Verwalten von generativen KI-Apps für Ihre organization

Da Menschen generative KI-Apps wie Microsoft 365 Copilot und nicht Microsoft AI Apps in die tägliche Arbeit integrieren und integrieren, ist es wichtig, dass das Sicherheitsteam Ihrer organization in der Lage ist, diese Apps zu verwalten. Microsoft wendet eine mehrschichtige Verteidigungsstrategie an, um Microsoft 365 Copilot auf jeder Ebene zu schützen (siehe Sicherheit für Microsoft 365 Copilot).

Aber was ist mit Nicht-Microsoft AI-Apps?

Verwenden von Funktionen in Datensicherheitsstatus-Management (DSSM) für KI (Teil von Microsoft Purview), Microsoft Defender for Cloud Apps (Teil von Microsoft Defender) und Cloud Security Posture Management ( CSPM) für die Verwaltung des KI-Sicherheitsstatus in Microsoft Defender für Cloud kann Ihr Sicherheitsteam Personen in Ihrem organization ermöglichen, generative KI-Apps sicherer zu verwenden, einschließlich Microsoft- und nicht Microsoft AI-Apps.

In diesem Artikel wird Folgendes erörtert:

• Verwenden sie DSSM für KI, um die Nutzung von KI-Apps zu ermitteln und zu verwalten. und
• Verwenden Sie Defender for Cloud Apps, um generative KI-Apps zu ermitteln, zu überwachen oder zu blockieren; und
• Verwenden Sie das CSPM von Defender für Cloud, um den KI-Sicherheitsstatus zu bewerten und zu verwalten.

Das Entdecken, Überwachen und Verwalten von KI-Apps ist wichtig, um Datenlecks zu verhindern, die Compliance aufrechtzuerhalten, Governance zu erzwingen und das Vertrauen in die KI-Einführung des Unternehmens aufrechtzuerhalten. In diesem Artikel wird beschrieben, wie Sie diese Aufgaben mithilfe von DSSM für KI, Defender for Cloud Apps und CSPM für die Ki-Sicherheitsstatusverwaltung ausführen.

Bevor Sie beginnen

• Stellen Sie sicher, dass Ihnen die entsprechenden Berechtigungen zum Ausführen der Aufgaben in diesem Artikel zugewiesen sind.

  • Weitere Informationen finden Sie unter Microsoft Purview-Berechtigungen.
  • Weitere Informationen finden Sie unter Microsoft 365 und Microsoft Entra Rollen mit Zugriff auf Defender for Cloud Apps

• Konfigurieren Sie Purview, um DSSM für KI zu verwenden. Wählen Sie eines oder mehrere der Microsoft Purview-Bereitstellungsmodelle aus, die Folgendes umfassen:

  • Standardmäßige Sicherheit (Secure by Default)
  • Purview-Datensicherheitsstatus-Management

• Um Defender for Cloud Apps zu verwenden, richten Sie Microsoft Defender XDR ein, einschließlich der folgenden Komponenten:

  • Microsoft Defender for Cloud Apps zum Ermitteln, Überwachen und Blockieren bestimmter KI-Anwendungen
  • Microsoft Defender for Endpoint, um zu verhindern, dass nicht genehmigte KI-Apps auf integrierten Geräten ausgeführt werden

Verwenden von DSSM für KI zum Ermitteln und Verwalten der Nutzung von KI-Apps

DSSM für KI bietet Ihrem Sicherheits- und Complianceteam die Möglichkeit, KI-Aktivitäten zu ermitteln, Daten in KI-Eingabeaufforderungen zu schützen und die Datenverarbeitung zu steuern. Erfahren Sie mehr über DSSM für KI.

1. Erstellen oder Aktivieren von Purview-Richtlinien DSSM für KI enthält Standardrichtlinien, die Sie aktivieren können. Weitere Informationen finden Sie unter 1-Klick-Richtlinien aus Datensicherheitsstatus-Management für KI.

2. Nachdem Ihre Richtlinien bereitgestellt wurden, können Sie generative KI-Ereignisse im Aktivitäts-Explorer und in Überwachungsprotokollen anzeigen. Beispiele für solche Ereignisse sind:

   • Benutzerinteraktionen mit einer generativen KI-Website
   • Dlp-Regeln (Data Loss Prevention, Verhinderung von Datenverlust), die bei Benutzerinteraktionen mit einer generativen KI-Website abgeglichen werden
   • Typen vertraulicher Informationen wurden bei Benutzerinteraktionen mit einer generativen KI-Website gefunden.

