Implementazione di DLP in Microsoft 365: regole, eccezioni e best practice

  • Un'implementazione DLP efficace in Microsoft 365 richiede una pianificazione con le aree aziendali, la definizione delle categorie di dati sensibili e l'accordo sulla tolleranza effettiva per perdite e impatto operativo.
  • Le policy DLP combinano posizioni, condizioni, azioni ed eccezioni per controllare posta, siti, dispositivi, applicazioni cloud e traffico web, integrandosi con etichette di riservatezza e crittografia.
  • L'implementazione dovrebbe avvenire in fasi: simulazione, simulazione con suggerimenti e applicazione completa, affidandosi a gruppi pilota, gruppi di autorizzazione e pannelli di allerta e segnalazione per apportare modifiche.
  • Endpoint DLP e le restrizioni su applicazioni, domini e gruppi di dispositivi aiutano a proteggere i dati da USB, cloud non autorizzati e siti Web di intelligenza artificiale generativa, continuando a controllare e istruire gli utenti.
Joaquin Romero

22 minuti

Microsoft 365 DLP

Per implementare correttamente il Prevenzione della perdita di dati (DLP) in Microsoft 365 Non si tratta solo di attivare un paio di policy e incrociare le dita. Richiede una profonda comprensione dei dati che si gestiscono, di chi li utilizza, di dove si spostano e dell'impatto del blocco o dell'autorizzazione di determinate azioni. Se non progettata con attenzione, una policy DLP puĆ² bloccare processi aziendali chiave, generare tonnellate di falsi positivi e finire per essere disattivata "affinchĆ© le persone possano lavorare".

In questo articolo spiegherĆ² in modo molto esaustivo come affrontare il Implementazione DLP in Microsoft 365 (Exchange, SharePoint, OneDrive, Teams, dispositivi, applicazioni cloud e traffico web), come regole, condizioni, azioni e eccezioniE quale strategia seguire per implementarlo senza interrompere le operazioni quotidiane? ƈ pensato per ambienti reali, con normative, utenti che hanno fretta e team IT che non hanno tempo da perdere.

Concetti di base di DLP in Microsoft 365 e Microsoft Purview

Nell'ecosistema Microsoft 365, la funzionalitĆ  DLP ĆØ integrata all'interno Competenza Microsoftche ĆØ l'ombrello per la conformitĆ , la protezione delle informazioni e la governance dei dati. Dal portale Purview, ĆØ possibile creare policy che rilevare, monitorare e proteggere dati riservati in piĆ¹ posizioni e scenari:

  • Applicazioni e dispositivi aziendali: posta elettronica di Exchange Online, siti di SharePoint, account OneDrive, chat e canali di Teams, applicazioni di Office (Word, Excel, PowerPoint), dispositivi Windows 10/11 e macOS, repository di file locali e spazi di lavoro SharePoint, Fabric e Power BI locali, Microsoft 365 Copilot, applicazioni SaaS integrate tramite Defender for Cloud Apps.
  • Traffico web ispezionato: dati che vengono trasmessi in rete e tramite Microsoft Edge per le aziende verso applicazioni cloud non gestite, come servizi di archiviazione, strumenti collaborativi o piattaforme di intelligenza artificiale generativa (ChatGPT, Google Gemini, DeepSeek, ecc.).
app con copilota integrato
Articolo correlato:
Copilot: Tutorial per l'utente sulla ricerca semantica

Queste direttive utilizzano un'analisi avanzata dei contenuti che va ben oltre la semplice ricerca di stringhe di testo. Combinano tipi di informazioni riservate (come carte di credito, dati sanitari personali, identificatori nazionali, classificatori addestrabili, corrispondenza esatta dei dati, entitƠ nominate, classificatori di credenziali...) con contesto di utilizzo (chi condivide, con chi, da quale applicazione o dispositivo, a quale dominio, ecc.). Da lƬ, vengono attivate azioni automatizzate: bloccare, verificare, crittografare, notificare, richiedere giustificazionepassare alla quarantena, ecc.

Prima di iniziare: licenze, autorizzazioni e componenti chiave

Per implementare seriamente la DLP, ĆØ necessario prima effettuare una revisione. licenze e permessiMolte delle funzionalitĆ  avanzate (ad esempio, endpoint DLP, classificazione avanzata, EDM, classificatori addestrabili o traffico web ispezionato) sono legate a Piani Microsoft 365 e Microsoft Purview di fascia medio-alta (E5, componenti aggiuntivi per la conformitĆ , ecc.). Si consiglia di consultare la guida alle licenze per la sicurezza e la conformitĆ  di Microsoft 365 perchĆ©, anche all'interno della stessa funzionalitĆ , le opzioni variano a seconda del piano.

