Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Microsoft Purview-Netzwerkdatensicherheit ermöglicht Es Organisationen, HTTP- und HTTPS-Datenverkehr durch Integrationen mit einer oder mehreren integrierten SASE-Lösungen (Secure Access Service Edge) zu überwachen, zu klassifizieren und Schutz auf HTTP- und HTTPS-Datenverkehr anzuwenden:
- In der Vorschau wird die Filterung von Netzwerkdateien mit globalem sicherem Zugriff (nur Dateien) verwendet. Weitere Informationen zum Filtern von Netzwerkdateien finden Sie unter Erstellen einer Dateirichtlinie zum Filtern von Netzwerkdateiinhalten (Vorschau).
- Im Allgemeinen verfügbar, Integration in Sase-Netzwerksicherheitslösungen von Drittanbietern (Text und Dateien).
Dieses Feature verwendet Microsoft Purview Data Loss Prevention (DLP)-Funktionen für den Schutz, die Klassifizierer, die Sie bereits in anderen Microsoft Purview-Richtlinien verwenden, und Sammlungsrichtlinien, um Ihnen Einblicke in vertrauliche Daten zu geben und Schutzmaßnahmen auf vertrauliche Daten anzuwenden, die für generative KI und andere nicht verwaltete Cloud-Apps freigegeben werden. Abhängig von den Anforderungen Ihrer organization können Sie entweder den Richtlinientyp oder beides verwenden. Sie können Sammlungsrichtlinien für die Ermittlung von Daten und DLP-Richtlinien zur Verhinderung der Datenexfiltration verwenden.
Mit der Netzwerkdatensicherheit können Sie vertrauliche Inhalte identifizieren, blockieren und warnungen, die über diese Interaktionen freigegeben werden:
- Interaktionen mit generativer KI über Browser, Apps und Add-Ins wie Chat GPT, Gemini und Claude.
- Dateien, die auf nicht genehmigte Cloudspeicheranbieter hochgeladen werden, einschließlich Dropbox, Box und Google Drive.
- E-Mails und Dateianlagen, die für Cloud-E-Mail-Anbieter wie Gmail freigegeben werden.
- Formularübermittlungen über Online-Formulardienste, einschließlich Google Forms.
- Social-Media-Beiträge zu gängigen Diensten wie Facebook und X.
Bevor Sie beginnen
Wenn Sie noch nicht mit Microsoft Purview-Sammlungsrichtlinien, Microsoft Purview-Abrechnungsmodellen mit nutzungsbasierter Bezahlung oder Microsoft Purview DLP vertraut sind, sollten Sie sich mit den Informationen in diesen Artikeln vertraut machen:
- Übersicht über die Lösung für Sammlungsrichtlinien
- Informationen zur Verhinderung von Datenverlust
- Informationen zu Microsoft Purview-Abrechnungsmodellen
- Erste Schritte mit dem Aktivitäten-Explorer
Lizenzierung
Informationen zur Lizenzierung finden Sie unter
Für die Sicherheit von Netzwerkdaten ist das Microsoft Purview-Abrechnungsmodell mit nutzungsbasierter Bezahlung erforderlich. Wenn Ihr organization keine nutzungsbasierte Bezahlung für Ihren Microsoft 365-Mandanten eingerichtet hat, müssen Sie diese konfigurieren, bevor Sie Features zur Netzwerkdatensicherheit verwenden. Mit dem Modell mit nutzungsbasierter Bezahlung können Sie nur für die von Ihnen verwendeten Microsoft Purview-Features bezahlen. Es ist flexibel und kostengünstig konzipiert, sodass Sie die Nutzung nach Bedarf hoch- oder herunterskalieren können.
Wichtig
Um Sammlungsrichtlinien verwenden zu können, müssen Sie zusätzlich zum Abonnement mit nutzungsbasierter Bezahlung über E5-Lizenzen pro Arbeitsplatz verfügen. Um DLP-Richtlinien nur mit Netzwerkdatensicherheit zu verwenden, ist das Abonnement mit nutzungsbasierter Bezahlung alles, was Sie benötigen. Wenn Sie eine andere DLP-Funktionalität verwenden, benötigen Sie eine Arbeitsplatzlizenzierung.
