<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Microsoft-Purview on Tarragon</title><link>https://tarrragon.github.io/blog/tags/microsoft-purview/</link><description>Recent content in Microsoft-Purview on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Mon, 18 May 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/microsoft-purview/index.xml" rel="self" type="application/rss+xml"/><item><title>Microsoft Purview</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/microsoft-purview/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/microsoft-purview/</guid><description>&lt;p>Microsoft Purview 是 Microsoft 在 2022 年把原 Microsoft Information Protection (MIP)、Azure Purview data catalog、Microsoft 365 Compliance Center 合併後的統合品牌、定位是 &lt;em>跨 M365 / Azure / endpoint / 跨平台&lt;/em> 的 data governance + information protection + DLP + audit + insider risk 平台。它跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &amp;#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP&lt;/a> 的本質差異在 &lt;em>控制層級&lt;/em>、功能列表反而看起來相似 — Purview 走 &lt;em>information protection&lt;/em>（document / email / collaboration tool 的 sensitivity label + endpoint inline 攔截）、Google DLP 走 &lt;em>infrastructure-level discovery + transformation&lt;/em>（GCS / BigQuery 的 content scan + de-identification）— 兩者層級不同、典型大型 Microsoft + GCP 混合環境會並存而非互斥。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>Purview 的核心 first-class concept 是 &lt;em>sensitivity label&lt;/em> — 一個 label 帶動 encryption、access restriction、watermarking、DLP policy 多個控制、可由 user 手動標也可由 trainable classifier 自動標、跨 Office docs / SharePoint / Teams / Power BI / endpoint 繼承。其上的模組包含：&lt;em>Data Loss Prevention (DLP)&lt;/em> — 跨 Exchange / SharePoint / Teams / Endpoint / Microsoft Defender for Cloud Apps (MDA) 的 policy 引擎；&lt;em>Data Map / Data Catalog&lt;/em> — Azure / 多雲資料源 discovery + lineage；&lt;em>Unified Audit Log&lt;/em> — M365 + Azure AD + Defender 統一 audit；&lt;em>Insider Risk Management&lt;/em> — 行為 risk score 偵測內部威脅；&lt;em>Communication Compliance&lt;/em> — Teams / email 內容 review。&lt;/p>
&lt;p>跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &amp;#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP&lt;/a> 比、Purview 走 &lt;em>information protection 層 + label-driven + endpoint inline&lt;/em>、Google DLP 走 &lt;em>infrastructure 層 + content-based + transformation pipeline&lt;/em>。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &amp;#43; indexer &amp;#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk&lt;/a> 比、Purview 不是 SIEM — Unified Audit Log 是 &lt;em>event source&lt;/em>、Splunk 或 Microsoft Sentinel 才是 aggregation 平面；Purview audit 進 SIEM 是常見組合。跟&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/cloud-data-policy/" data-link-title="Cloud-native Data Policy (BigQuery &amp;#43; S3)" data-link-desc="BigQuery column / row-level security &amp;#43; S3 bucket policy &amp;#43; Access Points &amp;#43; Macie、雲端原生資料層 access control、跟 DLP / Purview 互補">雲端原生 data policy&lt;/a>（BigQuery Column-Level Security / S3 Block Public Access）比、Purview 跨平台 + label 統一、雲端原生只覆蓋單一雲、不同責任邊界。