了解 purview 网络数据安全性Microsoft

Microsoft Purview 网络数据安全性使组织能够通过与一个或多个集成的安全访问服务边缘 (SASE) 解决方案集成来监视、分类和应用对 HTTP 和 HTTPS 流量的保护：

• 在预览版中，使用全局安全访问 (网络文件筛选仅) 。 有关网络文件筛选的详细信息，请参阅 创建文件策略以筛选网络文件内容 (预览) 。
• 通常，与第三方 SASE 网络安全解决方案集成 (文本和文件) 。

此功能使用Microsoft Purview 数据丢失防护 (DLP) 保护功能、已在其他 Microsoft Purview 策略中使用的分类器以及收集策略，让你深入了解并与生成 AI 和其他非托管云应用共享的敏感数据并对其应用保护。 可以根据组织的需求，使用两种策略类型或两者。 可以使用收集策略发现数据，使用 DLP 策略防止数据外泄。

借助网络数据安全性，可以识别、阻止通过以下交互共享的敏感内容并发出警报：

• 通过浏览器、应用和加载项（如聊天 GPT、Gemini 和 Claude）与生成 AI 交互。
• 上传到未批准的云存储提供商（包括 Dropbox、Box 和 Google Drive）的文件。
• 与云电子邮件提供商（如 Gmail）共享的电子邮件和文件附件。
• 通过在线表单服务（包括 Google Forms）提交表单。
• Facebook和 X 等常见服务的社交媒体帖子。

开始之前

如果你不熟悉Microsoft Purview 收集策略、Microsoft Purview 即用即付计费模型或 Microsoft Purview DLP，则应熟悉以下文章中的信息：

• 集合策略解决方案概述
• 了解数据丢失防护
• 了解 purview 计费模型Microsoft
• 活动资源管理器入门

授权

有关许可的信息，请参阅

• Microsoft 365 企业版计划
• Microsoft 365 服务说明

网络数据安全性需要Microsoft Purview 即用即付计费模型。 如果组织尚未为 Microsoft 365 租户设置即用即付，则必须在使用任何网络数据安全功能之前对其进行配置。 使用即用即付模型，只需为使用的 Microsoft Purview 功能付费。 它设计为灵活且经济高效，可根据需要纵向扩展或减少使用量。

有关设置即用即付计费模型的信息，请参阅 为新客户启用 Microsoft Purview 即用即付功能。

网络数据安全的工作原理

从广义上讲，Microsoft Purview 网络数据安全解决方案结合了两个组件：

网络安全解决方案

网络数据安全解决方案将安全访问服务边缘 (SASE) 解决方案直接集成到 Microsoft Purview 中。 网络安全解决方案监视网络流量，并将数据发送到 Microsoft Purview 进行分类和策略评估。 通过使用 DLP 策略应用保护时，SASE 解决方案与 Microsoft Purview 之间的通信是实时的。 如果使用网络数据安全性仅通过收集策略进行监视，则通信是异步的。

有关支持哪些 SASE 解决方案的详细信息，请参阅Microsoft Purview 数据丢失防护集成页。

Microsoft Purview

在“DLP 设置集成”选项卡中配置 Microsoft Purview 与网络安全解决方案之间的集成。此集成在网络安全解决方案与 Microsoft Purview 之间建立双向信道。

接下来，配置 收集策略 或 数据丢失防护策略 ，该策略定义你希望网络安全解决方案收集并发送到 Microsoft Purview 的条件、活动和云应用。

• 有关如何创建网络数据安全的收集策略的详细信息，请参阅 方案 1 检测通过网络与非托管云应用共享的敏感数据。
• 有关如何为网络数据安全创建数据丢失防护策略的详细信息，请参阅 使用网络数据安全性帮助防止使用非托管 AI 共享敏感信息

Microsoft Purview 会将相应的 DLP 和集合策略配置值发送到 SASE 解决方案，SASE 解决方案会将任何匹配的网络数据发送到 Microsoft Purview 进行分类和策略评估。 如果在收集策略中配置 内容捕获 ，则会捕获用户与 AI 应用之间发生的完整对话，并将其发送到 Microsoft Purview。

对数据进行分类后，可以在活动资源管理器和 DSPM for AI 中的活动资源管理器中使用这些数据。 如果与数据丢失防护策略匹配，并且你已配置警报，则 DLP 警报中将提供这些警报。