Informationen zum Einrichten des Abrechnungsmodells mit nutzungsbasierter Bezahlung finden Sie unter Aktivieren von Microsoft Purview-Features für nutzungsbasierte Bezahlung für neue Kunden.
Hinweis
Die Global Secure Accesss-Integration ist derzeit von der nutzungsbasierten Abrechnung für den Transitschutz in der Vorschauphase ausgeschlossen. Sie müssen jedoch weiterhin die nutzungsbasierte Abrechnung konfigurieren, bevor Sie Microsoft Purview-Sammlungs- oder DLP-Richtlinien einrichten. Andere Gebühren mit nutzungsbasierter Bezahlung können basierend auf den verwendeten Funktionen weiterhin anfallen.
Funktionsweise der Netzwerkdatensicherheit
Aus einer umfassenden Perspektive besteht die Microsoft Purview-Lösung für die Netzwerkdatensicherheit aus zwei Komponenten:
Netzwerksicherheitslösung
Die Netzwerkdatensicherheitslösung integriert Ihre SASE-Lösungen (Secure Access Service Edge) direkt in Microsoft Purview. Die Netzwerksicherheitslösungen überwachen den Netzwerkdatenverkehr und senden die Daten zur Klassifizierung und Richtlinienauswertung an Microsoft Purview. Wenn Sie Schutzmaßnahmen mithilfe von DLP-Richtlinien anwenden, erfolgt die Kommunikation zwischen Ihrer SASE-Lösung und Microsoft Purview in Echtzeit. Wenn Sie die Netzwerkdatensicherheit nur für die Überwachung über Sammlungsrichtlinien verwenden, erfolgt die Kommunikation asynchron.
Weitere Informationen dazu, welche SASE-Lösungen unterstützt werden, finden Sie auf der Seite Microsoft Purview Data Loss Prevention Integrationen.
Wichtig
Wenn Sie sich für die Integration mit Nicht-Microsoft-Partnern entscheiden, können diese auf einige Richtlinienkonfigurationen zugreifen und diese möglicherweise speichern, einschließlich Benutzer-IDs. Deren Geschäftsbedingungen und Datenschutzrichtlinien regeln die Verwendung und Speicherung dieser Daten.
Microsoft Purview
Sie konfigurieren die Integration zwischen Microsoft Purview und der Netzwerksicherheitslösung auf der Registerkarte DLP-Einstellungen Integrationen. Durch diese Integration wird der bidirektionale Kommunikationskanal zwischen der Netzwerksicherheitslösung und Microsoft Purview eingerichtet.
Konfigurieren Sie als Nächstes eine Sammlungsrichtlinie oder eine Richtlinie zur Verhinderung von Datenverlust , die die Bedingungen, Aktivitäten und Cloud-Apps definiert, die die Netzwerksicherheitslösung erfassen und an Microsoft Purview senden soll.
- Weitere Informationen zum Erstellen einer Sammlungsrichtlinie für die Sicherheit von Netzwerkdaten finden Sie unter Szenario 1: Erkennen vertraulicher Daten, die für nicht verwaltete Cloud-Apps über das Netzwerk freigegeben werden.
- Weitere Informationen zum Erstellen einer Richtlinie zur Verhinderung von Datenverlust für die Sicherheit von Netzwerkdaten finden Sie unter Verwenden der Netzwerkdatensicherheit, um die Freigabe vertraulicher Informationen mit nicht verwalteter KI zu verhindern.
Microsoft Purview sendet die entsprechenden DLP- und Sammlungsrichtlinienkonfigurationswerte an Ihre SASE-Lösung, und die SASE-Lösung sendet alle übereinstimmenden Netzwerkdaten zur Klassifizierung und Richtlinienauswertung an Microsoft Purview. Wenn Sie die Inhaltserfassung in der Sammlungsrichtlinie konfigurieren, wird die vollständige Konversation, die zwischen dem Benutzer und der KI-App stattfindet, erfasst und ebenfalls an Microsoft Purview gesendet.
Nachdem die Daten klassifiziert wurden, sind sie im Aktivitäts-Explorer und im Aktivitäts-Explorer in DSSM für KI verfügbar. Wenn eine Richtlinie zur Verhinderung von Datenverlust übereinstimmt und Sie Warnungen konfiguriert haben, sind diese in DLP-Warnungen verfügbar.
