Jak chronić dane wrażliwe w Microsoft 365

Piotr Bieliński

Jak chronić dane wrażliwe w Microsoft 365
25 lutego, 2020 APN Promise SA

Czego dowiesz się z tego artykułu?

  1. Czym jest portal Security i Compliance, dostępny w ramach usługi Microsoft 365, i jak pomoże zarządzać bezpieczeństwem danych wrażliwych.
  2. W jaki sposób można wykrywać dokumenty zawierające określone typy danych wrażliwych.
  3. Jakie są predefiniowane typy danych wrażliwych w ramach usługi Microsoft 365.
  4. Jak krok po kroku stworzyć własny typ danych.

Poziom zaawansowania: Podstawowy

Czasy, kiedy wdrożenie Office 365 oznaczało uruchomienie tenanta, konfigurację rekordów DNS i migrację poczty oraz danych dawno minęły. Obecnie klienci zwracają coraz większą uwagę na bezpieczeństwo, a Microsoft, podążając za potrzebami rynku, wdraża coraz to nowsze narzędzia i nieustannie ulepsza już istniejące. Wraz z ogłoszeniem globalnej dostępności nowej wersji centrum administracyjnego na początku 2017 roku pojawił się osobny portal do rozwiązań dotyczących bezpieczeństwa – Security and Compliance.

Cytując opis nowej wersji centrum zgodności, platforma Microsoft 365 oferuje rozwiązania do „zarządzania potrzebami dotyczącymi zgodności przy użyciu zintegrowanych rozwiązań do klasyfikacji, zarządzania informacjami, zarządzania sprawami i nie tylko”.

Niniejszy artykuł rozpoczyna cykl, w którym będę opisywał zagadnienia służące poprawie szeroko pojętego bezpieczeństwa.

Tytułowe dane wrażliwe, czyli np. PESEL czy nr paszportu to w nomenklaturze Microsoft typy informacji poufnych. Możemy je wykorzystywać w politykach DLP czy ochronie informacji za pomocą AIP. Mimo że istnieją już od dawna, obecnie mamy tylko trzy typy dedykowane dla naszego kraju, choć globalnie dostępnych jest około stu. Możemy jeszcze skorzystać z typu „Credit Card Number”, który jest uniwersalny.

W związku z powyższym często pojawia się potrzeba stworzenia własnego typu. Ale zanim stworzymy nowy typ, zobaczmy jak działają te już zdefiniowane.

Rozważmy typ „Poland Identity Card”. Format numeru dowodu osobistego zgodnie z dokumentacją Microsoft to 3 litery (dowolnej wielkości), po których następuje 6 cyfr. Z kolei słowa kluczowe to: „Dowód osobisty”, „Numer dowodu osobistego”, „Nazwa i numer dowodu osobistego”, „Nazwa i nr dowodu osobistego”, „Nazwa i nr dowodu tożsamości”, „Dowód Tożsamości”, „dow. os.”. Dopasowanie nastąpi jeśli w odległości 300 znaków znajdzie się nr dowodu i któreś ze słów kluczowych.

W celu sprawdzenia czy dany plik zawiera wybrany typ informacji poufnych można użyć wbudowanego narzędzia.

Przeciągnięcie notatnika zawierającego ciąg znaków „Dowód osobisty to XYZ890342” powoduje dopasowanie.

Poniżej kilka przykładów zawierających rożne ciągi znaków wraz z informacją o wykryciu typu informacji poufnych:

Wykryto - wielkość liter nie ma znaczenia

Nie wykryto - niepełny ciąg słów kluczowych

Nie wykryto - niepoprawny ciąg słów kluczowych

Rysunek 1: Błędne - nieprawidłowy format

Wykryto - mniej niż 300 znaków między ciągiem słów kluczowych, a nr dowodu

Nie wykryto – więcej niż 300 znaków między ciągiem słów kluczowych a numerem dowodu

Jak widać, rozpoznawanie typów działa zgodnie z definicją. W wielu przypadkach jednak jest niewystarczające, szczególnie biorąc pod uwagę odmianę przez przypadki w języku polskim. Dużą wadą jest również to, że nie możemy edytować lub kopiować typów wbudowanych.