&lt;/p></description><content:encoded><![CDATA[<p>Microsoft Purview 是 Microsoft 在 2022 年把原 Microsoft Information Protection (MIP)、Azure Purview data catalog、Microsoft 365 Compliance Center 合併後的統合品牌、定位是 <em>跨 M365 / Azure / endpoint / 跨平台</em> 的 data governance + information protection + DLP + audit + insider risk 平台。它跟 <a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> 的本質差異在 <em>控制層級</em>、功能列表反而看起來相似 — Purview 走 <em>information protection</em>（document / email / collaboration tool 的 sensitivity label + endpoint inline 攔截）、Google DLP 走 <em>infrastructure-level discovery + transformation</em>（GCS / BigQuery 的 content scan + de-identification）— 兩者層級不同、典型大型 Microsoft + GCP 混合環境會並存而非互斥。</p>
<h2 id="服務定位">服務定位</h2>
<p>Purview 的核心 first-class concept 是 <em>sensitivity label</em> — 一個 label 帶動 encryption、access restriction、watermarking、DLP policy 多個控制、可由 user 手動標也可由 trainable classifier 自動標、跨 Office docs / SharePoint / Teams / Power BI / endpoint 繼承。其上的模組包含：<em>Data Loss Prevention (DLP)</em> — 跨 Exchange / SharePoint / Teams / Endpoint / Microsoft Defender for Cloud Apps (MDA) 的 policy 引擎；<em>Data Map / Data Catalog</em> — Azure / 多雲資料源 discovery + lineage；<em>Unified Audit Log</em> — M365 + Azure AD + Defender 統一 audit；<em>Insider Risk Management</em> — 行為 risk score 偵測內部威脅；<em>Communication Compliance</em> — Teams / email 內容 review。</p>
<p>跟 <a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> 比、Purview 走 <em>information protection 層 + label-driven + endpoint inline</em>、Google DLP 走 <em>infrastructure 層 + content-based + transformation pipeline</em>。跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> 比、Purview 不是 SIEM — Unified Audit Log 是 <em>event source</em>、Splunk 或 Microsoft Sentinel 才是 aggregation 平面；Purview audit 進 SIEM 是常見組合。跟<a href="/blog/backend/07-security-data-protection/vendors/cloud-data-policy/" data-link-title="Cloud-native Data Policy (BigQuery &#43; S3)" data-link-desc="BigQuery column / row-level security &#43; S3 bucket policy &#43; Access Points &#43; Macie、雲端原生資料層 access control、跟 DLP / Purview 互補">雲端原生 data policy</a>（BigQuery Column-Level Security / S3 Block Public Access）比、Purview 跨平台 + label 統一、雲端原生只覆蓋單一雲、不同責任邊界。</p>
<p>關鍵張力：<em>label 設計簡單度</em> ↔ <em>自動分類精準度</em> ↔ <em>使用者教育成本</em> 是 Purview 導入時最常踩的三角。label 太細（10+ 層 hierarchical）使用者選不出來、label 太粗（只有 Public / Internal / Confidential）DLP policy 觸發精度不夠。Trainable classifier + auto-labeling 是補救、但要投入訓練樣本維運。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>Purview 在 information protection stack 中承擔哪一段（label / DLP / audit / insider risk）、跟 <a href="/blog/backend/07-security-data-protection/vendors/azure-rbac/" data-link-title="Azure RBAC &#43; Entra ID" data-link-desc="Azure 雙層身份/權限體系、Entra ID（IdP）&#43; Azure RBAC（resource permission）、Conditional Access、PIM、Managed Identity">Azure RBAC + Entra ID</a> / SIEM / cloud-native policy 怎麼分工</li>
<li>Sensitivity label 的層級設計（粗細、auto-label 條件、跨 Office / endpoint / Power BI 一致性）</li>
<li>DLP policy 的 location + condition + action 三軸如何配置、跟 endpoint DLP / MDA 怎麼覆蓋 SaaS shadow IT</li>
<li>Purview 計費分 SKU 的 trap、E3 + add-on vs E5 license 的決策</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷 Purview deployment 是否健康、最少看四件事：</p>
<ul>
