这一章我们着重看DLP在所有服务(SharePoint Online, Teams, OneDrive for Business, Exchange)实际运场景中的表现。
演示分为用户端和管理员端:
首先我们先看SharePoint Online中如果发现了符合DLP策略的文件的演示:
注:新版的界面显示与老版的界面有区别,先用老版的界面做演示
上一章设置了针对美国财务信息的DLP,这里可以看到有两份文件被自动标记了,
如果鼠标已过去,可以看到提示这份文件被阻止访问:
现在我们切换到新版界面:
新版界面没有老版界面会在文件的缩略图上打上一个小的禁止标识,必须鼠标移上去才会显示:
点击文件的详细信息可以看到如下的提示:
我们查看策略提示:
如果尝试分享给外部用户:
一旦检测到敏感信息,管理员也会收到邮件通知:
在OneDrive里效果是一样的,因为SharePoint 和OneDrive基本是一回事,所以不做太多展示:
现在我们看一下在Teams里如果出现了敏感信息会怎样:
Teams里的情况分为两种,标记和阻止
标记的话,其他用户仍然可以看到这条消息/文件。阻止的话是对方只能看到提说说这条消息被阻止了。
这里为了方便演示,我自己设置了两条敏感信息:
(发送者页面)
当然Teams里也会通知发送者:
同一个频道里的其他人看到的消息是这样的:
发送者如果点击 “我可以做什么?” 会看到具体的策略提示“this is against DLP”(这条是我设置的,非默认提示):
这里是因为管理员允许重写,所以发送者可以修改信息/提供正当理由,并取消标记讲消息发送出去:
点击确认,可以看到标记消失了,其他人也可以看到这条消息:
如果发送的是文件包含敏感信息的情况:
首先我想说微软在文件上这一点做的还不是非常完美。因为即时我们的策略是阻止,这里显示的也只是标记。其他人仍然可以看到。
我的理解如下:
1.设置策略选择策略投放位置的时候,在Teams里只能选择 chat and channel messgaes:
可能有点儿钻牛角尖的感觉,但是确实这里说了只是“消息”,并没有说是“文件”。
2.Teams后台存储用的就是这个团队所属的SharePoint Online/OneDrive网站,所以检测的任务其实是SharePoint来做的,那么前提就必须这个文件已将上传到SharePoint里。既然已经上传上去了,那么这个团队里的人也都默认有进到这个站点的访问权限和对里面文件的访问权限,理所应当也就可以看到这个文件,所以就算被阻止了也没有意义。
当然这也可能就是个临时的bug,后面会修复。
至于管理员的通知,也是会收到邮件提示,跟SharePoint触发的DLP是一样的。
现在来看Exchange:
发件人一旦添加带有敏感信息的附件,会立即触发DLP:
注意,这里也有个bug,因为这条策略还是针对外部用户,如果我在收件人里现在添加一个内部账户。策略就消失了!
哪怕再删除内部用户,也无济于事:
唯有重新添加一次附件,或者把所有收件人填写完成后再添加附件,才会被检测到:
如果我们强行发送邮件,收件人会收到这样一条邮件回复:
消息被阻止,因为和策略冲突。
管理员也会收到一封一模一样的邮件。但是注意,外部用户是被拒绝了,内部用户还是可以收到邮件的:
到这里演示基本结束,然后我们看一下管理员再数据丢失防护中心里看到的报告:
每个报告都有自己的专属页面可以查看更详细的,范围更广的报告:
如果发现某一时间段触发的DLP异常多,会有一个感叹号。
详细信息里包含的元数据更多一些:
然后可以请求导出报告,报告的发送会稍有延迟。这里大家可以自己去测一测,玩一玩,熟悉一下这个界面。
DLP误报和重写里包含的是用户提供的正当理由或者认为是误报的情况,对于测试阶段是非常有用的。
下一章我们会讲到DLP的一些高级设置,报错如何去自定义自己的敏感信息和选择对敏感的文件进行加密后,会出现什么情况: