Cookie-Einstellungen
Wir verwenden Cookies, um Ihnen ein optimales Webseiten-Erlebnis zu bieten. Dazu zählen Cookies, die für den Betrieb der Seite und für die Steuerung unserer kommerziellen Unternehmensziele notwendig sind, sowie solche, die lediglich zu anonymen Statistikzwecken, für Komforteinstellungen oder zur Anzeige personalisierter Inhalte genutzt werden. Sie können selbst entscheiden, welche Kategorien Sie zulassen möchten. Bitte beachten Sie, dass auf Basis Ihrer Einstellungen womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Essenzielle Cookies
- Session cookies
- Login cookies
Performance Cookies
- Google Analytics
Funktionelle Cookies
- Google Maps
- YouTube
- reCAPTCHA
Targeting Cookies
Alle Kunden mit Betreuungsverträgen wenden sich bitte an die im Service Level Vertrag definierte Hotlinenummer/ eMail Adresse. Danke.

Wir freuen uns auf Ihren Anruf oder Ihre E-Mail:

Tel: +43 722 987 8000
E-Mail: office@baseit.at
support-button
#baseITblogpost

Microsoft Purview -

Know Your Data

  Lead Architect Forster Peter3  Autor Peter Forster (Lead Architect | Base-IT)

Unter dem Kontext Know your data beginnt eine Reise zur Identifikation der im Unternehmen vorhandenen Daten. Hierfür kommen Cloud-Native Funktionen wie der Content Explorer zum Einsatz, welcher standardmäßig bereits über Ihre Daten hinweg einen Scan vornimmt. On-Premises Daten werden mit dem on-premises Scanner aus Azure Information Protection als Metadaten in der Cloud abgelegt. Auf Basis dieser Informationen lassen sich später diese Daten auch mit Sensitivity Labels kennzeichnen.

Wie in der Abbildung gezeigt wird, ist der Punkt Know your data der Beginn für die Implementierung der weiteren Purview-Produkte.

Blogpost knowyourdata

Powered by an intelligent platform2

Quelle: Microsoft Purview Information Protection - Microsoft Purview (compliance) | Microsoft Learn [21. Oktober 2022]

 

Ein möglicher Ansatz ist, den Teil Know your data parallel zur Einführung von Microsoft Puview Information Protection umzusetzen. Dabei werden Daten manuell durch die Mitarbeiter klassifiziert und der erste Weg zur Kontrolle Ihrer Daten ist eingeleitet. Dazu aber mehr in einem der nachfolgenden Artikel der Serie.

 

Um mehr Einblick in die umfangreichen Methoden der Datenerkennung zu geben, beginnen wir mit einer Begriffsdefinition:

  • Standard-Definition von Microsoft mit über 300 Datentypen, die erkannt werden können. Beispiele dafür sind: Kreditkarteninformationen, Login credentials, Azure AD client secrets, österreichische Passnummer etc.
  • Zusätzlich können Sie eigene Sensitive Information Types gemäß Ihren Anforderungen erstellen. Dies kann eine RegEx sein, eine Keyword-List oder eine Funktion gemäß dem Luhn-Algorithmus sein.

  • Mit Hilfe des on-premises Scanners können die vorhandenen on-premises Daten gescannt werden. On-premises Scanner erlaubt es dabei die Daten zu identifizieren und in einem zweiten Schritt auch ein Label aufzubringen.
  • Die Scanner-Engine wird auf einem Windows Server on-premises installiert, die Konfiguration erfolgt über das Microsoft Compliance Portal.

    Beispiel eines Scans – 1555 Dateien wurden aus einem Repository gescannt

  • Der Content Explorer aus dem Compliance-Portal gibt den Überblick über die bereits in der Cloud gespeicherten Daten (SharePoint, OneDrive, Teams und Exchange). Alle Cloud-Daten werden standardmäßig mit den vorhandenen Sensitive Information Types gescannt.


