Informationen zur Beweissammlung für Dateiaktivitäten auf Geräten

Wenn Sie einen Microsoft Purview DLP-Vorfall (Data Loss Prevention) untersuchen oder eine DLP-Richtlinie behandeln, kann es hilfreich sein, eine vollständige Kopie des Elements zu haben, das mit der Richtlinie übereinstimmt, auf die verwiesen werden soll. DLP kann das Element, das einer DLP-Richtlinie entspricht, von integrierten Windows-Geräten in ein Azure-Speicherkonto kopieren. DLP-Incidentermittler und Administratoren, denen die entsprechenden Berechtigungen für das Azure Storage-Blob erteilt wurden, können dann auf die Dateien zugreifen.

Informationen zu den ersten Schritten zum Konfigurieren und Verwenden des Features finden Sie unter Erste Schritte mit dem Sammeln von Dateien, die den Richtlinien zur Verhinderung von Datenverlust von Geräten entsprechen.

Tipp

Beginnen Sie mit Microsoft Copilot for Security, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot for Security in Microsoft Purview.

Wenn Sie noch nicht mit Microsoft Purview DLP vertraut sind, finden Sie hier eine Liste der wichtigsten Artikel, die Sie für die Implementierung von DLP benötigen:

  1. Administrative Einheiten
  2. Informationen zur Verhinderung von Datenverlust in Microsoft Purview : Dieser Artikel führt Sie in die Disziplin zur Verhinderung von Datenverlust und die Implementierung von DLP durch Microsoft ein.
  3. Planen der Verhinderung von Datenverlust (Data Loss Prevention, DLP): In diesem Artikel gehen Sie wie folgt vor:
    1. Identifizieren von Projektbeteiligten
    2. Beschreiben der Kategorien vertraulicher Informationen, die geschützt werden sollen
    3. Ziele und Strategie festlegen
  4. Richtlinienreferenz zur Verhinderung von Datenverlust : In diesem Artikel werden alle Komponenten einer DLP-Richtlinie vorgestellt und erläutert, wie sich diese auf das Verhalten einer Richtlinie auswirkt.
  5. Entwerfen einer DLP-Richtlinie : In diesem Artikel erfahren Sie, wie Sie eine Richtlinienabsichtsanweisung erstellen und sie einer bestimmten Richtlinienkonfiguration zuordnen.
  6. Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust : In diesem Artikel werden einige allgemeine Richtlinienabsichtsszenarien vorgestellt, die Sie Den Konfigurationsoptionen zuordnen. Anschließend werden Sie durch die Konfiguration dieser Optionen beschrieben.

Wo die Beweissammlung für Dateiaktivitäten auf Geräten in Purview passt

Endpunkt-DLP ist Teil des größeren DLP-Angebots und Teil der größeren Palette von Diensten, die in Microsoft Purview angeboten werden. Sie sollten wissen, wie die Beweissammlung für Dateiaktivitäten auf Geräten in die größere Gruppe von Dienstangeboten passt.

Beweissammlung für Dateiaktivitäten auf Geräten und eDiscovery

Dieses Feature erstellt Kopien von Elementen, die DLP-Richtlinien auf integrierten Windows-Geräten entsprechen, und platziert diese Kopien in einem Azure-Speicherkonto. Diese Kopien werden nicht in einem unveränderlichen Zustand aufbewahrt und sind kein Beweis im rechtlichen Sinne des Begriffs. Wenn Sie Elemente für rechtliche Zwecke suchen und speichern müssen, sollten Sie die Microsoft Purview eDiscovery-Lösungen verwenden. Als eDiscovery (electronic discovery) wird das Identifizieren und Übermitteln elektronischer Informationen bezeichnet, die als Indizien in einem Rechtsstreit verwendet werden können.

Beweissammlung für Dateiaktivitäten auf Geräten und kontextbezogene Zusammenfassung

Wenn ein Element und die Aktivität, die ein Benutzer für dieses Element annimmt, den in einer DLP-Richtlinie definierten Bedingungen entsprechen, wird im Aktivitäts-Explorer ein DLPRuleMatch-Ereignis angezeigt. Dies gilt für jeden Standort, der VON DLP unterstützt wird. Das DLPRuleMatch-Ereignis enthält eine begrenzte Menge des Texts, der den übereinstimmende Inhalt umgibt. Diese begrenzte Textmenge wird als kontextbezogene Zusammenfassung bezeichnet.

Es ist wichtig, den Unterschied zwischen der Beweissammlung für Dateiaktivitäten auf Geräten und einer kontextbezogenen Zusammenfassung zu verstehen. Die Beweissammlung für Dateiaktivitäten auf Geräten ist nur für integrierte Windows-Geräte verfügbar. Es speichert eine Kopie des gesamten Elements, das einer Richtlinie entspricht, mit dem Azure-Speicherkonto. Eine kontextbezogene Zusammenfassung wird für jede Übereinstimmung mit DLP-Richtlinienregeln erfasst und enthält nur eine begrenzte Menge des Texts, der den Zieltext umgibt, der die Übereinstimmung ausgelöst hat.

