Verwenden von Netzwerkdatensicherheit, um die Freigabe vertraulicher Informationen mit nicht verwalteter KI zu verhindern

In diesem Artikel wird anhand des Prozesses unter Entwerfen einer Richtlinie zur Verhinderung von Datenverlust veranschaulicht, wie Sie eine Microsoft Purview-Richtlinie zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) erstellen, die die Freigabe vertraulicher Informationen mit nicht verwalteten KI-Apps durch Netzwerkdatensicherheit mithilfe einer integrierten SASE-Lösung wie Microsoft Entra GSA Internet Access verhindert. Arbeiten Sie dieses Szenario in Ihrer Testumgebung durch, um sich mit der Benutzeroberfläche für die Richtlinienerstellung vertraut zu machen.

Wie Sie eine Richtlinie bereitstellen, ist genauso wichtig wie der Richtlinienentwurf. In diesem Artikel erfahren Sie, wie Sie die Bereitstellungsoptionen verwenden, damit die Richtlinie Ihre Absicht erreicht und gleichzeitig kostspielige Geschäftsunterbrechungen vermeidet.

Voraussetzungen und Annahmen

• Für Microsoft Entra GSA Internet Access-Apps muss das Gerät mit entra ID verknüpft sein.
• Für Microsoft Entra GSA Internet Access-Apps haben Sie eine Dateirichtlinie für die Filterung von Netzwerkinhalten in Microsoft Entra GSA Internet Access konfiguriert.
• Stellen Sie bei SASE-Drittanbietern sicher, dass Sie die in der Dokumentation Ihres Anbieters beschriebenen Integrationsschritte ausgeführt haben.
• In diesem Verfahren werden hypothetische Verteilergruppen verwendet, eine mit dem Namen Finance Team und eine andere Gruppe für das Sicherheitsteam. Sie müssen diese Gruppen in Ihrer Umgebung erstellen oder eigene Gruppen ersetzen.

Richtlinienabsichtsanweisung und Zuordnung

Wir möchten die verantwortungsvolle KI-Nutzung innerhalb unserer organization übernehmen und gleichzeitig sensible Kunden- und Organisationsdaten vor absichtlicher oder versehentlicher Offenlegung schützen. Da die Finanzabteilung regelmäßig mit hochsensiblen Informationen umgeht, müssen wir eine Richtlinie erstellen, die Finanzbenutzer daran hindert, vertrauliche Inhalte mit jeder nicht genehmigten generativen KI-Anwendung freizugeben. Da viele unserer Benutzer über die Flexibilität verfügen, in welchem Browser sie sich entscheiden, sowie die Möglichkeit haben, lokal installierte KI-Apps und Office-Add-Ins zu verwenden, müssen wir eine breite Endpunktabdeckung durch Den Schutz von Netzwerkdaten gewährleisten. Angesichts der Vertraulichkeit des Zugriffs der Finanzabteilung auf Daten müssen wir verhindern, dass Finanzdaten, personenbezogene Informationen (Personally Identifiable Information, PII) oder vertrauliche Dokumente über Textaufforderungen oder hochgeladene Dateien freigegeben werden. Um ein effizientes und schnelles Incidentmanagement zu gewährleisten, müssen wir Warnungen generieren und sicherstellen, dass unser Sicherheitsteam bei jeder Sperrung per E-Mail benachrichtigt wird. Schließlich soll diese Richtlinie sofort wirksam werden, um so bald wie möglich mit dem Schutz von Unternehmensdaten zu beginnen.

SASE-Anbieteringtegration

1. Melden Sie sich beim Microsoft Purview-Portal an.
2. Einstellungen öffnen (in der oberen rechten Ecke) >Integrationenzur Verhinderung von> Datenverlust
3. Wählen Sie Erste Schritte für Microsoft Global Secure Access (Vorschau) aus.
4. Führen Sie die schritte aus, die im Integrations-Assistenten bereitgestellt werden.

