Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Microsoft Purview-Netzwerkdatensicherheit unterstützt Organisationen beim Überwachen, Klassifizieren und Anwenden von Schutzmaßnahmen auf nicht verwalteten und nicht vertrauenswürdigen Cloud-App-Datenverkehr, einschließlich generativer KI-Apps. Purview bietet diese Funktionen durch Integrationen in eine oder mehrere Secure Access Service Edge (SASE) oder sichere Browserlösungen:
- Microsoft Entra globalen sicheren Zugriff (Vorschau): Informationen zum Konfigurieren von Inhaltsrichtlinien, die in Purview integriert sind, finden Sie unter Erstellen einer Inhaltsrichtlinie zum Filtern von Netzwerkinhalten (Vorschau).
- Nicht-Microsoft SASE und sichere Browserlösungen (allgemeine Verfügbarkeit oder Vorschau, je nach Integration): Suchen Sie diese Lösungen im Sicherheitsspeicher in Microsoft Purview Data Loss Prevention.
Die Netzwerkdatensicherheit verwendet dieselben Klassifizierer, die bereits in anderen Microsoft Purview-Richtlinien konfiguriert sind, und erweitert die Ermittlung und den Schutz auf die Netzwerkebene durch Sammlungsrichtlinien für die Datenermittlung, Richtlinien zur Verhinderung von Datenverlust zum Schutz oder beides, je nach den Anforderungen Ihrer organization.
Mit der Netzwerkdatensicherheit können Sie vertrauliche Inhalte identifizieren, blockieren und warnungen, die über diese Interaktionen freigegeben werden:
- Interaktionen mit generativer KI über Browser, Apps und Add-Ins wie ChatGPT, Gemini und Claude.
- Files auf nicht genehmigte Cloudspeicheranbieter wie Dropbox, Box und Google Drive hochgeladen.
- E-Mails und Dateianlagen, die für Cloud-E-Mail-Anbieter wie Gmail freigegeben werden.
- Formularübermittlungen über Online-Formulardienste, einschließlich Google Forms.
- Social-Media-Beiträge zu gängigen Diensten wie Facebook und X.
Bevor Sie beginnen
Wenn Sie noch nicht mit Microsoft Purview-Sammlungsrichtlinien, Microsoft Purview-Abrechnungsmodellen mit nutzungsbasierter Bezahlung oder Microsoft Purview DLP vertraut sind, sollten Sie sich mit den Informationen in diesen Artikeln vertraut machen:
- Übersicht über die Lösung für Sammlungsrichtlinien
- Informationen zur Verhinderung von Datenverlust
- Informationen zu Microsoft Purview-Abrechnungsmodellen
- Erste Schritte mit dem Aktivitäten-Explorer
Lizenzierung
Informationen zur Lizenzierung finden Sie unter
Die Netzwerkdatensicherheit mit Entra Global Secure Access erfordert eine der folgenden Lizenzkombinationen (und die nutzungsbasierte Bezahlung muss wie unten angegeben konfiguriert werden):
- Microsoft 365 E7 lizenzen pro Arbeitsplatz
- Purview E5-Lizenzen (oder gleichwertige Lizenzen pro Arbeitsplatz) und Entra Internet Access-Lizenzen (oder gleichwertige Lizenzen)
Netzwerkdatensicherheit mit nicht von Microsoft stammenden SASE- und sicheren Browserlösungen erfordert Folgendes:
- Purview E5 (oder gleichwertige) Lizenzen pro Arbeitsplatz und das Microsoft Purview-Abrechnungsmodell mit nutzungsbasierter Bezahlung. Informationen zu Microsoft Purview-Abrechnungsmodellen
Hinweis
Sie müssen die nutzungsbasierte Bezahlung für Ihren Microsoft 365-Mandanten konfigurieren, bevor Sie Netzwerkdatensicherheitsrichtlinien erstellen. Informationen zum Einrichten des Abrechnungsmodells mit nutzungsbasierter Bezahlung finden Sie unter Aktivieren von Microsoft Purview-Features für nutzungsbasierte Bezahlung für neue Kunden.