Możemy jednak utworzyć własny typ informacji poufnych. Spróbujmy utworzyć typ „Poland Bank Account Number”. Po wprowadzeniu nazwy i opisu przechodzimy to okna, w którym określamy wymagania dopasowania.

Microsoft nie wspiera Klientów przy tworzeniu nowych typów zawierających wyrażenia regularne:

„Due to the variances in customer environments and content match requirements, Microsoft Support cannot assist in providing custom content-matching definitions; e.g., defining custom classifications or regular expression (also known as RegEx) patterns.” Źródło: Dokumenty Microsoft.

Utworzyłem następujące wyrażenie regularne (pomocna może okazać się w tym względzie strona regexr.com) :

d{2}[- ]?d{4}[- ]?d{4}[- ]?d{4}[- ]?d{4}[- ]?d{4}[- ]?d{4}

Nie dodałem żadnych elementów pomocniczych. Dostępne są lista słów kluczowych i słownik. Listę słów kluczowych możemy definiować wpisując po przecinku ciągi znaków, podobnie jak to ma miejsce w przypadku dowodu osobistego. Słownik to obiekt zawierający wiele słów kluczowych i najwygodniej posłużyć się powershellem, aby pobrać listę takich słów z pliku. W środowisku produkcyjnym zdecydowanie warto posłużyć się którymś z elementów pomocniczych.

Typ informacji poufnych zdefiniowany przeze mnie pozwala na wykrycie numerów konta w następujących konfiguracjach:

Z kolei dopasowanie nie występuje w poniższych przypadkach:

Podwójna spacja między 82 a 1020

Trzy cyfry: „102” zamiast wymaganych czterech

Jak widać, pomimo wielu niedogodności tworzenie własnych typów jest możliwe.

W następnych artykułach omówię tworzenie zasad DLP i AIP, wykorzystując nowo utworzony typ informacji poufnych.

Podziel się

Autor: Piotr Bieliński

Piotr Bieliński

Piotr Bieliński

Inżynier systemowy

Absolwent Wydziału Elektroniki i Technik Informacyjnych Politechniki Warszawskiej. Od dwóch lat w APN Promise, gdzie zajmuje się wdrażaniem i migracją usług komunikacyjnych. W wolnych chwilach pasjonat sportów wytrzymałościowych.

Zespół: Cloud Productivity

Ostatnie artykuły autora

Jak chronić dane wrażliwe w Microsoft 365

Jak chronić dane wrażliwe w Microsoft 365

Piotr Bieliński wyjaśnia czym są dane wrażliwe w rozumieniu Microsoft, jak można je chronić dzięki portalowi Security & Compliance oraz jaką rolę w tym procesie odgrywają typy danych. Krok po kroku pokazuje również jak stworzyć własny typ danych.

Zmiana sposobu logowania z federacji na uwierzytelnianie przekazywane

Zmiana sposobu logowania z federacji na uwierzytelnianie przekazywane

Piotr Bieliński przeprowadzi Cię krok po kroku przez proces planowania, przygotowania i wdrożenia zmiany polegającej na przejściu z ADFS na Pass-through Authentication w organizacji. Wyjaśnia również na co zwrócić szczególną uwagę i dlaczego testy są tak istotne.

Zwiększenie efektywności w zasięgu ręki

Zwiększenie efektywności w zasięgu ręki

Piotr Bieliński i Monika Kubiak wyjaśniają w jaki sposób narzędzia IT usprawniają pracę w firmie i jak przeprowadzić wdrożenie, aby wykorzystać pełen ich potencjał. Podpowiadają również, jak zmierzyć efektywność tego procesu.

Skontaktuj się z autorem

 

Administratorem danych gromadzonych z wykorzystaniem formularza jest A.P.N. Promise S.A. Podane przez Ciebie dane będą przetwarzane w zakresie niezbędnym do podjęcia kontaktu lub realizacji określonego żądania zgodnie z art. 6 ust. 1 lit. b RODO przez okres niezbędny dla realizacji Twojego zgłoszenia. Wszelkie informacje w zakresie przetwarzania podanych przez Ciebie w formularzu danych oraz posiadanych uprawnieniach znajdziesz w Polityce prywatności. Kliknij i dowiedz się więcej jeżeli informacje podane powyżej nie są dostatecznie jasne!

