Information Protection-Richtlinien

Hinweis

  • Wir haben Microsoft Cloud App Security umbenannt. Es wird jetzt als Microsoft Defender for Cloud Apps bezeichnet. In den kommenden Wochen werden wir die Screenshots und Anweisungen hier und auf verwandten Seiten aktualisieren. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur aktuellen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.

  • Microsoft Defender for Cloud Apps ist jetzt Teil Microsoft 365 Defender. Das Microsoft 365 Defender Portal ermöglicht Sicherheitsadministratoren, ihre Sicherheitsaufgaben an einem Ort auszuführen. Dadurch werden Workflows vereinfacht und die Funktionalität der anderen Microsoft 365 Defender Dienste hinzugefügt. Microsoft 365 Defender ist das Zuhause für die Überwachung und Verwaltung der Sicherheit in Ihren Microsoft-Identitäten, Daten, Geräten, Apps und Infrastruktur. Weitere Informationen zu diesen Änderungen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Defender für Cloud Apps-Dateirichtlinien ermöglichen es Ihnen, eine Vielzahl von automatisierten Prozessen zu erzwingen. Richtlinien können festgelegt werden, um Informationsschutz bereitzustellen, einschließlich kontinuierlicher Compliancescans, rechtliche eDiscovery-Aufgaben und DLP für öffentlich freigegebene vertrauliche Inhalte.

Defender für Cloud Apps können jeden Dateityp basierend auf mehr als 20 Metadatenfiltern überwachen, z. B. Zugriffsebene und Dateityp. Weitere Informationen finden Sie unter "Dateirichtlinien".

Erkennen und Verhindern der externen Freigabe vertraulicher Daten

Erkennen Sie, wann Dateien mit persönlich identifizierten Informationen oder anderen vertraulichen Daten in einem Clouddienst gespeichert und für Benutzer freigegeben werden, die außerhalb Ihrer Organisation sind, die gegen die Sicherheitsrichtlinie Ihres Unternehmens verstoßen und eine potenzielle Complianceverletzung schafft.

Voraussetzungen

Sie müssen mindestens eine App mit App-Connectors verbunden haben.

Schritte

  1. Erstellen Sie auf der Seite "Richtlinien " eine neue Dateirichtlinie.

  2. Legen Sie die Filterzugriffsebene auf öffentliche (Internet) / Öffentlich / extern fest.

  3. Wählen Sie unter "Inspection"-Methodeden Datenklassifizierungsdienst (DATA Classification Service, DCS) aus, und wählen Sie unter "Typ auswählen" den Typ vertraulicher Informationen aus, die DCS überprüfen soll.

  4. Konfigurieren Sie die Governanceaktionen , die ausgeführt werden sollen, wenn eine Warnung ausgelöst wird. Sie können z. B. eine Governanceaktion erstellen, die auf erkannten Dateiverletzungen in Google Workspace ausgeführt wird, in der Sie die Option zum Entfernen externer Benutzer und Entfernen des öffentlichen Zugriffs auswählen.

  5. Erstellen Sie die Dateirichtlinie.

Erkennen von extern freigegebenen vertraulichen Daten

Erkennen Sie, wann Dateien, die als vertraulich bezeichnet werden und in einem Clouddienst gespeichert werden, für externe Benutzer freigegeben werden, die Unternehmensrichtlinien verletzen.

Voraussetzungen

Schritte

  1. Erstellen Sie auf der Seite "Richtlinien " eine neue Dateirichtlinie.

  2. Legen Sie die Filter-Vertraulichkeitsbezeichnung auf Microsoft Purview Information Protectiongleich der vertraulichen Bezeichnung oder dem Äquivalent Ihres Unternehmens fest.

  3. Legen Sie die Filterzugriffsebene auf öffentliche (Internet) / Öffentlich / extern fest.

  4. Optional: Legen Sie die Governanceaktionen fest, die auf Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen variieren zwischen Diensten.