Nachdem Sie die Integration zwischen Microsoft Purview und Ihrer Netzwerksicherheitslösung konfiguriert haben, warten Sie bis zu 24 Stunden, bis Ihre Richtlinien an die Netzwerksicherheitslösung verteilt werden und die ersten Daten angezeigt werden. Sobald die beiden Dienste vollständig miteinander kommunizieren, kann es bis zu 30 Minuten dauern, bis Daten zu einer Anforderung von einem Client an eine Website oder Cloud-App im Überwachungsprotokoll und im Aktivitäts-Explorer angezeigt werden.
Unterstützte Konfiguration der Netzwerkdatensicherheits-Sammlungsrichtlinie
Die Microsoft Purview-Seite der Konfiguration erfolgt über eine Sammlungsrichtlinie. Die folgenden Konfigurationsoptionen werden unterstützt:
Bedingungen : Die Bedingungen, die Sie in einer Sammlungsrichtlinie für Netzwerkdaten verwenden können, entsprechen den Bedingungen, die Sie in anderen Microsoft Purview-Richtlinien verwenden können. Beispielsweise können Sie die Bedingung Inhalt enthält>Typen vertraulicher Informationen verwenden, um vertrauliche Elemente zu klassifizieren, die für generative KI und andere nicht verwaltete Cloud-Apps freigegeben werden.
Aktivitäten : Netzwerkdatensicherheit unterstützt vier Aktivitäten:
- Text, der an die Cloud- oder KI-App gesendet oder für diese freigegeben wird.
- Datei, die in die Cloud- oder KI-App hochgeladen oder für diese freigegeben wurde.
- Von der Cloud- oder KI-App empfangener Text.
- Aus der Cloud- oder KI-App heruntergeladene Datei.
Hinweis
Die unterstützten Aktivitäten können je nach integrierter SASE-Lösung variieren. Wenden Sie sich an Ihren SASE-Lösungsanbieter, um Details zu unterstützten Aktivitäten zu erhalten.
-
Datenquellen : Dies sind die Speicherorte, mit denen das Endpunktgerät kommuniziert.
- Nicht verwaltete Cloud-Apps: Richtlinien zur Sammlung von Netzwerkdaten unterstützen alle Quellen, die sich im Microsoft Defender for Cloud Apps Cloud-App-Katalog befinden, der über 35.000 auffindbare Cloud-Apps enthält.
- Adaptive App-Bereiche : Alle Apps in mehreren Kategorien, einschließlich generativer KI, Cloudspeicher, Zusammenarbeit, soziale Netzwerke und Webmail.
Unterstützte Konfiguration der Richtlinie zur Verhinderung von Datenverlust im Netzwerkdatensicherheit
Die Microsoft Purview-Seite der Konfiguration erfolgt über eine Richtlinie zur Verhinderung von Datenverlust. Die folgenden Konfigurationsoptionen werden unterstützt:
Datenquellen : Dies sind die Speicherorte, mit denen das Endpunktgerät kommuniziert.
- Nicht verwaltete Cloud-Apps: Richtlinien zur Sammlung von Netzwerkdaten unterstützen alle Quellen, die sich im Microsoft Defender for Cloud Apps Cloud-App-Katalog befinden, der über 35.000 auffindbare Cloud-Apps enthält.
- Adaptive App-Bereiche : Alle Apps in mehreren Kategorien, einschließlich generativer KI, Cloudspeicher, Zusammenarbeit, soziale Netzwerke und Webmail.
Bedingungen : Die Bedingungen, die Sie in einer Sammlungsrichtlinie für Netzwerkdaten verwenden können, entsprechen den Bedingungen, die Sie in anderen Microsoft Purview-Richtlinien verwenden können. Beispielsweise können Sie die Bedingung Inhalt enthält>Typen vertraulicher Informationen verwenden, um vertrauliche Elemente zu klassifizieren, die für generative KI und andere nicht verwaltete Cloud-Apps freigegeben werden.
Aktionen : Die Netzwerkdatensicherheit unterstützt die Aktionen "Nur überwachen" und "Blockieren" für die folgenden Aktivitäten:
- Text, der an die Cloud- oder KI-App gesendet oder für diese freigegeben wird.
- Datei, die in die Cloud- oder KI-App hochgeladen oder für diese freigegeben wurde.
