Configurare Endpoint Data Loss Prevention in Microsoft 365

La funzionalità di Endpoint Data Loss Prevention (DLP) è la componente della suite Microsoft 365 che ci permette di individuare e proteggere i dati sensibili sui computer degli utenti e di prevenirne la condivisione accidentale.

Il Data Loss Prevention, in termini generali, è un insieme di funzionalità atte a scoprire e, quando possibile, limitare i comportamenti rischiosi degli utenti che potrebbero portare ad una perdita di dati
importanti. In Microsoft 365 il DLP è implementato all’interno di un insieme di tecnologie chiamato Microsoft Information Protection (MIP) Framework di cui abbiamo già parlato in articoli precedenti e dei quali vi consiglio la lettura per avere una comprensione migliore del contesto:

Tipi di file e azioni supportate da Endpoint DLP

Endpoint DLP è in grado di monitorare le seguenti tipologie di file:

  • Word files
  • PowerPoint files
  • Excel files
  • PDF files
  • .csv files
  • .tsv files
  • .txt files
  • .rtf files
  • .c files
  • .class files
  • .cpp files
  • .cs files
  • .h files
  • .java files

Il monitoraggio avviene secondo il tipo MIME del contenuto del file, pertanto non è sufficiente rinominare l’estensione del file per sfuggire al DLP.

Le azioni che vengono monitorate, ed eventualmente bloccate, dalla soluzione DLP sono le seguenti:

Attività Descrizione Monitoraggio/Restrizioni
Caricamento verso un servizio cloud o accesso da parte di un browser non autorizzato Rileva quando un utente tenta di caricare un elemento in un dominio non consentito o di accedere a un elemento tramite un browser. Se viene utilizzato un browser elencato in DLP come browser non consentito, l’attività di caricamento verrà bloccata e l’utente verrà invitato all’utilizzo di Edge Chromium. Edge Chromium consentirà quindi o bloccherà il caricamento o l’accesso in base alla configurazione dei criteri DLP Monitorabile e bloccabile
Copia verso una app bloccata Rileva quando un utente tenta di copiare informazioni da un elemento protetto e quindi incollarle in un’altra app, processo o elemento. Il copia e incolla delle informazioni all’interno della stessa app, processo o elemento non viene rilevato. Monitorabile e bloccabile
Copia su support USB Rileva quando un utente tenta di copiare un elemento o informazioni su supporti rimovibili o dispositivi USB. Monitorabile e bloccabile
Copia su percorso di rete Rileva quando un utente tenta di copiare un elemento in una condivisione di rete o in un’unità di rete mappata. Monitorabile e bloccabile
Stampa del documento Rileva quando un utente tenta di stampare un elemento protetto su una stampante locale o di rete. Monitorabile e bloccabile
Copia verso una sessione RDS Rileva quando un utente tenta di copiare un elemento in una sessione desktop remoto. Monitorabile e bloccabile
Copia verso un dispositivo Bluetooth Rileva quando un utente tenta di copiare un elemento in un’app Bluetooth non consentita. Monitorabile e bloccabile
Creazione di un documento Rileva quando un utente crea un documento. Monitorabile
Rinomina di un documento Rileva quando un utente rinomina un documento. Monitorabile

Prerequisiti per Endpoint DLP

Endpoint DLP è una funzionalità disponibile solo nelle licenze Enterprise più complete:

  • Microsoft 365 E5
  • Microsoft 365 A5 (EDU)

Se si dispone di un tenant licenziato solamente con la E3 è possibile utilizzare questi Add-On per coprire la mancanza di licenza:

  • Microsoft 365 E5 compliance
  • Microsoft 365 A5 compliance
  • Microsoft 365 E5 information protection and governance
  • Microsoft 365 A5 information protection and governance

Endpoint DLP non richiede l’installazione di software aggiuntivi sui computer in quanto è integrato con Microsoft Defender for Endpoint (il nuovo nome di Windows Defender ATP), quindi il motore antivirus deve essere abilitato ed in active mode. Di conseguenza, Endpoint DLP non è compatibile se sul sistema sono in esecuzione soluzioni anti-malware di terza parte ed il Defender è in passive mode.
Pertanto i dispositivi devono essere collegati a Microsoft Defender for Endpoint.

Una volta verificato questo prerequisito sarà sufficiente aprire il Compliance Center tramite il link https://compliance.microsoft.com/ e andare su Settings -> Device onboarding e premere “Enable Device Monitoring“. Una volta fatto ciò Microsoft Defender for Endpoint inizierà ad inviare i segnali al motore DLP.
I devices configurati correttamente verranno marcati come tali.