Obwohl die nutzungsbasierte Bezahlung zum Einrichten von Netzwerkdatensicherheitsrichtlinien erforderlich ist, fallen für Richtlinien, die über Entra globalen sicheren Zugriff erzwungen werden, während des Öffentlichen Vorschauzeitraums keine zusätzlichen Gebühren an.
Funktionsweise der Netzwerkdatensicherheit
Aus einer umfassenden Perspektive besteht die Microsoft Purview-Lösung für die Netzwerkdatensicherheit aus zwei Komponenten:
Netzwerksicherheitslösung
Die Netzwerkdatensicherheitslösung integriert secure access service edge (SASE) und sichere Browserlösungen, die nicht von Microsoft stammen, direkt in Microsoft Purview. Die integrierten Lösungen überwachen den Netzwerkdatenverkehr und senden die Daten zur Klassifizierung und Richtlinienauswertung an Microsoft Purview. Wenn Sie Schutzmaßnahmen mithilfe von DLP-Richtlinien anwenden, erfolgt die Kommunikation zwischen der integrierten Lösung und Microsoft Purview in Echtzeit. Wenn Sie die Netzwerkdatensicherheit nur für die Überwachung über Sammlungsrichtlinien verwenden, erfolgt die Kommunikation asynchron.
Weitere Informationen dazu, welche Integrationen unterstützt werden, finden Sie im Sicherheitsspeicher in Microsoft Purview Data Loss Prevention.
Wichtig
Wenn Sie sich für die Integration mit Nicht-Microsoft-Partnern entscheiden, können diese auf einige Richtlinienkonfigurationen zugreifen und diese möglicherweise speichern, einschließlich Benutzer-IDs. Deren Geschäftsbedingungen und Datenschutzrichtlinien regeln die Verwendung und Speicherung dieser Daten.
Microsoft Purview
Sie konfigurieren die Integration zwischen Microsoft Purview und der Netzwerksicherheitslösung mithilfe des Sicherheitsspeichers. Durch diese Integration wird der bidirektionale Kommunikationskanal zwischen der Netzwerksicherheitslösung und Microsoft Purview eingerichtet.
Konfigurieren Sie als Nächstes eine Sammlungsrichtlinie oder eine Richtlinie zur Verhinderung von Datenverlust , die die Bedingungen, Aktivitäten und Cloud-Apps definiert, die die Netzwerksicherheitslösung erfassen und an Microsoft Purview senden soll.
- Weitere Informationen zum Erstellen einer Sammlungsrichtlinie für die Sicherheit von Netzwerkdaten finden Sie unter Szenario 1: Erkennen vertraulicher Daten, die für nicht verwaltete Cloud-Apps über das Netzwerk freigegeben werden.
- Weitere Informationen zum Erstellen einer Richtlinie zur Verhinderung von Datenverlust für die Sicherheit von Netzwerkdaten finden Sie unter Verwenden der Netzwerkdatensicherheit, um die Freigabe vertraulicher Informationen mit nicht verwalteter KI zu verhindern.
Microsoft Purview sendet die entsprechenden DLP- und Sammlungsrichtlinien-Konfigurationswerte an Ihre integrierte Netzwerksicherheitslösung, und die Lösung sendet alle übereinstimmenden Netzwerkdaten zur Klassifizierung und Richtlinienauswertung an Microsoft Purview. Wenn Sie die Inhaltserfassung in der Sammlungsrichtlinie konfigurieren, wird die vollständige Konversation, die zwischen dem Benutzer und der KI-App stattfindet, erfasst und ebenfalls an Microsoft Purview gesendet.
Nachdem die Daten klassifiziert wurden, sind sie im Aktivitäts-Explorer und im Aktivitäts-Explorer in DSSM für KI verfügbar. Wenn eine Richtlinie zur Verhinderung von Datenverlust übereinstimmt und Sie Warnungen konfiguriert haben, sind diese in DLP-Warnungen verfügbar.
Nachdem Sie die Integration zwischen Microsoft Purview und Ihrer Netzwerksicherheitslösung konfiguriert haben, warten Sie bis zu 24 Stunden, bis Ihre Richtlinien an die Netzwerksicherheitslösung verteilt werden und die ersten Daten angezeigt werden. Sobald die beiden Dienste vollständig miteinander kommunizieren, kann es bis zu 30 Minuten dauern, bis Daten zu einer Anforderung von einem Client an eine Website oder Cloud-App im Überwachungsprotokoll und im Aktivitäts-Explorer angezeigt werden.
