Introduzione alla protezione ji-in-time Prevenzione della perdita dei dati Microsoft Purview

Usare la protezione JIT (Endpoint Data Loss Prevention) ji-in-time ( DLP) per rilevare e bloccare le attività in uscita nei file monitorati durante il completamento della valutazione dei criteri.

Si applica a

La protezione JIT per Endpoint DLP supporta questi dispositivi:

  • Windows 10
  • Windows 11
  • macOS (le tre versioni più recenti)

Procedura consigliata per la distribuzione della protezione ji-in-time

Nota

Consentire almeno un'ora per il push degli aggiornamenti delle impostazioni JIT, inclusa la disabilitazione di JIT, nei dispositivi client.

Passaggio 1: Preparare l'ambiente

Prima di distribuire la protezione ji-in-time, è necessario distribuire prima di tutto il client antimalware versione 4.18.23080 o successiva. L'esperienza utente finale di protezione JIT viene migliorata nella versione 4.18.25080 o successiva.

Consiglio

Per ottimizzare la produttività degli utenti, configurare e distribuire i criteri di prevenzione della perdita dei dati degli endpoint nei dispositivi prima di abilitare la protezione JIT. Questo approccio impedisce il blocco non necessario dell'attività utente durante la valutazione dei criteri.

Onboarding page_Defender versione mocamp

Nota

Per i computer con una versione obsoleta del client antimalware, disabilitare la protezione ji-in-time installando uno dei kb seguenti:

  1. Per scoprire quali dispositivi hanno il client antimalware necessario, passare a Indagine portale> di sicurezza& risposta>Ricerca avanzata ed eseguire questa query.
`DeviceRegistryEvents`
| where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe" and Timestamp >= ago(60d)
| summarize arg_max(Timestamp, *) by DeviceId
| distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion
| extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version
| extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement
| project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion
| summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion
// | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version
// | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements
| order by dcount_DeviceId desc

Di seguito è riportato un esempio dell'output della query.

Immagine dell'output della query che mostra un elenco del numero di dispositivi con quale versione client antimalware

È anche possibile passare allapagina Diagnosticadi prevenzione della> perdita dei dati e selezionare Scheda di prevenzione della perdita dei dati endpoint non funzionante per verificare se un dispositivo specifico soddisfa i prerequisiti JIT.

Screenshot del riquadro a comparsa verifica diagnostica che mostra la versione client antimalware per il dispositivo selezionato

Passaggio 2: Distribuire la protezione JIT

  1. Accedere al portale di Microsoft Purview.

  2. Selezionare Impostazioni> Protezioneji-in-timeper la prevenzione> della perdita dei dati.

  3. In Scegliere le posizioni da monitorare selezionare la casella di controllo accanto a Dispositivi.

  4. In Azione di fallback in caso di errore selezionare Consenti agli utenti di completare le azioni. Questa opzione consente di completare l'azione dell'utente se la classificazione non riesce.

Attenzione

Non scegliere l'opzione Blocca agli utenti di completare le azioni finché non si comprende appieno l'impatto di questa funzionalità.

Se si seleziona Consenti agli utenti di completare le azioni o Impedisce agli utenti di completare le azioni , non viene modificato il valore di blocco JIT attivato. Il blocco tramite JIT viene applicato se l'utente è nell'ambito. L'impostazione Consenti agli utenti di completare le azioni o Blocca agli utenti di completare le azioni controlla l'imposizione della prevenzione della perdita dei dati degli endpoint quando la classificazione non riesce.

Se si seleziona Consenti agli utenti di completare le azioni, Endpoint DLP consente l'attività in uscita quando la classificazione non riesce. Se si seleziona Blocca gli utenti per completare le azioni, Endpoint DLP blocca l'attività in uscita quando la classificazione non riesce.

Passaggio 3: Stimare il numero di eventi di protezione JIT per la distribuzione

Convalidare le impostazioni in ogni fase fino a quando il numero di eventi non è stabile. Assicurarsi di comprendere le dimensioni possibili del gruppo di utenti su cui applicare i criteri, in base ai calcoli di telemetria seguenti.

Stimare l'impatto della distribuzione della protezione JIT eseguendo il calcolo seguente in base agli eventi in Esplora attività:

  • N = Numero di computer univoci che generano eventi JIT.

  • S = Numero totale di computer nell'ambito della distribuzione.

N/S restituisce la percentuale di computer che potrebbero riscontrare un evento di blocco di protezione JIT.

Con queste informazioni, è necessario conoscere il numero di computer interessati dall'implementazione della modalità JIT Block quando si espande l'ambito e il numero di ticket di supporto possibili visualizzati. È quindi possibile decidere se espandere o meno l'ambito.

Passaggio 4: Ottimizzare la protezione JIT tramite altre impostazioni aggiuntive

Oltre al ripristino in caso di errore, come descritto nel passaggio 1, è anche possibile usare le impostazioni seguenti per ottimizzare la protezione JIT:

  • Controlla la copia negli Appunti: attiva questa impostazione per impedire agli utenti di copiare contenuto negli Appunti mentre la protezione JIT sta valutando il file.

