In diesem Abschnitt wird detailliert beschrieben, wie Sie eine Regel zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) für eine ausgewählte Sicherheitsrichtlinie konfigurieren.
Bevor Sie beginnen
Um eine Sicherheitsrichtlinie zu konfigurieren, müssen die Benutzer zunächst eine Sicherheitsrichtlinie erstellen. Spezifische Anweisungen zum Erstellen einer Sicherheitsrichtlinie finden Sie unter Erstellen einer Sicherheitsrichtlinie.
Konfigurationsschritte
- Navigieren Sie zu .
- Wählen Sie eine Sicherheitsrichtlinie aus, um die DLP-Regel zu konfigurieren, und klicken Sie dann auf die Registerkarte DLP.
- Klicken Sie auf der Registerkarte DLP des Bildschirms Sicherheitsrichtlinien (Security Policies) auf + REGEL HINZUFÜGEN (+ ADD RULE).
Der Bildschirm Quelle auswählen (Select Source) wird angezeigt.
- Aktivieren Sie im Bildschirm Quelle auswählen (Select Source) das Kontrollkästchen Alle Benutzer und Gruppen (All Users and Groups), um die Regel auf alle Benutzer und Gruppen anzuwenden, oder deaktivieren Sie dieses Kontrollkästchen, um Benutzer und Gruppen anzugeben. Standardmäßig ist Alle Benutzer und Gruppen (All Users and Groups) als Quelle ausgewählt.
Hinweis: Alle Benutzer und Gruppen (All Users and Groups) ist die einzige Option für Kunden, die keinen Identitätsanbieter (IdP) wie Workspace ONE oder Azure Active Directory (AD) für Cloud Web Security konfiguriert haben.Hinweis: Cloud Web Security muss mit einem Identitätsanbieter (IdP) wie Workspace ONE oder Azure Active Directory (AD) konfiguriert werden, damit bestimmte Benutzer und Gruppen funktionieren.
Klicken Sie auf Weiter (Next). Der Bildschirm Inhaltstyp auswählen (Select Content Type) wird angezeigt.
- Auf dem Bildschirm Inhaltstyp auswählen (Select Content Type) können Benutzer die Inhaltstypen konfigurieren, die von der DLP-Überprüfungsfunktion ausgelöst werden. Es gibt drei Parameter, die für den Inhaltstyp konfiguriert werden können:
- Wählen Sie, ob die DLP-Regel die Texteingabe überprüfen (Inspect Text Input) soll oder nicht. Die Standardeinstellung für diese Option ist Aus (Off). Ist diese Option auf Ein (On) festgelegt, durchläuft die Texteingabe des Benutzers die DLP-Überprüfung, wenn Netzwerkübermittlungen angefordert werden.
Hinweis: Texteingabe ist wie ein POST-Formular oder eine Textnachricht. Die Texteingabe unterscheidet sich von einer Textdatei, bei der es sich um eine tatsächliche TXT-Datei handelt, die an einen Upload angehängt ist.
- Mit der Option Maximale Dateigröße (Maximum File Size) können Benutzer festlegen, ob Dateiuploads geprüft werden sollen, indem sie eine maximale Dateigröße definieren, die geprüft werden soll. Die Standardeinstellung für diese Option ist 50 Megabyte (MB), und Benutzer können einen Wert für die maximale Dateigröße sowohl numerisch als auch nach Speichereinheiten konfigurieren: Byte (B), Kilobyte (KB), Megabyte (MB) oder Gigabyte (GB). Wenn die Größe der hochgeladenen Datei größer ist als der konfigurierte Wert für Maximale Dateigröße (Maximum File Size), wird die Datei nicht von DLP geprüft und kann weitergeleitet werden.
