Microsoft Purview: Data Loss Prevention (DLP)

Data Loss Prevention (DLP) è la funzionalità che permette di evia perdita o fuga di dati aziendali verso persone non autorizzate che potrebbero farne poi un uso improprio.

Questa funzionalità è parte integrante della suite di Microsoft Purview, e consente di monitorare i dati aziendali, anche quelli messi a disposizione sugli storage cloud di SharePoint Online, OneDrive e Microsoft Teams, ma anche all’interno delle E-mail in hosting su Exchange Online. La funzionalità di DLP segue il dato indipendentemente da dove esso si trovi, e questo al giorno d’oggi è un Must per le organizzazioni che sempre più spesso hanno dipendenti che lavorano in mobilità.

Esiste anche una parte relativa agli Endpoint, che è stata oggetto di un articolo per la community di cui vi riporto il link Microsoft Purview: Endpoint Data Loss Prevention (DLP) – ICT Power

Le funzionalità di DLP vengono utilizzate dalle organizzazioni per proteggere i propri dati aziendali come:

  • Dati Finanziari
  • Dati di Proprietà
  • Dati di Carte di Credito
  • Cartelle Cliniche dei dipendenti
  • Numeri di Previdenza Sociali

Per proteggere questi dati e ridurre il rischio di condivisione impropria, le organizzazioni hanno quindi bisogno di una funzionalità o di un servizio che riconosca in modo preventivo questa tipologia di informazioni e ne blocchi la condivisione, Microsoft Purview: DLP ha proprio questa funzionalità.

All’interno di questo articolo vedremo insieme l’applicazione di questo servizio per i seguenti Workload di Microsoft 365

  • Microsoft Teams
  • Exchange Online
  • SharePoint Online
  • OneDrive for Business

Microsoft Purview al proprio interno ha tre pillar fondamentali:

  • Data Security
  • Data Governance
  • Risk & Compliance

Figura 1: Workload di Microsoft Purview con i tre pillar fondamentali

Licenze

Per poter accedere alle funzionalità di Microsoft Purview: Data Loss Prevention (DLP)

  • Microsoft 365 E5
  • Microsoft 365 A5 (EDU)
  • Microsoft 365 E5 compliance
  • Microsoft 365 A5 compliance
  • Microsoft 365 E5 information protection and governance
  • Microsoft 365 A5 information protection and governance

Come sempre per eventuali approfondimenti relativi alle licenze Microsoft vi riporto il sito di Aaron Dinnage Home | M365 Maps

Le licenze Microsoft sono sempre molto complesse da identificare, ma il buon Aaron ha svolto veramente un lavoro esemplare per semplificarci la vita nell’identificare le licenze più adatte alle nostre esigenze.

Svolgimento

Per darvi evidenza del funzionamento di questo servizio di Microsoft Purview, avrò a disposizione una macchina virtuale, che simulerà il pc di un utente (Windows 11 24H2), un tenant Microsoft 365 con licenze Microsoft 365 E5 Microsoft 365 E5 | M365 Maps ed un utente chiamato “Demo User”

Figura 2: Macchina Virtuale che simula il dispositivo laptop dell’utente di un’organizzazione

Figura 3: Licenze Microsoft 365 E5 all’interno del tenant per sfruttare le funzionalità di Microsoft Purview DLP

Figura 4: Utente “Demo User” utilizzato per simulare il comportante di un utente all’interno dell’organizzazione

Ora come primo passaggio recatevi all’interno del portale di Microsoft Purview

Figura 5: Accesso al portale di Microsoft Purview con richiesta di accedere al nuovo portale o al portale Legacy

Figura 6: Scegliamo di rimanere all’interno del nuovo portale in quando Microsoft eliminerà a breve il portale Legacy

Figura 7: Accediamo alla sezione di Data Loss Prevention del portale di Microsoft Purview

Figura 8: Creazione Policy di DLP all’interno del portale di Microsoft Purview

Microsoft, all’interno del portale mette a disposizione delle regole DLP già preimpostate relative al GDPR