<li><strong>Label 層級設計</strong>：sensitivity label 幾層、是否 hierarchical（parent / sublabel）、是否定義 auto-labeling 條件（含某 SIT、來自某 SharePoint site、某 user group 建立）、跨 Office / endpoint / Power BI / Teams 是否一致繼承</li>
<li><strong>DLP policy coverage</strong>：location 是否涵蓋 Exchange + SharePoint + Teams + Endpoint + MDA、condition 是否用 SIT + label 雙軸（而非只看 SIT）、action 是否依風險分層（block / warn / encrypt / audit-only）</li>
<li><strong>Audit + Insider Risk 證據鏈</strong>：Unified Audit Log retention 是否足夠（預設 180 天、E5 可到 1 年、長期要 archive）、Insider Risk policy 是否定義「離職前 30 天 mass download」「異常時段 access」等 organization-specific pattern、是否 export 進 SIEM</li>
<li><strong>License 跟模組對應</strong>：Information Protection / DLP / Insider Risk / Communication Compliance 屬不同 SKU、是否買到所需模組、E3 + add-on 還是 E5、避免「policy 寫好但 license 沒解鎖功能」</li>
</ul>
<p>四件事任一缺失、就是 <a href="/blog/backend/07-security-data-protection/data-protection-and-masking-governance/" data-link-title="7.4 資料保護與遮罩治理" data-link-desc="以問題驅動方式整理資料分級、遮罩、匯出與備份治理">Data Protection and Masking Governance</a> 邊界的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong>Sensitivity label 是 first-class control</strong>：label 不只是 metadata、而是 <em>單一 identifier 帶動多個控制</em> — 標到 document 後同時觸發 AES encryption（透過 Azure Rights Management）、access restriction（誰能開 / 列印 / 轉寄）、watermarking、DLP policy condition、Power BI dataset 繼承。Hierarchical label（Confidential → Confidential\Finance、Confidential\Legal）讓子部門客製、但層級超過 3 層使用者選擇困難。Label 設計要先決定 <em>跨 BU 共用 base set + 每 BU 自家 sublabel</em> 的拓撲、不是一次列 20 個。</p>
<p><strong>Trainable classifier 補 SIT 不足</strong>：預定義 SIT（Sensitive Information Type、如 credit card / SSN / passport）涵蓋通用 PII / PCI、但 organization-specific 敏感資料（內部 product spec、合約模板、未公開財報草稿）SIT 抓不到。Trainable classifier 用 ML 訓練 — 提供 50-500 個正例 + 反例、Purview 訓 classifier、跑 staging 驗證 precision / recall 達標再 promote。維運成本是樣本要定期 refresh、business 變動時 classifier 會 drift。</p>
<p><strong>DLP policy = location + condition + action</strong>：location（Exchange email / SharePoint site / Teams chat / OneDrive / Endpoint / MDA-managed SaaS）決定 <em>在哪攔</em>、condition（含某 SIT N 次 / 標 Confidential / 來自外部 user / 含某 trainable classifier 命中）決定 <em>何時觸發</em>、action（block + notify / encrypt / quarantine / audit-only / require justification）決定 <em>怎麼處理</em>。production 不該一上來就 block — 先 audit-only 跑 2 週收集 baseline、tune false positive、再 promote 到 warn、最後選擇性 block 高風險 condition。</p>
<p><strong>Endpoint DLP（Windows / macOS）</strong>：透過 Microsoft Defender for Endpoint agent 在端點 inline 攔截 — copy to USB / upload to non-corp cloud（Dropbox / Google Drive personal）/ print / paste to browser、針對標 Confidential 的 document 自動 block 或 warn。跟 <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a> 的 Sensitive Data Scanner 不同層 — 後者 scan log / APM payload 事後發現、Endpoint DLP 事前在 user action 攔截。Endpoint DLP 要 Defender for Endpoint license + Purview Endpoint DLP add-on 雙重 license、容易踩計費 trap。</p>
<p><strong>Microsoft Defender for Cloud Apps (MDA) 整合</strong>：MDA 是 Microsoft 的 CASB（Cloud Access Security Broker）、把 Purview DLP policy 延伸到非 Microsoft 的 SaaS（Salesforce / Box / Slack / Google Workspace）。MDA 透過 API connector 或 reverse proxy 攔截 SaaS 上的 sensitive document、套 Purview label / DLP action。覆蓋 shadow IT 跟 third-party SaaS 是 MDA 的價值、但每個 connector 都要單獨配置 + 維運。</p>
