こんにちは、臼田です。
みなさん、DLPしてますか?(挨拶
Microsoft PurviewのエンドポイントDLPでは様々な操作をブロックしたり、ブロックしなくても検出したりすることが可能です。
今回はエンドポイントDLP(EDLP)でJust-In-Time保護(JIT)を利用してみたので共有します。
概要
Just-In-Time保護(JIT)はエンドポイントDLP(EDLP)でエンドポイント上での機密情報のSaaSやリムーバブルディスクなどへの持ち出しの可否をDLPポリシーに照らして判定する際、そのポリシー判定中の僅かな時間を保護する機能です。
通常、初めて利用するファイルなどEDLPのポリシーと照らし合わせて該当操作を行ってよいかの判定がありますが、判定が間に合わない場合に本来禁止されている操作が許可される場合があります。これはOSが起動してすぐなどにも観測されます。
そういった抜け道を作らないために、より厳しく動作する仕組みがJITです。
ただ、その分動作が厳しいので回線の都合でポリシー評価がうまくできない場合にフォールバックでも動作をブロックしている場合にはその操作ができず、業務影響などに発展することもあるので適用する場合のバランスを検討する必要があります。
詳細はエンドポイント DLP Just-In-Time 保護の使用 | Microsoft Learnでご確認ください。
やってみた
それでは設定していきます。
JITの設定やサポート状況などはエンドポイント データ損失防止について | Microsoft Learnをご確認ください。DLP自体の設定などは済んでいる前提です。
JIT設定
「設定 → DLP → Just-In-Time 保護」から設定していきます。必要に応じて適用デバイスを制限します。検証なら絞りましょう。
JITの評価が失敗したときのアクションとして、ユーザーの操作を許可するか禁止するかを選択します。JITを導入する方針としては禁止する方向にする場合が多いでしょう。評価中のクリップボードのコピーも制御しましょう。
エンドポイント設定
ドキュメントにはエンドポイントでの条件として以下のように書かれています。
Just-In-Time 保護を展開する前に、マルウェア対策クライアント バージョン 4.18.23080 以降を展開する必要があります。
バージョンの確認は以下のように実行できます。
Get-MpComputerStatus | Select-Object *Version
検出してみた
Windows環境でRDP経由でコピーしてDLPポリシーに引っ掛けます。ポリシー評価のため一瞬動作がブロックされ、コンマ数秒でポリシー評価が完了した旨のポップアップがでました。このタイミングでは行った操作が実行できていない事もわかります。
もう一度コピーを実行すると、改めてDLPポリシーにてブロックされます。
より厳密なブロック動作が確認できました。
まとめ
エンドポイントDLPのJust-In-Time保護を設定してみました。
より厳密な制限をかけていきたい場合に、影響は確認しつつ活用しましょう。
