#baseITblogpost

Microsoft Purview -

Know Your Data


  Lead Architect Forster Peter3  Autor Peter Forster (Lead Architect | Base-IT)


Unter dem Kontext Know your data beginnt eine Reise zur Identifikation der im Unternehmen vorhandenen Daten. Hierfür kommen Cloud-Native Funktionen wie der Content Explorer zum Einsatz, welcher standardmäßig bereits über Ihre Daten hinweg einen Scan vornimmt. On-Premises Daten werden mit dem on-premises Scanner aus Azure Information Protection als Metadaten in der Cloud abgelegt. Auf Basis dieser Informationen lassen sich später diese Daten auch mit Sensitivity Labels kennzeichnen.

Wie in der Abbildung gezeigt wird, ist der Punkt Know your data der Beginn für die Implementierung der weiteren Purview-Produkte.

Ein möglicher Ansatz ist, den Teil Know your data parallel zur Einführung von Microsoft Puview Information Protection umzusetzen. Dabei werden Daten manuell durch die Mitarbeiter klassifiziert und der erste Weg zur Kontrolle Ihrer Daten ist eingeleitet. Dazu aber mehr in einem der nachfolgenden Artikel der Serie.

 

Um mehr Einblick in die umfangreichen Methoden der Datenerkennung zu geben, beginnen wir mit einer Begriffsdefinition:
  • Standard-Definition von Microsoft mit über 300 Datentypen, die erkannt werden können. Beispiele dafür sind: Kreditkarteninformationen, Login credentials, Azure AD client secrets, österreichische Passnummer etc.
  • Zusätzlich können Sie eigene Sensitive Information Types gemäß Ihren Anforderungen erstellen. Dies kann eine RegEx sein, eine Keyword-List oder eine Funktion gemäß dem Luhn-Algorithmus sein.
  • Mit Hilfe des on-premises Scanners können die vorhandenen on-premises Daten gescannt werden. On-premises Scanner erlaubt es dabei die Daten zu identifizieren und in einem zweiten Schritt auch ein Label aufzubringen.
  • Die Scanner-Engine wird auf einem Windows Server on-premises installiert, die Konfiguration erfolgt über das Microsoft Compliance Portal.

    Beispiel eines Scans – 1555 Dateien wurden aus einem Repository gescannt

  • Der Content Explorer aus dem Compliance-Portal gibt den Überblick über die bereits in der Cloud gespeicherten Daten (SharePoint, OneDrive, Teams und Exchange). Alle Cloud-Daten werden standardmäßig mit den vorhandenen Sensitive Information Types gescannt.


  • Label-Kennzeichnung aus Azure Information Protection. Definiert eine Kennzeichnung auf einer Datei und legt den Schutzbedarf eines Dokuments fest. Typische Label sind:
  1. Öffentlich
  2. Intern
  3. Vertraulich
  4. Streng Vertraulich

 

  • Die genaue Definition dieser Labels ist Bestandteil der Einführung von Azure Information Protection gemeinsam mit dem Kunden. Je nach Schutzbedarf sind hier strengere Richtlinien notwendig. Ist Ihr Unternehmen z.B. nach TiSAX Assessment Level 3 zertifiziert, müssen weitere Maßnahmen wie das Schlüsselmanagement zusätzlich betrachtet werden. Auch die ISO 27001 schreibt ähnliche Maßnahmen vor. Oftmals sind Kunden nach diesen Standards zertifiziert, jedoch ist dies nur auf dem Papier umgesetzt und nicht in der Praxis über technische Maßnahmen forciert.
  • Basierend auf einem Machine Learning Modell von Microsoft gibt es vordefinierte Trainable Classifiers sowie zusätzlich die Möglichkeit eigene Trainable Classifiers zu erstellen. Dabei wird das System mit Daten von Ihrem Unternehmen gefüttert. Ein Beispiel könnte sein, dass Verträge in Ihrem Unternehmen ein ähnliches Layout besitzen. Je mehr verschiedene Verträge Sie dem System antrainieren, umso besser und genauer kann dieser Dokumententyp automatisch erkannt werden. Microsoft gibt hier vor, zwischen 50-500 verschiedene Dokumente dem System anzutrainieren. In weiterer Folge kann diese automatische Erkennung zur Zuweisung von Sensitivste Labels verwendet werden. Zusätzlich stehen die Trainable Classifiers in weiteren Services wie Communication Compliance zur Verfügung. Das Feature Communication Compliance wird in späterer Folge unserer Serie im Detail erklärt.

Die on-premises gescannten Daten werden ebenfalls über den Content Explorer angezeigt. Mit der Konfiguration des on-premises Scanners sowie den bereits in der Cloud identifizierten Daten haben Sie einen guten Überblick über den Speicherort Ihrer Daten. Zusätzlich werden bereits vorhandene Sensitive Information Types erkannt und entsprechend zugeordnet.

Parallel zur Erkennung, wo Daten gespeichert sind, kann über spezifische und auf das Unternehmen bezogene Sensitive Information Types nachgedacht werden. Dadurch können die bestehenden Daten über konkret definierte Typen einer späteren Schutzklassifizierung zugeführt werden.

 

Verwaltung der identifizierten Daten und Zuständigkeiten

Ist der erste Schritt der Erkennung der Daten erledigt, kann die Auswertung beginnen. Wichtig ist hier, dass dieser Vorgang nicht nur aus der klassischen IT-Abteilung heraus durchgeführt werden kann. Die IT ist für den Betrieb der Systeme zuständig, aber nicht der Dateneigentümer.

Es ist daher notwendig, dass die Fachabteilung, falls vorhanden die Compliance/Governance-Abteilung bzw. die Rechtsabteilung aktiv in diesem Projekt involviert ist.

Nur so ist sichergestellt, dass schützenswerte Daten auch die notwendige Schutzstufe erhalten.

 

Bleiben Sie bei diesem Thema am Ball und freuen Sie sich auf die nächsten Artikel. Wenn wir Ihr Interesse schon jetzt geweckt haben, stehen wir Ihnen mit unserem Expertenteam zum Thema Microsoft Purview gerne zur Verfügung.

Unser nächster Blogpost: „Information Protection“.   


Adresse

Base-IT | Standort Ansfelden
Haider Str. 23
4052 Ansfelden

Base-IT | Standort Wien
Johannitergasse 2
1100 Wien

Base-IT | Standort Salzburg
Carl-Zuckmayer-Straße 33
5020 Salzburg

Email

office@baseit.at

Telefon

+437229878000