Power BI:n toteutuksen suunnittelu: Defender for Cloud Apps for Power BI
Muistiinpano
Tämä artikkeli on osa Power BI:n käyttöönoton suunnittelun artikkelisarjaa. Tässä sarjassa keskitytään ensisijaisesti Microsoft Fabricin Power BI -kokemukseen. Johdanto sarjaan on artikkelissa Power BI:n käyttöönoton suunnittelu.
Tässä artikkelissa kuvataan Defender for Cloud Appsin käyttöönottoon liittyviä suunnittelutoimia liittyen Power BI:n valvontaan. Se on kohdistettu:
- Power BI -järjestelmänvalvojat: Järjestelmänvalvojat, jotka vastaavat Power BI:n valvonnasta organisaatiossa. Power BI -järjestelmänvalvojien on tehtävä yhteistyötä tietoturvatiimien ja muiden asiaankuuluvien tiimien kanssa.
- Center of Excellence, IT- ja BI-tiimit: Muut, jotka vastaavat Power BI:n valvonnasta organisaatiossa. Heidän täytyy ehkä tehdä yhteistyötä Power BI -järjestelmänvalvojien, tietoturvatiimien ja muiden asiaankuuluvien tiimien kanssa.
Tärkeä
Seuranta ja tietojen menetyksen estäminen (DLP) on merkittävä koko organisaation laajuinen yritys. Sen vaikutus on paljon suurempi kuin pelkästään Power BI:ssä. Tämäntyyppiset aloitteet edellyttävät rahoitusta, priorisointia ja suunnittelua. Sen odotetaan osallistuvan useisiin funktionaalisiin tiimeihin suunnittelussa, käytössä ja valvontatoimissa.
Suosittelemme, että otat käyttöön Defender for Cloud Appsin Power BI:n seurantaa varten vaiheittaisen ja vaiheittaisen lähestymistavan. Lisätietoja käyttöönoton vaihetyypeistä on kohdassa Power BI:n tietojen suojaaminen (käyttöönoton vaiheet)..
Seurannan tarkoitus
Microsoft Defender for Cloud Apps (aiemmalta nimeltään Microsoft Cloud App Security) on Cloud Access Security Broker (CASB), joka tukee erilaisia käyttöönottotiloja. Se sisältää laajan ominaisuusjoukon, joka ulottuu paljon tätä artikkelia laajemmalle. Jotkin ominaisuudet ovat reaaliaikaisia, kun taas toiset eivät ole reaaliaikaisia.
Seuraavassa on joitakin esimerkkejä reaaliaikasesta valvonnasta, jonka voit ottaa käyttöön.
- Estä lataukset Power BI -palvelu: Voit luoda istuntokäytännön, joka estää tietyntyyppiset käyttäjän toimet. Jos käyttäjä esimerkiksi yrittää ladata raportin Power BI -palvelu jolle on määritetty erittäin rajoitettu luottamuksellisuustunniste, lataustoiminto voidaan estää reaaliaikaisesti.
- Estä pääsy Power BI -palvelu hallitsemattomalla laitteella: Voit luoda käyttöoikeuskäytännön estääksesi käyttäjiä käyttämästä tiettyjä sovelluksia, elleivät he käytä hallittua laitetta. Kun käyttäjä esimerkiksi yrittää käyttää Power BI -palvelu henkilökohtaisella matkapuhelimellaan, toiminto voidaan estää.
Seuraavassa on joitakin esimerkkejä ominaisuuksista, jotka eivät ole reaaliaikaisia.
- Tunnista ja hälytä tietyt toiminnot Power BI -palvelu: Voit luoda toimintokäytännön, joka luo hälytyksen tietyntyyppisten toimintojen ilmetessä. Voit saada sähköposti-ilmoituksen esimerkiksi silloin, kun Power BI -palvelu ilmenee järjestelmänvalvojan toimintaa (joka ilmaisee, että vuokraaja-asetusta on muutettu).
- Kehittyneiden suojaustoimien valvonta: Voit tarkastella ja valvoa kirjautumisia ja tietoturvatoimia, poikkeamia ja rikkomuksia. Hälytyksiä voidaan tehdä esimerkiksi epäilyttävän toiminnan, odottamattomien sijaintien tai uuden sijainnin vuoksi.
- Valvo käyttäjien toimia: Voit tarkastella ja valvoa käyttäjien toimia. Esimerkiksi Power BI -järjestelmänvalvojalle voidaan määrittää oikeus tarkastella Power BI:n toimintolokia käyttäjien kirjautumistiheyden lisäksi Defender for Cloud Appsissa.
- Havaitse ja hälytä epätavallinen käyttäytyminen Power BI -palvelu: Poikkeamien tunnistamiseen on sisäiset käytännöt. Kun käyttäjä esimerkiksi lataa tai vie sisältöä Power BI -palvelu merkittävästi normaalia useammin, voit saada sähköposti-ilmoituksen.
- Etsi tukemattomia sovelluksia: Voit etsiä organisaatiossa käytettäviä tukemattomia sovelluksia. Saatat esimerkiksi olla huolissasi siitä, että käyttäjät jakavat tiedostoja (kuten Power BI Desktop -tiedostoja tai Excel-tiedostoja) kolmannen osapuolen tiedostojen jakamisjärjestelmässä. Voit estää käyttämättömän sovelluksen käytön ja ottaa sitten yhteyttä käyttäjiin ja kouluttaa heidät sopivilla tavoilla jakaa ja tehdä yhteistyötä muiden kanssa.
