Office365安全与合规--数据防丢失保护（二）--创建DLP（基本设置）

上一章我们讨论了DLP存在的意义和基本概念，这一张着重介绍如何创建DLP，使用基本设置

注：微软在推送Preview版本的安全与合规中心的页面（Security and Compliance Center,简称SCC），这里不用新版页面做演示。如果你已经更新到新版，那么请使用–protection.office.com 这个页面登陆。

直接点击创建策略即可
首先会让我们选择一个模板，或者自定义，这里我们选择Financial里的U.S. Financial Data(美国财政数据)
我们可以看到右边的说明，保护的信息包括了
1.信用卡号码
2.银行账号
3.ABA路由编号

第二步的名称和描述我们就不演示了，起个名字就好，描述是可选的。但是如果你是生产环境一定要注意命名和描述，不然策略多了不容易区分开来策略。

下一步是选择在什么服务里部署DLP，之前我们建议过最好在所有的服务里都部署同样的策略。但是也看一些情况：
1.比如你的策略是针对分享给外部用户的情况，但是在SharePoint Online里你禁用了外部分享，那么就没必要部署给SharePoint Online了。
2.又比如财务部门的数据都是很敏感的，那么你可以单独对财务部门的邮件组，站点，Team进行监管
等等这些情况要自己判断，作为前期规划和测试阶段，我们建议是部署到全部的服务里，然后根据每周/每月的报告来调试，假设这个U.S. Financial Data在月度报告中出现次数特别少，而且还是Low Priority（后面会讲到）的，那么就可以考虑删除掉这条DLP了。

接下来是选择保护内容类型：
分为
1.基本设置和高级设置
2.针对内部还是外部人员
这一章节我们讨论基本设置，高级设置在下一章讨论

点击编辑按钮：
这里稍微有点儿学问，我们先来看 以上任一 和 以上全部。这就是一个简单的and 和 or的表达式，要么全都出现才触发，要么出现一个就触发，显然以上全部是比较难满足的。

然后我们来看敏感信息类型，这里出现了模板中默认的三个，可以删除，也可以添加。选择添加的话就是选择敏感信息类型或者保留标签。

敏感信息类型，安全与合规中心里有默认的几十个可供选择，也可以自定义，下一章我们讨论如何自定义。
注：这里显示了106个，但是很多个是我自定义的，所以实际默认没有106个。只有显示发布者是Microsoft Corporation是默认的

我们就使用默认的那三个，不添加额外。
现在来看这个匹配准确性：
最早叫Match Accuracy，现在较Confidence Level。

微软起的这个名字确实高大上了点儿，但是可能不大方便理解。匹配准确性还是比较好理解的，就是最小85%匹配，Office 365 就认为这个文件符合了策略，默认最大100%一致。所以，最小值改的越小，出现警报的可能性就越高，最大值建议保留。但是最小值是需要实际运行一段时间才能知道怎么设置的，测试的时候建议设的稍微低一些，比如10呀，20，但是无法设置为0。

重点来了，DLP怎么计算/推理/认为这条消息，或者文件包含的内容是百分之多少的匹配呢？
通过两点：
1.关键字
2.常用表达式

我们这里不用信用卡，用大陆身份证来举例子：
身份证里我们主要想保护的信息肯定是身份证号，假设如下：
460321196508064439
常用表达式
1.这是一个18位数字，这就算一个规律，如果出现19位的，12为的，那么就不算身份证号
2.前六位是地址码，这个是可以知道的，毕竟人事部档案里有每个人的户口信息
3. 我们知道这里是会包含一个生日的，也就是这里的19650806 1965年8月6号生日：
A:现在最大的也因该1955年生的吧，18XX的肯定不可能了
B.月份上来说，也只有1到12的可能
C.日期也只有1到31
4. 15，16位是派出所代码，17为是区分男女的，18位是一个随机数。后面的4位就太详细了。
关键字
身份证上肯定有的信息就是，名字，户口所在地，祖籍
1.名字是很难预测的
2.户口所在地肯定包含的字我们可以列出来，无非就是 市，县，区，弄，路，号这些
3.祖籍范围也太广
以上的信息已经足够我们分析出来一条信息里是否包含身份证信息了。
那么这个百分比是如何匹配的，假设现在就这条信息里就包含一个18位数字，无关键字信息
123456789123456789
这个算是百分之几匹配呢? 前六位查询没有这个区域，7891，也就91匹配，2345，不可能有这个日期，后面四位不在我们的设置范围内，无法推论。那么也就2个数字匹配了，差不多11%的匹配程度。非常低。

接下来看 添加组 这个选项。这个其实跟添加 敏感信息或保留标签 是一样的，只不过单独列出来一块而已，方便分类。有可能我这条策略是世界财政信息，那么除了美国的银行卡，我还需要英国的，澳大利亚的，中国的等等。当然这个也是一个 与 或的选择。

继续点击下一步，策略设置，也就是具体操作

这一步主要是：
1.通不通知用户，通知哪些用户（可自定义邮件提示和邮件）
2.检测到几个敏感信息然后采取操作
3.限制还是加密内容？（加密针对Exchange Online）
通知谁还有自定义模板和提示这些我就不多介绍了，非常容易理解：

一般通知的肯定是IT，策略提示里建议加一条公司规章制度的链接。
检测到多少条敏感信息这个，我们建议勾上，值越小肯定出现率越高，一样根据实际情况而定。测试的时候可以就改成1.
这条意思就是比如银行卡号码在这封附件里出现了1次，我就采取发送邮件给管理员，加密/阻止邮件发送等等操作，改成10就是如果出现10次，执行下面的操作。

这里包含的发送报告的东西太多了，建议就留管理员组的邮箱，用户的都不要填，除非是选择了禁止发送，那么要通知用户为什么拒绝他/她的邮件。

邮件里显示什么信息，现在做演示，测试的时候可以都勾上。
这一章第三个重点来了：

1.阻止代表着，邮件发不出去，会有退信。在SharePoint里的文件分享给外部用户时会报错
2.加密，使用的是Azure Information Protection。这个必须有单独的许可证或者有Enterprise 5的许可证才能设置。具体的设置较为复杂，需要配合 标签（Label）然后在Azure里去设置。不在我们这一章的范围内，后面章节会讲。
简单来说就是，如果我把这封邮件列为 “机密” 那么只有特定的一些人（当然也是策略里定义好的）可以有指定的权限（读写，打印等等），其他人只有只读权限，无法修改或者打印等其他操作。

倒数第二步，如果选择的是阻止，那么这一步就是定义访问和重写权限：

阻止，是阻止所有人还是只阻止外部人员？
收到策略提示（也可以理解为警告）的人，允许他们提供理由来重写吗？
这两者都看情况，还是那句话，测试阶段，我们允许重写。这样可以学习办公模式，方便修改策略。
后期对特别敏感的信息，是否允许重写要跟部门的负责人确认。

最后一步，选择是否启用这条策略：

分为：
1.启用
2.试用
3.不用
三者可以后面互相切换，试用是最好的，可以学习这条策略在实际环境中的情况来做更改，也起到对用户的一个教育做用。

这里碰到的提的最多的问题就是，启用后多久会生效？
答：不会立即生效，至少要1小时候。保险的话等大约2，3个小时。这是策略会生效但是报告是不会显示出来的，今天触发的策略，只有明天的报告中才能看到。可能你会碰到，测试发邮件，收到了退信，管理员也受到了DLP的触发邮件，但是最终用户没有看到策略提示。这个不着急，就说明还是需要等等
在SharePoint/OneDrive/Teams里也是一样，等几个小时再来看。

下一章我们来看效果。