Nota

L'attivazione del controllo della copia negli Appunti potrebbe influire sulla produttività dell'utente. Assicurarsi di testare l'impatto sulla produttività prima di attivare questa impostazione.

  • Esclusioni di app per Windows: le app incluse qui non vengono valutate dalla protezione JIT nei dispositivi Windows.
  • Esclusioni di app per Mac: le app incluse qui non vengono valutate dalla protezione JIT nei dispositivi macOS.
  • Esclusioni di estensioni di file: Files con le estensioni aggiunte qui non vengono valutate dalla protezione JIT.
  • Esclusioni di percorsi di file per Windows: Files in queste posizioni non vengono valutate dalla protezione JIT.
  • Esclusioni di percorsi di file per Mac: Files in queste posizioni non vengono valutate dalla protezione JIT.

Se si vuole modificare l'ambito della protezione JIT dopo l'ottimizzazione di tutte queste impostazioni, tornare al passaggio 2.

Altri dettagli sulle esclusioni

Le impostazioni di esclusione del percorso file in JIT sono diverse dalle esclusioni di percorso file per Windows trovate tramiteImpostazioni impostazionidi prevenzione> della perdita dei datiImpostazioni>> endpointEsclusioni del percorso file per Windows.

  • Le esclusioni di percorsi di file in JIT escludono solo percorsi di file specifici dalla protezione JIT. In tutti gli altri casi, Microsoft Purview applica ancora la classificazione e la protezione DLP degli endpoint per i file in tali cartelle.

  • Le esclusioni di percorsi di file per l'impostazione di Windows impediscono a Purview di applicare la classificazione e la protezione DLP degli endpoint per i file nelle cartelle specificate.

  • Esclusioni di estensione di file: Files con queste estensioni non vengono valutate dalla protezione JIT.

Passaggio 5: Distribuire la protezione JIT in "Impedisci agli utenti di completare le azioni" per l'impostazione "Azione di fallback in caso di errore"

Questa configurazione controlla la modalità di imposizione applicata dalla prevenzione della perdita dei dati quando la classificazione non riesce. Non controlla il blocco JIT o il controllo JIT per i file candidati JIT. Il blocco JIT o il controllo JIT è controllato dal modo in cui viene definito l'ambito dei criteri. Indipendentemente dal valore selezionato, i dati di telemetria pertinenti vengono visualizzati in Esplora attività.

Protezione file non salvata

La protezione file non salvata (anteprima) estende la protezione JIT (controllo o blocco) nelle attività in uscita nei file non ancora salvati. Un file non salvato è:

  • Un nuovo file che non è mai stato salvato su disco.
  • File esistente che è stato modificato ma non ancora salvato, inclusa la finestra prima del completamento del salvataggio automatico.

Quando si salva un file, manualmente o tramite salvataggio automatico, lascia lo stato non salvato e il flusso di lavoro di protezione JIT standard lo valuta.

Nota

La protezione dei file non salvata e la protezione dei file non classificati sono due funzionalità separate. Non è necessario attivare la protezione file non classificata per usare la protezione dei file non salvata.

Configurare la protezione dei file non salvati

Prerequisiti

  • La versione client antimalware 4.18.26040 o successiva è necessaria per la protezione dei file non salvati. Usare la stessa query nel passaggio 1 di questo articolo per verificare quali dispositivi hanno la versione client antimalware necessaria per la protezione dei file non salvati.

Per configurare la protezione dei file non salvati:

  1. Accedere al portale di Microsoft Purview.
  2. Selezionare Impostazioni> Protezioneji-in-timeper la prevenzione> della perdita dei dati.
  3. Per controllare le attività in uscita sui file non salvati, attivare Controlla le attività di stampa e trasferimento per i file non salvati e selezionare gli utenti da includere nell'ambito.
  4. Per bloccare le attività in uscita sui file non salvati, attivare Blocca le attività di stampa e trasferimento per i file non salvati e selezionare gli utenti da includere nell'ambito.

Nota

Per Copia in un supporto rimovibile e Copia in scenari di condivisione di rete , abilitare la quarantena automatica per intercettare il contenuto sensibile e spostarlo in un percorso protetto invece di scriverlo nella destinazione esterna. Per altre informazioni, vedere Configurare le impostazioni di quarantena automatica.

Consiglio

Per iniziare, attivare Audit e definire l'ambito per alcuni utenti. Questo approccio consente di comprendere il volume degli eventi di protezione file non salvati nell'organizzazione prima di abilitare Blocca. È possibile espandere continuamente l'ambito man mano che si ottiene la fiducia. Quando si ha familiarità con il volume, attivare Blocca con ambito allo stesso set di utenti o espanso.

Per informazioni sui concetti alla base della protezione dei file non salvata, vedere Informazioni sulla protezione dei file non salvati.

  • Last updated on