Per quanto riguarda le autorizzazioni, l'account che crea e gestisce le policy deve appartenere a gruppi di ruoli quali Amministratore della conformitĆ , amministratore dei dati di conformitĆ , amministratore della protezione delle informazioni o amministratore della sicurezzaInoltre, esistono ruoli granulari specifici di DLP e Information Protection (amministratore, analista, investigatore, lettore) che consentono la distribuzione delle responsabilitĆ  e la limitazione dell'accesso secondo il principio del privilegio minimo. Questa separazione ĆØ fondamentale quando questi fattori entrano in gioco. dati altamente sensibili e audit.

Un altro componente importante ĆØ il unitĆ  amministrative Microsoft Purview consente di segmentare l'ambito di amministrazione per regioni, filiali, reparti o gruppi di utenti, in modo che un amministratore regionale gestisca le policy solo per la propria parte aziendale. Le policy DLP possono essere limitate a queste unitĆ  per garantire la conformitĆ . confini organizzativi e normativi.

Pianificazione dell'implementazione del DLP: stakeholder, dati e strategia

Un'implementazione DLP solida inizia sempre con una fase di pianificazione strutturataƈ qui che spesso le cose vanno male, perchĆ© si procede troppo velocemente. Ci sono quattro elementi che ĆØ necessario allineare fin dall'inizio: persone chiave, categorie di dati, obiettivi di protezione e piano di implementazione.

Identificazione delle parti interessate

Non ĆØ sufficiente che l'IT decida cosa bloccare e cosa no. Le policy DLP influenzano i processi aziendali interfunzionali, quindi tutti devono essere coinvolti. conformitĆ , legale, rischi, sicurezza, proprietari dei dati e businessSono loro che possono:

  • Elenca il regolamenti, leggi e standard applicabili (GDPR, HIPAA, CCPA, normative finanziarie, normative di settore, ecc.).
  • Definire il categorie di informazioni sensibili aree prioritarie (finanziaria, sanitaria, privacy, proprietĆ  intellettuale, dati personalizzati).
  • Descrivi il processi di business dove vengono utilizzati tali dati (fatturazione, auditing, servizio clienti, risorse umane, ricerca e sviluppo, supporto, ecc.).
  • Determina cosa comportamenti a rischio Devono essere limitati (invio esterno, utilizzo di cloud non autorizzati, copia su USB, stampa, incollaggio su siti Web di intelligenza artificiale, ecc.).
  • Imposta il prioritĆ  di protezione: quali tipi di dati e processi dovrebbero essere trattati per primi.
  • Progettare il processo di revisione e risposta In risposta agli avvisi DLP: chi indaga, chi decide, tempi di risposta e flusso di escalation.

In pratica, molte organizzazioni concludono che la domanda ĆØ principalmente per conformitĆ  normativa e legale (protezione dei dati personali, finanziari, clinici...) e, in misura minore, protezione della proprietĆ  intellettuale. Entrambe le dimensioni dovrebbero essere presenti nella vostra strategia, ma con pesi diversi a seconda del settore.

Descrivere le categorie di informazioni riservate

Il passo successivo ĆØ definire, utilizzando la terminologia aziendale, quali dati rientrano in ciascuna categoria. Microsoft Purview distingue, tra le altre cose, i dati finanziari, sanitari, della privacy e personalizzatiMa devi tradurlo nella tua realtĆ . Esempi tipici:

  • ā€œAbbiamo agito come titolari del trattamento dei datiPertanto, dobbiamo imporre controlli su tutti i dati degli stakeholder e sui dati finanziari che i nostri clienti ci forniscono".
  • ā€œLa nostra prioritĆ  ĆØ proteggere progetti, codice sorgente, documentazione tecnica e studi di ricerca e sviluppo, oltre a impedire che chiavi e password escano dal sistema."

Questa definizione si allinea quindi con tipi di informazioni riservate dati nativi (numeri di carte di credito, IBAN, SSN, dati personali USA, UE, ecc.), classificatori addestrabili (ad esempio, "contratti di lavoro", "documentazione di rete"), corrispondenza esatta dei dati per record master o dati dei clienti ed etichette di riservatezza.