<p><strong>Data Map / Data Catalog discovery + lineage</strong>：Purview Data Map 自動掃描 Azure Storage / Synapse / SQL DB / Power BI / 部分 AWS / GCP 資料源、產 metadata + classification + lineage。跟 information protection 模組是不同 surface — Data Map 偏 <em>data governance</em>（誰擁有什麼資料、資料流向哪）、information protection 偏 <em>control</em>（誰能存取、能否 export）。中大型組織通常分開 onboard、不要一次全推。</p>
<p><strong>Unified Audit Log 是 SIEM source</strong>：M365 + Azure AD + Defender + Purview 自身的 audit event 統一進 Unified Audit Log、可透過 Compliance Center search、或 Office 365 Management Activity API export 到 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / Sentinel / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a>。Purview 自己不做 correlation / alerting、要做跨來源 detection 必須接 SIEM。Retention 預設 180 天、E5 license 1 年、長期合規要走 Audit Premium 或 archive 到 long-term storage。</p>
<p><strong>Insider Risk Management 跟 SIEM 互補</strong>：SIEM 主軸是 <em>external threat + cross-source correlation</em>、Insider Risk 主軸是 <em>single-user 行為 risk score over time</em> — 離職前 30 天 mass download、異常時段存取 sensitive folder、跨 sensitivity tier 大量 access。Risk score 累積到 threshold 觸發 case、進 Compliance officer review queue。預定義 policy template（departing employee、disgruntled employee、data leak）可快速 onboard、organization-specific pattern 要自己定。</p>
<p><strong>跟 <a href="/blog/backend/07-security-data-protection/vendors/azure-rbac/" data-link-title="Azure RBAC &#43; Entra ID" data-link-desc="Azure 雙層身份/權限體系、Entra ID（IdP）&#43; Azure RBAC（resource permission）、Conditional Access、PIM、Managed Identity">Azure RBAC + Entra ID</a> 整合</strong>：Purview policy 的 user / group 引用直接吃 Entra ID identity、sensitivity label 的 access restriction 也走 Entra ID group。Compliance / Information Protection admin 是 Entra ID role、應該收緊到少數人 + 走 PIM (Privileged Identity Management) just-in-time elevation。Break-glass account 要單獨設計、不能跟日常運維混。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>Microsoft Purview</th>
          <th>Google DLP</th>
          <th>Splunk</th>
          <th>雲端原生 data policy（BigQuery / S3）</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>控制層級</td>
          <td>Information protection（document / label）</td>
          <td>Infrastructure（content scan + transform）</td>
          <td>Detection / aggregation</td>
          <td>Resource policy（column / object 級別）</td>
      </tr>
      <tr>
          <td>核心抽象</td>
          <td>Sensitivity label + DLP policy</td>
          <td>InfoType + de-identification</td>
          <td>SPL + correlation rule</td>
          <td>IAM policy + column tag</td>
      </tr>
      <tr>
          <td>覆蓋面</td>
          <td>M365 + Endpoint + MDA-managed SaaS + Azure</td>
          <td>GCS / BigQuery / Pub/Sub / 任意 API content</td>
          <td>任意 log source</td>
          <td>單一雲服務內</td>
      </tr>
      <tr>
          <td>計費模型</td>
          <td>Per-user license（E3 + add-on / E5、模組分 SKU）</td>
          <td>Per-GB scan + per-API call</td>
          <td>Per-GB ingestion</td>
          <td>多半免費 / 服務內計費</td>
      </tr>
      <tr>
          <td>自動分類</td>
          <td>Trainable classifier + 預定義 SIT</td>
          <td>InfoType detector（150+ 預定義 + custom）</td>