Vihje
Defender for Cloud Appsin portaali on kätevä paikka tarkastella toimintoja ja hälytyksiä luomatta komentosarjaa tietojen poimimista ja lataamista varten. Tämä etu sisältää tietojen tarkastelemisen Power BI:n toimintolokista.
Power BI on yksi monista sovelluksista ja palveluista, jotka voidaan integroida Defender for Cloud Appsiin. Jos käytät Defender for Cloud Appsia jo muihin tarkoituksiin, sen avulla voidaan valvoa myös Power BI:tä.
Defender for Cloud Appsissa luodut käytännöt ovat DLP-muotoisia. Tietojen menetyksen estäminen Power BI:lle -artikkelissa käsitellään Power BI:n DLP-käytäntöjä, jotka on määritetty Microsoft Purview -yhteensopivuusportaali. Suosittelemme, että käytät Power BI:n DLP-käytäntöjä tässä artikkelissa kuvattujen toimintojen kanssa. Vaikka jotkin ominaisuudet ovat päällekkäisiä käsitteellisesti, ominaisuudet ovat erilaisia.
Varoitus
Tässä artikkelissa keskitytään Microsoft Defender for Cloud Appsin ominaisuuksiin, joiden avulla voidaan valvoa ja suojata Power BI -sisältöä. Defender for Cloud Appsissa on monia muita ominaisuuksia, joita ei käsitellä tässä artikkelissa. Muista tehdä yhdessä muiden sidosryhmien ja järjestelmänvalvojien kanssa päätöksiä, jotka toimivat hyvin kaikissa sovelluksissa ja käyttötapauksissa.
Defender for Cloud Apps for Power BI:n edellytykset
Tähän mennessä sinun olisi pitänyt suorittaa organisaatiotason suunnitteluvaiheet, jotka kuvattiin artikkelissa Tietojen menetyksen estäminen Power BI:lle. Ennen kuin jatkat, sinun tulee selkeyttää:
- Nykyinen tila: Tämä on DLP:n nykyinen tila organisaatiossasi. Sinun pitäisi ymmärtää, missä määrin DLP on jo käytössä ja kuka on vastuussa sen hallinnasta.
- Tavoitteet ja vaatimukset: Strategiset tavoitteet DLP:n toteuttamiseksi organisaatiossasi. Tavoitteiden ja vaatimusten ymmärtäminen on ohjenuorana toteutuksessasi.
Tietosuoja toteutetaan yleensä jo ennen DLP:n käyttöönottoa. Jos luottamuksellisuustunnisteet julkaistaan (kuvattu Power BI:n Information Protection -artikkelissa), niitä voidaan käyttää tietyissä Defender for Cloud Appsin käytännöissä.
Olet ehkä jo ottanut käyttöön DLP:n Power BI:lle (kuvattu artikkelissa Tietojen menetyksen estäminen Power BI:lle). Nämä DLP-ominaisuudet eroavat ominaisuuksista, joita hallitaan Microsoft Purview -yhteensopivuusportaali. Kaikkia tässä artikkelissa kuvattuja DLP-ominaisuuksia hallitaan Defender for Cloud Apps -portaalissa.
Tärkeimmät päätökset ja toiminnot
Sinun on tehtävä joitakin keskeisiä päätöksiä, ennen kuin olet valmis määrittämään käytäntöjä Defender for Cloud Appsissa.
Defender for Cloud Apps -käytäntöihin liittyvien päätösten tulee suoraan tukea tavoitteita ja vaatimuksia aiemmin tunnistamiesi tietojen suojaamiseksi.
Käytäntötyyppi ja toiminnot
Sinun tulee miettiä, mitä käyttäjän toimia olet kiinnostunut valvomaan, estämään tai hallitsemaan. Defender for Cloud Appsin käytäntötyyppi vaikuttaa:
- Mitä osaat tehdä?
- Mitä toimintoja kokoonpanoon voidaan sisällyttää.
- Määrittää, esiintyykö ohjausobjektit reaaliajassa vai ei.
Reaaliaikaiset käytännöt
Defender for Cloud Appsissa luotujen käyttöoikeuskäytäntöjen ja istuntokäytäntöjen avulla voit valvoa, estää tai hallita käyttäjäistuntoja reaaliajassa.
Voit käyttää käytäntöjä ja istuntokäytäntöjä seuraavilla:
- Ohjelmallisesti reagoi reaaliaikaisesti: Havaitse, ilmoita ja estä arkaluontoisten tietojen riskialtista, tahatonta tai sopimatonta jakamista. Näiden toimintojen avulla voit tehdä seuraavat toimet:
- Paranna Power BI -vuokraajasi yleistä suojauksen määritystä automaatiolla ja tiedoilla.
- Ota käyttöön analyyttisia käyttötapauksia, joissa on luottamuksellisia tietoja tavalla, jota voidaan valvoa.
- Tilannekohtaisia ilmoituksia käyttäjille: Tämän ominaisuuden avulla voit:
- Auta käyttäjiä tekemään oikeat päätökset normaalin työnkulkunsa aikana.
- Ohjaa käyttäjiä noudattamaan tietojen luokittelu- ja suojauskäytäntöä heidän tuottavuuteensa vaikuttamatta.
