Guido ImperatoreMicrosoft Purview: Endpoint DLP Just-in-Time Protection
All’interno della community abbiamo già parlato della componente di Endpoint Data Loss Prevention di Microsoft Purview e di come essa aiuti le organizzazioni a evitare la perdita o fuga di dati aziendali verso persone non autorizzate che potrebbero poi farne un uso improprio, a tal proposito vi lascio il link con la descrizione e la guida per implementare tale funzionalità Microsoft Purview: Endpoint Data Loss Prevention (DLP) – ICT Power
Ma se i criteri non hanno completato ancora la valutazione cosa succede ai nostri dati?
In questo articolo vi spiegherò proprio questo, e come attraverso la funzionalità di Just-in-Time Protection è possibile bloccare le attività “in uscita” nei file monitorati in attesa del completamente della valutazione dei criteri di Endpoint DLP.
Just-in-time Protection (JIT) verifica e blocca queste attività degli utenti per i file protetti:
- Copia file su supporto rimovibile
- Copia file in una condivisione di rete
- Stampa di File
- Copia usando Remote Desktop Protocol (RDP)
- Copia usando un’app Bluetooth non autorizzata
- Caricamento file in un dominio di Servizio cloud
Quando JIT è abilitato per i dispositivi, tutte le attività degli utenti vengono tracciate (Audit), anche quelle degli utenti che non rientrano nell’ambito della Policy.
Le attività invece vengono “bloccate” sono per gli utenti che rientrano all’interno della Policy.
Termini di JIT
Prima di utilizzare questa funzionalità è importante familiarizzare con i seguenti termini per capirne appieno il significato:
- JIT Candidate File: Questi sono file che non sono classificati o file che sono stati classificati per l’ultima volta con una policy considerata obsoleta
- JIT Audit: per il file “candidato” JIT Endpoint DLP genera un evento in Activity Explorer dove JIT Attivato è impostato su “True” e la modalità di Enforcement su Audit.
Figura 1: Esempio di JIT True ed Enforcement Mode in Audit
In questo caso Endpoint DLP:
- non blocca l’attività dell’utente
- non genera un evento di DLP Rule Match
- non genera allarme
JIT Block: per il file “candidato” JIT, Endpoint DLP blocca l’attività e genera un evento in Activity Explorer se JIT attivato è impostato su True e la modalità di Enforcement su Block, ma non genera nessun evento di DLP Rule Match.
Figura 2: Esempio di JIT triggered True e Enforcement Mode su Block
JIT in progress notification: quando gli utenti che rientrano nel perimetro JIT tentano di eseguire un’attività su un file candidato JIT, la componente di DLP può bloccare l’attività e mostrare una notifica.
JIT evaluation complete notification: quando DLP termina la valutazione della policy per un file candidato JIT, Endpoint DLP mostra una notifica per informare l’utente.
Figura 3: Esempio di Notifica che l’utente riceve
Quali sistemi operativi sono supportati da questa funzionalità?
La funzionalità di Just-in-time Protection di Endpoint DLP è supportato solo per i seguenti sistemi operativi:
- Windows 10
- Windows 11
- macOS (solo le ultime tre versioni)
Sono presenti dei Prerequisiti per l’uso di questa funzionalità?
Si sono presenti alcuni prerequisiti che per comodità vi riporto all’interno di questo paragrafo.
Cominciamo dal punto più importante, ovvero le licenze, per sfruttare questa funzionalità è necessaria una di queste Licenze Microsoft:
- Microsoft 365 E5
- Microsoft 365 A5 (EDU)
- Microsoft 365 E5 Compliance (Add-On)
- Microsoft 365 A5 Compliance (Add-On)
- Microsoft 365 E5 Information Protection and Governance
- Microsoft 365 A5 Information Protection and Governance
Quando parliamo di licenze dobbiamo per forza di cose citare Aaron Dinnage ed il suo sito Home | M365 Maps
Nel mio caso utilizzerò una Licenza Microsoft 365 E5
È fondamentale anche che la versione anti-malware sull’Endpoint sia come minimo 4.18.23080 o successiva, inoltre per le versione datate è consigliabile disabilitare la componente di JIT con l’installazione delle seguenti KB:
- Windows 10: November 30, 2023—KB5032278 (OS Build 19045.3758) Preview – Microsoft Support
- Windows 11: December 4, 2023—KB5032288 (OS Builds 22621.2792 and 22631.2792) Preview – Microsoft Support
Per trovare tramite KQL le versioni Anti-Malware con relativa “quantità” di device è possibile eseguire queste query di ricerca
|
1 2 3 4 5 6 7 8 9 10 11 12 |
DeviceRegistryEvents | where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe" and Timestamp >= ago(60d) | summarize arg_max(Timestamp, *) by DeviceId | distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion | extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version | extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement | project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion | summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion // | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version // | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements | order by dcount_DeviceId desc |
Figure 4: Esecuzione KQL per ricerca delle versioni di anti-malware
Figure 5: Risultato della KQL appena eseguita
Per la dimostrazione di questa funzionalità io utilizzerò un client Windows 11 25H2 “AADJ-GUIDO”
Figure 6: Device utilizzato per dare evidenza di questa funzionalità
Figure 7: Versione Anti-Malware del cliente utilizzato per demo
Figure 8: Sistema Operativo del dispositivo utilizzato per demo
Figure 9: Policy DLP applicata al device che blocca la copia in RDP e la stampa dei documenti
Figure 10: Regola DLP per eseguire il match dei documenti sensibili di demo
Figure 11: Policy che non risulta ancora propagata in quanto ancora creata e quindi non bloccherebbe nessuna copia tramite RDP e stampa dei documenti che eseguono il match con la regola
Come abilito la funzionalità?