Schritte zum Erstellen einer Richtlinie

1. Melden Sie sich beim Microsoft Purview-Portal an.
2. Wählen SieRichtlinien>zur Verhinderung von> Datenverlust + Richtlinie erstellen aus.
3. Wählen Sie Inlinewebdatenverkehr aus.
4. Wählen Sie in der Liste Kategorien die Option Benutzerdefiniert und dann in der Liste Vorschriften die Option Benutzerdefinierte Richtlinie aus.
5. Wählen Sie Weiter aus.
6. Geben Sie einen Richtliniennamen ein, und geben Sie eine optionale Beschreibung an. Sie können hier die Richtlinienabsichtsanweisung verwenden.
7. Wählen Sie Weiter aus.
8. Wählen Sie + Cloud-Apps hinzufügen aus.
9. Wählen Sie die Registerkarte Adaptive App-Bereiche , dann Alle nicht verwalteten KI-Apps und dann Hinzufügen (1) aus.
10. Wählen Sie bereich bearbeiten für Alle nicht verwalteten KI-Apps aus.
11. Wählen Sie im Bereich Hinzufügen oder Bearbeiten des Bereichs für Alle nicht verwalteten KI-Apps die Option Nur spezifisch einschließen aus.
12. Wählen Sie + Einschlüsse hinzufügen aus.
13. Wählen Sie Bestimmte Benutzer und Gruppen aus.
14. Suchen Sie nach der Gruppe Finanzabteilung , wählen Sie sie aus, und wählen Sie dann Hinzufügen aus.
15. Wählen Sie Speichern und schließen aus.
16. Wählen Sie Weiter aus.
17. Stellen Sie auf der Seite Auswählen, wo die Richtlinie erzwungen werden soll sicher , dass Netzwerkauf Ein festgelegt ist, und wählen Sie dann Weiter aus.

1. Stellen Sie auf der Seite Richtlinieneinstellungen definieren sicher, dass Erweiterte DLP-Regeln erstellen oder anpassen ausgewählt ist, und wählen Sie Weiter aus.
2. Wählen Sie auf der Seite Erweiterte DLP-Regeln anpassendie Option + Regel erstellen aus.
3. Geben Sie der Regel einen eindeutigen Namen und optional eine Beschreibung.
4. Unter Bedingungen
   1. Wählen Sie + Bedingung hinzufügen und dann Inhalt enthält aus.
   2. Wählen Sie Hinzufügen und dann Typen vertraulicher Informationen aus.
   3. Wählen Sie ABA-Routingnummer, US-Bankkontonummer, Kreditkartennummer, US-Sozialversicherungsnummer (SSN) und Dann Hinzufügen aus.
   4. Wählen Sie Hinzufügen und dann Vertraulichkeitsbezeichnungen aus.
   5. Wählen Sie Vertraulich und dann Hinzufügen aus.
   6. Stellen Sie sicher, dass der Group-Operator für die Gruppe Inhalt enthält auf Jeder dieser Elemente festgelegt ist.
5. Unter Aktionen
   1. Wählen Sie + Aktion hinzufügen und dann Browser- und Netzwerkaktivitäten einschränken aus.
   2. Wählen Sie Text, der an Cloud- oder KI-Apps gesendet oder für ki-Apps freigegeben wurde, und **In Cloud- oder KI-Apps hochgeladene datei oder mit ihnen freigegebene Datei aus.
   3. Wählen Sie für beides Blockieren aus.

1. Unter Incidentberichte
   1. Legen Sie den Schweregrad in Administratorwarnungen und -berichten auf Hoch fest.
   2. Stellen Sie sicher, dass Warnung an Administratoren senden, wenn eine Regeleinstimmung auftritt , auf Ein lautet.
   3. Wählen Sie + Benutzer hinzufügen oder entfernen und dann die Verteilergruppe SecurityOps aus.
   4. Stellen Sie sicher , dass jedes Mal, wenn eine Aktivität mit der Regel übereinstimmt, Warnung senden ausgewählt ist.
2. Klicken Sie auf Speichern.
3. Überprüfen Sie die Regelkonfiguration, stellen Sie sicher, dass sie status auf Ein festgelegt ist, und wählen Sie Weiter aus.
4. Wählen Sie auf der Seite Richtlinienmodusdie Option Richtlinie sofort aktivieren und dann Weiter aus.
5. Überprüfen Sie die Richtlinieninformationen, und wählen Sie dann Senden aus, um die Richtlinie zu erstellen.