  5. Erstellen Sie die Dateirichtlinie.

Erkennen und Verschlüsseln vertraulicher Daten im Ruhezustand

Erkennen Sie Dateien, die persönliche Informationen und andere vertrauliche Daten enthalten, die in einer Cloud-App freigegeben werden, und wenden Sie Vertraulichkeitsbezeichnungen an, um den Zugriff nur auf Mitarbeiter in Ihrem Unternehmen zu beschränken.

Voraussetzungen

Schritte

  1. Erstellen Sie auf der Seite "Richtlinien " eine neue Dateirichtlinie.

  2. Wählen Sie unter "Inspection"-Methodeden Datenklassifizierungsdienst (Data Classification Service, DCS) aus, und wählen Sie unter "Typ auswählen " den Typ vertraulicher Informationen aus, die DCS überprüfen soll.

  3. Überprüfen Sie unter Governanceaktionen die Vertraulichkeitsbezeichnung anwenden , und wählen Sie die Vertraulichkeitsbezeichnung aus, die Ihr Unternehmen verwendet, um den Zugriff auf Mitarbeiter des Unternehmens einzuschränken.

  4. Erstellen Sie die Dateirichtlinie.

Hinweis

Die Möglichkeit, eine Vertraulichkeitsbezeichnung direkt in Defender für Cloud Apps anzuwenden, wird derzeit nur für Box, Google Workspace, SharePoint online und OneDrive for Business unterstützt.

Erkennen veralteter extern freigegebener Daten

Erkennen Sie nicht verwendete und veraltete Dateien, Dateien, die kürzlich nicht aktualisiert wurden, die öffentlich über einen direkten öffentlichen Link, eine Websuche oder für bestimmte externe Benutzer zugänglich sind.

Voraussetzungen

Sie müssen mindestens eine App mit App-Connectors verbunden haben.

Schritte

  1. Erstellen Sie auf der Seite "Richtlinien " eine neue Dateirichtlinie.

  2. Wählen Sie die Richtlinienvorlage " Veraltete dateien" aus, und wenden Sie sie an.

  3. Passen Sie den Filter "Zuletzt geändert " an die Richtlinie Ihrer Organisation an.

  4. Optional: Festlegen von Governanceaktionen , die auf Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen variieren zwischen Diensten. Beispiel:

    • Google Workspace: Die Datei privat machen und den letzten Datei-Editor benachrichtigen

    • Box: Benachrichtigen des letzten Datei-Editors

    • SharePoint online: Privates Erstellen der Datei und Senden eines Policy-Match-Digests an den Dateibesitzer

  5. Erstellen Sie die Dateirichtlinie.

Erkennen des Datenzugriffs an einem nicht autorisierten Speicherort

Erkennen Sie, wann auf Dateien an einem nicht autorisierten Speicherort zugegriffen wird, basierend auf den allgemeinen Speicherorten Ihrer Organisation, um einen potenziellen Datenleck oder böswilligen Zugriff zu identifizieren.

Voraussetzungen

Sie müssen mindestens eine App mit App-Connectors verbunden haben.

Schritte

  1. Erstellen Sie auf der Seite "Richtlinien " eine neue Aktivitätsrichtlinie.

  2. Legen Sie den Filteraktivitätstyp auf die Datei- und Ordneraktivitäten fest, die Sie interessieren, z. B. Ansicht, Download, Access und Ändern.

  3. Legen Sie den Filterspeicherort nicht gleich fest, und geben Sie dann die Länder/Regionen ein, aus denen Ihre Organisation Aktivitäten erwartet.

    1. Optional: Sie können den gegenteiligen Ansatz verwenden und den Filter auf "Standort " festlegen, wenn Ihre Organisation den Zugriff von bestimmten Ländern/Regionen blockiert.
  4. Optional: Erstellen Sie Governanceaktionen , die auf erkannte Verstöße angewendet werden sollen (verfügbarkeit variiert zwischen Diensten), z. B. "Benutzer anhalten".