Abgedeckte Benutzeraktivitäten

Sie können die Beweissammlung für Dateiaktivitäten auf Geräten konfigurieren, um eine Kopie eines übereinstimmenden Elements im Azure-Speicherkonto zu speichern, wenn ein Benutzer versucht, eine dieser Aktivitäten für ein übereinstimmende Element auszuführen:

  • Auf einen USB-Wechseldatenträger kopieren
  • In Netzwerkfreigabe kopieren
  • Drucken
  • Kopieren oder Verschieben mit einer nicht zulässigen Bluetooth-App
  • Kopieren oder Verschieben über RDP
  • Hochladen in Clouddienstdomänen oder Zugriff über einen nicht zugelassenen Browser
  • Einfügen in unterstützte Browser

Die Erkennung dieser Aktivitäten wird in der DLP-Richtlinie konfiguriert. Weitere Informationen zum Erstellen einer DLP-Richtlinie finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust und Verwenden der Verhinderung von Datenverlust durch Endpunkte.

Abgedeckte Aktionen

Wenn Sie die Beweissammlung für Dateiaktivitäten auf Geräten in den Endpunkt-DLP-Einstellungen aktivieren und eine DLP-Richtlinie für die Verwendung dieses Features konfigurieren, wird eine Kopie eines übereinstimmenden Elements für diese Aktionen gespeichert:

  • Nur Überwachung
  • Blockieren mit Außerkraftsetzung
  • Blockieren

Diese Aktionen werden in der DLP-Richtlinie konfiguriert. Weitere Informationen zum Erstellen einer DLP-Richtlinie finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust und Verwenden der Verhinderung von Datenverlust durch Endpunkte.

Überlegungen zum Entwurf

Regionen für Ihre Azure Storage-Konten

Um die gesetzlichen Anforderungen zu erfüllen, stellen Sie sicher, dass sich die von Ihnen verwendeten Azure-Speicherkonten an den gleichen geopolitischen oder behördlichen Grenzen wie die Geräte befinden, aus denen sie kopiert werden. Beachten Sie auch den geopolitischen Standort der DLP-Ermittler, die nach dem Speichern auf die vertraulichen Elemente zugreifen. Erwägen Sie die Verwendung von Verwaltungseinheiten , um die Verwaltung der Benutzer und Geräte für jede DLP-Richtlinie entsprechend festzulegen. Informationen zum Schutz vor Datenverlust zur Einhaltung von Datenschutzbestimmungen finden Sie unter Bereitstellen von Datenschutzbestimmungen mit Microsoft Purview. Die Beweissammlung für Dateiaktivitäten auf Geräten unterstützt bis zu 10 Azure-Speicherkonten.

Informationen zum Schutz vor Datenverlust zur Einhaltung von Datenschutzbestimmungen finden Sie unter Bereitstellen von Datenschutzbestimmungen mit Microsoft Purview.

Lokaler Speicher und Bandbreite

Standardmäßig werden Kopien übereinstimmener Elemente über die vorhandene Netzwerkverbindung asynchron im konfigurierten Azure-Speicherkonto gespeichert. Wenn das Gerät nicht über eine Verbindung verfügt, werden übereinstimmende Elemente lokal bis zum Grenzwert von 500 MB gespeichert. Sie können Elemente lokal bis zu 60 Tage speichern.

Das Gerät verfügt zwar über Eine Verbindung mit der Azure-Speicherkonto-URL, die Bandbreitennutzung ist jedoch nicht begrenzt. Die Bandbreite, die von der Sammlung für Dateiaktivitäten auf Geräten verwendet wird, wirkt sich nicht auf die standardmäßigen oder konfigurierten Bandbreitengrenzwerte für erweiterte Klassifizierungsüberprüfung und -schutz aus.

Azure-Speicherkonten

Kunden sind für das Erstellen und Verwalten ihrer eigenen Azure-Speicherkonten verantwortlich. Wenn Sie noch nicht mit Azure Storage in Verbindung sind, finden Sie weitere Informationen unter:

Elemente, die einer Richtlinie entsprechen, werden vom Gerät des Benutzers in das Azure Storage-Kontoblob im Sicherheitskontext des angemeldeten Benutzers kopiert. Daher müssen alle Benutzer, die sich im Gültigkeitsbereich für die Richtlinie befinden, über Lese- und Schreibberechtigungen für den Blobspeicher verfügen. Weitere Informationen finden Sie unter Erste Schritte mit dem Sammeln von Dateien, die den Richtlinien zur Verhinderung von Datenverlust von Geräten entsprechen.

