implementing-endpoint-dlp-controls
实施端点数据丢失防护(DLP)控制,检测并防止敏感数据通过电子邮件、USB、 云存储和打印进行泄露。适用于部署 DLP 代理、创建内容检查策略或防止 端点上未授权数据移动的场景。适用于涉及 DLP、数据泄露防护、内容检查 或端点敏感数据保护的请求。
Best use case
implementing-endpoint-dlp-controls is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
实施端点数据丢失防护(DLP)控制,检测并防止敏感数据通过电子邮件、USB、 云存储和打印进行泄露。适用于部署 DLP 代理、创建内容检查策略或防止 端点上未授权数据移动的场景。适用于涉及 DLP、数据泄露防护、内容检查 或端点敏感数据保护的请求。
Teams using implementing-endpoint-dlp-controls should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/implementing-endpoint-dlp-controls/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How implementing-endpoint-dlp-controls Compares
| Feature / Agent | implementing-endpoint-dlp-controls | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
实施端点数据丢失防护(DLP)控制,检测并防止敏感数据通过电子邮件、USB、 云存储和打印进行泄露。适用于部署 DLP 代理、创建内容检查策略或防止 端点上未授权数据移动的场景。适用于涉及 DLP、数据泄露防护、内容检查 或端点敏感数据保护的请求。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 实施端点 DLP 控制
## 使用场景
在以下情况下使用本技能:
- 部署端点 DLP,防止敏感数据(PII、PHI、PCI)离开组织
- 为电子邮件附件、USB 传输和云上传配置内容检查规则
- 实施 Microsoft Purview DLP 或 Symantec DLP 端点策略
- 满足数据保护合规要求(GDPR、HIPAA、PCI DSS)
**不适用于**网络 DLP(基于内联代理)或仅云 DLP(CASB)。
## 前置条件
- Microsoft 365 E5 或独立 Microsoft Purview DLP 许可证
- Microsoft Purview 合规门户访问权限(compliance.microsoft.com)
- 为组织数据定义的敏感信息类型(SIT)
- 已载入 Microsoft Purview 的端点(通过 Intune 或 SCCM)
## 操作流程
### 步骤 1:定义敏感信息类型
```
Microsoft Purview → 数据分类 → 敏感信息类型
常见数据的内置 SIT:
- 信用卡号(PCI)
- 社会安全号码(PII)
- 健康记录(HIPAA)
- 护照号码
- 银行账号
自定义 SIT 示例(员工 ID):
模式:EMP-[0-9]{6}
置信度:高
关键字:"employee id"、"emp id"、"staff number"
```
### 步骤 2:创建 DLP 策略
```
Microsoft Purview → 数据丢失防护 → 策略 → 创建策略
策略配置:
1. 模板:财务/医疗/PII(或自定义)
2. 位置:设备(端点 DLP)
3. 条件:
- 内容包含:信用卡号(最少 5 个实例)
- 或内容包含:SSN(最少 1 个实例)
4. 操作:
- 阻断:防止复制到 USB、云、电子邮件
- 审计:记录但允许(用于初始部署)
- 通知:显示用户通知和策略提示
5. 用户通知:
- "此文件包含敏感数据,无法复制到此位置"
- 允许带有业务理由的覆盖(可选)
```
### 步骤 3:配置端点 DLP 活动
```
受监控的端点活动:
- 上传到云服务(OneDrive、Dropbox、Google Drive)
- 复制到可移动媒体(USB 驱动器)
- 复制到网络共享
- 打印文档
- 复制到剪贴板
- 通过不允许的浏览器访问(非托管浏览器)
- 通过不允许的应用程序访问
- 复制到远程桌面会话
对于每个活动,配置:
- 仅审计(记录操作)
- 带覆盖的阻断(用户可以提供理由并继续)
- 阻断(完全阻止操作)
```
### 步骤 4:在审计模式下部署
```
首先在"带通知的测试模式"下部署 DLP 策略:
1. 策略在审计模式下运行 2-4 周
2. 在活动资源管理器中查看 DLP 警报
3. 识别误报
4. 调整 SIT 模式和条件
5. 为合法工作流添加排除项
6. 切换到"开启策略"(强制执行)
```
### 步骤 5:监控和响应
```
Purview → 数据丢失防护 → 活动资源管理器
关键指标:
- 每日/每周 DLP 策略匹配次数
- 匹配最多的敏感信息类型
- 触发 DLP 最多的用户
- 最多被阻断的活动(USB、云、电子邮件)
- 覆盖率(被阻断后覆盖的百分比)
DLP 事件响应:
1. 查看带有匹配内容的 DLP 警报
2. 验证检测数据的敏感性
3. 评估意图(意外 vs. 故意)
