注意
此方案中使用的功能为预览版。
本文使用在设计数据丢失防护策略中学到的过程,演示如何创建Microsoft Purview 数据丢失防护 (DLP) 策略,通过集成 SASE 解决方案(例如Microsoft Entra GSA Internet Access)通过网络数据安全性帮助防止与非托管 AI 应用共享敏感信息。 在测试环境中完成此方案,以熟悉策略创建 UI。
重要
本文介绍一个具有假设值的假设方案。 它仅用于说明目的。 替换你自己的敏感信息类型、敏感度标签、通讯组和用户。
部署策略的方式与策略设计一样重要。 本文 介绍如何使用部署选项,以便策略实现你的意图,同时避免代价高昂的业务中断。
先决条件和假设条件
- 对于 Microsoft Entra GSA Internet Access 应用,设备必须是已加入 Entra ID。
- 对于 Microsoft Entra GSA Internet Access 应用,你已在 Microsoft Entra GSA Internet Access 中配置了用于网络内容筛选的文件策略。
- 对于第三方 SASE 提供程序,请确保已完成提供商文档中概述的集成步骤。
- 此过程使用假设的通讯组,其中一个名为 Finance Team,另一个组用于 安全团队。 必须在环境中创建这些组,或者替换自己的组。
策略意向语句和映射
我们希望在组织内采用负责任的 AI 使用,同时保护客户和组织敏感数据免受有意或意外泄露。 由于财务部门会定期处理高度敏感信息,因此我们需要创建一个策略,阻止 Finance 用户与任何未经批准的生成 AI 应用程序共享敏感内容。 由于我们的许多用户能够灵活地选择使用哪个浏览器,以及能够使用本地安装的 AI 应用和 Office 加载项,因此我们需要通过网络数据安全保护确保广泛的终结点覆盖范围。 鉴于财务部门访问数据的敏感性,我们需要防止通过文本提示或上传文件共享财务数据、个人身份信息 (PII) 或机密文档。 然后,为了确保高效快速地管理事件,我们必须生成警报,并确保每当发生阻止时,我们的安全团队都会收到电子邮件通知。 最后,我们希望此策略立即生效,尽快开始保护公司数据。
| 语句 | 配置问题解答和配置映射 |
|---|---|
| 由于财务部门会定期处理高度敏感信息,因此我们需要创建一个策略,阻止 Finance 用户与任何未经批准的生成 AI 应用程序共享敏感内容。 | 选择要应用策略的云应用: - 选择 + 添加云应用 - 选择 自适应应用范围 选项卡 - 选择 所有非托管 AI 应用 ,然后选择 添加 - 选择 编辑范围 - 选择 仅包含特定 - 选择 财务部门 组 |
| 由于我们的许多用户能够灵活地选择使用哪个浏览器,以及能够使用本地安装的 AI 应用和 Office 加载项,因此我们需要通过网络数据安全保护确保广泛的终结点覆盖范围。 | 选择强制实施策略的位置: - 启用 网络 |
| 鉴于财务部门访问数据的敏感性,我们需要防止财务数据、个人身份信息 (PII) 或机密文档... | 自定义高级 DLP 规则: - 选择 + 创建规则 - 选择 + 添加条件,然后选择内容包含 - 选择添加和选择敏感信息类型 - 选择 ABA 路由号码、美国银行帐号、信用卡号、美国社会安全号码 (SSN) ,然后选择“添加 ”并选择“敏感度标签 ” - 选择“机密”然后选择“添加 ” - 确保将“组”运算符设置为“其中的任何一个” |
| ...从通过文本提示或上传的文件共享。 | 作: - 选择“ + 添加作”,然后选择“限制浏览器和网络活动 ” - 选择“发送到云或 AI 应用或与云或 AI 应用共享的文本”,然后选择“已上传到云或 AI 应用或与 AI 应用 共享的文件” - 为这两者选择“阻止” |
