הגדרת מדיניות Endpoint DLP
מנגנון Endpoint DLP מרחיב את הניטור, את הנראות ואת האכיפה על מידע שנמצא בתחנות קצה מבוססות Windows 10, וכאשר תחנה מחוברת אל מנגנון DLP ניתן לנטר מידע רגיש בכל רגע נתון.
השילוב של Endpoint DLP יחד עם Microsoft Edge Chrome מאפשר להגביל תוכן ושיתוף של פריטים לאפליקציות ושירותי ענן שאינם מורשים, וחלק מתוך הפוליסי נעשה יחד עם Microsoft Edgde Chrome שיודע מתי נתונים מוגבלים ע”י מדיניות Endpoint DLP ובהתאם לכך אוכף את המגבלות השונות.
כאשר ישנו פוליסי מבוסס מיקום דפדפנים בלתי מורשים אינם יכולים לגשת לפריטים רגישים אשר מותאמים למדיניות של Endpoint DLP.
מידע נוסף לגבי המאמר דגשים ביישום Endpoint DLP
איך מגדירים Endpoint DLP
בכדי להגדיר Endpoint DLP יש לוודא את הדרישות הבאות:
- תחנות קצה עם Windows 10 Build 1809 ומעלה
- רישוי Microsoft 365 E3/E5 או רישוי Microsoft 365 Compliance
- תחנה שהיא חלק מתוך Azure AD Joined או Hybrid Azure AD Joined
- התקנה, הגדרה ושימוש דפדפן Microsoft Chrome Edge
השלבים להגדרת Endpoint DLP
השלבים להגדרה ויישום Endpoint DLP מחולקים למספר שלבים של התקנה, הגדרת מדיניות ואכיפה. השלבים המתוארים במאמר הם שלבים ראשוניים בלבד אך תקפים לרוב התרחישים של הגדרה ויישום Endpoint DLP.
הפעלה והתקנת Endpoint DLP
תחילה נוודא שהשירות Endpoint DLP זמין בהתאם לרישוי ולאחר מכן נוכל בביצוע Onboarding באמצעות הדגשים הבאים:
- בממשק Microsoft 365 compliance ניגש לאפשרות Device onboarding
- נוודא שהאפשרות של Turn on device onboarding הופעלה
- לאחר מכן נוריד את התקנת Endpoint DLP לפי הפצה נדרשת
טיפ: במידה והתחנה מותקנת עם MDATP אין צורך בהורדת Agent כי MDATP מכיל את הסנסור לטובת Endpoint DLP
הגדרת Ednpoint DLP
לאחר ביצוע Onboarding לתחנות קצה השלב הבא הוא לבצע הגדרות, יצירת פוליסי ואכיפה.
השלב הראשוני של הגדרת Endpoint DLP נחלקים לשלושה קטגוריות אשר אוכפים מדיניות על תחנות קיימות ותחנות חדשות ועל התוכן הנדרש.
ניטור קבצים – ניטור קבצים לפי תוכן מוגדר מראש והחרגת תיקיות שאינן נדרשות לניטור ואכיפה, ולכן מומלץ להגדיר File path exclusions במדיניות הגדרות
אכיפת אפליקציות – הגדרת אפליקציות אשר יכולות או אינן יכולות לגשת אל קבצים רגישים או תוכן רגיש והגדרת זאת נעשית ע”י Unallowed apps
הגבלת גישה למידע רגיש – הגבלת גישה אל תוכן רגיש ומניעת זליגת מידע לפי שני מאפיינים ספציפיים:
- דפדפנים לא מורשים שאינם יכולים לגשת לקבצים
- הגבלת דומיינים אשר יכולים לגשת אל תוכן רגיש
הגדרות אלה נעשות ע”י Unallowed browsers + Service domains
לאחר מכן נתחיל בהגדרת מדיניות DLP לפי כל אותן קטגוריות
תחילה נגדיר File path exclusions בכדי להחריג את כל התיקיות שאין לנו צורך בניטור ואכיפת מדיניות
טיפ: מומלץ לנטר תיקיות ספציפיות בלבד בכדי להשיג אחיזה נכונה בתוכן הרגיש
טיפ: ניתן להגדיר תיקיות לפי משתנה במערכת כמו %SystemDrive% או להוסיף * בכדי לקחת תיקיות שלמות
באפשרות Unallowed apps ניתן להגדיר איזה אפליקציות אינן מורשות לגשת לתוכן רגיש, וחשוב להדגיש כי החרגת האפליקציות נעשות אך ורק כאשר ניגשים לתוכן רגיש.
באפשרות Browser and domain restrictions to sensitive data נבצע שתי הגדרות:
הגדרה ראשונה של Unallowed browsers שם נחסום את הגישה של דפדפנים מסוימים אל תוכן רגיש וכך נמנע זליגת מידע מתוך אפליקציה שאינה מורשית
בהגדרת Service domains נאפשר או נחסום גישה לדומיינים מסוימים
לאחר שמסיימים אל החלק הראשון של הגדרת Endpoint DLP נמשיך אל הגדרת מדיניות DLP
הגדרת מדיניות DLP
הגדרת מדיניות למניע זליגת מידע בממשק Microsoft 365 Compliance מאפשרת הגדרת מדיניות על שירותי ענן שונים לצד הפעלת מדיניות על תחנות קצה.
הגדרת מדיניות באמצעות Endpoint DLP יכולה להיעשות לפי Use Cases ותרחישים שונים, כגון, מניעת שיתןף מידע מול ספקי ענן אחרים, מניעת הדפסה והעתקה אל כונני אחסון חיצונים וכן הלאה.
הגדרת מדיניות בממשק Microsoft 365 Compliance מתמקדת בהגדרת התבנית עצמה, אך מקשורת למדיניות שהוגדרה ברמת Endpoint DLP.
תבניות קיימות של DLP בממשק Microsoft 365 Compliance מכילות עשרות תבניות קיימות אשר מתבססות על רגולציות במדינות שונות, וניתן גם להגדיר מדיניות לפי דרישה ספציפית.
בכדי להגדיר מדיניות DLP ניתן לבצע את הפעולות הבאות:
חשוב להפעיל את האפשרות של Devices בכדי להחיל מדיניות על תחנות קצה
טיפ: מדיניות DLP של תחנות קצה יכולה להיות שונה וממוקדת בתחנות קצה בלבדוללא צורך בהגדרת רכיבי ענן נוספים
לצד הגדרת תבנית קיימת ניתן להגדיר גם הגדרות מקוסטומות לפי חוקים ספציפיים
במידה ומדובר על מדיניות בסביבת ייצור מומלץ להגדיר מצב בדיקה טרם הפעלה לכלל התחנות
מאמרים נופסים בנושא Endpoint DLP:
הגדרת מדיניות Endpoint DLP (מאמר נוכחי)
Use Cases ותרחישים של Endpoint DLP
הפצת Endpoint DLP באמצעות MEM
2 Responses
[…] הגדרת מדיניות Endpoint DLP Use Cases ותרחישים של Endpoint DLP הפצת Endpoint DLP באמצעות MEM […]
[…] הגדרת מדיניות Endpoint DLP […]