אלי שלמה

הגדרת מדיניות Endpoint DLP

by · 22/08/2020

מנגנון Endpoint DLP מרחיב את הניטור, את הנראות ואת האכיפה על מידע שנמצא בתחנות קצה מבוססות Windows 10, וכאשר תחנה מחוברת אל מנגנון DLP ניתן לנטר מידע רגיש בכל רגע נתון.

השילוב של Endpoint DLP יחד עם Microsoft Edge Chrome מאפשר להגביל תוכן ושיתוף של פריטים לאפליקציות ושירותי ענן שאינם מורשים, וחלק מתוך הפוליסי נעשה יחד עם Microsoft Edgde Chrome שיודע מתי נתונים מוגבלים ע”י מדיניות Endpoint DLP ובהתאם לכך אוכף את המגבלות השונות.

כאשר ישנו פוליסי מבוסס מיקום דפדפנים בלתי מורשים אינם יכולים לגשת לפריטים רגישים אשר מותאמים למדיניות של Endpoint DLP.

מידע נוסף לגבי המאמר דגשים ביישום Endpoint DLP

איך מגדירים Endpoint DLP

בכדי להגדיר Endpoint DLP יש לוודא את הדרישות הבאות:

  1. תחנות קצה עם Windows 10 Build 1809 ומעלה
  2. רישוי Microsoft 365 E3/E5 או רישוי Microsoft 365 Compliance
  3. תחנה שהיא חלק מתוך Azure AD Joined או Hybrid Azure AD Joined
  4. התקנה, הגדרה ושימוש דפדפן Microsoft Chrome Edge

השלבים להגדרת Endpoint DLP

השלבים להגדרה ויישום Endpoint DLP מחולקים למספר שלבים של התקנה, הגדרת מדיניות ואכיפה. השלבים המתוארים במאמר הם שלבים ראשוניים בלבד אך תקפים לרוב התרחישים של הגדרה ויישום Endpoint DLP.

הפעלה והתקנת Endpoint DLP

תחילה נוודא שהשירות Endpoint DLP זמין בהתאם לרישוי ולאחר מכן נוכל בביצוע Onboarding באמצעות הדגשים הבאים:

  • בממשק Microsoft 365 compliance ניגש לאפשרות Device onboarding
  • נוודא שהאפשרות של Turn on device onboarding הופעלה
  • לאחר מכן נוריד את התקנת Endpoint DLP לפי הפצה נדרשת

2020-08-22_15h09_18

2020-08-22_15h11_14

2020-08-22_15h14_09

טיפ: במידה והתחנה מותקנת עם MDATP אין צורך בהורדת Agent כי MDATP מכיל את הסנסור לטובת Endpoint DLP

הגדרת Ednpoint DLP

לאחר ביצוע Onboarding לתחנות קצה השלב הבא הוא לבצע הגדרות, יצירת פוליסי ואכיפה.

השלב הראשוני של הגדרת Endpoint DLP נחלקים לשלושה קטגוריות אשר אוכפים מדיניות על תחנות קיימות ותחנות חדשות ועל התוכן הנדרש.

ניטור קבצים – ניטור קבצים לפי תוכן מוגדר מראש והחרגת תיקיות שאינן נדרשות לניטור ואכיפה, ולכן מומלץ להגדיר File path exclusions במדיניות הגדרות

אכיפת אפליקציות – הגדרת אפליקציות אשר יכולות או אינן יכולות לגשת אל קבצים רגישים או תוכן רגיש והגדרת זאת נעשית ע”י Unallowed apps

הגבלת גישה למידע רגיש – הגבלת גישה אל תוכן רגיש ומניעת זליגת מידע לפי שני מאפיינים ספציפיים:

  • דפדפנים לא מורשים שאינם יכולים לגשת לקבצים
  • הגבלת דומיינים אשר יכולים לגשת אל תוכן רגיש