  5. Erstellen Sie die Aktivitätsrichtlinie.

Erkennen und Schützen vertraulicher Datenspeicher auf einer nicht kompatiblen SP-Website

Erkennen Sie Dateien, die als vertraulich bezeichnet werden und in einer nicht kompatiblen SharePoint Website gespeichert werden.

Voraussetzungen

Vertraulichkeitsbezeichnungen werden in der Organisation konfiguriert und verwendet.

Schritte

  1. Erstellen Sie auf der Seite "Richtlinien " eine neue Dateirichtlinie.

  2. Legen Sie die Filter-Vertraulichkeitsbezeichnung auf Microsoft Purview Information Protectiongleich der vertraulichen Bezeichnung oder dem Äquivalent Ihres Unternehmens fest.

  3. Legen Sie den filter übergeordneten Ordner nicht gleich fest, und wählen Sie dann unter "Ordner auswählen " alle kompatiblen Ordner in Ihrer Organisation aus.

  4. Wählen Sie unter "Warnungen" eine Warnung für jede übereinstimmende Datei aus.

  5. Optional: Legen Sie die Governanceaktionen fest, die auf Dateien ausgeführt werden sollen, wenn ein Verstoß erkannt wird. Die verfügbaren Governanceaktionen variieren zwischen Diensten. Legen Sie z. B. box to Send policy-match digest to file owner and Put in admin quarantäne.

  6. Erstellen Sie die Dateirichtlinie.

Erkennen von extern freigegebenem Quellcode

Erkennen Sie, wann Dateien, die Inhalte enthalten, die Quellcode enthalten, öffentlich freigegeben oder für Benutzer außerhalb Ihrer Organisation freigegeben werden.

Voraussetzungen

Sie müssen mindestens eine App mit App-Connectors verbunden haben.

Schritte

  1. Erstellen Sie auf der Seite "Richtlinien " eine neue Dateirichtlinie.

  2. Auswählen und Anwenden der Richtlinienvorlage Externer Freigegebener Quellcode

  3. Optional: Passen Sie die Liste der Dateierweiterungen an die Quellcodeerweiterungen Ihrer Organisation an.

  4. Optional: Legen Sie die Governanceaktionen fest, die auf Dateien ausgeführt werden sollen, wenn eine Verletzung erkannt wird. Die verfügbaren Governanceaktionen variieren zwischen Diensten. In Box senden Sie beispielsweise den Richtlinienbesprechungs-Digest an den Dateibesitzer und die Admin-Quarantäne.

  5. Auswählen und Anwenden der Richtlinienvorlage

Erkennen nicht autorisierter Zugriff auf Gruppendaten

Erkennen Sie, wann bestimmte Dateien, die zu einer bestimmten Benutzergruppe gehören, von einem Benutzer, der nicht Teil der Gruppe ist, zugegriffen werden, was eine potenzielle Insider-Bedrohung sein könnte.

Voraussetzungen

Sie müssen mindestens eine App mit App-Connectors verbunden haben.

Schritte

  1. Erstellen Sie auf der Seite "Richtlinien " eine neue Aktivitätsrichtlinie.

  2. Wählen Sie unter "Act on" wiederholte Aktivitäten aus, und passen Sie die minimalen wiederholten Aktivitäten an, und legen Sie einen Zeitrahmen für die Einhaltung der Richtlinie Ihrer Organisation fest.

  3. Legen Sie den Filteraktivitätstyp auf die Datei- und Ordneraktivitäten fest, die Sie interessieren, z. B. Ansicht, Download, Access und Ändern.

  4. Legen Sie den Filter "Benutzer auf "Aus" fest, und wählen Sie dann die relevanten Benutzergruppen aus.

    Hinweis

    Benutzergruppen können manuell aus unterstützten Apps importiert werden.