Hinweis: Der numerische Wert für Maximale Dateigröße (Maximum File Size) kann im Orchestrator als Zahl zwischen 1 und 1000 konfiguriert werden. Die Zahl 0 ist für dieses Feld nicht gültig.Wichtig: Es ist zwar möglich, extrem kleine und große Werte zu konfigurieren, aber für DLP gilt eine maximale Dateigröße von 5 GB. Selbst wenn Benutzer einen größeren Wert konfigurieren, wird dieser Wert nicht über 5 GB hinaus beachtet. DLP verfügt auch über Mindestgrößen für unterstützte Inhalte wie folgt:
Tabelle 1. Unterstützte Mindestgrößen für Inhalte Benutzereingabe Dateieingabe 1024 Byte 5120 Byte - Dateitypen auswählen (Select File Types) ermöglicht es dem Benutzer, bestimmte Dateitypen auszuwählen, die überprüft werden sollen. Standardmäßig werden Alle unterstützten Typen (All Supported Types) überprüft, insgesamt 36 Dateitypen. Wenn Benutzer Alle unterstützten Dateitypen (All Supported File Types) deaktivieren, wird ein vollständiges Menü aller 36 Dateitypen angezeigt, die nach 11 Kategorien sortiert sind:
- Archive und komprimierte Pakete (9): 7-Zip, ARJ, BZIP, CAB, GZIP, LZH, RAR, TAR, ZIP
- Kalender (1): ICS Meeting-Einladung
- Technische Anwendungen (2): AutoCAD, Visio
- Multimedia (2): Audiodateien, Videodateien
- Sonstige Dokumente (1): RTF
- Andere Dateien und Dokumente (1): Andere Dateien und Dokumente unbekannter Typen
- Präsentationstools (2): OpenOffice-Präsentation, PowerPoint
- Produktivität (2): Microsoft One Note, Microsoft Projekt
- Skripts und ausführbare Dateien (6): Ausführbare Android-Dateien, JAR-Dateien, ausführbare Linux-Dateien, ausführbare Mac-Dateien, textbasierte Skript-Dateien
- Arbeitsblätter (3): CSV, Excel, OpenOffice Spreadsheet
- Textverarbeitung (7): Hangul, Ichitaro, OpenOffice-Text, PDF, Word, Word Perfect, XPS
Benutzer können mehrere oder alle Dateitypen unter einer Dateikategorie auswählen. Wenn die Anzahl der ausgewählten Dateitypen geringer ist als die Anzahl der für diese Kategorie verfügbaren Dateitypen, wird der Name der Dateikategorie blau dargestellt und zeigt an, wie viele Dateitypen von den insgesamt verfügbaren ausgewählt wurden.Wenn Benutzer alle Dateitypen für diese Kategorie auswählen möchten, können sie auf das obere Auswahlfeld klicken und alle Dateitypen werden ausgewählt. Danach wird die Kopfzeile der Kategorie grün und zeigt an, dass alle Dateitypen für diese Kategorie ausgewählt wurden.
Nachdem Sie die Einstellungen für DLP-Inhaltstypen für die Regel ausgewählt haben, klicken Sie auf Weiter (Next). Der Bildschirm Ziele auswählen (Select Destinations) wird angezeigt.
- Wählen Sie, ob die DLP-Regel die Texteingabe überprüfen (Inspect Text Input) soll oder nicht. Die Standardeinstellung für diese Option ist Aus (Off). Ist diese Option auf Ein (On) festgelegt, durchläuft die Texteingabe des Benutzers die DLP-Überprüfung, wenn Netzwerkübermittlungen angefordert werden.
- Im Bildschirm Ziele auswählen (Select Destinations) können Benutzer die Domänen und/oder Kategorien angeben, für die die DLP-Überprüfung durchgeführt werden soll. Die Standardeinstellung ist Alle Domänen und Kategorien (All Domains and Categories). Das bedeutet, dass DLP alle Domänen und alle 84 Kategorien überprüft.
Wenn Benutzer das Kontrollkästchen für Alle Domänen und Kategorien (All Domains and Categories) deaktivieren, müssen Benutzer benutzerdefinierte Domänen und/oder Kategorien konfigurieren.
Für das Feld Domänen (Domains) können Benutzer vollqualifizierte Domänennamen (FQDN), IP-Adressen oder IP-Bereiche angeben, die eine Auditor-Warnung auslösen würden. Benutzer können eine Kombination aus FQDNs, IP-Adressen und IP-Bereichen eingeben.Im Feld Kategorien (Categories) können Benutzer aus bis zu 84 verschiedenen Kategorien wählen, auf die eine Datei zutreffen und eine DLP-Überprüfung erfordern kann. Benutzer können auch alle Kategorien gleichzeitig auswählen, indem sie oben links auf das Kontrollkästchen klicken.