Wichtig
Purview-Netzwerkdatensicherheitsrichtlinien gelten nicht für B2B-Gastbenutzer.
Unterstützte Konfiguration der Netzwerkdatensicherheits-Sammlungsrichtlinie
Die Microsoft Purview-Seite der Konfiguration erfolgt über eine Sammlungsrichtlinie. Die folgenden Konfigurationsoptionen werden unterstützt:
Bedingungen : Die Bedingungen, die Sie in einer Sammlungsrichtlinie für Netzwerkdaten verwenden können, entsprechen den Bedingungen, die Sie in anderen Microsoft Purview-Richtlinien verwenden können. Beispielsweise können Sie die Bedingung Inhalt enthält>Typen vertraulicher Informationen verwenden, um vertrauliche Elemente zu klassifizieren, die für generative KI und andere nicht verwaltete Cloud-Apps freigegeben werden.
Aktivitäten : Netzwerkdatensicherheit unterstützt vier Aktivitäten:
- Text, der an die Cloud- oder KI-App gesendet oder für diese freigegeben wird.
- Datei, die in die Cloud- oder KI-App hochgeladen oder für diese freigegeben wurde.
- Von der Cloud- oder KI-App empfangener Text.
- Aus der Cloud- oder KI-App heruntergeladene Datei.
Hinweis
Die unterstützten Aktivitäten können je nach integrierter SASE-Lösung variieren. Wenden Sie sich an Ihren SASE-Lösungsanbieter, um Details zu unterstützten Aktivitäten zu erhalten.
-
Datenquellen : Dies sind die Speicherorte, mit denen das Endpunktgerät kommuniziert.
- Nicht verwaltete Cloud-Apps: Richtlinien zur Sammlung von Netzwerkdaten unterstützen alle Quellen, die sich im Microsoft Defender for Cloud Apps Cloud-App-Katalog befinden, der über 35.000 auffindbare Cloud-Apps enthält.
- Adaptive App-Bereiche : Alle Apps in mehreren Kategorien, einschließlich generativer KI, Cloudspeicher, Zusammenarbeit, soziale Netzwerke und Webmail.
Unterstützte Konfiguration der Richtlinie zur Verhinderung von Datenverlust im Netzwerkdatensicherheit
Die Microsoft Purview-Seite der Konfiguration erfolgt über eine Richtlinie zur Verhinderung von Datenverlust. Die folgenden Konfigurationsoptionen werden unterstützt:
Datenquellen : Dies sind die Speicherorte, mit denen das Endpunktgerät kommuniziert.
- Nicht verwaltete Cloud-Apps: Richtlinien zur Sammlung von Netzwerkdaten unterstützen alle Quellen, die sich im Microsoft Defender for Cloud Apps Cloud-App-Katalog befinden, der über 35.000 auffindbare Cloud-Apps enthält.
- Adaptive App-Bereiche : Alle Apps in mehreren Kategorien, einschließlich generativer KI, Cloudspeicher, Zusammenarbeit, soziale Netzwerke und Webmail.
Bedingungen : Die Bedingungen, die Sie in einer Sammlungsrichtlinie für Netzwerkdaten verwenden können, entsprechen den Bedingungen, die Sie in anderen Microsoft Purview-Richtlinien verwenden können. Beispielsweise können Sie die Bedingung Inhalt enthält>Typen vertraulicher Informationen verwenden, um vertrauliche Elemente zu klassifizieren, die für generative KI und andere nicht verwaltete Cloud-Apps freigegeben werden.
Aktionen : Die Netzwerkdatensicherheit unterstützt die Aktionen "Nur überwachen" und "Blockieren" für die folgenden Aktivitäten:
- Text, der an die Cloud- oder KI-App gesendet oder für diese freigegeben wird.
- Datei, die in die Cloud- oder KI-App hochgeladen oder für diese freigegeben wurde.
- Von der Cloud- oder KI-App empfangener Text.