Obiettivi di protezione e tolleranza alle perdite

Con le categorie chiare e i processi identificati, le parti interessate devono definire obiettivi specifici e tolleranza al rischioAlcune domande chiave:

  • A quali normative devo dimostrare di conformarmi e con quale livello di dettaglio delle prove?
  • Che cosa Questo tipo di perdita ĆØ inaccettabile. (ad esempio, non inviare mai carte di credito, non pubblicare mai cartelle cliniche sul cloud, ecc.)?
  • In che misura sono disposto ad accettare falsi positivi Oppure un impatto sulla produttivitĆ  in cambio di una maggiore protezione?
  • In quali casi gli utenti dovrebbero essere in grado invalidare un blocco Quali sono giustificati e quali no?

Esempio tipico: la sicurezza e gli aspetti legali richiedono ā€œzero perditeā€ di numeri di carte di credito allā€™esterno dellā€™organizzazione, ma lā€™area di audit interno Devi inviarli a revisori esterni periodicamente. Se si applica un blocco rigido senza eccezioni, si interrompe il processo e si generano costi aggiuntivi. La soluzione consiste nel combinare blocco generale con eccezioni controllate (determinati utenti o gruppi, modalitĆ  di sola verifica, tagging e crittografia, domini consentiti, ecc.). Incidenti come fuga di notizie che ha esposto i dati degli utenti Illustrano il rischio reale e perchĆ© ĆØ importante prevedere delle eccezioni.

  Implementare Windows Hello for Business con chiavi basate su hardware

Definire il piano di attuazione

Con le basi chiare, ĆØ il momento di progettare un piano con stato iniziale, stato di destinazione e passaggi intermedi. Un piano completo in genere include:

  • Mappa di situazione attuale: quali dati sono disponibili, dove si trovano (M365, sistemi locali, cloud di terze parti), quali protezioni esistono, cosa viene condiviso.
  • Approccio a scoprire e classificare Dati: classificazione dei dati di Prospect, esploratore di contenuti e attivitĆ , analizzatore di informazioni per repository locali, integrazione con Defender for Cloud Apps, ecc.
  • Strategia progettazione direttiva: ordine di distribuzione (per piattaforma, per gruppo di utenti, per tipo di dati), modelli da utilizzare, scenari prioritari.
  • Piano di prerequisiti tecniciVersioni per Windows e macOS, installazione dell'agente endpoint, configurazione dell'analizzatore per repository locali, estensione del browser per Chrome/Firefox, KB richiesti, ecc.
  • Sequenza di modalitĆ  simulazione ā†’ simulazione con suggerimenti ā†’ applicazione completacon criteri chiari per passare alla fase successiva.
  • Piano di formazione e comunicazione all'utente finale: messaggi, FAQ, esempi, spiegazione dei suggerimenti sulle policy e motivazioni delle modifiche.
  • Ciclo revisione e adeguamento continui: frequenza di revisione, report di utilizzo, esploratore di attivitĆ , avvisi e telemetria per la messa a punto.

Scoperta di dati riservati e classificazione

Prima di decidere cosa bloccare, dovresti sapere quali dati sensibili hai e dove sono archiviati?ƈ qui che entrano in gioco diverse funzionalitƠ di Microsoft Purview:

  • Classificazione dei dati con rappresentazioni grafiche e statistiche dei tipi di informazioni riservate rilevate in M365 e, in modo esteso, nei cloud di terze parti e in locale.
  • Esploratore di contenuti per vedere dove si trovano gli elementi contenenti determinati tipi di informazioni o etichette di riservatezza.
  • Esploratore di attivitĆ  per rivedere cosa viene fatto con quegli elementi: chi li apre, li condivide, li sposta, li tagga, ecc.
  • Analizzatore della protezione delle informazioni per esaminare i repository locali (condivisioni di file, SharePoint locale, ecc.) e applicare classificazione e protezione.
  • Integrazione con Defender per app cloud per scoprire, classificare ed etichettare i dati in archivi cloud come Box o Google Drive.

Mentre definisci la tua strategia, puoi iniziare a proteggerti progressivamente con etichettatura manuale, automatica e predefinitaAd esempio, ĆØ possibile configurare etichette di riservatezza con azioni di crittografia, marcature dei contenuti, restrizioni di accesso e giustificazione obbligatoria in caso di downgrade. Quindi, ĆØ possibile collegare tali etichette a policy DLP che le utilizzano come condizione ("se il documento ĆØ etichettato come 'Estremamente riservato', non consentire la condivisione esterna, la stampa o la copia su USB").