Reaaliaikaisten ohjausobjektien tarjoamiseksi käyttöoikeuskäytännöt ja istuntokäytännöt toimivat Microsoft Entra -tunnuksen (aiemmalta nimeltään Azure Active Directory) kanssa luottaen Ehdollisten käyttöoikeuksien sovellusten hallinnan käänteisiin välityspalvelinominaisuuksiin. Sen sijaan, että käyttäjäpyynnöt ja vastaukset menisivät sovelluksen läpi (tässä tapauksessa Power BI -palvelu), ne kulkevat käänteisen välityspalvelimen kautta (Defender for Cloud Apps).
Uudelleenohjaus ei vaikuta käyttökokemukseen. Power BI -palvelu URL-osoite kuitenkin muuttuu arvoonhttps://app.powerbi.com.mcas.ms, kun olet määrittänyt Microsoft Entra -tunnuksen ehdollisen käyttöoikeuden sovellusten hallintaan Power BI:ssä. Lisäksi käyttäjät saavat ilmoituksen kirjautuessaan Power BI -palvelu joka ilmoittaa, että Defender for Cloud Apps valvoo sovellusta.
Tärkeä
Käyttöoikeuskäytännöt ja istuntokäytännöt toimivat reaaliaikaisesti. Muihin Defender for Cloud Appsin käytäntötyyppeihin liittyy lyhyt viivytys hälytyksissä. Useimmat muut DLP- ja valvontatyypit kokevat myös viiveen, kuten Power BI :n DLP:n ja Power BI:n toimintolokin.
Käyttöoikeuskäytännöt
Defender for Cloud Appsissa luotu käyttöoikeuskäytäntö määrittää, saako käyttäjä kirjautua pilvisovellukseen, kuten Power BI -palvelu. Organisaatiot, jotka ovat erittäin säännellyillä toimialoilla, ovat huolissaan käyttöoikeuskäytännöistä.
Seuraavassa on joitakin esimerkkejä siitä, miten voit käyttää käyttöoikeuskäytäntöjä estääksesi Power BI -palvelu.
- Odottamaton käyttäjä: Voit estää käytön käyttäjältä, joka ei ole tietyn käyttöoikeusryhmän jäsen. Tästä käytännöstä voi olla hyötyä esimerkiksi silloin, kun sinulla on tärkeä sisäinen prosessi, joka seuraa hyväksyttyjä Power BI -käyttäjiä tietyn ryhmän kautta.
- Ei-hallittu laite: Voit estää sellaisen henkilökohtaisen laitteen käytön, jota organisaatio ei hallitse.
- Päivitykset tarvitaan: Voit estää käytön käyttäjältä, joka käyttää vanhentunutta selainta tai käyttöjärjestelmää.
- Sijainti: Voit estää pääsyn sijaintiin, jossa ei ole toimistoja tai käyttäjiä, tai tuntemattomasta IP-osoitteesta.
Vihje
Jos sinulla on ulkoisia käyttäjiä, jotka käyttävät Power BI -vuokraajaasi, tai työntekijöitä, jotka matkustavat usein, tämä voi vaikuttaa siihen, miten määrität käyttöoikeuksien valvontakäytäntösi. Tämäntyyppisiä käytäntöjä hallitsee yleensä IT-palvelu.
Istuntokäytännöt
Istuntokäytännöstä on hyötyä, kun et halua sallia tai estää käyttöä kokonaan (joka voidaan tehdä käyttöoikeuskäytännöllä, kuten edellä on kuvattu). Sen avulla käyttäjä voi käyttää sitä, kun hän valvoo tai rajoittaa sitä, mitä istunnon aikana aktiivisesti esiintyy.
Seuraavassa on joitakin esimerkkejä tavoista, joilla voit istuntokäytäntöjen avulla valvoa, estää tai hallita käyttäjäistuntoja Power BI -palvelu.
- Estä lataukset: Estä lataukset ja vienti, kun tietty luottamuksellisuustunniste, kuten Erittäin rajoitettu, on määritetty kohteelle Power BI -palvelu.
- Kirjautumisten valvonta: Valvo, milloin tiettyjen ehtojen täyttävä käyttäjä kirjautuu sisään. Käyttäjä voi esimerkiksi olla tietyn käyttöoikeusryhmän jäsen tai käyttää henkilökohtaista laitetta, jota organisaatio ei hallitse.
Vihje
Istuntokäytännön luominen (esimerkiksi latausten estämiseksi) tietylle luottamuksellisuustunnisteelle, kuten Erittäin rajoitettu, määritetylle sisällölle on yksi tehokkaimmista käyttötapauksista Power BI:n reaaliaikaisille istunnon ohjausobjekteille.
Voit myös hallita tiedostojen lataamista istuntokäytännöillä. Haluat kuitenkin yleensä kannustaa omatoimisen BI-käyttäjiä lataamaan sisältöä Power BI -palvelu (Power BI Desktop -tiedostojen jakamisen sijaan). Harkitse siis tarkkaan tiedostojen lataamisen estämistä.
Tarkistusluettelo – Kun suunnittelet reaaliaikaisia käytäntöjä Defender for Cloud Appsissa, tärkeimmät päätökset ja toiminnot ovat seuraavat:
- Määritä käyttötapaukset käytön estämiseksi: Laadi luettelo skenaarioista, joissa Power BI -palvelu käytön estäminen on tarkoituksenmukaista.
