Automatisierte Kontrolle von Dokumenten mit Unified Labels

In der heutigen Cloud-zentrierten Arbeitswelt ist der Schutz sensibler Informationen entscheidend. Unternehmen setzen zunehmend auf Microsoft Purview Information Protection, um Daten klassifizieren und schützen zu können. 

Doch meist sind grade zum Start solche Funktionen nicht oder nur unzureichend konfiguriert, so dass sensible Daten Ihren Weg in OneDrive oder Sharepoint finden, obwohl diese womöglich aus regulatorischen Gründen o.ä. nicht in einem Cloud-Storage abgelegt werden dürfen.

In diesem Beitrag zeige ich, wie man mit Microsoft Defender for Cloud Apps (MDCA) automatisiert Dokumente erkennen und entsprechende Maßnahmen wie Quarantäne oder Löschung durchführen kann.

Voraussetzungen

Bevor wir starten, sollten folgende Komponenten eingerichtet sein:

• Microsoft Defender for Cloud Apps Aktivierung des File-Monitoring (Security Admin Center > Einstellungen > Cloud-Apps > Microsoft Information Protection)
• Microsoft Defender for Cloud Apps mit aktiven App-Connectoren für relevante Cloud-Dienste (z. B. M365, ggf. 3rd Party (Box, Dropbox, Google Drive etc.)) (Security Admin Center > Einstellungen > Cloud-Apps > App-Connectors)

Schritt 1: Woran kann ich die Dokumente wiedererkennen?

Der wohl schwierigste Punkt – eine sichere Wiedererkennung der Dokumente in Masse. Folgende Optionen haben wir:

1. Sensitive Info Types – entweder vordefinierte (Kreditkarte / Bankdaten / SV-Nummer usw.) oder selbst erzeugte RegEx Entsprechungen
2. Exakte Datenabgleiche – 1:1 Abgleich eines Datensatzes, ob dieser exakt in einem Dokument vorkommt.
3. Dokumentenfingerabdruck  – Dokumentenwiedererkennung, bedingt den Upload einer Vorlage. Woraus der Fingerprint erzeugt wird.
4. Trainierbare Klassifizierer – Hierfür müssen positiv, wie Negativbeispiele bereitgestellt werden (min 50 – max 500 Dateien). Stand heute nur in englischer Sprache unterstützt.

Schritt 2: File Policy in MDCA erstellen

Im Security Admin Portal:

1. Gehe zu Cloud-Apps > Richtlinienverwaltung
2. Erstelle eine neue File Policy
3. Konfiguriere folgende Parameter:
   • Name: „Confidential 2 Quarantine“
   • Filter > Apps: =  z. B. OneDrive, SharePoint
   • Überprüfungsmethode: Datenklassifizierungsdienst > Überprüfungstyp > Typ vertraulicher Information (oder eine besser pass. Alternative- sh. oben)
   • Apps: =  z. B. OneDrive, SharePoint
   • Governanceaktionen:
     • Unter Benutzer- oder Adminquarantäne stellen
     • Papierkorb
        
4. Screenshots aus dem Tool
   
   

Beispiel: Datei mit entsprechendem Inhalt in OneDrive

Ein Benutzer speichert versehentlich eine Datei mit den zu erkennenden Inhalten in seinem OneDrive. MDCA erkennt die Datei, triggert die Policy und verschiebt sie automatisch in Quarantäne. Der Benutzer erhält eine Benachrichtigung mit einem Hinweis auf die Richtlinie.

Monitoring & Reporting

Durch File-Policys durchgeführte Aktionen lassen sich im Governanceprotokoll im MDCA nachvollziehen.
Security Admin Center > Cloud-Apps > Governanceprotokoll

Fazit

Die Kombination aus Defender for Cloud Apps und den diversen Erkennungsmethoden wie bspw. Sensitive Info Types + Co bietet eine leistungsstarke Möglichkeit, sensible Daten zu erkennen. Mit entsprechenden Richtlinien lassen sich Verstöße automatisiert erkennen und beheben, bevor sie zum Sicherheitsrisiko werden.

Weitere Quellen & Infos zum Thema:

Integration von Microsoft Data Classification Services - Microsoft Defender for Cloud Apps | Microsoft Learn
Arbeiten mit der RegEx-Engine - Microsoft Defender for Cloud App | Microsoft Learn
Erstellen eines digitale Dokumentfingerabdrucks - Microsoft Purview | Microsoft Learn
Erste Schritte mit trainierbaren Klassifizierern - Microsoft Purview | Microsoft Learn


 

Moderne IT- und Cloud-Szenarien stellen neue Anforderungen an Sicherheit, Governance und Betrieb. Die Beratungsangebote zum Thema Microsoft Security der Telekom unterstützten Sie dabei, Ihre Umgebung strukturiert zu analysieren und gezielt weiterzuentwickeln – von der ersten Einordnung bis zur konkreten Umsetzung.

Starten Sie mit einem unverbindlichen Orientierungsgespräch oder einem Microsoft 365 Security Assessment und erhalten Sie klare Handlungsempfehlungen für mehr Sicherheit.