Architettura di una policy DLP: posizioni, condizioni, azioni ed eccezioni

Microsoft 365 DLP

Le policy DLP di Microsoft Purview condividono un struttura comune Questo vale per e-mail, SharePoint, OneDrive e Teams, nonchƩ per dispositivi, applicazioni cloud e traffico web. Ogni policy definisce:

  • Cosa vuoi monitorare? (modello predefinito o direttiva personalizzata).
  • Ambito amministrativo (unitĆ  amministrativa completa o sottoinsieme).
  • sedi a cui si applica (Exchange, SharePoint, OneDrive, Teams, dispositivi, repository locali, Fabric/Power BI, Copilot, Defender for Cloud Apps, traffico web).
  • Condizioni che devono essere soddisfatti (tipi di informazioni riservate, etichette, chi invia e chi riceve, domini, dimensioni, protezione tramite password, ecc.).
  • Eccezioni (stesse condizioni, ma invertite: mittenti, destinatari, luogo, ecc., che devono essere esclusi dalla regola).
  • Azioni che vengono eseguiti quando la condizione ĆØ soddisfatta (blocco, blocco con override, solo controllo, crittografia, reindirizzamento, quarantena, visualizzazione suggerimenti policy, modifica intestazioni, anteporre testo all'oggetto, ecc.).

Luoghi e ambiti accettati

Nella procedura guidata di creazione dei criteri, scegli dove desideri che si trovi Purview. Monitorare e applicare i controlliOgni posizione ha le sue opzioni di inclusione/esclusione:

Posizione Filtraggio dell'ambito
Scambio di posta online Da parte di utenti, gruppi e gruppi di distribuzione.
Siti di SharePoint Da siti specifici o da tutti.
Account OneDrive Tramite conti individuali o gruppi di distribuzione.
Messaggi di Teams (chat e canali) Da parte di utenti o gruppi.
Dispositivi Windows 10/11 e macOS Per utenti e gruppi, e per dispositivi e gruppi di dispositivi.
Defender per app cloud Per istanza di applicazione cloud.
Repository locali Per percorsi di file o cartelle.
Fabric e Power BI Per aree di lavoro.
Copilota Microsoft 365 Da parte di utenti o gruppi.

Questo livello di dettaglio consente di creare, ad esempio, una policy che riguarda solo revisori interni i loro luoghi di lavoro o una policy di endpoint per i team del call center e impedire loro, ad esempio, di allegare determinati tipi di file o dati a e-mail o chat.

Condizioni ed eccezioni: come vengono rilevati gli scenari

Le condizioni Le condizioni di una regola DLP definiscono il modello di dati e il contesto che devono essere soddisfatti per attivare un'azione. In Exchange, SharePoint, OneDrive e Teams sono disponibili numerose condizioni; alcune si concentrano su mittenti/destinatari, altre su contenuto, oggetto, allegati o proprietĆ  del messaggio. Per ogni condizione, di solito esiste un equivalente, ad esempio una condizione. eccezione, con cui ĆØ possibile perfezionare ed evitare falsi positivi.

Alcuni gruppi importanti delle condizioni in Exchange (valide anche come eccezioni):

  • Remittenti"Il mittente ĆØ", "Il mittente ĆØ membro di", "Il dominio del mittente ĆØ", "Ambito del mittente (interno/esterno)", proprietĆ . Inserisci l'ID del mittente che contiene parole o corrisponde a modelli, l'indirizzo del mittente che contiene parole o corrisponde a espressioni regolari. Inoltre, puoi scegliere se la valutazione viene eseguita su indirizzo di intestazione, busta SMTP o entrambi.
  • Destinatari"Il destinatario ĆØ", "Il dominio del destinatario ĆØ", "Inviato al membro di", proprietĆ  come ID destinatario, conteggio destinatari univoci, conteggio domini destinatario e ambito destinatario (interno/esterno). Alcuni trigger forchetta del messaggio (viene recapitato solo ad alcuni destinatari).
  • Contenuto, soggetto e corpo: soggetto o corpo contenente parole o modelli; contenuto contenente tipi di informazioni riservate; contenuto senza etichetta di riservatezza; combinazione di soggetto o corpo con espressioni regolari.
  • Allegati: allegati protetti da password, estensioni di file specifiche, allegati non riconosciuti o allegati la cui analisi supera i limiti, nome del documento contenente parole o modelli, proprietĆ  personalizzate, dimensione dell'allegato, contenuto dell'allegato contenente parole o modelli.
  • ProprietĆ  del messaggio: importanza, set di caratteri, messaggi con precedente invalidazione del mittente, tipo di messaggio (risposta automatica, inoltro, crittografia, calendario, posta vocale, IRM, ecc.), dimensione del messaggio.