  5. Legen Sie den Filter Dateien und Ordner auf Bestimmte Dateien oder Ordner gleich fest, und wählen Sie dann die Dateien und Ordner aus, die zur überwachten Benutzergruppe gehören.

  6. Legen Sie die Governanceaktionen fest, die auf Dateien ausgeführt werden sollen, wenn eine Verletzung erkannt wird. Die verfügbaren Governanceaktionen variieren zwischen Diensten. Sie können z. B. den Benutzer angehalten haben.

  7. Erstellen Sie die Dateirichtlinie.

Erkennen öffentlich zugänglicher S3-Buckets

Erkennen und Schützen vor potenziellen Datenlecks aus AWS S3-Buckets.

Voraussetzungen

Sie müssen über eine AWS-Instanz mit App-Connectors verbunden sein.

Schritte

  1. Erstellen Sie auf der Seite "Richtlinien " eine neue Dateirichtlinie.

  2. Wählen Sie die Richtlinienvorlage Öffentlich zugängliche S3-Buckets (AWS) aus, und wenden Sie sie an.

  3. Legen Sie die Governanceaktionen fest, die auf Dateien ausgeführt werden sollen, wenn eine Verletzung erkannt wird. Die verfügbaren Governanceaktionen variieren zwischen Diensten. Legen Sie beispielsweise AWS auf "Privat " fest, was die S3-Buckets privat machen würde.

  4. Erstellen Sie die Dateirichtlinie.

Erkennen Sie Dateien, die in Cloudspeicher-Apps freigegeben werden und persönliche Informationen und andere vertrauliche Daten enthalten, die an eine DSGVO-Compliancerichtlinie gebunden sind. Wenden Sie dann automatisch Vertraulichkeitsbezeichnungen an, um den Zugriff nur auf autorisierte Mitarbeiter zu beschränken.

Voraussetzungen

Schritte

  1. Erstellen Sie auf der Seite "Richtlinien " eine neue Dateirichtlinie.

  2. Wählen Sie unter der Prüfmethode den Datenklassifizierungsdienst (DCS) und unter "Select type " eine oder mehrere Informationstypen aus, die der DSGVO-Compliance entsprechen, z. B. eu-Debitkartennummer, EU-Treiberlizenznummer, EU-Identitätsnummer, EU-Passnummer, EU SSN, SU-Steueridentifikationsnummer.

  3. Legen Sie die Governanceaktionen fest, die auf Dateien ausgeführt werden sollen, wenn eine Verletzung erkannt wird, indem Sie die Vertraulichkeitsbezeichnung für jede unterstützte App auswählen.

  4. Erstellen Sie die Dateirichtlinie.

Hinweis

Derzeit wird die Vertraulichkeitsbezeichnung nur für Box, Google Workspace, SharePoint Online und OneDrive für Unternehmen unterstützt.

Blockieren von Downloads für externe Benutzer in Echtzeit

Verhindern Sie, dass Unternehmensdaten von externen Benutzern exfiltriert werden, indem Sie Dateidownloads in Echtzeit blockieren, indem Sie die Defender für Cloud Apps-Sitzungssteuerelemente verwenden.

Voraussetzungen

Schritte

  1. Erstellen Sie auf der Seite "Richtlinien " eine neue Sitzungsrichtlinie.

  2. Wählen Sie unter sitzungssteuerungstypden Download der Steuerelementdatei (mit Inspektion) aus.

  3. Wählen Sie unter "Aktivitätsfilter" die Option "Benutzer " aus, und legen Sie sie auf "Von" gleich "Externe Benutzer" fest.

    Hinweis

    Sie müssen keine App-Filter festlegen, um diese Richtlinie für alle Apps anzuwenden.

  4. Sie können den Dateifilter verwenden, um den Dateityp anzupassen. Dadurch können Sie genauer steuern, welche Art von Dateien die Sitzungsrichtliniensteuerelemente haben.