- Aus der Cloud- oder KI-App heruntergeladene Datei.
Hinweis
Die unterstützten Aktivitäten und Aktionen können je nach integrierter Lösung variieren. Wenden Sie sich an Ihren Lösungsanbieter, um Details zu unterstützten Aktivitäten zu erhalten.
Standardrichtlinie von Microsoft Purview Datensicherheitsstatus-Management für KI
Microsoft Purview Datensicherheitsstatus-Management für KI (DSSM für KI) bietet Empfehlungen zur Überwachung der Kommunikation mit generativen KI-Apps. Wählen Sie die Empfehlung Erweitern von Erkenntnissen in sensiblen Daten in KI-App-Interaktionen aus, um eine 1-Klick-Richtlinie mit dem Namen DSSM für KI – Erkennen vertraulicher Informationen, die für KI über ein Netzwerk freigegeben werden, zu erstellen. Nachdem sie erstellt wurde, können Sie diese Standardrichtlinie für die Sicherheit von Netzwerkdaten wie jede Sammlungsrichtlinie bearbeiten.
Unterstützte Netzwerkprotokolle
In der Vorschauversion unterstützt die Netzwerkdatensicherheit die Klassifizierung von Datenverkehr, der von einem Endpunktgerät über HTTP- und HTTPS-Protokolle an Websites, Cloud-Apps und generative KI-Dienste gesendet wird.
Zugreifen auf Netzwerkdatensicherheitsdaten
Daten aus der Netzwerkdatensicherheit werden im Aktivitäts-Explorer, Datensicherheitsstatus-Management für KI Aktivitäts-Explorer-Ereignissen und wenn Warnungen aktiviert sind, DLP-Warnungen angezeigt.
Aktivitäten-Explorer
Im Aktivitäts-Explorer können Sie nach der Erzwingungsebene filtern, die auf Netzwerk festgelegt ist. Dieser Filter zeigt Ihnen Klassifizierungsereignisse an, die Richtlinien für die Sammlung von Netzwerkdaten generieren.
Abrechnungsmodell
Die Netzwerkdatensicherheit verwendet die Anforderung als Maßeinheit für die Abrechnung mit nutzungsbasierter Bezahlung. Eine Anforderung ist jeder Netzwerkaufruf, der von einem Gerät oder Browser an eine Website oder API gesendet wird. Diese Definition enthält nicht die Antworten auf die Anforderungen. Weitere Informationen zur abrechnungsbasierten Bezahlung für die Sicherheit von Netzwerkdaten finden Sie unter Andere Microsoft Purview-Lösungen, die nutzungsbasierte Preise und Anforderungen verwenden.
Hier sind einige Beispiele:
| Aktivität | Datentyp | Beispiel |
|---|---|---|
| Text, der an eine Cloud- oder KI-App gesendet oder für diese freigegeben wurde | Lesbare Zeichenfolgen, die inline übertragen werden | - Senden eines Formulars mit Textinformationen – Senden von unformatiertem Text oder einer Aufforderung an eine generative KI – den Text einer E-Mail – Senden von JSON-Daten an eine API |
| Datei, die in die Cloud- oder KI-App hochgeladen oder für sie freigegeben wurde | Bytestreams, einschließlich textbasierter Dateien, Binärdateien, TXT-Dateien, Quellcode, Dokumente, Bilder, Videos, .exe, .pdf, Archivdateien | - Hochladen eines Profilbilds in soziale Medien – Senden eines Dokuments oder einer .pdf Datei als E-Mail-Anlage – Freigeben eines Dokuments mit generativer KI – Übertragen eines Dokuments oder .zip Dateien in eine Cloudspeicherlösung |
Nächste Schritte
- Szenario 1: Erkennen vertraulicher Daten, die für nicht verwaltete Cloud-Apps über ein Netzwerk freigegeben werden (Vorschau)
- Verwenden von Netzwerkdatensicherheit, um die Freigabe vertraulicher Informationen mit nicht verwalteter KI zu verhindern
- Wenn Sie Entra globalen sicheren Zugriff verwenden, lesen Sie Erstellen einer Inhaltsrichtlinie zum Filtern von Netzwerkinhalten (Vorschau)