- Von der Cloud- oder KI-App empfangener Text.
- Aus der Cloud- oder KI-App heruntergeladene Datei.
Hinweis
Die unterstützten Aktivitäten und Aktionen können je nach integrierter SASE-Lösung variieren. Wenden Sie sich an Ihren SASE-Lösungsanbieter, um Details zu unterstützten Aktivitäten zu erhalten.
Standardrichtlinie von Microsoft Purview Datensicherheitstatus-Management für KI
Microsoft Purview Datensicherheitstatus-Management für KI (DSSM für KI) bietet Empfehlungen zur Überwachung der Kommunikation mit generativen KI-Apps. Wählen Sie die Empfehlung Erweitern von Erkenntnissen in sensiblen Daten in KI-App-Interaktionen aus, um eine 1-Klick-Richtlinie mit dem Namen DSSM für KI – Erkennen vertraulicher Informationen, die für KI über ein Netzwerk freigegeben werden, zu erstellen. Nachdem sie erstellt wurde, können Sie diese Standardrichtlinie für die Sicherheit von Netzwerkdaten wie jede Sammlungsrichtlinie bearbeiten.
Unterstützte Netzwerkprotokolle
In der Vorschauversion unterstützt die Netzwerkdatensicherheit die Klassifizierung von Datenverkehr, der von einem Endpunktgerät über HTTP- und HTTPS-Protokolle an Websites, Cloud-Apps und generative AIs gesendet wird.
Zugreifen auf Netzwerkdatensicherheitsdaten
Daten aus der Netzwerkdatensicherheit werden im Aktivitäts-Explorer, Datensicherheitstatus-Management für KI Aktivitäts-Explorer-Ereignissen und wenn Warnungen aktiviert sind, DLP-Warnungen angezeigt.
Aktivitäten-Explorer
Im Aktivitäts-Explorer können Sie nach der Erzwingungsebene filtern, die auf Netzwerk festgelegt ist. Dieser Filter zeigt Ihnen Klassifizierungsereignisse an, die Richtlinien für die Sammlung von Netzwerkdaten generieren.
Abrechnungsmodell
Die Netzwerkdatensicherheit verwendet die Anforderung als Maßeinheit für die Abrechnung mit nutzungsbasierter Bezahlung. Eine Anforderung ist jeder Netzwerkaufruf, der von einem Gerät oder Browser an eine Website oder API gesendet wird. Diese Definition enthält nicht die Antworten auf die Anforderungen. Weitere Informationen zur abrechnungsbasierten Bezahlung für die Sicherheit von Netzwerkdaten finden Sie unter Andere Microsoft Purview-Lösungen, die nutzungsbasierte Preise und Anforderungen verwenden.
Hier sind einige Beispiele:
| Aktivität | Datentyp | Beispiel |
|---|---|---|
| Text, der an eine Cloud- oder KI-App gesendet oder für diese freigegeben wurde | Lesbare Zeichenfolgen, die inline übertragen werden | - Senden eines Formulars mit Textinformationen – Senden von unformatiertem Text oder einer Aufforderung an eine generative KI – den Text einer E-Mail – Senden von JSON-Daten an eine API |
| Datei, die in die Cloud- oder KI-App hochgeladen oder für sie freigegeben wurde | Bytestreams, einschließlich textbasierter Dateien, Binärdateien, TXT-Dateien, Quellcode, Dokumente, Bilder, Videos, .exe, .pdf, Archivdateien | - Hochladen eines Profilbilds in soziale Medien – Senden eines Dokuments oder einer .pdf Datei als E-Mail-Anlage – Freigeben eines Dokuments mit generativer KI – Übertragen eines Dokuments oder .zip Dateien in eine Cloudspeicherlösung |
Nächste Schritte
- Szenario 1: Erkennen vertraulicher Daten, die für nicht verwaltete Cloud-Apps über ein Netzwerk freigegeben werden (Vorschau)
- Verwenden von Netzwerkdatensicherheit, um die Freigabe vertraulicher Informationen mit nicht verwalteter KI zu verhindern
- Wenn Sie Entra Global Secure Access für die Filterung von Netzwerkdateien verwenden, erstellen Sie eine Dateirichtlinie zum Filtern von Netzwerkdateiinhalten (Vorschau)