Figura 9: Scegliamo di applicare le policy DLP di default relative al GDPR

Giusto per darvi evidenza vi riporto la tipologia di informazioni che vengono censite con la policy GDPR

  • Business – HR
  • Business – Tax
  • Health/Medical Forms
  • Employee disciplinary action files
  • Invoice
  • Business – Healthcare
  • Legal Affairs
  • Agreements
  • Austria Physical Addresses
  • Belgium Physical Addresses
  • Bulgaria Physical Addresses
  • Croatia Physical Addresses
  • Cyprus Physical Addresses
  • Czech Republic Physical Addresses
  • Denmark Physical Addresses
  • Estonia Physical Addresses
  • Finland Physical Addresses
  • France Physical Addresses
  • Germany Physical Addresses
  • Greece Physical Addresses
  • Hungary Physical Addresses
  • Ireland Physical Addresses
  • Italy Physical Addresses
  • Latvia Physical Addresses
  • Lithuania Physical Addresses
  • Luxembourg Physical Addresses
  • Malta Physical Addresses
  • Netherlands Physical Addresses
  • Poland Physical Addresses
  • Portuguese Physical Addresses
  • Romania Physical Addresses
  • Slovakia Physical Addresses
  • Slovenia Physical Addresses
  • Spain Physical Addresses
  • Sweden Physical Addresses
  • Austria Social Security Number
  • France Social Security Number (INSEE)
  • Greece Social Security Number (AMKA)
  • Hungarian Social Security Number (TAJ)
  • Spain Social Security Number (SSN)
  • Austria Identity Card
  • Cyprus Identity Card
  • Germany Identity Card Number
  • Malta Identity Card Number
  • France National ID Card (CNI)
  • Greece National ID Card
  • Finland National ID
  • Poland National ID (PESEL)
  • Sweden National ID
  • Croatia Personal Identification (OIB) Number
  • Czech Personal Identity Number
  • Denmark Personal Identification Number
  • Estonia Personal Identification Code
  • Hungary Personal Identification Number
  • Luxemburg National Identification Number (Natural persons)
  • Luxemburg National Identification Number (Non-natural persons)
  • Italy Fiscal Code
  • Latvia Personal Code
  • Lithuania Personal Code
  • Romania Personal Numerical Code (CNP)
  • Netherlands Citizen’s Service (BSN) Number
  • Ireland Personal Public Service (PPS) Number
  • Bulgaria Uniform Civil Number
  • Belgium National Number
  • Spain DNI
  • Slovenia Unique Master Citizen Number
  • Slovakia Personal Number
  • Portugal Citizen Card Number
  • Malta Tax ID Number
  • Austria Tax Identification Number
  • Cyprus Tax Identification Number
  • France Tax Identification Number (numéro SPI.)
  • Germany Tax Identification Number
  • Greek Tax identification Number
  • Hungary Tax identification Number
  • Netherlands Tax Identification Number
  • Poland Tax Identification Number
  • Portugal Tax Identification Number
  • Slovenia Tax Identification Number
  • Spain Tax Identification Number
  • Sweden Tax Identification Number
  • Austria Driver’s License
  • Belgium Driver’s License Number
  • Bulgaria Driver’s License Number
  • Croatia Driver’s License Number
  • Cyprus Driver’s License Number
  • Czech Driver’s License Number
  • Denmark Driver’s License Number
  • Estonia Driver’s License Number
  • Finland Driver’s License Number
  • France Driver’s License Number
  • German Driver’s License Number
  • Greece Driver’s License Number
  • Hungary Driver’s License Number
  • Ireland Driver’s License Number
  • Italy Driver’s License Number
  • Latvia Driver’s License Number
  • Lithuania Driver’s License Number
  • Luxemburg Driver’s License Number
  • Malta Driver’s License Number
  • Netherlands Driver’s License Number
  • Poland Driver’s License Number
  • Portugal Driver’s License Number
  • Romania Driver’s License Number
  • Slovakia Driver’s License Number
  • Slovenia Driver’s License Number
  • Spain Driver’s License Number
  • Sweden Driver’s License Number
  • Austria Passport Number
  • Belgium Passport Number
  • Bulgaria Passport Number
  • Croatia Passport Number
  • Cyprus Passport Number
  • Czech Republic Passport Number
  • Denmark Passport Number
  • Estonia Passport Number
  • Finland Passport Number
  • France Passport Number
  • German Passport Number
  • Greece Passport Number
  • Hungary Passport Number
  • Ireland Passport Number
  • Italy Passport Number
  • Latvia Passport Number
  • Lithuania Passport Number
  • Luxemburg Passport Number
  • Malta Passport Number
  • Netherlands Passport Number
  • Poland Passport
  • Portugal Passport Number
  • Romania Passport Number
  • Slovakia Passport Number
  • Slovenia Passport Number
  • Spain Passport Number
  • Sweden Passport Number
  • EU Debit Card Number
  • All Full Names