- Tunnista kirjautumisten seurantaan käytettävät käyttötapaukset: Laadi luettelo skenaarioista, joiden avulla voit seurata Power BI -palvelu kirjautumisia.
- Tunnista latausten estämisen käyttötapaukset: Selvitä, milloin Power BI -palvelu lataukset on estettävä. Määritä, mitkä luottamuksellisuustunnisteet tulee sisällyttää.
Toimintokäytännöt
Defender for Cloud Appsin toimintakäytännöt eivät toimi reaaliaikaisesti.
Voit määrittää toimintokäytännön tarkistamaan Power BI:n toimintolokiin tallennetut tapahtumat. Käytäntö voi toimia yksittäisen aktiviteetin kohdalla tai se voi toimia yksittäisen käyttäjän toistuvista toiminnoista (kun tietty toiminto suoritetaan useammin kuin tietty määrä kertoja määritetyn minuuttimäärän aikana).
Voit seurata Power BI -palvelu toimintaa eri tavoilla toimintakäytäntöjen avulla. Seuraavassa on joitakin esimerkkejä siitä, mitä voit saavuttaa.
- Valtuuttamaton tai odottamaton käyttäjä näkee erityisoikeudet sisältävää sisältöä: Käyttäjä, joka ei ole tietyn käyttöoikeusryhmän jäsen (tai ulkoinen käyttäjä), on tarkastellut hyvin etuoikeutettua raporttia, joka on annettu johtokunnalle.
- Valtuuttamattomat tai odottamattomat käyttäjät päivittävät vuokraaja-asetuksia: Käyttäjä, joka ei ole tietyn käyttöoikeusryhmän jäsen, kuten Power BI Hallinta oikeusryhmä, on päivittänyt vuokraaja-asetukset Power BI -palvelu. Voit myös valita ilmoituksen, kun vuokraaja-asetus päivitetään.
- Suuri määrä poistoja: Käyttäjä on poistanut yli 20 työtilaa tai raporttia alle 10 minuutin ajanjaksolla.
- Suuri määrä latauksia: Käyttäjä on ladannut yli 30 raporttia alle viiden minuutin aikana.
Power BI -järjestelmänvalvojat käsittelevät yleisesti tässä osiossa kuvattujen toimintokäytäntöilmoitusten tyyppejä osana Power BI:n valvontaa. Kun määrität hälytyksiä Defender for Cloud Appsin sisällä, suosittelemme keskittymään tilanteisiin, jotka merkitsevät merkittävää riskiä organisaatiolle. Tämä johtuu siitä, että järjestelmänvalvojan on tarkistettava ja suljettava jokainen ilmoitus.
Varoitus
Koska Power BI:n toimintolokitapahtumat eivät ole käytettävissä reaaliaikaisesti, niitä ei voi käyttää reaaliaikaiseen valvontaan tai estämiseen. Voit kuitenkin käyttää toimintolokin toimintoja toimintokäytännöissä. Varmista yhdessä tietoturvatiimisi kanssa, mikä on teknisesti toteutettavissa, ennen kuin pääset liian pitkälle suunnitteluprosessiin.
Tarkistusluettelo – Toimintakäytäntöjä suunniteltaessa tärkeimpiä päätöksiä ja toimintoja ovat seuraavat:
- Tunnista toimintojen seurannan käyttötapaukset: Laadi Power BI:n toimintolokista luettelo tietyistä toiminnoista, jotka muodostavat merkittävän riskin organisaatiolle. Selvitä, liittyykö riski yhteen tai toistuvaan toimintaan.
- Koordinoi toimia Power BI -järjestelmänvalvojien kanssa: Keskustele Power BI -toiminnoista, joita valvotaan Defender for Cloud Appsissa. Varmista, että eri järjestelmänvalvojien välillä ei ole päällekkäistä työtä.
Käyttäjät, joihin vaikutus on vaikuttanut
Yksi kiinnostavista syistä Power BI:n integroimiseen Defender for Cloud Appsiin on hyötyä reaaliaikaisten ohjausobjektien käytöstä, kun käyttäjät käyttävät Power BI -palvelu. Tämäntyyppinen integrointi edellyttää ehdollisten käyttöoikeuksien sovellusten hallintaa Microsoft Entra -tunnuksessa.
Ennen kuin määrität ehdollisen käyttöoikeussovelluksen hallinnan Microsoft Entra -tunnuksessa, sinun on mietittävä, ketkä käyttäjät tulevat mukaan. Yleensä mukana ovat kaikki käyttäjät. Voi kuitenkin olla syitä sulkea tiettyjä käyttäjiä pois.
Vihje
Kun määrität ehdollista käyttöoikeuskäytäntöä, Microsoft Entra -järjestelmänvalvojasi todennäköisesti jättää pois tietyt järjestelmänvalvojatilit. Tämä lähestymistapa estää järjestelmänvalvojien lukituksen. Suosittelemme, että poissuljetut tilit ovat Microsoft Entra -järjestelmänvalvojia Power BI:n vakiokäyttäjien sijaan.
Tietyntyyppiset käytännöt Defender for Cloud Appsissa voivat koskea tiettyjä käyttäjiä ja ryhmiä. Yleensä tällaisia käytäntöjä voidaan soveltaa kaikkiin käyttäjiin. On kuitenkin mahdollista, että kohtaat tilanteen, jossa sinun on tarkoituksellisesti suljettava pois tiettyjä käyttäjiä.