配置 Microsoft Purview 与网络安全解决方案之间的集成后，最多允许 24 小时将策略分发到网络安全解决方案，并显示第一个数据。 两个服务完全相互通信后，最多可能需要 30 分钟的时间，有关从客户端到网站或云应用的请求的数据才会显示在审核日志和活动资源管理器中。

支持的网络数据安全收集策略配置

配置Microsoft Purview 端是通过收集策略完成的。 下面是支持的配置选项：

• 条件 - 可以在网络数据安全收集策略中使用的条件与其他Microsoft Purview 策略中使用的条件相同。 例如，可以使用 “内容包含>敏感信息类型 ”条件对与生成 AI 和其他非托管云应用共享的敏感项目进行分类。

• 活动 - 网络数据安全支持四项活动：

  • 发送到云或 AI 应用或与云或 AI 应用共享的文本。
  • 上传到云或 AI 应用或与云或 AI 应用共享的文件。
  • 从云或 AI 应用接收的文本。
  • 从云或 AI 应用下载的文件。

• 数据源 - 这些是终结点设备与之通信的位置。
  • 非托管云应用 - 网络数据安全收集策略支持Microsoft Defender for Cloud Apps云应用目录中的所有源，其中包括超过 35,000 个可发现的云应用。
  • 自适应应用范围 - 多个类别的所有应用，包括生成 AI、云存储、协作、社交网络和 Web 邮件。

支持的网络数据安全数据丢失防护策略配置

配置Microsoft Purview 端是通过数据丢失防护策略完成的。 下面是支持的配置选项：

• 数据源 - 这些是终结点设备与之通信的位置。

  • 非托管云应用 - 网络数据安全收集策略支持Microsoft Defender for Cloud Apps云应用目录中的所有源，其中包括超过 35,000 个可发现的云应用。
  • 自适应应用范围 - 多个类别的所有应用，包括生成 AI、云存储、协作、社交网络和 Web 邮件。

• 条件 - 可以在网络数据安全收集策略中使用的条件与其他Microsoft Purview 策略中使用的条件相同。 例如，可以使用 “内容包含>敏感信息类型 ”条件对与生成 AI 和其他非托管云应用共享的敏感项目进行分类。

• 作 - 网络数据安全支持 对以下活动仅审核 和 阻止 作：

  • 发送到云或 AI 应用或与云或 AI 应用共享的文本。
  • 上传到云或 AI 应用或与云或 AI 应用共享的文件。
  • 从云或 AI 应用接收的文本。
  • 从云或 AI 应用下载的文件。

Microsoft Purview 适用于 AI 的数据安全状况管理的默认策略

Microsoft Purview 适用于 AI 的数据安全状况管理 (DSPM ai) 提供了帮助监视与生成 AI 应用的通信的建议。 选择建议“扩展 AI 应用交互中的敏感数据见解”，以创建名为 DSPM for AI 的一键式策略- 检测通过网络与 AI 共享的敏感信息。 创建后，可以像编辑任何收集策略一样编辑此默认网络数据安全策略。

支持的网络协议

在预览版中，网络数据安全性支持对从终结点设备通过 HTTP 和 HTTPS 协议发送到网站、云应用和生成 API 的流量进行分类。

访问网络数据安全数据

来自网络数据安全性的数据显示在活动资源管理器中，适用于 AI 的数据安全状况管理活动资源管理器事件中显示，如果启用了警报，则显示在 DLP 警报中。

活动资源管理器

在活动资源管理器中，可以根据设置为“网络”的强制平面进行筛选。 此筛选器显示网络数据安全收集策略生成的分类事件。

计费模型

网络数据安全性将 请求 用作即用即付计费的度量单位。 请求是从设备或浏览器对网站或 API 发出的每次网络调用。 此定义不包括对请求的响应。 有关网络数据安全性的即用即付计费的详细信息，请参阅使用即用 即付定价的其他Microsoft Purview 解决方案 和 请求。

下面是一些示例：

后续步骤

• 方案 1 检测通过网络 (预览版) 与非托管云应用共享的敏感数据
• 使用网络数据安全性来帮助防止使用非托管 AI 共享敏感信息
• 如果使用 Entra 全局安全访问进行网络文件筛选， 请创建文件策略以筛选网络文件内容 (预览)