Figura 1 – Abilitare Device Monitoring per MDE

Il dispositivo
deve essere Azure AD Joined oppure Hybrid Azure AD Joined. Questi sono gli stati normali in cui un dispositivo deve trovarsi se è in esecuzione una infrastruttura cloud-only oppure hybrid. Purtroppo, vediamo troppo spesso che il discorso sulle Device Identity in Azure AD viene disatteso. Per avere chiarezza su questa tematica, vi consiglio la lettura di questo articolo: Dispositivi Azure AD Joined, Hybrid Azure AD Joined e Azure AD Registered.

Il browser
deve essere Edge Chromium, il vecchio Edge Legacy basato sul motore EdgeHTML ha terminato il supporto il 9 Marzo 2021 e il 13 aprile 2021 verrà rimosso da qualsiasi sistema Windows 10 tramite un Cumulative Update per essere sostituito dal nuovo Edge Chromium.

La versione di Office installata deve essere quella Click-to-Run e deve essere aggiornata, seguendo la Modern Lifecycle Policy. Dovete quindi utilizzare quella più recente se siete sul canale mensile (quello predefinito), oppure quelle supportate nel canale Enterprise. In ogni caso la versione deve essere successiva alla 2009 (circa settembre 2020).

Come regola generale, tutti i componenti sopra descritti devono essere aggiornati alla versione corrente, la versione minima di Windows 10 deve essere la 1809 a patto che sia aggiornata.

Verificare che gli Endpoint stiano inviando i segnali a Microsoft Defender

Portarsi sul Compliance Center tramite il link https://compliance.microsoft.com/ e andare su Data Classification -> Activity Explorer, a questo punto se filtrando per Location troveremo “Endpoint devices” vorrà dire che i segnali provenienti dal Microsoft Defender for Endpoint vengono correttamente inviati e processati.

Figura 2 – Data Classification \ Activity Explorer

Configurare Endpoint DLP

Come prima cosa, è necessario configurare le impostazioni globali del servizio. Per fare ciò è sufficiente andare su Data loss prevention -> Endpoint DLP settings.

Nella Figura 3 ho escluso i percorsi temporanei di Windows perché sono fonte di molto rumore di fondo (salvataggi automatici di Office, copie cache…). Ogni azienda avrà esigenze differente ma ricordate che il primo scopo del DLP è quello di educare gli utenti a comportamenti corretti, nella gestione di dati sensibili. Se una persona ha intenzioni maligne nessuna soluzione DLP potrà mai fermarlo.

Figura 3 – Impostazioni globali DLP / Esclusioni path

In questo esempio ho deciso di bloccare l’utilizzo di Notepad++ per l’apertura di files sensibili

Figura 4 – Impostazioni globali DLP / Blocco Notepad++

Proseguite personalizzando il servizio secondo le necessità. Una volta terminato, è possibile creare la prima policy Endpoint DLP. Per fare ciò, portarsi sulla tab Policies e creare una policy personalizzata.

Figura 5 – Creare una policy personalizzata

Assegnare un nome ed una descrizione alla policy che si sta creando

Figura 6 – Assegnare un nome alla policy

Per assegnare la policy ai device Windows 10, selezionare Devices e decidere quali dispositivi dovranno ricevere la policy, è anche possibile assegnare la policy a gruppi (di Azure AD) di devices

Figura 7 – Selezione opzione Devices

Proseguiremo creando le regole della policy con l’editor avanzato

Figura 8 – Crea delle regole avanzate

Una singola policy può avere più regole. Nelle prossime immagini creeremo una regola che ha le seguenti caratteristiche:

  • Se il documento ha assegnato una Sensitivity Label = “Highly Confidential/*” (Figura 9)

Figura 9 – Condizioni della regola

  • Allora esegui le seguenti azioni (Figura10):
    • Blocca ma consenti l’override al caricamento in cloud
    • Esegui il monitoraggio della copia delle informazioni nell clipboard di Windows
    • Blocca ma consenti l’override alla copia su dispositivo USB
    • Blocca ma consenti l’override alla copia su percorso di rete
    • Blocca ma consenti l’override all’accesso da app
      non consentite
    • Blocca ma consenti l’override alla stampa del documento
    • Blocca ma consenti l’override al trasferimento via Bluetooth
    • Blocca ma consenti l’override al trasferimento via Remote Desktop Services

Figura 10 – Azioni regola

  • Notifica all’utente che l’azione che sta intraprendendo è vietata (Figura 11, riquadro User notifications)
  • Permetti all’utente di eseguire lo stesso l’azione, fornendo una giustificazione (Figura 11, riquadro User overrides)

Figura 11 – Usre notifications / overrides

Infine, decidere se si vuole abilitare subito la policy oppure distribuirla in modalità di prova. Se distribuita nella modalità di prova la policy creerà eventi di auditing ma non provvederà a bloccare l’azione.

