Deploys endpoint DLP controls with Microsoft Purview to detect and block sensitive data leaks via email, USB, cloud storage, and printing. Guides policy creation, auditing, and monitoring.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
在以下情况下使用本技能:
Implements Microsoft Purview endpoint DLP controls to block sensitive data exfiltration via email, USB, cloud storage, and printing. For deploying DLP agents, content inspection policies, and compliance like GDPR, HIPAA.
Implements Microsoft Purview endpoint DLP policies to block sensitive data exfiltration via USB, email, cloud storage, and printing. For deploying agents and content inspection rules.
Implements cloud DLP using Amazon Macie, Azure Information Protection, and Google Cloud DLP API to discover, classify, and protect sensitive data in cloud storage, databases, and pipelines. For compliance like GDPR, HIPAA, PCI DSS.
Share bugs, ideas, or general feedback.
在以下情况下使用本技能:
不适用于网络 DLP(基于内联代理)或仅云 DLP(CASB)。
Microsoft Purview → 数据分类 → 敏感信息类型
常见数据的内置 SIT:
- 信用卡号(PCI)
- 社会安全号码(PII)
- 健康记录(HIPAA)
- 护照号码
- 银行账号
自定义 SIT 示例(员工 ID):
模式:EMP-[0-9]{6}
置信度:高
关键字:"employee id"、"emp id"、"staff number"
Microsoft Purview → 数据丢失防护 → 策略 → 创建策略
策略配置:
1. 模板:财务/医疗/PII(或自定义)
2. 位置:设备(端点 DLP)
3. 条件:
- 内容包含:信用卡号(最少 5 个实例)
- 或内容包含:SSN(最少 1 个实例)
4. 操作:
- 阻断:防止复制到 USB、云、电子邮件
- 审计:记录但允许(用于初始部署)
- 通知:显示用户通知和策略提示
5. 用户通知:
- "此文件包含敏感数据,无法复制到此位置"
- 允许带有业务理由的覆盖(可选)
受监控的端点活动:
- 上传到云服务(OneDrive、Dropbox、Google Drive)
- 复制到可移动媒体(USB 驱动器)
- 复制到网络共享
- 打印文档
- 复制到剪贴板
- 通过不允许的浏览器访问(非托管浏览器)
- 通过不允许的应用程序访问
- 复制到远程桌面会话
对于每个活动,配置:
- 仅审计(记录操作)
- 带覆盖的阻断(用户可以提供理由并继续)
- 阻断(完全阻止操作)
首先在"带通知的测试模式"下部署 DLP 策略:
1. 策略在审计模式下运行 2-4 周
2. 在活动资源管理器中查看 DLP 警报
3. 识别误报
4. 调整 SIT 模式和条件
5. 为合法工作流添加排除项
6. 切换到"开启策略"(强制执行)
Purview → 数据丢失防护 → 活动资源管理器
关键指标:
- 每日/每周 DLP 策略匹配次数
- 匹配最多的敏感信息类型
- 触发 DLP 最多的用户
- 最多被阻断的活动(USB、云、电子邮件)
- 覆盖率(被阻断后覆盖的百分比)
DLP 事件响应:
1. 查看带有匹配内容的 DLP 警报
2. 验证检测数据的敏感性
3. 评估意图(意外 vs. 故意)
4. 如果是故意泄露 → 升级为安全事件
5. 如果是意外 → 教育用户,优化策略
| 术语 | 定义 |
|---|---|
| DLP | 数据丢失防护;检测和防止敏感数据未授权传输的技术 |
| SIT | 敏感信息类型;用于识别敏感数据的模式匹配规则(正则表达式、关键字、ML 分类器) |
| 策略提示 | 面向用户的通知,说明操作被阻断的原因以及如何申请覆盖 |
| 内容检查 | 对文件内容进行深度检查以识别敏感数据模式 |
| 精确数据匹配(EDM) | 针对已知敏感值的特定数据库(精确 SSN、员工记录)进行 DLP 匹配 |