Ebenso müssen alle Administratoren, die die gespeicherten Elemente überprüfen, über die Berechtigung für das Azure Storage-Kontoblob verfügen read . Weitere Informationen finden Sie unter Erste Schritte mit dem Sammeln von Dateien, die den Richtlinien zur Verhinderung von Datenverlust von Geräten entsprechen.

Speichern von Beweisen, wenn vertrauliche Informationen erkannt werden (Vorschau)

Unterstützte Dateitypen

Weitere Informationen zu unterstützten Dateitypen finden Sie unter Unterstützte Dateitypen zum Speichern und Anzeigen einer Vorschau von Beweisen.

Unterstützte Speichertypen

Sie haben zwei Optionen zum Speichern der Beweise, die Purview sammelt, wenn vertrauliche Informationen in Ihren Inhalten erkannt werden. Sie können einen kundenseitig verwalteten Datenspeicher oder einen von Microsoft verwalteten Datenspeicher (Vorschau) verwenden. Welche Option Sie verwenden sollten, hängt von Ihren Anforderungen und Ihren Anwendungsfällen ab. Sehen Sie sich die folgende Vergleichstabelle an, um Ihnen die Entscheidung zu erleichtern.

Speichertypvergleich

Übereinstimmende Dateien werden auch nach dem Ändern des Speichertyps weiterhin in die Warnungsergebnisse aufgenommen, solange die Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) intakt sind. Da sich kundenseitig verwalteter Speicher im Besitz von Kunden befindet, können DLP-Administratoren dateien weiterhin dateibezogen direkt aus dem Speicher herunterladen.

In der folgenden Tabelle werden die Unterschiede zwischen kundenseitig verwaltetem Speicher und von Microsoft verwaltetem Speicher zum Sammeln von Beweisen für die in Ihren Inhalten erkannten vertraulichen Informationen aufgeführt.

Feature (Element) Kundenseitig verwaltet Von Microsoft verwaltet (Vorschau)
Dateiaufbewahrung Sie können Dateien so lange aufbewahren, wie Sie es benötigen/möchten. Dateien werden maximal 120 Tage aufbewahrt.
Endpunkteinstellungen Sie müssen Blob Storage (Container-URLs) in den Endpunkteinstellungen hinzufügen und dann das Microsoft Entra Admin Center verwenden, um explizite Benutzerberechtigungen für das Blob für Benutzer im Gültigkeitsbereich zu konfigurieren. Alle Konfigurationen und Berechtigungen werden mit nur einem Klick verarbeitet, wenn Sie Ihre Endpunkteinstellungen konfigurieren.
Richtlinien- und Standortkonfiguration Sie müssen Speicherblobs richtlinienbezogen für jeden Standort hinzufügen und konfigurieren, an dem eine Richtlinie angewendet wird. Für bestimmte Richtlinienspeicherorte ist keine Speicherauswahl erforderlich.
Datenspeicherort/-region Vom Kunden ausgewählt Dieselbe Region wie Ihr Microsoft Purview-Mandant.
Gebühren Speicherkosten werden zusätzlich zu den Kosten für Ihr Entra-Abonnement in Rechnung gestellt. Während der Vorschauphase fallen keine zusätzlichen Speicherkosten an.
Netzwerkkonfiguration Sie müssen zulassen, dass die Container-URLs für Ihre Speicherblobs ihre Netzwerkfirewall durchlaufen. Sie müssen compliancedrive.microsoft.com in eine Zulassungsliste aufnehmen, damit sie die Netzwerkfirewall durchlaufen kann.

Ändern von Speichertypen

Kunden können jederzeit zwischen Speichertypen wechseln. Es empfiehlt sich jedoch, den Speichertyp, den Sie langfristig benötigen, sorgfältig zu planen und die geeignete Option für Ihren Anwendungsfall auszuwählen. Weitere Informationen zu den Unterschieden zwischen den beiden Speichertypen finden Sie in der Vergleichstabelle speichertyp.

Hinweis

Beim Wechseln von Speichertypen müssen Sie Ihre Richtlinien aktualisieren, um sicherzustellen, dass sie auf die Dateien im neuen Datenspeicher angewendet werden.

Auswirkungen der Änderung von Speichertypen auf Beweisdateien

Übereinstimmende Dateien werden auch nach dem Ändern des Speicherverwaltungstyps weiterhin in die Warnungsergebnisse aufgenommen, sofern sich die Berechtigungen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) nicht ändern.

Da Sie Besitzer Ihrer kundenseitig verwalteten Speicherlösung sind, können Ihre DLP-Administratoren Dateien weiterhin direkt pro Datei herunterladen, nachdem sie in die von Microsoft verwaltete Speicherlösung verschoben wurden.

Nächster Schritt

Der nächste Schritt besteht darin, die Beweissammlung für Dateiaktivitäten auf Geräten zu konfigurieren.

Weitere Informationen finden Sie unter Erste Schritte mit dem Sammeln von Dateien, die den Richtlinien zur Verhinderung von Datenverlust von Geräten entsprechen.