M15 – Data Protection trên Endpoint

01 · Lý thuyết

Tổng quan Data Protection trên Endpoint

Data Protection ở cấp endpoint bảo vệ dữ liệu nhạy cảm ngay tại thiết bị — ngăn không cho dữ liệu bị copy, leak, hoặc gửi ra ngoài không được phép. Microsoft cung cấp 3 công cụ chính:

Công cụ	Phạm vi	Cơ chế	Trạng thái
Windows Information Protection (WIP)	Windows 10/11 apps	Tag file là "Work" hay "Personal", kiểm soát copy/paste giữa các app	Deprecated (sẽ remove)
Endpoint DLP	Windows + macOS endpoints	Phát hiện sensitive data (CCCD, thẻ tín dụng...) và block hành động nguy hiểm	Recommended
Sensitivity Labels (MIP)	Office apps, M365 services	Gắn nhãn phân loại (Public/Internal/Confidential), áp dụng encryption + visual marking	Recommended

Endpoint DLP – Data Loss Prevention tại điểm cuối

Endpoint DLP (từ Microsoft Purview) giám sát và kiểm soát hành động với dữ liệu nhạy cảm trực tiếp trên endpoint. Cần thiết bị được onboard vào Microsoft Defender for Endpoint.

Hoạt động được giám sát	Mô tả	Hành động có thể thực hiện
Copy to USB	Copy file chứa sensitive data ra USB drive	Block / Audit / Allow with override
Upload to cloud	Upload lên dịch vụ cloud không được phép (Google Drive, Dropbox)	Block / Audit
Print	In file chứa dữ liệu nhạy cảm	Block / Audit
Copy to clipboard	Copy nội dung nhạy cảm vào clipboard	Block / Audit
Share via Bluetooth	Chia sẻ qua Bluetooth	Block / Audit
Remote desktop	Copy/paste qua RDP session	Block / Audit

Sensitivity Labels – Phân loại và bảo vệ tài liệu

Sensitivity Labels là một phần của Microsoft Purview Information Protection (MIP). Labels được gắn vào file/email và mang theo các protection settings:

Label	Màu sắc thông thường	Protection tiêu biểu	Ví dụ nội dung
Public	Xanh lá	Không có protection	Brochure, website content
Internal	Xanh dương	Watermark "Internal Only"	Policy nội bộ, thông báo nội bộ
Confidential	Vàng	Encryption, chỉ nhân viên công ty đọc được	Báo cáo tài chính, hợp đồng
Highly Confidential	Đỏ	Encryption + chỉ người được phép đọc, block print/copy	Chiến lược M&A, thông tin nhân sự nhạy cảm

Sensitive Information Types (SITs)

DLP policy phát hiện dữ liệu nhạy cảm thông qua Sensitive Information Types — các pattern built-in hoặc custom:

Built-in: Số CCCD/CMND Việt Nam, thẻ tín dụng (Visa/MC/Amex), passport, số tài khoản ngân hàng, SSN (Mỹ), IBAN (EU)
Custom: Tự định nghĩa bằng regex (VD: mã nhân viên dạng EMP-XXXXX, mã hợp đồng)
Trainable classifiers: ML model phát hiện loại nội dung (source code, financial documents, HR data)

Yêu cầu Endpoint DLP: Thiết bị phải được onboard vào Microsoft Defender for Endpoint và chạy Windows 10 20H2+ hoặc macOS Catalina+. Không cần agent riêng — DLP tích hợp trong MDE sensor.

02 · Thực hành

Lab A: Tạo Endpoint DLP Policy – Block copy CCCD ra USB

Thực hành tại: compliance.microsoft.com → Data loss prevention → Policies

Vào compliance.microsoft.com → Data loss prevention → Policies → Create policy
Template: Custom → Custom policy → Next
Name: DLP-Endpoint-Block-CCCD-USB
Locations: Chọn Devices → All devices
Define policy settings: Create or customize advanced DLP rules
Tạo rule Block CCCD copy to USB:
• Conditions: Content contains → Sensitive info types → Vietnam National ID
• Actions: Audit or restrict activities on devices
→ Copy to a removable USB storage: Block
→ Upload to cloud service: Block with override
→ Print: Audit only
• User notifications: Show policy tip (thông báo user biết tại sao bị block)
Policy mode: Test mode (audit 1 tuần trước khi enforce) → Next → Submit