4. 如果是故意泄露 → 升级为安全事件
5. 如果是意外 → 教育用户,优化策略
```
## 关键概念
| 术语 | 定义 |
|------|------|
| **DLP** | 数据丢失防护;检测和防止敏感数据未授权传输的技术 |
| **SIT** | 敏感信息类型;用于识别敏感数据的模式匹配规则(正则表达式、关键字、ML 分类器) |
| **策略提示** | 面向用户的通知,说明操作被阻断的原因以及如何申请覆盖 |
| **内容检查** | 对文件内容进行深度检查以识别敏感数据模式 |
| **精确数据匹配(EDM)** | 针对已知敏感值的特定数据库(精确 SSN、员工记录)进行 DLP 匹配 |
## 工具与系统
- **Microsoft Purview DLP**:M365 E5 中包含的云管理端点 DLP
- **Symantec DLP(Broadcom)**:带有端点、网络和云模块的企业 DLP
- **Digital Guardian**:带有数据分类和保护功能的端点 DLP
- **Forcepoint DLP**:带有端点代理的统一 DLP 平台
- **Code42 Incydr**:带有文件泄露监控的内部风险检测
## 常见误区
- **在强制模式下过度阻断**:首先在审计模式下部署 DLP。在未发出警告的情况下阻断常用工作流会导致生产力下降。
- **SIT 误报过多**:电话号码、日期和随机数字序列可能匹配 PCI/SSN 模式。调整置信度级别并要求相关关键字。
- **忽视用户教育**:当用户理解数据受保护的原因时,DLP 效果最佳。策略提示应解释限制原因并提供已审批的替代方案。
- **未监控覆盖情况**:如果用户频繁覆盖 DLP 阻断,则策略要么过于严格,要么用户忽视了数据保护要求。审查覆盖原因。Related Skills
performing-endpoint-vulnerability-remediation
通过基于风险评分对 CVE 进行优先级排序、部署补丁、应用配置变更和验证修复 来执行端点漏洞修复。适用于修复漏洞扫描发现的问题、响应严重 CVE 公告 或维护端点合规性与补丁管理 SLA 的场景。适用于涉及漏洞修复、CVE 补丁、 端点漏洞管理或安全修复部署的请求。
performing-endpoint-forensics-investigation
对受损端点执行数字取证调查,包括内存获取、磁盘镜像、工件分析和时间线重建。 适用于调查安全事件、为法律诉讼收集证据或分析端点受损范围的场景。 适用于涉及端点取证、内存分析、磁盘取证或事件调查的请求。
implementing-zero-trust-with-hashicorp-boundary
使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。
implementing-zero-trust-with-beyondcorp
使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。
implementing-zero-trust-network-access
通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。
implementing-zero-trust-network-access-with-zscaler
使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构
implementing-zero-trust-in-cloud
本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。
implementing-zero-trust-for-saas-applications
使用 CASB、SSPM、条件访问策略、OAuth 应用治理和会话控制,为 SaaS 应用实施零信任访问控制, 对云托管服务强制执行身份验证、设备合规性检查和数据保护。
implementing-zero-trust-dns-with-nextdns
将 NextDNS 实施为零信任 DNS 过滤层,提供加密解析、威胁情报阻断、隐私保护,以及跨所有端点的组织策略执行。
implementing-zero-standing-privilege-with-cyberark
部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。
implementing-zero-knowledge-proof-for-authentication
零知识证明(ZKP)允许证明者在不泄露秘密本身的情况下证明对某个秘密(如密码或私钥)的了解。本技能实现 Schnorr 身份识别协议和使用离散对数问题的简化 ZKPP,使服务器永远不需要获取用户密码即可完成认证。
implementing-web-application-logging-with-modsecurity
配置带有 OWASP 核心规则集(CRS)的 ModSecurity WAF,实现 Web 应用程序日志记录, 调整规则以减少误报,分析审计日志进行攻击检测,并为应用程序特定威胁实现自定义 SecRules。 分析师配置 SecRuleEngine、SecAuditEngine 和 CRS 偏执级别,以在安全覆盖范围和运营稳定性之间取得平衡。 适用于涉及 WAF 配置、ModSecurity 规则调整、Web 应用审计日志或 CRS 部署的场景。