Come avete potuto notare le informazioni relativi al GDPR Europeo che vengono intercettate sono veramente molte quindi in questo modo potete rispettare tutte le leggi della Nazione in cui risiede la vostra organizzazione.

Figura 10: Il sistema popola già Nome e descrizione se partiamo da un template, che nel nostro caso è quello relativo al GDPR, possiamo modificarli ma io lascio tutto come di Default

Figura 11: Assegniamo la policy a tutte le Admin Unit (in quanto vogliamo applicarla a tutti e non restringere la policy solo ad un subset di utenti)

Figura 12: Selezioniamo i Workload Microsoft a cui applicare la policy, nel mio caso Exchange, SharePoint , OneDrive e Teams

Ora modifichiamo la parte relativa ad Exchange Online per selezionare solo l’utente demo

Figura 13: Modifichiamo lo “Scope” relativo ad Exchange Online

Figura 14: Selezioniamo il gruppo in cui sono presenti gli utenti, nel mio caso IntuneUsers_Demo in cui è presente l’utente Demo User

Figura 15: Gruppo con all’interno l’utente di demo a cui applicare la policy DLP

Ora procediamo con configurare la sezione relativa a SharePoint Online

Figura 16: Modifichiamo lo “Scope” relativo a SharePoint Online

Figura 17: Selezioniamo il sito di SharePoint a cui applicare la policy, nel mio caso quello relativo al SOC

Ora procediamo con l’ulteriore Workload quello relativo a OneDrive modificando lo “Scope”

Figura 18: Modifichiamo lo “Scope” relativo al servizio di OneDrive per selezionare quello relativo all’utente di Demo

Figura 19: Selezioniamo OneDrive dell’utente Demo User

Figura 20: Modifichiamo il Workload relativo a Microsoft Teams selezionando il Teams a cui applicare la policy

Figura 21: Selezione del Team a cui applicare la policy DLP, nel mio caso SOC-Tech-Cloud

Figura 22: Proseguiamo con la configurazione dopo aver configurato tutti i Servizi Microsoft a cui applicare la policy

Figura 23: Scegliamo di eseguire una Review partendo dalle impostazioni del template selezionato

Figura 24: Selezioniamo di eseguire il Detect delle informazioni solo quando vengono condivise verso l’esterno

Figura 25: Selezioniamo le azioni di Protezione, nel mio caso seleziono di inviare un report via mail e generare un Alert ogni volta che viene eseguito il Match della regola

Figura 26: Scegliamo quali azioni intraprendere quando viene eseguito il match della regola, nel mio caso scelgo che non è possibile condividere i documenti verso l’esterno dell’organizzazione

Ora avrete l’opportunità di scegliere 3 modalità differenti di applicazione della policy:

  • Simulation Mode: utilizzata per valutare l’impatto della policy all’interno del sistema, è estremamente consigliato in fase di startup della soluzione di utilizzare questa modalità per testarne l’efficacia
  • On: la policy è effettiva subito dopo il salvataggio, consigliata dopo aver testato la Simulation Mode
  • Off: La policy viene salvata ma non attivata

Io utilizzerò la modalità ON per darvi evidenza subito di come si comporta

Figura 27: Selezioniamo di Abilitare la Policy subito dopo la creazione, eventualmente per test vi consiglio di abilitarla in Simulation Mode per verificarne il corretto funzionamento

Figura 28: Review della configurazione e salvataggio

Figura 29: Policy creata nel modo corretto

È bene specificare che una volta creata la policy impiega fino a 7 giorni per essere effettiva, nel mio caso invece ho atteso circa due ore.

