulla produttività degli utenti validi. Ecco alcuni esempi di elementi da ottimizzare:

  • regolazione delle posizioni e delle persone/luoghi che si trovano all'interno o all'esterno dell'ambito
  • ottimizzare le condizioni usate per determinare se un elemento e ciò che viene fatto con esso corrisponde ai criteri
  • definizione/i delle informazioni riservate
  • aggiungere nuovi controlli
  • aggiungere nuove persone
  • aggiungere nuove app con restrizioni
  • aggiungere nuovi siti con restrizioni

Nota

L'interruzione dell'elaborazione di altre regole non funziona in modalità di simulazione, anche quando è attivata.

Abilitare il controllo e ottimizzare i criteri

Quando il criterio soddisfa tutti gli obiettivi, attivarlo. Continuare a monitorare i risultati dell'applicazione di criteri e ottimizzare in base alle esigenze.

Nota

In generale, i criteri diventano effettivi circa un'ora dopo l'attivazione.

Panoramica della configurazione dei criteri di prevenzione della perdita dei dati

È possibile creare e configurare i criteri di prevenzione della perdita dei dati in modo flessibile. È possibile iniziare da un modello predefinito e creare un criterio in pochi clic oppure è possibile progettarne uno personalizzato da zero. Indipendentemente dalla scelta, tutti i criteri di prevenzione della perdita dei dati richiedono le stesse informazioni.

  1. Scegliere gli elementi da monitorare : la prevenzione della perdita dei dati include molti modelli di criteri predefiniti per iniziare o creare criteri personalizzati.

  2. Scegliere l'ambito amministrativo : la prevenzione della perdita dei dati supporta l'assegnazione di unità amministrative ai criteri. Gli amministratori assegnati a un'unità amministrativa possono creare e gestire solo criteri per gli utenti, i gruppi, i gruppi di distribuzione e gli account a cui sono assegnati. Pertanto, i criteri possono essere applicati a tutti gli utenti e gruppi da un amministratore senza restrizioni oppure possono essere con ambito a unità amministrative. Per altri dettagli specifici della prevenzione della perdita dei dati, vedere Definizione dell'ambito dei criteri. Vedere Unità amministrative per i dettagli sulle unità amministrative in Microsoft Purview Information Protection.

  3. Scegliere il percorso da monitorare : selezionare una o più posizioni da monitorare da DLP per le informazioni riservate. È possibile monitorare:

    posizione includo/escluso da
    Posta elettronica di Exchange gruppi di distribuzione
    Siti di SharePoint siti
    Account di OneDrive account o gruppi di distribuzione
    Messaggi di chat e canali di Teams account o gruppo di distribuzione
    Windows 10, Windows 11 e dispositivi macOS (tre versioni rilasciate più recenti) utente o gruppo
    Microsoft Cloud App Security istanza
    Repository locali percorso del file repository
    Power BI (anteprima) Aree
  4. Scegliere le condizioni che devono essere abbinate per applicare un criterio a un elemento . È possibile accettare condizioni preconfigurate o definire condizioni personalizzate. Ecco alcuni esempi:

    • l'elemento contiene un tipo specificato di informazioni riservate che vengono usate in un determinato contesto. Ad esempio, 95 numeri di codice fiscale inviati tramite posta elettronica al destinatario esterno all'organizzazione.
    • l'elemento ha un'etichetta di riservatezza specificata
    • l'elemento con informazioni riservate viene condiviso internamente o esternamente
  5. Scegliere l'azione da eseguire quando vengono soddisfatte le condizioni dei criteri: le azioni dipendono dalla posizione in cui si verifica l'attività. Ecco alcuni esempi:

    • SharePoint/Exchange/OneDrive: impedisce agli utenti esterni all'organizzazione di accedere al contenuto. Mostra all'utente un suggerimento e invia una notifica tramite posta elettronica che indica che sta eseguendo un'azione non consentita dai criteri di prevenzione della perdita dei dati.
    • Chat e canale di Teams: blocca la condivisione di informazioni riservate nella chat o nel canale.
    • Windows 10, Windows 11 e macOS (tre versioni rilasciate più recenti): controllare o limitare la copia di un elemento sensibile in un dispositivo USB rimovibile.
    • App di Office: mostra un popup che informa l'utente che si sta impegnando in un comportamento rischioso e blocca o blocca, ma consente l'override.
    • Condivisioni file locali: spostare il file da dove è archiviato in una cartella di quarantena.