          <td>不做分類</td>
          <td>Column tag 手動 / catalog 工具自動</td>
      </tr>
      <tr>
          <td>Endpoint inline</td>
          <td>強 — Endpoint DLP（Win/macOS）</td>
          <td>無（基礎設施層）</td>
          <td>無（觀測層）</td>
          <td>無</td>
      </tr>
      <tr>
          <td>Shadow IT 覆蓋</td>
          <td>強 — 透過 MDA CASB</td>
          <td>弱 — 限 GCP / API 整合</td>
          <td>無</td>
          <td>無</td>
      </tr>
      <tr>
          <td>退場成本</td>
          <td>高 — label 嵌入 document、跨 M365 黏著</td>
          <td>中 — InfoType pattern 可移植</td>
          <td>高 — SPL / detection content</td>
          <td>低 — IAM policy 較通用</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>M365 / Office / collaboration 為主、insider risk</td>
          <td>Infrastructure data + multi-cloud + GCP</td>
          <td>SIEM / SOC</td>
          <td>單一雲服務內 fine-grained access</td>
      </tr>
  </tbody>
</table>
<p>選 Purview 的核心訴求：<em>M365 / Office / collaboration 為主、需要 label 統一控制跨 document / email / Teams / endpoint、insider risk 是主要威脅、且能買到 E5 或對應 add-on</em>。Non-Microsoft 環境或 infrastructure data 為主（BigQuery / S3）走 <a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / cloud-native policy 更直接、不要硬塞 Purview。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>Trainable classifier 的 lifecycle</strong>：classifier 不是 train 一次永久用、business context 變化（產品線改、合約模板更新、合規詞彙變）會讓 precision / recall 下降。Production 應定期 review classifier hit / miss、補新樣本 retrain、跟 SIT 互補不是替代 — 通用 PII 走 SIT 穩定、organization-specific 走 trainable classifier。Staging 跑 2 週驗證 false positive &lt; threshold 才 promote。</p>
<p><strong>Endpoint DLP 跟 <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a> Sensitive Data Scanner 的不同層</strong>：Endpoint DLP 在 user action 當下攔截（copy / upload / print）、Datadog Sensitive Data Scanner 在 log / APM ingestion 時 scrub。兩者不互斥 — Endpoint DLP 防 <em>資料離開端點</em>、Datadog Scanner 防 <em>PII 寫進觀測 log</em>、典型 Microsoft + Datadog 環境會並存。</p>
<p><strong>Data Loss Prevention for Power BI</strong>：Power BI dataset / report 可繼承 Purview sensitivity label、export to Excel / PDF 時 label 跟著走、DLP policy 可條件 <em>標 Highly Confidential 的 dataset 不能 export</em>。是 Microsoft analytics stack 比 Tableau / Looker 在 information protection 上的關鍵優勢。</p>
<p><strong>Information Barriers（內部 walled garden）</strong>：合規場景（投行 research vs trading desk、law firm 對手客戶）需 organization 內部某 group 不能 Teams 對話 / 不能 share 檔案、Purview Information Barriers 設定 segment + policy 阻擋。是 compliance-specific feature、非合規環境用不到、但金融 / 法律 / 顧問業是 must-have。</p>
<p><strong>E3 + add-on vs E5 的計費決策</strong>：Purview 完整功能（trainable classifier、Endpoint DLP、Insider Risk、Communication Compliance、Audit Premium）要 E5 license、單價約 E3 的 1.5 倍。中小組織從 E3 + 個別 add-on（Information Protection and Governance E5、Insider Risk Management E5）起步、避免一次 E5 全推；大組織直接 E5 反而簡化計費跟 license 管理。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>DLP policy 寫好但沒觸發</strong>：condition 或 location 設錯（policy 只覆蓋 Exchange 沒包 SharePoint）、或 license 沒解鎖該模組（Endpoint DLP 要額外 add-on）— 在 Compliance Center 看 policy match 統計、確認 license 對應</li>
<li><strong>使用者抱怨 label 選不出來 / 選錯</strong>：label 層級太細 + 沒有預設 label、user 不知該選哪個 — 簡化到 3-5 個 base label、用 auto-labeling 補自動分類、加 label tooltip</li>