Ad esempio, puoi creare una regola che corrisponde quando un'e-mail interna Un'e-mail di un utente finanziario, con oggetto "rendiconto finanziario" e un file Excel allegato di dimensioni superiori a X MB, viene inviata a un dominio esterno non approvato e il foglio di calcolo contiene determinati tipi di informazioni riservate. Al contrario, un'eccezione potrebbe escludere un gruppo di revisori esterni giĆ  un dominio sociale specifico, consentendo tale comunicazione.

Azioni disponibili: blocco, crittografia, reindirizzamento e altro

Quando le condizioni sono soddisfatte (e non si applicano eccezioni), la regola esegue una o piĆ¹ azioniAlcune sono puramente correlate al trasporto della posta elettronica, mentre altre influiscono sulle modalitĆ  di accesso ai contenuti all'interno dei servizi Microsoft 365.

Cos'ĆØ una ricerca semantica in Copilot?
Articolo correlato:
Microsoft rivoluziona la sicurezza informatica con i suoi nuovi agenti intelligenti basati sull'intelligenza artificiale
  • Bloccare l'accesso o crittografare i contenuti nelle sedi M365 utilizzando modelli RMS (BlockAccess e ambito associato).
  • Reindirizzare Messaggi indirizzati a utenti specifici, senza recapitarli ai destinatari originali o avvisare il mittente (utile per le regole di quarantena).
  • Invia nuovamente per l'approvazione al responsabile del mittente o a specifici approvatori (moderazione).
  • aggiungere destinatari in A/Cc/Ccn o aggiungilo direttamente all'amministratore del mittente.
  • Modificare le intestazioni: aggiungi (SetHeader) o rimuovi (RemoveHeader) campi di intestazione specifici.
  • Modifica l'oggetto: aggiungi del testo per contrassegnare le email sensibili o addirittura sostituisci/riscrivi i modelli nella riga dell'oggetto.
  • Applicare le esclusioni di responsabilitĆ  HTML nel corpo del messaggio, con opzioni di posizione (inizio/fine) e comportamento di fallback se il client non supporta tale inserimento.
  • Rimuovi la crittografia applicato da Purview quando appropriato (RemoveRMSTemplate) o, viceversa, applicare modelli di marca nei messaggi criptati.
  • Imporre l'uso di un portale di messaggistica crittografato per i destinatari esterni.
  • Invia il messaggio in quarantena ospitato su Microsoft 365.
  Che cos'ĆØ il NIC Teaming e come configurarlo in Windows 11

Nel contesto specifico di "consentire contenuti crittografati e bloccare contenuti non crittografati", ĆØ possibile utilizzare la combinazione di condizioni di contenuto (tipi di informazioni riservate), verifica se "il contenuto ĆØ taggato/crittografato" e azioni di reindirizzamento o blocco. Se si desidera che un'e-mail venga bloccata solo quando il codice fiscale viaggia in testo normale, ĆØ necessario assicurarsi che la condizione o l'eccezione tenga conto della presenza di un tag o della crittografia applicata e che il flusso di trasporto della crittografia (ad esempio, la crittografia automatica basata su tag) si verifichi prima che la regola di blocco venga valutata.

Endpoint DLP: dispositivi, percorsi esclusi e classificazione avanzata

La parte piĆ¹ potente (e allo stesso tempo delicata) della DLP in Microsoft 365 ĆØ il componente di Punto di connessione, che sovrintende alle attivitĆ  di archiviazione in Windows 10/11 e macOSQui non vengono visualizzate solo e-mail o siti Web, ma anche qualsiasi azione sui file presenti sul dispositivo: copia su USB, copia su condivisioni di rete, stampa, copia negli appunti, caricamento su servizi cloud, utilizzo di Bluetooth, RDP, ecc.

Dalle impostazioni centrali Dal punto di connessione DLP nel portale Purview ĆØ possibile regolare:

  • Classificazione avanzata (implementazione cloud per tecnologie quali EDM, classificatori addestrabili, OCR, entitĆ  denominate), con la possibilitĆ  di limitare la larghezza di banda giornaliera per dispositivo.
  • Protezione avanzata basata su etichetteche consente di lavorare con file taggati (anche file non Office e PDF) in uno stato non crittografato localmente, ma garantisce che vengano crittografati appena prima di lasciare il dispositivo.
  • Esclusione del percorso del file Per ridurre rumore e carico: modelli specifici e variabili d'ambiente in Windows, percorsi consigliati in macOS. Alcuni percorsi sono esclusi per impostazione predefinita (cartelle temporanee, cache del browser, ecc.).
  • Copertura delle risorse condivise in rete ed esclusioni, nonchĆ© l'interazione con i repository DLP locali e la protezione Just-In-Time.
  • Applicazioni e gruppi di applicazioni limitati: raccolte di applicazioni le cui azioni sui file protetti possono essere controllate o bloccate (incluse le varianti web a cui si accede da Edge).
  • Bluetooth non consentito, estensioni di file non supportateGruppi di dispositivi USB, gruppi di stampanti e gruppi di condivisione di rete per un controllo dettagliato.
  • Configurazione VPN: applicare azioni diverse quando il traffico passa attraverso una specifica rete aziendale.