  • Label-Kennzeichnung aus Azure Information Protection. Definiert eine Kennzeichnung auf einer Datei und legt den Schutzbedarf eines Dokuments fest. Typische Label sind:
  1. Öffentlich
  2. Intern
  3. Vertraulich
  4. Streng Vertraulich

 

  • Die genaue Definition dieser Labels ist Bestandteil der Einführung von Azure Information Protection gemeinsam mit dem Kunden. Je nach Schutzbedarf sind hier strengere Richtlinien notwendig. Ist Ihr Unternehmen z.B. nach TiSAX Assessment Level 3 zertifiziert, müssen weitere Maßnahmen wie das Schlüsselmanagement zusätzlich betrachtet werden. Auch die ISO 27001 schreibt ähnliche Maßnahmen vor. Oftmals sind Kunden nach diesen Standards zertifiziert, jedoch ist dies nur auf dem Papier umgesetzt und nicht in der Praxis über technische Maßnahmen forciert.

  • Basierend auf einem Machine Learning Modell von Microsoft gibt es vordefinierte Trainable Classifiers sowie zusätzlich die Möglichkeit eigene Trainable Classifiers zu erstellen. Dabei wird das System mit Daten von Ihrem Unternehmen gefüttert. Ein Beispiel könnte sein, dass Verträge in Ihrem Unternehmen ein ähnliches Layout besitzen. Je mehr verschiedene Verträge Sie dem System antrainieren, umso besser und genauer kann dieser Dokumententyp automatisch erkannt werden. Microsoft gibt hier vor, zwischen 50-500 verschiedene Dokumente dem System anzutrainieren. In weiterer Folge kann diese automatische Erkennung zur Zuweisung von Sensitivste Labels verwendet werden. Zusätzlich stehen die Trainable Classifiers in weiteren Services wie Communication Compliance zur Verfügung. Das Feature Communication Compliance wird in späterer Folge unserer Serie im Detail erklärt.

Die on-premises gescannten Daten werden ebenfalls über den Content Explorer angezeigt. Mit der Konfiguration des on-premises Scanners sowie den bereits in der Cloud identifizierten Daten haben Sie einen guten Überblick über den Speicherort Ihrer Daten. Zusätzlich werden bereits vorhandene Sensitive Information Types erkannt und entsprechend zugeordnet.

Parallel zur Erkennung, wo Daten gespeichert sind, kann über spezifische und auf das Unternehmen bezogene Sensitive Information Types nachgedacht werden. Dadurch können die bestehenden Daten über konkret definierte Typen einer späteren Schutzklassifizierung zugeführt werden.

 

Verwaltung der identifizierten Daten und Zuständigkeiten

Ist der erste Schritt der Erkennung der Daten erledigt, kann die Auswertung beginnen. Wichtig ist hier, dass dieser Vorgang nicht nur aus der klassischen IT-Abteilung heraus durchgeführt werden kann. Die IT ist für den Betrieb der Systeme zuständig, aber nicht der Dateneigentümer.

Es ist daher notwendig, dass die Fachabteilung, falls vorhanden die Compliance/Governance-Abteilung bzw. die Rechtsabteilung aktiv in diesem Projekt involviert ist.

Nur so ist sichergestellt, dass schützenswerte Daten auch die notwendige Schutzstufe erhalten.

 

Bleiben Sie bei diesem Thema am Ball und freuen Sie sich auf die nächsten Artikel. Wenn wir Ihr Interesse schon jetzt geweckt haben, stehen wir Ihnen mit unserem Expertenteam zum Thema Microsoft Purview gerne zur Verfügung.

Unser nächster Blogpost: „Information Protection“.   

Ja, ich bin einverstanden, dass meine Kontaktdaten über die Vertragsabwicklung hinaus für interne marketingtechnische Zwecke verwendet werden. Einwilligung jederzeit widerrufbar. Datenschutzbestimmungen