| 然后,为了确保高效快速地管理事件,我们必须生成警报,并确保每当发生阻止时,我们的安全团队都会收到电子邮件通知。 | 事件报告: - 将严重性级别设置为“ 高 确保 在规则匹配发生时向管理员发送警报 ”为“ 开 ” - 选择 “ + 添加或删除用户 ” ,然后选择“ SecurityOps”通讯组 - 确保 每次选择与规则匹配的活动时发送警报 ,然后 保存 规则 |
| 最后,我们希望此策略立即生效,尽快开始保护公司数据。 | 策略模式: - 选择 立即打开策略 |
SASE 提供程序 ingtegration
重要
必须将 SASE 提供程序与 Purview 集成,才能开始发现和保护通过网络共享的内容。
- 登录到 Microsoft Purview 门户。
- 打开右上角的设置 () >数据丢失防护>集成
- 为 Microsoft全局安全访问 (预览版) 选择“入门”。
- 完成集成向导中提供的步骤。
创建策略的步骤
- 登录到 Microsoft Purview 门户。
- 选择 “数据丢失防护>策略>+ 创建策略”。
- 选择“ 内联 Web 流量”。
- 从“类别”列表中选择“自定义”,然后从“法规”列表中选择“自定义策略”。
- 选择“下一步”。
- 输入策略名称并提供可选说明。 可在此处使用策略意向语句。
- 选择“下一步”。
- 选择“ + 添加云应用”。
- 选择 “自适应应用范围 ”选项卡,然后选择“ 所有非托管 AI 应用 ”,然后选择“ 添加 (1) ”。
- 在“所有非托管 AI 应用”上选择“编辑范围”。
- 在“添加或编辑所有非托管 AI 应用的范围”上选择“仅包含特定”选项。
- 选择“ + 添加包含项”。
- 选择“ 特定用户和组”。
- 搜索并选择“ 财务部门 ”组,然后选择“ 添加”。
- 选择“ 保存并关闭”。
- 选择“下一步”。
- 在 “选择强制实施策略的位置 ”页上,确保 “网络 ”为 “打开”,然后选择“ 下一步”。
注意
只能在设置即用即付计费时选择网络。 详细了解即用即付计费。
- 在 “定义策略设置” 页上,确保选择 “创建或自定义高级 DLP 规则 ”,然后选择“ 下一步”。
- 在 “自定义高级 DLP 规则 ”页上,选择“ + 创建规则”。
- 为规则指定唯一 名称和 可选说明。
- 在 “条件”下
- 选择“ + 添加条件 ”,然后选择“ 内容包含”。
- 选择 “添加 ”,然后选择 “敏感信息类型”。
- 选择“ABA 路由号码”、“美国银行帐号”、“信用卡号”、“美国社会安全号码 (SSN) ”,然后选择“添加”。
- 选择“添加”,然后选择“敏感度标签”
- 选择 “机密 ”,然后选择“ 添加”。
- 确保将“内容包含”组的组运算符设置为“其中的任何一个”。
- 在“作”下
- 选择“ + 添加作 ”,然后选择 “限制浏览器和网络活动”。
- 选择“ 发送到云或 AI 应用或与云或 AI 应用共享的文本 ”和“上传到云或 AI 应用或与云应用共享的文件”。
- 为这两者选择 “阻止 ”。
重要
Microsoft Entra GSA Internet Access 仅支持文件活动
- 在“事件报告”下
- 将管理员警报和报表中的严重性级别设置为“高”
- 确保规则匹配发生时向管理员发送警报为“打开”
- 选择“ + 添加或删除用户 ”,然后选择 “SecurityOps”通讯组
- 确保每次选择与规则匹配的活动时发送警报
- 选择“保存”。
- 查看规则配置,确保其状态为 “打开”,然后选择“ 下一步”。
- 在 “策略模式 ”页上,选择“ 立即打开策略 ”,然后选择“ 下一步”。
- 查看策略信息,然后选择“ 提交 ”以创建策略。