Se si abilita il classificazione avanzataSi prega di notare i limiti di dimensione (64 MB per il testo, 50 MB per le immagini con OCR) e la compatibilitƠ con la versione di Windows. Quando il limite di larghezza di banda configurato viene superato, il client interrompe l'invio di contenuti al cloud e torna alla classificazione locale ridotta, pertanto alcuni tipi di file avanzati potrebbero non essere rilevati finchƩ il limite di larghezza di banda non diminuisce. Per problemi relativi a endpoint e privacy, consultare [link alla documentazione pertinente]. Come controllare la telemetria in Windows 11.

Controllo delle applicazioni, archiviazione cloud e intelligenza artificiale generativa

Uno scenario sempre piĆ¹ critico ĆØ impedire che i dati sensibili finiscano in applicazioni non autorizzate (cloud di terze parti, client di sincronizzazione, app desktop o browser non autorizzati) e, soprattutto, che si attengano o carichino su siti di intelligenza artificiale generativaPer raggiungere questo obiettivo, Microsoft Purview offre diversi meccanismi combinati:

  • Applicazioni limitateUn elenco di file eseguibili (e, in anteprima, le relative interfacce web in Edge) che, quando si accede a un file protetto, attivano azioni come "solo controllo", "blocca con override" o "blocca". Ad esempio, ĆØ possibile contrassegnare le app di sincronizzazione cloud non aziendali come limitate.
  • Gruppi di applicazioni limitate: set di app con una politica di restrizione uniforme. ƈ anche possibile creare un modello "whitelist": consentire l'accesso a un gruppo specifico con l'azione "Consenti" e impostare tutte le altre applicazioni su "blocca".
  • Quarantena automaticaQuando un'app con restrizioni tenta di accedere a un file sensibile in base a un criterio di blocco, DLP puĆ² spostare il file in una cartella di quarantena locale e lasciare un messaggio segnaposto per l'utente, impedendo i cicli di notifica (come accade con alcune app di sincronizzazione che riprovano piĆ¹ e piĆ¹ volte).
  • Limitazioni del browser e del dominioDefinisci quali browser sono consentiti (Edge per impostazione predefinita) e quali domini di servizi cloud sono consentire o bloccareIn questo modo verranno controllate le azioni "carica su dominio di servizio cloud limitato", "incolla nei browser supportati", "stampa sito", "copia dati sito" e "salva con nome".
  • Gruppi di domini di servizi riservatiRaccolte di siti web che ricevono un trattamento DLP specifico. Ad esempio, un gruppo preconfigurato per siti di intelligenza artificiale generativa dove ĆØ possibile bloccare o controllare l'incollaggio di contenuti sensibili e il caricamento di file.

La logica dei domini di servizio distingue tra elenchi in modalitĆ  Consentire (solo quei domini sono esenti da restrizioni, tutto il resto ĆØ controllato) e modalitĆ  bloccare (Solo quei domini sono controllati in modo esplicito, mentre il resto ĆØ consentito.) Esiste una tabella di comportamento molto chiara che combina la modalitĆ  di dominio (Consenti/Blocca) con l'azione DLP selezionata ("Solo controllo", "Blocca con override", "Blocca") per mostrare se vengono generati avvisi, se il criterio viene applicato o se viene eseguito solo il controllo.

Progettazione e creazione di direttive DLP: dall'intento alla configurazione

Microsoft consiglia di iniziare ogni criterio con un istruzione di intentiUna frase che descrive, in linguaggio naturale, l'obiettivo che si desidera raggiungere. Ad esempio: "Impedire al team del Call Center di inviare file sensibili a destinatari esterni, ad eccezione di PDF e immagini autorizzati" oppure "Impedire ai dipendenti di copiare i dati delle carte di credito su dispositivi USB non aziendali".