Zarejestruj się i przetestuj APN Meeting Room

Wypróbuj system rezerwacji sal w praktyce, na Twojej infrastrukturze.
Wersja demonstracyjna umożliwia Ci instalację oprogramowania na 3 urządzeniach.

Chcę otrzymywać treści marketingowe od A.P.N. Promise S.A. drogą elektroniczną
Chcę otrzymywać treści marketingowe od A.P.N. Promise S.A. telefonicznie

Administratorem danych osobowych gromadzonych z wykorzystaniem formularza jest A.P.N. Promise S.A. z siedzibą w Warszawie. Kontakt z osobą odpowiedzialną za ochronę danych osobowych jest możliwy za pośrednictwem adresu e-mail: iodo@promise.pl. Podane dane będą przetwarzane w zakresie niezbędnym do realizacji określonego żądania zgodnie z art. 6 ust. 1 lit. b RODO, w zakresie niezbędnym dla prawidłowej realizacji żądania oraz oferowania i świadczenia usług, marketingu produktów i usług własnych oraz przeprowadzenia ankiet i oceny satysfakcji zgodnie z art. 6 ust. 1 lit. f RODO przez okres niezbędny dla realizacji celów oraz w przypadku wyrażenia zgody na podstawie art. 6 ust. 1 lit. a RODO w celu dostarczenia treści marketingowych środkami komunikacji elektronicznej lub za pomocą urządzeń telefonicznych.

Przysługuje Ci prawo do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, jak również prawo sprzeciwu wobec przetwarzania, prawo do przenoszenia danych, a także prawo złożenia skargi do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. Podanie danych jest dobrowolne, jednak niezbędne dla realizacji powyżej wskazanych celów. Odbiorcami danych mogą być podmioty lub osoby obsługujące administratora w zakresie w zakresie hostingu, komunikatorów internetowych, usług IT, księgowości, archiwizacji. Więcej informacji w Polityce Prywatności oraz Regulaminie.

Register and test the APN Meeting Room booking system.

Registering and installing the trial version you are allowed to install the software on 3 devices.

I want to receive marketing content from A.P.N. Promise S.A. electronically
I want to receive marketing content from A.P.N. Promise S.A. by phone

The data controller of personal data collected using the form is A.P.N. Promise S.A. with its registered office in Warsaw. Contact with the person responsible for the personal data protection is possible via following e-mail address: iodo@promise.pl. The given data shall be processed to the extent necessary to carry out specified request in accordance with art. 6(1)(b) of GDPR and to the extent necessary for the correct realization of the request and offer and provision of services, own product and services marketing and conducting surveys and satisfaction ratings in accordance with art. 6(1)(f) of GDPR for the period necessary to achieve the purposes and in the event of consent in accordance with art. 6(1)(a) of the GDPR to provide marketing content by electronic means or by telephone devices.

You have the right to request access to your personal data, rectification, deletion or limitation of processing, as well as the right to object to processing, the right to transfer data and the right to lodge a complaint with a supervisory authority, i.e. the President of the Personal Data Protection Office in Poland. Providing data is voluntary but necessary for the realization of the above-mentioned purposes. Recipients of data may be entities or persons servicing the data controller in the field of hosting, instant messengers, IT services, accounting, archiving. More information in the Privacy Policy and Regulations.

Cybersecurity w obszarze zarządzania zasobami oprogramowania

Napisz do nas, a skontaktujemy się z Tobą i bezpłatnie porozmawiamy o Twoim poziomie cyberbezpieczeństwa w obszarze SAM.

 

Administratorem danych gromadzonych z wykorzystaniem formularza jest A.P.N. Promise S.A. Podane przez Ciebie dane będą przetwarzane w zakresie niezbędnym do podjęcia kontaktu lub realizacji określonego żądania zgodnie z art. 6 ust. 1 lit. b RODO przez okres niezbędny dla realizacji Twojego zgłoszenia. Wszelkie informacje w zakresie przetwarzania podanych przez Ciebie w formularzu danych oraz posiadanych uprawnieniach znajdziesz w Polityce prywatności. Kliknij i dowiedz się więcej jeżeli informacje podane powyżej nie są dostatecznie jasne!

Zostaw adres mailowy i nie przegap kolejnego szkolenia!

[contact-form-7 404 "Not Found"]