הגדרות אלה נעשות ע”י Unallowed browsers + Service domains

2020-08-22_15h28_30

2020-08-22_15h29_15

לאחר מכן נתחיל בהגדרת מדיניות DLP לפי כל אותן קטגוריות

2020-08-22_15h35_16

תחילה נגדיר File path exclusions בכדי להחריג את כל התיקיות שאין לנו צורך בניטור ואכיפת מדיניות

טיפ: מומלץ לנטר תיקיות ספציפיות בלבד בכדי להשיג אחיזה נכונה בתוכן הרגיש

2020-08-22_15h33_56

טיפ: ניתן להגדיר תיקיות לפי משתנה במערכת כמו %SystemDrive% או להוסיף * בכדי לקחת תיקיות שלמות

באפשרות Unallowed apps ניתן להגדיר איזה אפליקציות אינן מורשות לגשת לתוכן רגיש, וחשוב להדגיש כי החרגת האפליקציות נעשות אך ורק כאשר ניגשים לתוכן רגיש.

2020-08-22_15h47_19

באפשרות Browser and domain restrictions to sensitive data נבצע שתי הגדרות:

הגדרה ראשונה של Unallowed browsers שם נחסום את הגישה של דפדפנים מסוימים אל תוכן רגיש וכך נמנע זליגת מידע מתוך אפליקציה שאינה מורשית

2020-08-22_15h48_59

בהגדרת Service domains נאפשר או נחסום גישה לדומיינים מסוימים

2020-08-22_15h50_54

לאחר שמסיימים אל החלק הראשון של הגדרת Endpoint DLP נמשיך אל הגדרת מדיניות DLP

הגדרת מדיניות DLP

הגדרת מדיניות למניע זליגת מידע בממשק Microsoft 365 Compliance מאפשרת הגדרת מדיניות על שירותי ענן שונים לצד הפעלת מדיניות על תחנות קצה.

הגדרת מדיניות באמצעות Endpoint DLP יכולה להיעשות לפי Use Cases ותרחישים שונים, כגון, מניעת שיתןף מידע מול ספקי ענן אחרים, מניעת הדפסה והעתקה אל כונני אחסון חיצונים וכן הלאה.

הגדרת מדיניות בממשק Microsoft 365 Compliance מתמקדת בהגדרת התבנית עצמה, אך מקשורת למדיניות שהוגדרה ברמת Endpoint DLP.

תבניות קיימות של DLP בממשק Microsoft 365 Compliance מכילות עשרות תבניות קיימות אשר מתבססות על רגולציות במדינות שונות, וניתן גם להגדיר מדיניות לפי דרישה ספציפית.

בכדי להגדיר מדיניות DLP ניתן לבצע את הפעולות הבאות:

2020-08-22_15h57_24

2020-08-22_15h58_28

חשוב להפעיל את האפשרות של Devices בכדי להחיל מדיניות על תחנות קצה

טיפ: מדיניות DLP של תחנות קצה יכולה להיות שונה וממוקדת בתחנות קצה בלבדוללא צורך בהגדרת רכיבי ענן נוספים

2020-08-22_15h58_52

לצד הגדרת תבנית קיימת ניתן להגדיר גם הגדרות מקוסטומות לפי חוקים ספציפיים

2020-08-22_16h00_02

2020-08-22_16h01_12

2020-08-22_16h01_30

במידה ומדובר על מדיניות בסביבת ייצור מומלץ להגדיר מצב בדיקה טרם הפעלה לכלל התחנות

2020-08-22_16h01_21

מאמרים נופסים בנושא Endpoint DLP:

הגדרת מדיניות Endpoint DLP (מאמר נוכחי)
Use Cases ותרחישים של Endpoint DLP
הפצת Endpoint DLP באמצעות MEM

 

Tags:

You may also like...

2 Responses

  1. דגשים ביישום Endpoint DLP - Ell! $hLomo
    22/08/2020

    […] הגדרת מדיניות Endpoint DLP Use Cases ותרחישים של Endpoint DLP הפצת Endpoint DLP באמצעות MEM […]

  2. אבטחה, ניהול והגנה על נתונים Microsoft 365 Compliance
    27/03/2021

    […] הגדרת מדיניות Endpoint DLP […]

השאר תגובה

%d