Tarkistusluettelo – Kun otetaan huomioon, mihin käyttäjiin tämä vaikuttaa, tärkeimpiä päätöksiä ja toimintoja ovat muun muassa seuraavat:
- Mieti, ketkä käyttäjät ovat mukana: Varmista, sisällytetäänkö kaikki käyttäjät Microsoft Entran ehdollisten käyttöoikeuksien sovellusten valvontakäytäntöön.
- Määritä, mitkä järjestelmänvalvojatilit tulee sulkea pois: Määritä, mitkä tietyt järjestelmänvalvojatilit tulee tarkoituksellisesti sulkea pois Microsoft Entran ehdollisten käyttöoikeuksien sovellusten hallintakäytännöstä.
- Määritä, koskevatko tietyt Defender-käytännöt käyttäjien alijoukkoja: Kelvollisissa käyttötapauksissa tulee harkita, pitäisikö niitä soveltaa kaikkiin vai joihinkin käyttäjiin (jos mahdollista).
Käyttäjien pikaviestit
Kun olet tunnistanut käyttötapaukset, sinun tulee miettiä, mitä tapahtuu, kun käyttäjätoiminta vastaa tätä käytäntöä.
Kun toiminto estetään reaaliaikaisesti, on tärkeää antaa käyttäjälle mukautettu viesti. Sanomasta on hyötyä, kun haluat antaa käyttäjillesi lisää ohjeita ja tietoisuutta heidän normaalin työnkulkunsa aikana. On todennäköisempää, että käyttäjät lukevat ja imevät käyttäjien ilmoituksia, kun he ovat:
- Tarkka: viestin korrelointi käytäntöön tekee siitä yksinkertaisen ymmärtää.
- Toiminnallinen: Ehdotuksen tarjoaminen siitä, mitä heidän täytyy tehdä tai miten saada lisätietoja.
Jotkin Defender for Cloud Appsin käytännöt voivat sisältää mukautetun viestin. Seuraavassa on kaksi esimerkkiä käyttäjäilmoituksista.
Esimerkki 1: Voit määrittää reaaliaikaisen istunnon hallintakäytännön, joka estää kaiken viennin ja lataukset, kun Power BI -kohteen (kuten raportin tai semanttisen mallin – aiemmin tietojoukkona) luottamuksellisuustunnisteeksi on määritetty Erittäin rajoitettu. Defender for Cloud Appsin mukautetussa estettyjen viestissä lukee: Erittäin rajoitetulla tunnisteella varustettuja tiedostoja ei saa ladata Power BI -palvelu. Katso sisältö verkossa Power BI -palvelu. Ota yhteyttä Power BI -tukitiimiin ja kysy kysymyksiä.
Esimerkki 2: Voit määrittää reaaliaikaisen käyttöoikeuskäytännön, joka estää käyttäjää kirjautumasta Power BI -palvelu, kun hän ei käytä organisaation hallitsemaa konetta. Defender for Cloud Appsin mukautetussa estettyjen viestissä lukee: Power BI -palvelu ei ehkä voi käyttää henkilökohtaisella laitteella. Käytä organisaation tarjoamaa laitetta. Ota yhteyttä Power BI -tukitiimiin ja kysy kysymyksiä.
Tarkistusluettelo – Kun harkitset käyttäjäviestejä Defender for Cloud Appsissa, tärkeimpiä päätöksiä ja toimintoja ovat muun muassa seuraavat:
- Päätä, milloin mukautettu lohkosanoma vaaditaan: Määritä jokaiselle luotavalle käytännölle, vaaditaanko mukautettu lohkosanoma.
- Mukautettujen estettyjen viestien luominen: Määritä kullekin käytännölle, mikä sanoma näytetään käyttäjille. Aiot liittää kunkin viestin käytäntöön, jotta se on erityinen ja toiminnallinen.
Hallinta ohjaushälytys
Ilmoitukset ovat hyödyllisiä, jos haluat varmistaa suojaus- ja vaatimustenmukaisuusvalvojien tietävän, että käytäntörike on tapahtunut. Kun määrität käytäntöjä Defender for Cloud Appsissa, harkitse, luodaanko hälytyksiä. Lisätietoja on kohdassa Defender for Cloud Appsin ilmoitustyypit .
Vaihtoehtoisesti voit määrittää ilmoituksen lähettämään sähköpostiviestin useille järjestelmänvalvojille. Kun sähköposti-ilmoitus vaaditaan, suosittelemme, että käytät sähköpostia käyttävää käyttöoikeusryhmää. Voit esimerkiksi käyttää ryhmää nimeltä Suojaus ja yhteensopivuus Hallinta ilmoitukset.
Suuren prioriteetin tilanteissa on mahdollista lähettää hälytyksiä tekstiviestillä. Voit myös luoda mukautettuja ilmoitusten automatisointeja ja työnkulkuja integroimalla Power Automaten.
Voit määrittää kunkin ilmoituksen niin, että sen vakavuus on pieni, normaali tai suuri. Vakavuustaso on hyödyllinen, kun priorisoit avoimien hälytysten tarkistusta. Järjestelmänvalvojan on tarkistettava kaikki hälytykset ja tehtävä ne toimenpiteillä. Ilmoitus voidaan sulkea true-positiivisena, epätosi-positiivisena tai hyvänlaatuisena.
Tässä on kaksi esimerkkiä järjestelmänvalvojahälytyksistä.