   Weitere Informationen finden Sie unter Aktivitäts-Explorer-Ereignisse und Überwachungsprotokolle für Copilot- und KI-Anwendungen.

3. Konfigurieren Sie DLP-Richtlinien für den Microsoft Edge-Browser , und blockieren Sie andere Browser. Diese Aktion verhindert, dass Benutzer in nicht geschützten Browsern auf nicht verwaltete KI-Apps zugreifen. Weitere Informationen finden Sie unter Aktivieren Ihrer DLP-Richtlinie in Microsoft Edge.

Verwenden von Defender for Cloud Apps zum Ermitteln, Überwachen oder Blockieren von generativen KI-Apps

Mit Defender for Cloud Apps können Sie generative KI-Anwendungen in Ihrem organization ermitteln, überwachen oder blockieren, wie in den folgenden Abschnitten beschrieben.

Verwenden des Cloud-App-Katalogs zum Ermitteln von KI-Apps

Sie können das Microsoft Defender-Portal verwenden, um eine Liste der KI-Apps anzuzeigen, die Ihr organization verwendet. Defender for Cloud Apps stellt einen Katalog von Apps mit Sicherheits- und Compliancerisikobewertungen bereit. Weitere Informationen finden Sie unter Übersicht über die Cloud-App-Ermittlung.

1. Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich an.

2. Erweitern Sie im Navigationsbereich Cloud-Apps, und wählen Sie dann Cloud-App-Katalog aus.

3. Wählen Sie im Filter Kategorie die Option Generative KI aus.

4. Überprüfen Sie die Liste der Apps zusammen mit ihren Risikobewertungen. Notieren Sie sich die Apps, die Sie möglicherweise überwachen oder blockieren möchten. Weitere Informationen zu Risikobewertungen finden Sie unter Suchen Ihrer Cloud-App und Berechnen von Risikobewertungen.

Erstellen einer Richtlinie zum Überwachen von KI-Apps

Überprüfen Sie unbedingt die Voraussetzungen. Weitere Informationen finden Sie unter Steuern von Cloud-Apps mit Richtlinien.

Erstellen Sie eine neue benutzerdefinierte Richtlinie, indem Sie die folgenden Einstellungen angeben:

• Wählen Sie unter Richtlinienvorlagedie Option Keine Vorlage aus.
• Geben Sie unter Richtlinienname einen Namen ein, z. B. Neue generative KI-Apps.
• Wählen Sie für Richtlinienschweregrad die Option Ebene 2 aus.
• Geben Sie eine Beschreibung an, z . B. Warnung generieren, wenn eine neue generative KI-App verwendet wird.
• Geben Sie im Abschnitt Apps, die mit allen folgendenÜbereinstimmungen übereinstimmen, Kategorie gleich Generative KI an.
• Wählen Sie in der Liste Übernehmen fürdie Option Alle fortlaufenden Berichte aus.

Erstellen einer Richtlinie zum Blockieren bestimmter KI-Apps

Lesen Sie unbedingt die Artikel Steuern von Cloud-Apps mit Richtlinien und Erstellen von App-Governance-Richtlinien.

1. Wählen Sie im Microsoft Defender-Portal im Navigationsbereich Cloud-Apps>Cloudermittlung aus.

2. Wählen Sie auf der Registerkarte Ermittelte Apps im Filter Kategorie die Option Generative KI aus.

3. Wählen Sie in der Ergebnisliste eine KI-App aus, die Sie blockieren möchten. Wählen Sie am Ende der Zeile die drei Punkte und dann Nicht sanktioniert aus. Diese Aktion fügt ein Nicht sanktioniertes Tag hinzu, mit dem Sie die App überwachen können.

   Wichtig

   Wenn eine App als nicht genehmigt markiert wird, wird sie automatisch auf allen Geräten blockiert, die in Defender für Endpunkt integriert sind. Ihr Sicherheitsteam kann jedoch angeben, ob Benutzer gewarnt und aufgeklärt werden sollen, anstatt Apps zu blockieren. Weitere Informationen finden Sie unter Schulen von Benutzern beim Zugriff auf riskante Apps.