Da lƬ, quell'intenzione viene tradotta nel configurazione della politica:

  1. Scegli il modello (finanziario, medico, privacy, personalizzato...) o la direttiva vuota.
  2. Imposta il area amministrativa (inquilino a pieno titolo o unitĆ  amministrative specifiche).
  3. selezionare posizioni destinazione (Exchange, SharePoint, OneDrive, Teams, dispositivi, traffico web, repository locali, ecc.).
  4. Definire condizioni: tipi di informazioni riservate, etichette, contesto di condivisione (interno/esterno), domini, conteggio delle corrispondenze, dimensioni, percorsi, applicazioni, VPN, ecc.
  5. Configurare azioni Per ogni regola: consenti/controlla, blocca, blocca con override, crittografa, sposta in quarantena, limita solo determinate attivitĆ  (copia su USB, stampa, incolla, ecc.).
  6. aggiungere notifiche (e-mail agli utenti, amministratori, SOC) e suggerimenti direttivi (messaggi pop-up in Office, Edge e altri client).
  7. scegliendo stato di implementazione: mantieni disabilitato, modalitĆ  simulazione, simulazione con suggerimenti o attivazione completa.
  Come condividere il tuo abbonamento a Microsoft 365 Family senza problemi

Nel caso pratico da te menzionato, ovvero bloccare i dati sensibili solo nelle email non crittografate, un approccio efficace sarebbe: 1) etichettare e crittografare automaticamente (o richiedere all'utente di farlo) quando viene rilevato un certo tipo di dati, 2) applicare una regola DLP che blocca l'invio di tali dati se il messaggio o l'allegato no Hanno un'etichetta o una crittografia specifica, che combina condizioni di informazioni riservate con attributi di "contenuto non etichettato" o di crittografia IRM e 3) utilizzano eccezioni per specifici domini o gruppi attendibili.

Strategia di implementazione: stato, azioni e ambito

Microsoft 365 DLP

La chiave per evitare che il DLP diventi un problema ĆØ gestire bene i tre assi di implementazione: stato della policy, azioni configurate e ambito di posizioni/personeL'approccio consigliato ĆØ sempre incrementale.

Stati della direttiva

Gli stati disponibili Permettono di controllare l'impatto:

  • Tienilo spentoViene utilizzato durante la progettazione e la revisione della policy. Nulla viene valutato o registrato.
  • Eseguire la direttiva in modalitĆ  simulazioneLe regole vengono valutate, gli eventi di audit e gli avvisi vengono generati, ma non vengono applicate azioni di blocco o notifiche agli utenti. Ideale per verificare il reale impatto su tutti i sistemi senza interrompere il lavoro degli utenti.
  • Esegui in modalitĆ  simulazione e visualizza suggerimenti sui criteriLa stessa valutazione viene eseguita senza blocco, ma ora l'utente viene avvisato tramite pop-up o messaggi contestualizzati e puĆ² inviare email. Questa fase serve come fase educativa per aiutarlo a comprendere che il suo comportamento ĆØ rischioso.
  • Attivalo subito: in modalitĆ  di piena conformitĆ , vengono effettivamente eseguite azioni di blocco o restrizione.

Puoi cambiare il tuo stato quando vuoi, ma ĆØ meglio mantenerne uno solo. piano graduale concordato con le aziende: per quanto tempo rimanere in simulazione, quali parametri monitorare (volume di corrispondenze, falsi positivi, impatto previsto), quali soglie giustificano il passaggio alla modalitĆ  restrittiva.

Azioni e livello di gravitĆ 

Nelle posizioni dei dispositivi e dei repository, le azioni utilizzate come "leve di durezza" Sono:

  • ConsentireL'azione ĆØ consentita, ma ĆØ sottoposta a verifica. Non sono previste notifiche o avvisi automatici.
  • Solo auditSimile all'autorizzazione, ma con la possibilitĆ  di aggiungere notifiche e avvisi. Questa funzionalitĆ  ĆØ utile per sensibilizzare l'organizzazione e prepararla a policy piĆ¹ severe.
  • Blocco con overrideL'azione ĆØ bloccata per impostazione predefinita, ma l'utente puĆ² ignorarla con una giustificazione. Questa funzionalitĆ  ĆØ utile per raccogliere feedback su casi legittimi e correggere i falsi positivi.
  • bloccareNon c'ĆØ alternativa; l'azione ĆØ assolutamente proibita. Deve essere riservata a scenari molto chiari, concordati e testati.

Nei suggerimenti politici, puoi decidere cosa opzioni di giustificazione Visualizzazione: testo libero, un elenco di motivi predefiniti o una combinazione di entrambi. La corretta configurazione di questi messaggi (lingua, tono, una breve spiegazione del motivo per cui il sistema ĆØ bloccato e cosa fare) migliora significativamente l'accettazione.