Esimerkki 1: Voit määrittää reaaliaikaisen istunnon hallintakäytännön, joka estää kaiken viennin ja lataukset, kun Power BI -kohteen (kuten raportin tai semanttisen mallin) luottamuksellisuustunnisteeksi on määritetty Erittäin rajoitettu. Siinä on hyödyllinen mukautettu estettyjen viesti käyttäjälle. Tässä tilanteessa sinun ei kuitenkaan tarvitse luoda hälytystä.
Esimerkki 2: Voit määrittää toimintakäytännön, joka seuraa, onko ulkoinen käyttäjä tarkastellut johtokunnalle annettua hyvin etuoikeutettua raporttia. Voit määrittää suuren vakavuuden hälytyksen sen varmistamiseksi, että toimintaa tutkitaan nopeasti.
Vihje
Esimerkki 2 korostaa tietojen suojauksen ja suojauksen välisiä eroja. Sen toimintakäytäntö voi auttaa tunnistamaan skenaarioita, joissa omatoimisen BI-käyttäjien oikeudet hallita sisällön suojausta. Nämä käyttäjät voivat kuitenkin suorittaa toimintoja, joita organisaation käytäntö ei estä. Suosittelemme, että määrität tällaiset käytännöt vain tietyissä tilanteissa, joissa tiedot ovat erityisen arkaluonteisia.
Tarkistusluettelo – Kun harkitset järjestelmänvalvojien hälytystä Defender for Cloud Appsissa, tärkeimpiä päätöksiä ja toimintoja ovat muun muassa seuraavat:
- Päätä, milloin hälytyksiä tarvitaan: Päätä jokaiselle luotavalle käytännölle, mitkä tilanteet oikeuttavat hälytysten käyttöön.
- Selventää rooleja ja vastuita: Selvitä odotukset ja ilmoitusten luonnin yhteydessä suoritettavat toimet.
- Määritä, ketkä saavat hälytyksiä: Päätä, mitkä suojauksen ja yhteensopivuuden järjestelmänvalvojat tarkastelevat ja toimivat avoimina hälytyksinä. Varmista, että käyttöoikeudet ja käyttöoikeusvaatimukset täyttyvät kullekin järjestelmänvalvojalle, joka käyttää Defender for Cloud Appsia.
- Luo uusi ryhmä: Luo tarvittaessa uusi sähköpostia käyttävä käyttöoikeusryhmä, jota käytetään sähköposti-ilmoituksissa.
Käytännön nimeämiskäytäntö
Ennen kuin luot käytäntöjä Defender for Cloud Appsissa, sinun kannattaa ensin luoda nimeämiskäytäntö. Nimeämiskäytännöstä on hyötyä, kun monentyyppisiä käytäntöjä on monentyyppisille sovelluksille. Siitä on hyötyä myös silloin, kun Power BI -järjestelmänvalvojat osallistuvat valvontaan.
Vihje
Kannattaa harkita Defender for Cloud Apps -käyttöoikeuden myöntämistä Power BI -järjestelmänvalvojille. Käytä järjestelmänvalvojan roolia, joka sallii toimintolokin, kirjautumistapahtumien ja Power BI -palvelu liittyvien tapahtumien tarkastelun.
Harkitse nimeämiskäytäntömallia, joka sisältää komponentin paikkamerkit: <Sovellus> – <Kuvaus> – <Toiminto> – <Käytäntötyyppi>
Seuraavassa on joitakin nimeämiskäytäntöesimerkkejä.
| Käytännön tyyppi | Reaaliaikainen | Käytännön nimi |
|---|---|---|
| Istuntokäytäntö | Kyllä | Power BI - Hyvin rajoitettu tunniste - Estä lataukset - RT |
| Käyttöoikeuskäytäntö | Kyllä | Kaikki – hallitsematon laite – käytön estäminen – RT |
| Toimintokäytäntö | En | Power BI – Hallinta toiminto |
| Toimintokäytäntö | En | Power BI – Ulkoisten käyttäjien tarkastelujen johtajaraportti |
Nimeämiskäytännön osia ovat seuraavat:
- Sovellus: Sovelluksen nimi. Power BI -etuliite auttaa ryhmittelemään kaikki Power BI -kohtaiset käytännöt yhteen lajiteltuna. Jotkin käytännöt koskevat kuitenkin kaikkia pilvisovelluksia pelkän Power BI -palvelu sijasta.
- Kuvaus: Nimen kuvaus-osa vaihtelee eniten. Se voi sisältää luottamuksellisuustunnisteita, joihin tämä vaikuttaa, tai seuratun toiminnon tyypin.
- Toiminto: (Valinnainen) Esimerkeissä yksi istuntokäytäntö käyttää Estä lataukset - toimintoa. Yleensä toiminto on tarpeen vain silloin, kun kyseessä on reaaliaikainen käytäntö.
- Käytännön tyyppi: (Valinnainen) Esimerkissä RT-jälkiliite ilmaisee, että kyseessä on reaaliaikainen käytäntö. Odotusten hallinta auttaa määrittämään, onko kyseessä reaaliaikainen vai ei.
On myös muita määritteitä, joita ei tarvitse sisällyttää käytännön nimeen. Näitä määritteitä ovat vakavuustaso (matala, keskitaso tai suuri) ja luokka (kuten uhkien havaitseminen tai DLP). Molemmat määritteet voidaan suodattaa ilmoitussivulla.