    Nota

    Le condizioni e le azioni da eseguire sono definite in un oggetto denominato regola.

Creare e distribuire criteri DLP

Tutti i criteri DLP vengono creati e gestiti nel Portale di conformità di Microsoft Purview. Per altre informazioni, vedere Creare e distribuire criteri di prevenzione della perdita dei dati .

Dopo aver creato un criterio DLP nel portale di conformità, viene archiviato in un archivio criteri centrale e quindi sincronizzato con le varie origini contenuto, tra cui:

  • Exchange e da lì a Outlook sul web e Outlook
  • OneDrive
  • Siti di SharePoint
  • Applicazioni desktop di Office (Excel, PowerPoint e Word)
  • Messaggi di chat e canali di Microsoft Teams

Dopo la sincronizzazione dei criteri con le posizioni corrette, inizia a valutare il contenuto e a applicare le azioni.

Visualizzazione dei risultati dell'applicazione dei criteri

La prevenzione della perdita dei dati segnala una grande quantità di informazioni a Microsoft Purview, dal monitoraggio alle corrispondenze e alle azioni dei criteri, alle attività degli utenti. Sarà necessario utilizzare e agire su tali informazioni per ottimizzare i criteri e valutare le azioni eseguite sugli elementi sensibili. I dati di telemetria vengono prima inseriti nel Portale di conformità di Microsoft Purview log di controllo, vengono elaborati e vengono usati diversi strumenti di creazione di report. Ogni strumento di creazione di report ha uno scopo diverso.

Volume elevato di informazioni sensibili condivise o salvate esternamente

Microsoft 365 offre visibilità sulle attività utente rischiose al di fuori dei criteri DLP. La scheda Volume elevato di informazioni sensibili condivise o salvate esternamente nella home page DLP mostra un numero di elementi sensibili disponibili per gli utenti:

  • caricati nei domini sospetti
  • accesso con un'applicazione sospetta
  • copiato in un'unità rimovibile

Microsoft 365 analizza i log di controllo per individuare le attività rischiose e le esegue tramite un motore di correlazione per individuare le attività che si verificano in un volume elevato. Non sono necessari criteri di prevenzione della perdita dei dati.

Per ottenere altri dettagli sugli elementi che gli utenti copiano o si spostano all'esterno dell'organizzazione (denominate attività in uscita o esfiltrazione), selezionare il collegamento Altre informazioni nella scheda per aprire un riquadro dei dettagli. È possibile analizzare gli eventi imprevisti per Prevenzione della perdita dei dati Microsoft Purview (DLP) dal portale di Microsoft Defender Eventi imprevisti & eventi imprevisti>. Vedere Analizzare gli eventi imprevisti di perdita di dati con Microsoft Defender XDR e Analizzare gli avvisi in Microsoft Defender XDR.

Avvisi DLP

La prevenzione della perdita dei dati genera un avviso quando un utente esegue un'azione che soddisfa i criteri di un criterio DLP e sono stati configurati report eventi imprevisti per generare avvisi. La prevenzione della perdita dei dati pubblica l'avviso per l'analisi nel dashboard avvisi DLP. Usare il dashboard Avvisi DLP per visualizzare gli avvisi, valutare, impostare lo stato dell'indagine e tenere traccia della risoluzione. Gli avvisi vengono anche indirizzati a Microsoft Defender portale in cui è possibile eseguire tutte le attività del dashboard degli avvisi e altro ancora.