Una volta rispettati tutti i requisiti che abbiamo visto, recatevi all’interno del portale di Microsoft Purview
Figure 12: Sezione delle impostazioni relative alla componente di DLP e abilitazione della componente di just-in-time protection
Figure 12: Abilitiamo Device e click su Edit, nel mio caso per applicarla solo al mio utente oggetto di demo
Figure 13: Applico la policy solo al mio utente
Figure 14: Essendo una demo io scelto all’utente quando viene fatta evaluation del documento di completare l’azione e personalizzo il messaggio
NB: Non selezionate “Block Users from Completing Actions” se non siete sicuri di cosa questa operazione potrebbe causare, nel mio caso il consiglio è quello di configurarla come da screen per test come fosse in Audit mode e poi passare al blocco effettivo
Figure 15: Personalizzazione della notifica, potete scegliere titolo e contenuto che più sono consoni alla vostra organizzazione
Figure 16: Salvataggio della configurazione
Figure 17: Salvataggio completato correttamente
Stima numero di eventi JIT
Ora che avete abilitato la funzionalità il consiglio che posso fornirvi è quello di valutare il numero di eventi relativi alla protezione JIT con il seguente calcolo, basato sul numero degli eventi presenti in “Activity Explorer” della componente DLP:
- N: numero di dispositivi unici che eseguono il match con il JIT
- S: numero totale di dispositivi all’interno dell’ambito dell’implementazione
N/S produce una percentuale di dispositivi che potrebbero subire un evento di blocco con protezione JIT attiva.
Con queste informazioni, dovreste sapere quanti dispositivi saranno interessati dalla modalità di blocco JIT quando verrà estenso l’ambito di implementazione e quanti possibili ticket di assistenza il reparto IT dovrebbe rivere.
Nel mio caso l’ambito è solo un dispositivo essendo una demo, ma è corretto darvi evidenza di tutti gli step necessari per un’implementazione di demo su larga scala.
Esperienza lato utente finale
Quale è l’esperienza lato utente quando viene implementata questa funzionalità?
È molto importante, a mio avviso, comunicare agli utenti coinvolti dai test che possa apparire l’avviso che avrete impostato in precedenza così da informarli che alcune operazioni potrebbero essere soggette a “audit”.
Per darvi evidenza di questa funzionalità ho predisposto due file che contengono dati sensibili, che verrebbero categorizzati come sensibili tramite la policy DLP
NB: I dati presenti nei file di dimostrazioni sono frutto di pura fantasia, eventuali riferimenti a cose e persone è puramente casuale
Figure 18: File che simula dati sensibili italiani
Come abbiamo visto prima, la policy DLP è in stato di Sync e quindi le due attività di blocco copia in RDP e la stampa del documento sarebbero possibili, ma grazie alla funzionalità di JIT l’utente verrà avvisato che questa operazione non sarebbe permessa e l’attività viene visualizzata all’interno dell’activity Explorer.
Ora procediamo a copiare questo file all’interno di una sessione RDP
Figura 19: Copiamo il file
Figura 20: Incolliamo il documento in una sessione di Remote Desktop
Figura 21: Messaggio di Evaluation che compare all’utente nonostante la Policy di DLP risulti ancora in Synced
Ora proviamo la stessa cosa con la stampa del documento
Figura 22: Stampa del documento
Figura 23: Anche in questo caso compare la schermata di avviso all’utente
Anche all’interno dell’Activity Explorer l’attività viene correttamente tracciata
Figura 4: Attività di JIT che viene correttamente tracciata
Conclusioni
La funzionalità Just-In-Time (JIT) Protection di Microsoft Purview DLP consente di applicare le policy di protezione dei dati in modo dinamico e contestuale, intervenendo solo quando si verifica un reale rischio di perdita delle informazioni. Questo approccio permette di migliorare la sicurezza riducendo al minimo l’impatto sull’operatività degli utenti. Grazie a JIT Protection, le organizzazioni possono prevenire la perdita di dati sensibili in tempo reale, aumentare la consapevolezza degli utenti e adottare una strategia di sicurezza più moderna, flessibile ed efficace.