Vihje
Voit nimetä käytännön uudelleen Defender for Cloud Appsissa. Sisäisiä poikkeamien tunnistamiskäytäntöjä ei kuitenkaan voi nimetä uudelleen. Esimerkiksi Epäilyttävä Power BI -raportin jakaminen on sisäinen käytäntö, jota ei voi nimetä uudelleen.
Tarkistusluettelo – Kun harkitset käytännön nimeämiskäytäntöä, tärkeimmät päätökset ja toiminnot ovat seuraavat:
- Valitse nimeämiskäytäntö: ensimmäisten käytäntöjen avulla voit luoda yhtenäisen nimeämiskäytännön, joka tulkitaan suoraan. Keskity yhtenäisen etuliitteen ja jälkiliitteen käyttöön.
- Nimeämiskäytännön dokumentointi: Anna käytännön nimeämiskäytännön viitedokumentaatio. Varmista, että järjestelmänvalvojasi ovat tietoisia nimeämiskäytännöstä.
- Aiemmin luotujen käytäntöjen päivittäminen: Päivitä kaikki Defenderin olemassa olevat käytännöt uuden nimeämiskäytännön noudattamiseksi.
Käyttöoikeusvaatimukset
Power BI -vuokraajan valvonta edellyttää tiettyjä käyttöoikeuksia. Hallinta käyttäjillä on oltava jokin seuraavista käyttöoikeuksista.
- Microsoft Defender for Cloud Apps: Tarjoaa Defender for Cloud Apps -ominaisuuksia kaikille tuetuille sovelluksille (mukaan lukien Power BI -palvelu).
- Office 365 Cloud App Security: Tarjoaa Defender for Cloud Apps -ominaisuuksia Office 365 -sovelluksille, jotka ovat osa Office 365 E5 -pakettia (mukaan lukien Power BI -palvelu).
Lisäksi jos käyttäjien on käytettävä reaaliaikaisia käyttöoikeuskäytäntöjä tai istuntokäytäntöjä Defender for Cloud Appsissa, he tarvitsevat Microsoft Entra ID P1 -käyttöoikeuden.
Vihje
Jos tarvitset selvennyksiä käyttöoikeusvaatimuksiin, ota yhteys Microsoft-tilitiimiin.
Tarkistusluettelo – Käyttöoikeusvaatimuksia arvioitaessa tärkeimmät päätökset ja toiminnot ovat seuraavat:
- Tarkista tuotteiden käyttöoikeuksien vaatimukset: Varmista, että olet tarkistanut kaikki Defender for Cloud Appsin käyttöoikeusvaatimukset.
- Hanki lisää käyttöoikeuksia: Jos sovellettavissa, osta lisää käyttöoikeuksia ja avaa niiden toimintojen lukitus, joita aiot käyttää.
- Määritä käyttöoikeudet: Määritä käyttöoikeus kullekin suojauksen ja yhteensopivuuden järjestelmänvalvojalle, joka käyttää Defender for Cloud Appsia.
Käyttäjädokumentaatio ja koulutus
Suosittelemme, että luot ja julkaiset käyttäjädokumentaation ennen Defender for Cloud Appsin käyttöönottoa. Keskitetyn portaalin SharePoint-sivu tai wiki-sivu voi toimia hyvin, koska se on helppo ylläpitää. Myös jaettuun kirjastoon tai Teams-sivustoon ladattu tiedosto on hyvä ratkaisu.
Ohjeiden tavoitteena on saada saumaton käyttökokemus. Myös käyttäjädokumentaation valmisteleminen auttaa sinua varmistamaan, että olet huomioinut kaiken.
Sisällytä tietoja siitä, keneen ottaa yhteyttä, kun käyttäjillä on kysyttävää tai teknisiä ongelmia.
Usein kysytyt kysymykset ja esimerkit ovat erityisen hyödyllisiä käyttäjädokumentaatiossa.
Tarkistusluettelo – Kun valmistellaan käyttäjädokumentaatiota ja koulutusta, tärkeimpiä päätöksiä ja toimintoja ovat seuraavat:
- Päivitä sisällöntuottajien ja kuluttajien dokumentaatio: Päivitä usein kysytyt kysymykset ja esimerkit sisältämään merkityksellisiä tietoja käytännöistä, joita käyttäjät saattavat kohdata.
- Julkaise ohjeet ohjeiden hankkimiseen: Varmista, että käyttäjät tietävät, miten he saavat apua, kun heillä ilmenee jotakin odottamatonta tai etteivät he ymmärrä sitä.
- Määritä, tarvitaanko tiettyä koulutusta: Luo tai päivitä käyttäjän koulutus, jotta se sisältää hyödyllisiä tietoja, erityisesti jos siihen liittyy sääntelyvaatimus.
Käyttäjätuki
On tärkeää varmistaa, kuka vastaa käyttäjätukesta. On yleistä, että Defender for Cloud Appsin avulla Power BI:n valvontaan toimii keskitetty IT-tukipalvelu.
Mikrotuelle on ehkä luotava dokumentaatio ja suoritettava joitakin tiedonsiirtoistuntoja sen varmistamiseksi, että tukipalvelu on valmis vastaamaan tukipyyntöihin.
Tarkistusluettelo – Kun valmistaudut käyttäjän tukitoimintoon, tärkeimmät päätökset ja toiminnot ovat seuraavat:
- Määritä, kuka antaa käyttäjätukea: Kun määrität rooleja ja vastuita, varmista, että huomioit, miten käyttäjät saavat apua heidän kohtaamissaan ongelmissa.