Consiglio

Gli avvisi DLP sono disponibili nel portale di Microsoft Defender per sei mesi. Sono disponibili solo nel dashboard degli avvisi DLP di Microsoft Purview per 30 giorni.

Nota

Se si è un amministratore con restrizioni dell'unità amministrativa, verranno visualizzati solo gli avvisi DLP per l'unità amministrativa.

Ecco un esempio di avvisi generati dalle corrispondenze dei criteri e dalle attività dai dispositivi Windows 10.

Informazioni sugli avvisi.

È anche possibile visualizzare i dettagli dell'evento associato con metadati completi nello stesso dashboard

informazioni sull'evento.

Nota

Gli avvisi vengono generati in modo diverso per i messaggi di posta elettronica rispetto agli elementi di SharePoint o OneDrive. In SharePoint e OneDrive, la prevenzione della perdita dei dati analizza gli elementi esistenti e quelli nuovi e genera un avviso ogni volta che viene trovata una corrispondenza. In Exchange vengono analizzati nuovi messaggi di posta elettronica e viene generato un avviso se è presente una corrispondenza dei criteri. La prevenzione della perdita dei dati non analizza né corrisponde agli elementi di posta elettronica esistenti in precedenza archiviati in una cassetta postale o in un archivio.

Per altri dettagli sugli avvisi, vedere:

Esplora attività DLP e report

La scheda Esplora attività nella pagina DLP include più filtri che è possibile usare per visualizzare gli eventi DLP. Usare questo strumento per esaminare l'attività relativa al contenuto che contiene informazioni riservate o a cui sono state applicate etichette, ad esempio le etichette modificate, i file modificati e una regola corrispondente.

È possibile visualizzare gli ultimi 30 giorni di informazioni sulla prevenzione della perdita dei dati in Esplora attività usando questi filtri preconfigurati:

  • Attività di prevenzione della perdita dei dati degli endpoint
  • File contenenti tipi di informazioni sensibili
  • Attività in uscita
  • Criteri DLP che hanno rilevato attività
  • Regole dei criteri DLP che hanno rilevato attività
Per visualizzare queste informazioni Selezionare questa attività
Override dell’utente Annullamento della regola DLP
Elementi che corrispondono a una regola DLP Regola DLP corrispondente

È anche possibile accedere al report DLP usando questi cmdlet in PowerShell Sicurezza & conformità.

  1. Connettersi a PowerShell per Sicurezza e conformità

Usare questi cmdlet:

Tuttavia, i report DLP devono eseguire il pull dei dati da Microsoft 365, incluso Exchange. Per questo motivo, i cmdlet seguenti per i report DLP sono disponibili in Exchange PowerShell. Per usare i cmdlet per questi report DLP, seguire questa procedura:

  1. Connettersi a Exchange PowerShell

Usare questi cmdlet:

Riepilogo contestuale

È possibile visualizzare il testo che circonda il contenuto corrispondente, ad esempio un numero di carta di credito in un evento DLPRuleMatch in Esplora attività.

Gli eventi DLPRuleMatch sono associati ad attività di uscita utente, ad esempio "CopyToClipboard" o "CloudEgress". Dovrebbero trovarsi proprio accanto a (o almeno molto vicini) l'uno all'altro in Esplora attività. È consigliabile esaminare entrambi perché l'attività utente contiene dettagli sui criteri corrispondenti e l'evento DLPRuleMatch contiene i dettagli sul testo che circonda il contenuto corrispondente.

Per l'endpoint, assicurarsi di aver applicato KB5016688 per i dispositivi Windows 10 e KB5016691 per i dispositivi Windows 11 o versioni successive

Per altre informazioni, vedere Introduzione a Esplora attività

Per altre informazioni sulla prevenzione della perdita dei dati di Microsoft Purview, vedere:

Per informazioni su come usare la prevenzione della perdita dei dati per rispettare le normative sulla privacy dei dati, vedere Distribuire la protezione delle informazioni per le normative sulla privacy dei dati con Microsoft Purview (aka.ms/m365dataprivacy).