4. Wählen Sie im Navigationsbereich Cloud-Apps>App-Governance aus.

5. Wählen Sie die Registerkarte Richtlinien aus, und erstellen Sie dann eine neue benutzerdefinierte Richtlinie, wobei Sie die folgenden Einstellungen angeben:

   • Wählen Sie unter Richtlinienvorlagedie Option Keine Vorlage aus.
   • Geben Sie unter Richtlinienname einen Namen ein, z. B . Nicht genehmigte KI-Apps.
   • Geben Sie eine Beschreibung an, z . B. Nicht sanktionierte KI-Apps blockieren.
   • Geben Sie im Abschnitt Apps, die mit allen folgenden Übereinstimmungen übereinstimmen, eine Bedingung an, z. B. Category equals Generative AI und Tag equals Unsanctioned.
   • Wählen Sie in der Liste Übernehmen fürdie Option Alle fortlaufenden Berichte aus.

Verwenden des CSPM für DIE KI-Sicherheitsstatusverwaltung von Defender für Cloud

Cloud Security Posture Management (CSPM) für ki-Sicherheitsstatusverwaltung in Microsoft Defender für Cloud hilft Ihnen, den Sicherheitsstatus Ihrer generativen KI-Anwendungen zu ermitteln, zu bewerten und zu verbessern. Defender für Cloud bietet Einblick in Ihre KI-Workloads, identifiziert Sicherheitsrisiken und Fehlkonfigurationen und hilft Ihnen, Risiken in Ihrer gesamten Umgebung zu priorisieren und zu beheben.

Entdecken von KI-Workloads und -Modellen

Verwenden Sie den Cloudsicherheits-Explorer, um generative KI-Workloads und Modelle zu identifizieren, die in Ihrer Umgebung ausgeführt werden.

1. Rufen Sie das Azure-Portal auf, und melden Sie sich an.

2. Suchen Sie nach Microsoft Defender für Cloud>Cloud Security Explorer, und wählen Sie sie aus.

3. Wählen Sie die Abfragevorlage FÜR KI-Workloads und -Modelle aus .

4. Wählen Sie Suchen aus.

5. Wählen Sie ein Ergebnis aus, um dessen Details zu überprüfen, einschließlich bereitgestellter Modelle und spezifischer Modellmetadaten zu diesen Bereitstellungen.

6. Wählen Sie einen Knoten aus, um die Ergebnisse zu überprüfen.

Identifizieren anfälliger generativer KI-Containerimages

Verwenden Sie den Cloudsicherheits-Explorer, um Container zu identifizieren, die generative KI-Containerimages mit bekannten Sicherheitsrisiken ausführen.

1. Rufen Sie das Azure-Portal auf, und melden Sie sich an.

2. Suchen Sie nach Microsoft Defender für Cloud>Cloud Security Explorer, und wählen Sie sie aus.

3. Wählen Sie die Abfragevorlage Container running container images with known Generative AI vulnerabilities (Container running container images with known Generative AI vulnerabilities) aus.

4. Wählen Sie Suchen aus.

5. Wählen Sie ein Ergebnis aus, um seine Details zu überprüfen.

6. Wählen Sie einen Knoten aus, um die Ergebnisse zu überprüfen.

7. Wählen Sie im Abschnitt Insights im Dropdownmenü eine CVE-ID aus.

8. Wählen Sie Sicherheitsrisikoseite öffnen aus.

9. Korrigieren Sie die Empfehlung.

Identifizieren anfälliger generativer KI-Coderepositorys

Verwenden Sie den Cloudsicherheits-Explorer, um anfällige generative KI-Coderepositorys zu identifizieren, die Azure OpenAI bereitstellen.