Lab B: Tạo Sensitivity Label qua PowerShell

Connect-IPPSSession -UserPrincipalName [email protected] # Tạo Sensitivity Label "Confidential" New-Label -Name "Confidential" ` -DisplayName "Confidential" ` -Tooltip "Dữ liệu nội bộ nhạy cảm - chỉ chia sẻ với người có nhu cầu công việc" ` -ContentType "File,Email" ` -EncryptionEnabled $true ` -EncryptionProtectionType "Template" ` -EncryptionRightsDefinitions "AuthenticatedUsers:VIEW,VIEWRIGHTSDATA,DOCEDIT,EDIT,PRINT,EXTRACT,REPLY,REPLYALL,FORWARD,OBJMODEL" ` -ApplyContentMarkingHeaderEnabled $true ` -ApplyContentMarkingHeaderText "CONFIDENTIAL - VietTech Internal" ` -ApplyContentMarkingHeaderFontColor "#FF0000" ` -ApplyContentMarkingHeaderFontSize 12 ` -ApplyWaterMarkingEnabled $true ` -ApplyWaterMarkingText "CONFIDENTIAL" ` -ApplyWaterMarkingFontColor "#FF0000" # Publish label trong Label Policy New-LabelPolicy -Name "Corp-Label-Policy" ` -Labels @("Public","Internal","Confidential","Highly Confidential") ` -ExchangeLocation All ` -ModernGroupLocation All

Name : Confidential DisplayName : Confidential ContentType : File, Email EncryptionEnabled : True WatermarkText : CONFIDENTIAL CreatedBy : [email protected] WhenCreated : 2024-03-15T09:00:00Z # Sau khi publish (15-30 phút): # - Outlook: menu nhãn xuất hiện trên ribbon # - Word/Excel/PowerPoint: menu nhãn trong tab Home # - User gắn nhãn "Confidential" → file tự encrypt # - Người ngoài công ty nhận file → không thể mở dù forward

Lab C: Kiểm tra DLP Activity Explorer

Connect-IPPSSession

# Lấy DLP alerts trong 7 ngày qua
$activities = Export-ActivityExplorerData `
    -StartTime (Get-Date).AddDays(-7) `
    -EndTime (Get-Date) `
    -OutputFormat Json `
    -Filter1 @{Name='Activity'; Values='DLPRuleMatch'}

$activities | ConvertFrom-Json | Where-Object { $_.Workload -eq "Endpoint" } |
    Select-Object TimeStamp, UserId, DeviceName, Activity, PolicyName, RuleName, SensitiveInfoTypeName |
    Format-Table -AutoSize

TimeStamp UserId DeviceName Activity PolicyName RuleName ----------- ------- ---------- -------- ---------- -------- 2024-03-15 09:15:00 [email protected] LAPTOP-VT001 FilecopiedToUSB DLP-Endpoint-Block-CCCD-USB Block CCCD copy to USB 2024-03-14 14:30:00 [email protected] LAPTOP-KT005 FileUploadedToCloud DLP-... Block upload cloud # SensitiveInfoTypeName: Vietnam National ID # Action: Blocked (không copy được ra USB) # User được thông báo lý do qua policy tip

03 · Tình huống thực tế

Bệnh viện Đa khoa Quốc tế Vinmec – Bảo vệ hồ sơ bệnh nhân (HIPAA-like)

Vinmec có 3.000 nhân viên, xử lý hàng triệu hồ sơ bệnh nhân chứa thông tin CCCD, số điện thoại, kết quả xét nghiệm. Yêu cầu: đảm bảo nhân viên không thể copy/leak hồ sơ bệnh nhân ra USB, email cá nhân, hoặc cloud không được phép.

Giải pháp Data Protection:

✓ Sensitivity Labels: Tài liệu bệnh nhân gắn label "Highly Confidential – Medical" → tự encrypt, không forward ra ngoài được
✓ Endpoint DLP: Block copy file chứa CCCD/passport ra USB, Google Drive, Dropbox, Gmail
✓ Custom SIT: Tạo pattern nhận diện mã bệnh nhân Vinmec (VIN-XXXXXXXX)
✓ Audit mode 2 tuần: Test policy trước → phát hiện 45 hành động sẽ bị block → xem xét → chỉ 2 false positive → enable enforcement
✓ Allowed cloud: Chỉ SharePoint/OneDrive công ty được phép upload — Google Drive/Dropbox bị block

Kết quả:

• 0 sự cố rò rỉ dữ liệu bệnh nhân trong 12 tháng sau khi triển khai
• Phát hiện 3 trường hợp nhân viên cố tình copy dữ liệu — đã xử lý kỷ luật
• Pass kiểm tra PDPA (Personal Data Protection Act) của Bộ Thông tin & Truyền thông