  5. Wählen Sie unter "Aktionen" die Option "Blockieren" aus. Sie können " Blocknachricht anpassen" auswählen, um eine benutzerdefinierte Nachricht festzulegen, die an Ihre Benutzer gesendet werden soll, damit sie den Grund verstehen, warum der Inhalt blockiert wird und wie sie es aktivieren können, indem sie die richtige Vertraulichkeitsbezeichnung anwenden.

  6. Klicken Sie auf Erstellen.

Schreibgeschützter Modus für externe Benutzer in Echtzeit erzwingen

Verhindern Sie, dass Unternehmensdaten von externen Benutzern exfiltriert werden, indem Sie Druck- und Einfügen-/Einfügen-Aktivitäten in Echtzeit blockieren, indem Sie die Defender für Cloud Apps-Sitzungssteuerelemente verwenden.

Voraussetzungen

Schritte

  1. Erstellen Sie auf der Seite "Richtlinien " eine neue Sitzungsrichtlinie.

  2. Wählen Sie unter " Sitzungssteuerungstyp" die Option "Aktivitäten blockieren" aus.

  3. Im Quellfilter "Aktivität" :

    1. Wählen Sie "Benutzer " aus, und legen Sie "Von Gruppe " auf externe Benutzer fest.

    2. Wählen Sie "Aktivitätstyp " den Wert "Drucken " und "Ausschneiden/Kopieren" aus.

    Hinweis

    Sie müssen keine App-Filter festlegen, um diese Richtlinie für alle Apps anzuwenden.

  4. Optional: Wählen Sie unter der Inspektionsmethode den Typ der Inspektion aus, um die erforderlichen Bedingungen für den DLP-Scan anzuwenden und festzulegen.

  5. Wählen Sie unter "Aktionen" die Option "Blockieren" aus. Sie können " Blocknachricht anpassen" auswählen, um eine benutzerdefinierte Nachricht festzulegen, die an Ihre Benutzer gesendet werden soll, damit sie den Grund verstehen, warum der Inhalt blockiert wird und wie sie es aktivieren können, indem sie die richtige Vertraulichkeitsbezeichnung anwenden.

  6. Klicken Sie auf Erstellen.

Blockieren des Uploads von nicht klassifizierten Dokumenten in Echtzeit

Verhindern, dass Benutzer nicht geschützte Daten in die Cloud hochladen, indem Sie die Defender für Cloud Apps-Sitzungssteuerelemente verwenden.

Voraussetzungen

Schritte

  1. Erstellen Sie auf der Seite "Richtlinien " eine neue Sitzungsrichtlinie.

  2. Wählen Sie unter "Sitzungssteuerungstyp" die Option "Dateiupload" (mit Inspektion) oder "Dateidownload steuern" (mit Inspektion) aus.

    Hinweis

    Sie müssen keine Filter festlegen, um diese Richtlinie für alle Benutzer und Apps anzuwenden.

  3. Wählen Sie die Dateifilterbezeichnung "Vertraulichkeitsbezeichnung " nicht gleich, und wählen Sie dann die Bezeichnungen aus, die Ihr Unternehmen verwendet, um klassifizierte Dateien zu markieren.

  4. Optional: Wählen Sie unter der Inspektionsmethode den Typ der Inspektion aus, um die erforderlichen Bedingungen für den DLP-Scan anzuwenden und festzulegen.

  5. Wählen Sie unter "Aktionen" die Option "Blockieren" aus. Sie können " Blocknachricht anpassen" auswählen, um eine benutzerdefinierte Nachricht festzulegen, die an Ihre Benutzer gesendet werden soll, damit sie den Grund verstehen, warum der Inhalt blockiert wird und wie sie es aktivieren können, indem sie die richtige Vertraulichkeitsbezeichnung anwenden.

  6. Klicken Sie auf Erstellen.

Hinweis

Eine Liste der Dateitypen, Defender für Cloud die apps derzeit für Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection unterstützt, finden Sie unter Microsoft Purview Information Protection Integrationsvoraussetzungen. .

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.