Nachdem Sie das DLP-Ziel für die Regel ausgewählt haben, klicken Sie auf Weiter (Next). Der Bildschirm Wörterbücher auswählen (Select Dictionaries) wird angezeigt.
- Im Abschnitt Wörterbücher auswählen (Select Dictionaries) müssen die Benutzer mindestens ein oder mehrere Wörterbücher auswählen, die mit der Regel verknüpft werden sollen. Die Wörterbücher können benutzerdefiniert, vordefiniert oder eine Kombination aus benutzerdefiniert und vordefiniert sein. Alle ausgewählten Wörterbücher werden ausgewertet, und es werden Aktionen basierend auf den in den jeweiligen Wörterbüchern angegebenen Kriterien durchgeführt.
Zusätzlich zu den benutzerdefinierten Wörterbüchern, die der Benutzer erstellen kann, stehen mehr als 340 vordefinierte Wörterbücher zur Auswahl. Die Benutzer sollten ihre Wörterbuchoptionen mithilfe eines oder mehrerer Filter einschränken, die sich oben in jeder Spalte befinden. In diesem Beispiel sucht der Benutzer nach Wörterbüchern, die mit dem Kategoriebegriff „HIPAA“ übereinstimmen, um eine Verknüpfung mit dem bereits erstellten benutzerdefinierten Wörterbuch herzustellen.
Klicken Sie nach der Auswahl der DLP-Wörterbücher, die auf die Regel angewendet werden sollen, auf Weiter (Next). Der Bildschirm Aktion auswählen (Select Action) wird angezeigt.
- Im Bildschirm Aktion auswählen (Select Action) kann der Benutzer entscheiden, welche Aktion ausgeführt wird, wenn die definierten Kriterien erfüllt sind. Die Aktion kann auf Blockieren (Block), Protokollieren (Log) oder Überprüfung überspringen (Skip Inspection) festgelegt werden. Die Standardeinstellungen für Aktion auswählen (Select Action) sind Blockieren (Block), wobei keine Überwachungs-E-Mail (Audit Email) gesendet wird und sowohl HTTP als auch HTTPS als Zu überprüfende Protokolle (Protocols für Inspect) aktiviert sind.
Wenn Benutzer die Option Überwachungs-E-Mail senden (Send Audit Email) auf Ja (Yes) umschalten, müssen sie auch ein oder mehrere Audit-Profile (Auditor Profile(s)) auswählen, die die Überwachungs-E-Mail erhalten sollen. In diesem Fall wählt der Benutzer das zuvor im Abschnitt Auditoren (Auditors) konfigurierte Auditor-Profil aus.
Klicken Sie nach der Konfiguration der für die Regel auszuführenden Aktion auf Weiter (Next).
- Auf dem Bildschirm Namen/Tags/Beschreibung eingeben (Enter Name / Tags / Description) muss der Benutzer im Feld Namen einen eindeutigen Namen für die DLP-Regel konfigurieren. Der Benutzer kann auch Tags, Benachrichtigung (Notification) und Grund (Reason) für die Regel konfigurieren.
- Klicken Sie auf Fertigstellen (Finish). Eine DLP-Regel wird erstellt und im Abschnitt „DLP-Regel“ für die Sicherheitsrichtlinie aufgelistet.
- Klicken Sie auf Veröffentlichen (Publish), damit die DLP-Regel in dieser Sicherheitsrichtlinie wirksam wird.
Hinweis: Es dauert etwa fünf Minuten, bis die DLP-Regel ab dem Zeitpunkt der Veröffentlichung durch den Benutzer in Kraft tritt. Nachdem die Sicherheitsrichtlinie veröffentlicht wurde, kann der Benutzer die Sicherheitsrichtlinie anwenden.
Nach der Veröffentlichung kann eine DLP-Regel ggf. auf dieselbe Weise wie bei der ersten Erstellung bearbeitet und erneut veröffentlicht werden.
Weitere Informationen zu den DLP Enterprise-Einstellungen finden Sie unter Verhinderung von Datenverlust (DLP).