<li><strong>Trainable classifier false positive 多</strong>：訓練樣本不足 / 正反例失衡 — 補樣本到 50+ per class、retrain、staging 跑 2 週驗證再 promote</li>
<li><strong>Audit log retention 不夠 / 合規查不到</strong>：預設 180 天、合規要 1 年以上 — 升 E5 或 Audit Premium、或 export 到 SIEM / long-term storage</li>
<li><strong>Insider Risk policy 太敏感 / 太多 case</strong>：預設 template 沒 tune organization baseline — 跑 audit-only 模式 30 天統計、調 threshold、加 user group 排除（VIP / legitimate bulk download role）</li>
<li><strong>Endpoint DLP 攔到合法業務操作</strong>：policy 沒區分 corp managed device vs BYOD、或沒給 user override + justification — 加 device compliance condition、設 warn + justification 而非直接 block</li>
<li><strong>MDA connector 落後 SaaS 新功能</strong>：API connector 有 lag、新功能未涵蓋 — 對高風險 SaaS 補 reverse proxy 模式、或在 SaaS 側設原生 DLP</li>
<li><strong>License 模組混亂</strong>：policy 寫好但功能沒解鎖、admin 不知道哪些要 E5 — 維護 license-to-feature 對照表、Compliance Center 警示「需要 license」要直接修</li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Infrastructure data（GCS / BigQuery）</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a></td>
      </tr>
      <tr>
          <td>SIEM / cross-source correlation</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / Microsoft Sentinel</td>
      </tr>
      <tr>
          <td>Observability log PII scrubbing</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a></td>
      </tr>
      <tr>
          <td>單一雲 column / object 級別權限</td>
          <td>BigQuery Column-Level Security / S3 Block Public Access</td>
      </tr>
      <tr>
          <td>AWS-centric data protection</td>
          <td>AWS Macie / <a href="/blog/backend/07-security-data-protection/vendors/aws-kms/" data-link-title="AWS KMS" data-link-desc="AWS 原生 key management service、envelope encryption / digital signing / Multi-Region Key、Key Policy &#43; Grant 雙軌授權">AWS KMS</a></td>
      </tr>
      <tr>
          <td>Endpoint detection 為主（不只 DLP）</td>
          <td>CrowdStrike Falcon / Microsoft Defender for Endpoint</td>
      </tr>
      <tr>
          <td>Incident routing</td>
          <td><a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a></td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li>Microsoft 365 / Azure AD 完整管理（屬 <a href="/blog/backend/07-security-data-protection/vendors/azure-rbac/" data-link-title="Azure RBAC &#43; Entra ID" data-link-desc="Azure 雙層身份/權限體系、Entra ID（IdP）&#43; Azure RBAC（resource permission）、Conditional Access、PIM、Managed Identity">Azure RBAC + Entra ID</a>）</li>
<li>eDiscovery 跟法律 hold 流程細節</li>
<li>Microsoft Sentinel SIEM 完整配置（屬 SIEM 群、跟 Purview 是互補不是同一頁）</li>
<li>Purview Data Map 對非 Azure 資料源（AWS / GCP / on-prem）的完整 connector 矩陣</li>
<li>Compliance Manager 的法規對照與 scoring 細節</li>
<li>Azure Information Protection (AIP) 舊版 client 的 migration 流程</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<p>Purview 在 07 案例庫沒有直接 vendor-level 事件、但 information protection + insider risk 角度跟多個案例對照：</p>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 Purview 的關係（對照啟示）</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/mailchimp-2023-support-tool-abuse/" data-link-title="7.R7.4.4 Mailchimp 2023：支援工具路徑與客戶資料風險" data-link-desc="社交工程進入客服工具後，如何形成特定客戶資料存取風險">Mailchimp 2023 Support Tool Abuse</a></td>