1. Rufen Sie das Azure-Portal auf, und melden Sie sich an.

2. Suchen Sie nach Microsoft Defender für Cloud>Cloud Security Explorer, und wählen Sie sie aus.

3. Wählen Sie die Coderepositorys für generative KI aus, die Azure OpenAI-Abfragevorlage bereitstellen.

4. Wählen Sie Suchen aus.

5. Wählen Sie ein Ergebnis aus, um seine Details zu überprüfen.

6. Wählen Sie einen Knoten aus, um die Ergebnisse zu überprüfen.

7. Wählen Sie im Abschnitt Insights im Dropdownmenü eine CVE-ID aus.

8. Wählen Sie Sicherheitsrisikoseite öffnen aus.

9. Korrigieren Sie die Empfehlung.

Überprüfen und Beheben von IaC-Fehlkonfigurationen

DevOps-Sicherheit erkennt IaC-Fehlkonfigurationen (Infrastructure-as-Code), die generative KI-Anwendungen Sicherheitsrisiken aussetzen können, z. B. überlastete Zugriffssteuerungen oder versehentlich öffentlich zugängliche Dienste. Um später komplexe Probleme zu vermeiden, beheben Sie erkannte Fehlkonfigurationen zu einem frühen Zeitpunkt des Entwicklungszyklus.

Defender für Cloud bewertet die Konfiguration Ihrer generativen KI-Apps und bietet Sicherheitsempfehlungen. Überprüfen und beheben Sie die folgenden IaC KI-Sicherheitsüberprüfungen:

• Verwenden Azure privaten Endpunkte des KI-Diensts
• Einschränken von Azure KI-Dienstendpunkten
• Verwenden einer verwalteten Identität für Azure KI-Dienstkonten
• Verwenden der identitätsbasierten Authentifizierung für Azure KI-Dienstkonten

So überprüfen und korrigieren Sie Empfehlungen:

1. Rufen Sie das Azure-Portal auf, und melden Sie sich an.

2. Suchen Sie nach Microsoft Defender für Cloudempfehlungen>, und wählen Siesie aus.

3. Filtern Sie Empfehlungen nach Ressourcentyp, um generative KI-bezogene Ressourcen (z. B. Azure OpenAI-Dienst) zu finden.

4. Überprüfen Sie jede Empfehlung, und wählen Sie sie aus, um das Problem mit dem Sicherheitsstatus zu verstehen.

5. Führen Sie die in den einzelnen Empfehlungen aufgeführten Korrekturschritte aus, um die Fehlkonfiguration zu beheben.

Untersuchen von Risiken mit der Analyse des Angriffspfads

Die Analyse des Angriffspfads erkennt und mindert Risiken für KI-Workloads, indem Schwachstellen und potenzielle Sicherheitsrisiken identifiziert werden. Daten können während der Erdung von KI-Modellen für bestimmte Daten und die Feinabstimmung eines vortrainierten Modells für ein bestimmtes Dataset verfügbar gemacht werden, um seine Leistung bei einer verwandten Aufgabe zu verbessern.

Durch die kontinuierliche Überwachung von KI-Workloads kann die Analyse von Angriffspfaden potenzielle Angriffspfade identifizieren und empfehlungen folgen. Dies gilt für Fälle, in denen die Daten- und Computeressourcen auf Azure, AWS und GCP verteilt sind.

So untersuchen Sie Angriffspfade:

1. Rufen Sie das Azure-Portal auf, und melden Sie sich an.

2. Suchen Sie nach Microsoft Defender fürCloudangriffspfadanalyse>, und wählen Sie sie aus.

3. Überprüfen Sie identifizierte Angriffspfade, die Ihre KI-Workloads und -Daten verfügbar machen könnten.

4. Wählen Sie einen Angriffspfad aus, um die Details und empfohlenen Korrekturen zu überprüfen.

5. Befolgen Sie die Empfehlungen, um die identifizierten Risiken zu beheben.

Siehe auch

• KI-Sicherheitsstatusverwaltung
• Identifizieren des KI-Workloadmodells
• Erkunden des KI-Risikos
• Microsoft Purview-Datenschutz und Complianceschutz für generative KI-Anwendungen
• App-Governance in Microsoft Defender for Cloud Apps
• Tech Community-Blog: Entdecken, Überwachen und Schützen der Verwendung von generativen KI-Apps
• Überlegungen zum Verwalten von Microsoft 365 Copilot und Channel-Agent in Teams für Sicherheit und Compliance
• Erfahren Sie mehr über die Verwendung von Microsoft Purview Data Loss Prevention zum Schutz von Interaktionen mit Microsoft 365 Copilot und Copilot Chat