Nota: Ad oggi, fine marzo 2021, i policy tips non sembrano venire mostrati mentre la policy è in modalità di test. Questo solamente per quanto riguarda la funzionalità Endpoint DLP, per le altre funzionalità DLP vengono mostrati regolarmente.

Figura 12 – Modalità di distribuzione della policy

Una volta creata la policy, se si sceglierà di creare la policy in modalità di test, degli eventi di Auditing verranno registrati nei canali crimson di Windows dedicati al Defender…. (Figura 13)

Nota: ad oggi la funzionalità di logging nei canali Windows non è documentata, ma era prevedibile aspettarselo in quanto è il Defender, come già detto, a fare l’enforcement delle regole lato client ed ha un logging piuttosto ricco.

Figura 13 – Crimson event logging

…. Ed inviati all’Activity
explorer per essere consultati ed eventualmente raffinare la policy appena creata

Figura 14 – Activity explorer

Se invece procediamo ad abilitare la policy, le azioni configurate in essa produrranno degli effetti in base alla configurazione effettuata

Figura 15 – Abilitazione policy

Ad esempio, se cercheremo di copiare su un supporto USB un documento con una Sensitivity Label che rientra tra quelle presenti nelle condizioni della policy, l’azione verrà bloccata.
Siccome in questo particolare esempio abbiamo concesso l’override agli utenti, una notifica apparirà nell’Action Center di Windows e avranno l’opportunità di proseguire con la copia, tentandola nuovamente.

Figura 16 – Notifica DLP

Ovviamente l’evento di blocco sarà registrato nell’Activity Explorer dove sarà consultabile.

Figura 17 – Evento di Auditing

Così come viene registrato l’evento di bypass che l’utente è in grado di eseguire (in base a questa configurazione), quando viene concesso l’override

Figura 18 – Rule Bypass

Come ultima dimostrazione, vogliamo provare la funzionalità DLP integrata in Edge Chromium. Basterà configurare le “Browser and domain restrictions” in maniera adeguata.
Ad esempio possiamo decidere quali browser non sono autorizzati ad accedere alle informazioni riservate: in questo caso non abbiamo ristretto alcun browser in quanto sui computer degli utenti non sono presenti altri browser oltre ad Edge. È in Public Preview una funzionalità che ci permetterà, tramite un plugin, di estendere le stesse funzionalità di Edge a Chrome.

Possiamo ora passare alla configurazione dei “Service domains“, questi sono i domini verso i quali è autorizzato l’upload di un file classificato.
In questo caso abbiamo deciso di utilizzare un approccio “whitelist” per cui solo gli endpoint di Microsoft 365 (Office e SharePoint Online, nello specifico) sono consentiti. È possibile adottare l’approccio inverso ed utilizzare la lista in modalità “blacklist“, ovverosia restringendo solamente alcuni domini.

Figura 19 – Browser restriction

L’attività di upload di un file classificato verso un dominio non consentito, come in questo caso un account Outlook personale, verrà impedita.

Figura 20 – Upload verso Outlook personale

Così come per ogni altra attività, verrà generato un evento di auditing nell’Activity explorer

Figura 21 – Copia verso cloud / Activity explorer

Conclusioni

Abbiamo esplorato alcune delle funzionalità di Endpoint DLP. Con questa aggiunta il Microsoft Information Protection Framework sta diventando una soluzione davvero interessante.

Fino ad ora le Organizzazioni che necessitavano di questa funzionalità dovevano per forza rivolgersi ad un fornitore terzo, con tutto quello che ne consegue:

  • un prodotto in più da imparare con interfacce differenti da quanto si è abituati
  • senza PowerShell o possibilità di integrazione con gli automatismi già in essere (Endpoint DLP si gestisce tramite il modulo PowerShell del Security & Compliance)
  • che necessita di un agent aggiuntivo sugli endpoint per poter funzionare con tutte e considerazioni di manutenzione e performance correlate (Endpoint DLP non necessita di agent aggiuntivi ed è già integrato nell’ecosistema Windows)
  • altri costi di licenza e di gestione

Tutti questi sono aspetti da non sottovalutare: l’omogeneità di una suite integrata rispetto ad una miscela di prodotti disomogenea porta notevolissimi vantaggi in termini di tempo, risparmio di soldi e aumentata produttività di utenti e amministratori.

Un’ultima, importante, nota: i sistemi DLP sono pensati per prevenire le perdite accidentali di dati e per promuovere tra gli utenti abitudini corrette nella gestione dei dati sensibili. Nessun sistema DLP potrà mai fare qualcosa contro un utente davvero malintenzionato; lì ci sono altri accorgimenti (ad esempio una cultura aziendale adeguata) per evitare di arrivare a questa spiacevole ed estrema situazione.