Gruppi di ambito e autorizzazione

El ambito di applicazione della direttiva ƈ controllato non solo dalla posizione generale (Exchange, dispositivi, ecc.), ma anche da un insieme di gruppi specifici che consentono una granularitƠ extra:

  • Gruppi di stampanti: limitare la stampa di documenti altamente sensibili a un elenco di stampanti affidabili (ad esempio, solo quelle nell'ufficio legale o nell'archivio centrale).
  • Gruppi di dispositivi USB rimovibili: definire quali unitĆ  esterne sono autorizzate (ad esempio, backup aziendali) e quali sono bloccate.
  • Gruppi di risorse condivise in rete: definire quali percorsi di rete sono repository ā€œsicuriā€ e quali sono vietati per lā€™archiviazione di documenti riservati.
  • Gruppi di domini di servizi riservati: raggruppa i siti web per tipo (IA generativa, SaaS di vendita, archiviazione, ecc.) e applica policy specifiche.
  • Elenchi VPN: distinguere il comportamento quando l'utente ĆØ connesso tramite VPN aziendale rispetto a quando opera su una rete domestica o pubblica.

Inizialmente ĆØ consigliabile iniziare con un gruppo pilota di utenti e sedi specifiche, anzichĆ© rivolgersi all'intera azienda. Quel gruppo pilota diventa un early adopter e ti aiuta a perfezionare le regole prima di estenderle.

Monitoraggio, reporting e adeguamento continuo

Una volta che le tue politiche saranno in atto (anche se solo in simulazione), avrai un flusso costante di telemetria che dovresti sapere come leggere. DLP alimenta diverse dashboard e strumenti in Microsoft Purview e nel portale Defender:

  • Pagina di informazioni generali DLP: Visualizzazione di alto livello dello stato di sincronizzazione delle policy, dello stato del dispositivo, delle principali attivitĆ  rilevate e delle tendenze.
  • Pannello di avviso DLP In Microsoft Purview e nel portale Defender: un elenco di avvisi generati quando viene attivata una regola in base a soglie e intervalli di tempo configurati. ƈ possibile visualizzarli, valutarne la gravitĆ , assegnarne uno stato (nuovo, in fase di analisi, risolto) e monitorarli.
  • Esploratore di attivitĆ : console dettagliata in cui ĆØ possibile filtrare per tipo di attivitĆ  (endpoint, output, attivitĆ  DLP, regole, policy, override utente, ecc.) e rivedere ogni evento con un contesto dettagliato (utente, dispositivo, app, dominio, testo corrispondente in alcuni casi).
  • Registri di controllo di Microsoft 365: archivio centrale di eventi che vengono poi sfruttati da molte di queste viste.
  • Sicurezza e conformitĆ  PowerShell ed Exchange: cmdlet specifici per l'estrazione di report DLP personalizzati.

Una caratteristica particolarmente utile ĆØ la riassunto contestuale Negli eventi DLPRuleMatch, ĆØ possibile visualizzare il testo che circonda il contenuto corrispondente (ad esempio, le righe accanto a un numero di carta di credito) quando ĆØ stato applicato l'aggiornamento della Knowledge Base appropriato in Windows 10/11. In questo modo ĆØ piĆ¹ facile confermare se la corrispondenza ĆØ legittima o un falso positivo. ƈ inoltre importante monitorare nuove minacce, come... Minacce informatiche finanziarie basate sull'intelligenza artificialeche possono modificare i modelli di rischio e richiedere aggiustamenti.

Con questi dati, il team di conformitĆ  e IT dovrebbe stabilire un ciclo di miglioramento continuoModificare le posizioni, aggiungere o rimuovere eccezioni, rafforzare o attenuare le azioni, modificare gli elenchi di domini o app, espandere i gruppi di autorizzazione, ecc. L'esperienza utente, raccolta tramite giustificazioni di override e supporto, ĆØ preziosa per perfezionare le policy.

Sicurezza unificata di Google
Articolo correlato:
Google Unified Security: ĆØ la nuova offerta di Google per la sicurezza informatica.

Un'implementazione DLP ben pianificata in Microsoft 365 ĆØ iterativoSi inizia imparando a conoscere i dati, le etichette e le policy, testandoli con modalitĆ  di simulazione e gruppi pilota, istruendo gli utenti con suggerimenti sulle policy, adattando i controlli in base alla telemetria e rafforzando gradualmente la posizione laddove aggiunge valore e l'azienda lo tollera, combinando sempre regole, eccezioni ben giustificate, etichette di riservatezza, crittografia e controlli su applicazioni, dispositivi e traffico web per mantenere i dati realmente protetti senza rallentare il lavoro quotidiano. Condividi questa guida e piĆ¹ utenti conosceranno l'argomento..