          <td>客服系統客戶資料應標「Customer Confidential」label、DLP policy 自動阻擋大量匯出、Insider Risk Management 偵測異常 operator 行為</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/snowflake-2024-credential-abuse/" data-link-title="7.R7.4.2 Snowflake 2024：憑證濫用與資料竊取" data-link-desc="外洩憑證與 MFA 缺口如何在資料平台形成高風險外送事件">Snowflake 2024 Credential Abuse</a></td>
          <td>Endpoint DLP 在 Microsoft 端點攔截從 Snowflake 下載到 USB / personal cloud 的大量資料；對照啟示是「資料平台外洩仍可在 endpoint 端補位攔截」、不是依賴 Snowflake 自身控制</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/cases/okta-support-system-incident-2023/" data-link-title="7.C5 Okta：2023 Support System 事件" data-link-desc="支援系統憑證風險如何擴散到客戶租戶的案例。">Okta Support System 2023</a></td>
          <td>Unified Audit Log 紀錄 support tool 高風險操作、Insider Risk 偵測異常 pattern、跟 SIEM 串接做 cross-source correlation</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/data-protection-and-masking-governance/" data-link-title="7.4 資料保護與遮罩治理" data-link-desc="以問題驅動方式整理資料分級、遮罩、匯出與備份治理">Data Protection and Masking Governance (section)</a></td>
          <td>Sensitivity label + DLP policy 是 information protection 的工具、跟 Google DLP transformation 不同層、可並存</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/audit-trail-and-accountability-boundary/" data-link-title="7.7 稽核追蹤與責任邊界" data-link-desc="以問題驅動方式整理高風險操作追蹤、可回查與責任切分">Audit Trail and Accountability Boundary (section)</a></td>
          <td>Unified Audit Log 是 accountability evidence chain、retention 跟 export 設計是合規證據可用性的關鍵</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/data-protection-and-masking-governance/" data-link-title="7.4 資料保護與遮罩治理" data-link-desc="以問題驅動方式整理資料分級、遮罩、匯出與備份治理">7.4 資料保護與遮罩治理</a>、<a href="/blog/backend/07-security-data-protection/audit-trail-and-accountability-boundary/" data-link-title="7.7 稽核追蹤與責任邊界" data-link-desc="以問題驅動方式整理高風險操作追蹤、可回查與責任切分">7.8 稽核軌跡與責任邊界</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a>（infrastructure 層 DLP、跟 Purview 並存）、<a href="/blog/backend/07-security-data-protection/vendors/cloud-data-policy/" data-link-title="Cloud-native Data Policy (BigQuery &#43; S3)" data-link-desc="BigQuery column / row-level security &#43; S3 bucket policy &#43; Access Points &#43; Macie、雲端原生資料層 access control、跟 DLP / Purview 互補">Cloud-native Data Policy (BigQuery + S3)</a>（resource-bound access control、跟 Purview label-driven 互補）</li>
<li>下游：<a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a>（Unified Audit Log export 進 SIEM）</li>
<li>跨類：<a href="/blog/backend/07-security-data-protection/vendors/azure-rbac/" data-link-title="Azure RBAC &#43; Entra ID" data-link-desc="Azure 雙層身份/權限體系、Entra ID（IdP）&#43; Azure RBAC（resource permission）、Conditional Access、PIM、Managed Identity">Azure RBAC + Entra ID</a>（identity 基底）、<a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a>（log PII scrubbing、不同層互補）</li>
<li>跨模組：<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a>（Insider Risk case → IR routing）</li>
<li>官方：<a href="https://learn.microsoft.com/en-us/purview/">Microsoft Purview Documentation</a></li>
</ul>
]]></content:encoded></item></channel></rss>