Die Advanced Data Loss Prevention-Funktionalität in Schutzplänen aktivieren

Die Advanced Data Loss Prevention-Funktionen können in jeden Schutzplan für einen Kunden-Mandanten aufgenommen werden, wenn der Protection Service und das Advanced Data Loss Prevention-Paket für diesen Kunden aktiviert sind.

Die Advanced DLP-Funktionalität ist das Advanced-Modul der Data Loss Prevention-Funktionsgruppe. Die Advanced DLP-Funktionen und die Gerätekontrolle können unabhängig voneinander oder gemeinsam verwendet werden (in einem einzigen Schutzplan oder in zwei Plänen zum Schutz desselben Workloads). Wenn sie gemeinsam verwendet werden, sind ihre funktionalen Fähigkeiten folgendermaßen aufeinander abgestimmt.

Die Gerätekontrolle beendet die Überwachung von Benutzerzugriffen auf solche lokalen Kanäle, in denen die Advanced DLP-Funktionalität die Inhalte von übertragenen Daten überprüft. Die Gerätekontrolle behält jedoch die Kontrolle über die nachfolgenden Gerätetypen, wenn der Zugriff auf diese als 'Nur Lesen' oder 'Verweigert' konfiguriert ist:
- Wechsellaufwerk
- Verschlüsseltes Wechsellaufwerk
- Netzlaufwerk
Wenn Sie beispielsweise sowohl die Gerätekontrolle als auch die Advanced DLP-Funktionalität in einem einzigen Schutzplan oder in zwei Plänen aktiviert haben, um denselben Workload zu schützen, und Sie in der Gerätekontrolle den Nur-Lesen-Zugriff für USB-Geräte konfiguriert haben, wird der Nur-Lesen-Zugriff unabhängig von den Zugriffseinstellungen im Advanced DLP-Modul auf alle USB-Geräte (mit Ausnahme solcher, die auf der Positivliste stehen) angewendet. Wenn in der Gerätekontrolle die Standardeinstellung 'Zugriff aktivieren' konfiguriert ist, wird die Zugriffseinstellung in der Advanced DLP-Funktionalität übernommen.
Der Benutzerzugriff auf folgende lokale Kanäle und Peripheriegeräte in der Positivliste wird von der Gerätekontrolle erzwungen:
- Optische Laufwerke
- Diskettenlaufwerke
- Über MTP angeschlossene Mobilgeräte
- Bluetooth-Adapter
- Windows-Zwischenablage
- Screenshot-Aufnahmen
- USB-Geräte und -Gerätetypen (außer für Wechsellaufwerke und verschlüsselte Laufwerke)

So können Sie einen Schutzplan mit Advanced DLP-Funktionalität erstellen

Wechseln Sie zu Verwaltung > Schutzpläne.
Klicken Sie auf Plan erstellen.

Erweitern Sie den Bereich Data Loss Prevention und klicken Sie auf die Zeile Modus.

Das Dialogfenster Modus wird geöffnet.

Wenn Sie das Erstellen oder Erneuern der Datenfluss-Richtlinie starten wollen, wählen Sie zuerst den Beobachtungsmodus und bestimmen Sie anschließend, wie die Datenübertragungen verarbeitet werden sollen:

Option

Beschreibung

Alle erlauben

Alle Übertragungen von sensiblen Daten aus Benutzer-Workloads werden als geschäftlich notwendig und sicher behandelt. Für jeden erkannten Datenfluss, der nicht mit einer bereits definierten Regel in der Richtlinie übereinstimmt, wird eine neue Regel erstellt.

Alle rechtfertigen

Alle Übertragungen von sensiblen Daten aus Benutzer-Workloads werden zwar als geschäftlich notwendig, aber auch riskant behandelt. Daher muss der Benutzer bei jeder abgefangenen Übertragung sensibler Daten an einen beliebigen Empfänger oder ein beliebiges Ziel innerhalb oder außerhalb des Unternehmens, die nicht mit einer zuvor erstellten Datenfluss-Regel übereinstimmt, eine einmalige geschäftliche Rechtfertigung abgeben. Wenn die Rechtfertigung übermittelt wird, wird in der Datenfluss-Richtlinie eine neue Datenfluss-Regel erstellt.

Gemischt

Die Logik 'Alle erlauben' wird auf alle internen Übertragungen von sensiblen Daten angewendet – und die Logik 'Alle rechtfertigen' auf alle externen Übertragungen von sensiblen Daten.

Zur Definition der internen Ziele siehe 'Automatisierte Erkennung des Ziels'.

Wählen Sie den Beobachtungsmodus nur, wenn Sie bisher noch keine Datenfluss-Richtlinie erstellt haben oder wenn Sie die Richtlinie erneuern wollen. Bevor Sie mit der Richtlinienerneuerung beginnen, sollten Sie 'Erneuerung der Datenfluss-Richtlinie' lesen.
Im Beobachtungsmodus werden keine Datenlecks verhindert. Siehe auch den Abschnitt Beobachtungsmodus in der Grundlagen-Anleitung.

Wenn Sie die bestehende Datenfluss-Richtlinie erzwingen wollen, wählen Sie zuerst den Erzwingungsmodus aus und bestimmen Sie anschließend, wie streng die Datenfluss-Richtlinienregeln durchgesetzt werden sollen:

Option

Beschreibung

Strikte Erzwingung

Die Datenfluss-Richtlinie wird wie vorliegend durchgesetzt und nicht mit neuen zulassenden Richtlinienregeln erweitert, wenn bisher noch nicht beobachtete sensible Datenflüsse entdeckt werden sollten. Siehe auch den Abschnitt Strikte Erzwingung in der Grundlagen-Anleitung.

Adaptive Erzwingung (Erzwingung mit Lernen)

Die erzwungene Richtlinie passt sich weiterhin automatisch an solche Geschäftsaktivitäten an, die während des Beobachtungszeitraums nicht durchgeführt wurden, oder an geänderte Geschäftsprozesse. Mit diesem Modus kann die erzwungene Datenfluss-Richtlinie basierend auf neu erlernten Datenflüssen, die auf den Workloads erkannt wurden, erweitert werden. Siehe auch den Abschnitt Adaptive Erzwingung in der Grundlagen-Anleitung.

Bevor Sie eine Firmen- oder Abteilungsrichtlinie vom Beobachtungs- auf den Erzwingungsmodus umstellen, müssen Sie unbedingt die Standardregeln für jede Vertraulichkeitskategorie von einem zulassenden auf ein verbietendes Stadium umstellen. Standardregeln sind in der Ansicht Datenfluss-Richtlinie mit einem Sternchen (*) gekennzeichnet. Weitere Informationen zu den Arten von Richtlinienregeln finden Sie in der Grundlagen-Anleitung.

Klicken Sie auf Fertig, um das Dialogfenster 'Modus' zu schließen.
(Optional) Wenn Sie die optische Zeichenerkennung (OCR-Funktion), Positivlisten und weitere Schutzoptionen konfigurieren wollen, können Sie auf Erweiterte Einstellungen klicken.
Informationen zu den verfügbaren Optionen finden Sie unter 'Erweiterte Einstellungen'.
Speichern Sie den Schutzplan und wenden Sie ihn auf alle Workloads an, die Sie schützen wollen.