Ora vi mostro cosa accade lato Microsoft Teams se tentiamo di inviare un codice fiscale verso l’esterno dell’organizzazione, lo farò da Teams Web e Teams Mobile per darvi evidenza che la funzionalità è attiva da qualsiasi tipologia di dispositivo perché segue l’utente.

NB: Simuleremo l’invio di un codice fiscale ed i nomi, cognomi, data di nascita e Luogo e codice fiscale sono frutti di fantasia e coincidenze con persone reali sono pura casualità


Figura 30: Accesso a Microsoft Teams Web con Account Demo che sta scrivendo con un account esterno gmail

Figura 31: Regola DLP che è intervenuta ad ha bloccato il contenuto

Figura 32: Cliccando su “What can i Do?” l’utente viene avvisato del motivo del blocco

Ora Demo User invia un codice fiscale (di pura fantasia ogni riferimento a cose o persone realmente esistiti è puramente casuale)

Figura 33: Invio del codice fiscale ad un dominio esterno

Inoltre, visto che nella policy DLP era previsto anche di bloccare codici fiscali Italiani all’interno dei canali, vi riporto il comportamento se viene scritto appunto un codice fiscale all’interno di un canale

Figura 34: Invio Codice Fiscale Italiano bloccato per la policy DLP all’interno del canale Teams Web

Figura 35: L’utente viene informato della motivazione del blocco, in questo caso perché è stato rilevato un codice fiscale italiano

Figura 36: Amministratore che viene informato via email del match della regola e quindi della possibile esfiltrazione di dati sensibili

Ma la funzionalità è attiva anche per le App Mobile?

La risposta è Sì e vi mostro la stessa operazione ma legata a Teams Mobile, nel mio caso for iOS

Figura 37: Da Teams for iOS mando un codice fiscale ad un utente esterno

Figura 38: Regola DLP che blocca l’invio del codice fiscale all’esterno dell’organizzazione

Figura 39: Dettaglio del messaggio bloccato per la policy DLP

Lato Exchange Online invece vediamo il comportamento

Figura 40: Inviamo una mail verso account gmail con un codice fiscale all’interno

Figura 41: Mail di NDR ricevuta dal mittente che lo informa del mancato recapito per la policy DLP

Figura 42: Status Code che ci informa che è stata appunto applicata una policy DLP

Figura 43: Mail che ricevono gli amministratori quando viene eseguito il match della regola

Per quanto riguarda invece OneDrive e Sharepoint Online il sistema esegue una scansione e fornisce i risultati, in modo tale da darvi evidenza dei documenti che contengono informazioni sensibili:

Figura 44: Alert che fornisce evidenza della presenza del documento in Onedrive il quale contiene informazioni sensibili, in questo caso un codice fiscale

Conclusioni

Come avete potuto notare con veramente poche configurazioni a livello amministrativo, potete fornire ai vostri utenti, gli stessi strumenti che utilizzano nella quotidianità, ma con funzionalità di sicurezza avanzate.

Microsoft Purview DLP applicato ai dati che risiedono negli storage cloud e all’interno delle e-mail evita spiacevoli inconvenienti, come and esempio condivisioni di dati sensibili nel rispetto di politiche, nel nostro caso GDPR, che se non rispettate potrebbero portarvi a sanzioni amministrative importanti.

Avere nella propria organizzazione un servizio DLP è veramente diventato un Must, senza di esso potrebbero fuoriuscire dati sensibili dell’organizzazione ed essere utilizzati ad esempio dalla concorrenza.

Cosa aspettate a testare Microsoft Purview DLP?