- Varmista, että käyttäjätukiryhmä on valmis: Luo dokumentaatio ja suorita tietämyksensiirtoistuntoja varmistaaksesi, että tukipalvelu on valmis tukemaan näitä prosesseja.
- Viestintä tiimien välillä: Keskustele viesteistä, joita käyttäjät saattavat nähdä, ja prosessi avoimien ilmoitusten ratkaisemiseksi Power BI -järjestelmänvalvojiesi ja Center of Excellencen kanssa. Varmista, että kaikki mukana olevat ovat valmiita Power BI -käyttäjien mahdollisiin kysymyksiin.
Toteutusyhteenveto
Kun päätökset on tehty ja käyttöönottosuunnitelma on valmisteltu, on aika aloittaa toteutus.
Jos aiot käyttää reaaliaikaisia käytäntöjä (istuntokäytäntöjä tai käyttöoikeuskäytäntöjä), ensimmäinen tehtäväsi on määrittää Microsoft Entran ehdollisten käyttöoikeuksien sovellusten hallinta. Sinun on määritettävä Power BI -palvelu luettelosovelluksena, jota Defender for Cloud Apps hallitsee.
Kun Microsoft Entran ehdollisten käyttöoikeuksien sovellusohjausobjekti määritetään ja testataan, voit luoda käytäntöjä Defender for Cloud Appsissa.
Tärkeä
Suosittelemme, että otat tämän toiminnon käyttöön vain pienelle testikäyttäjämäärälle. Käytettävissä on myös vain valvonta -tila, josta voi olla hyötyä tämän toiminnon käyttöönotossa järjestyksessä.
Seuraava tarkistusluettelo sisältää yhteenvedon kaikista päästä päähän -toteutusvaiheista. Monissa vaiheissa on myös muita tietoja, jotka on kuvattu tämän artikkelin aiemmissa osioissa.
Tarkistusluettelo – Kun otat Defender for Cloud Appsin käyttöön Power BI:n avulla, tärkeimpiä päätöksiä ja toimintoja ovat muun muassa seuraavat:
- Tarkista nykyiset tilat ja tavoitteet: Varmista, että olet selvillä DLP:n nykyisestä tilasta Power BI:ssä käyttöä varten. Kaikkien DLP:n toteutusta koskevien tavoitteiden ja vaatimusten on oltava selkeitä ja niitä tulee käyttää aktiivisesti päätöksentekoprosessin ohjaamiseen.
- Tee päätöksentekoprosessi: Tarkastele ja keskustele kaikista tarvittavista päätöksistä. Tämän pitäisi tapahtua ennen kuin mitään määritettäessä mitään tuotannossa.
- Tarkista käyttöoikeusvaatimukset: Varmista, että ymmärrät tuotteiden käyttöoikeus- ja käyttöoikeusvaatimukset. Hanki ja määritä tarvittaessa lisää käyttöoikeuksia.
- Julkaise käyttäjädokumentaatio: Julkaise tietoja, joita käyttäjien täytyy vastata kysymyksiin ja selventää odotuksia. Anna ohjeita, viestintää ja koulutusta käyttäjillesi, jotta he voivat valmistautua.
- Luo Microsoft Entran ehdollinen käyttöoikeuskäytäntö: Luo ehdollinen käyttöoikeuskäytäntö Microsoft Entra -tunnuksella, jotta voit ottaa käyttöön reaaliaikaisia ohjausobjekteja Power BI -palvelu valvomiseksi. Ota aluksi käyttöön Microsoft Entran ehdollinen käyttöoikeuskäytäntö muutamalle testikäyttäjälle.
- Määritä Power BI yhdistetyksi sovellukseksi Defender for Cloud Appsissa: Lisää tai vahvista, että Power BI näkyy yhdistettynä sovelluksena Defender for Cloud Appsissa ehdollisen käyttöoikeuden sovelluksen hallintaa varten.
- Alkutestauksen suorittaminen: Kirjaudu sisään Power BI -palvelu yhtenä testikäyttäjänä. Varmista, että käyttöoikeudet toimivat. Varmista myös, että näyttöön tulee ilmoitus siitä, että Defender for Cloud Apps valvoo Power BI -palvelu.
- Luo ja testaa reaaliaikainen käytäntö: Luo käyttöoikeuskäytäntö tai istuntokäytäntö Defender for Cloud Appsissa käyttämällä käyttötapauksia, jotka on jo koottu.
- Suorita alkutestaus: Suorita testikäyttäjänä toiminto, joka käynnistää reaaliaikaisen käytännön. Varmista, että toiminto on estetty (jos se on tarpeen) ja että odotetut hälytyssanomat näytetään.
- Palautteen kerääminen käyttäjälle: Pyydä palautetta prosessista ja käyttökokemuksesta. Tunnista sekaannusten alueet, odottamattomat tulokset, joissa on arkaluonteisia tietotyyppejä, ja muita teknisiä ongelmia.
- Jatka iteratiivisia julkaisuja: lisää vähitellen käytäntöjä Defender for Cloud Appsiin, kunnes kaikki käyttötapaukset on ratkaistu.
- Tarkista sisäiset käytännöt: Etsi sisäiset poikkeamien tunnistamisen käytännöt Defender for Cloud Appsista (joiden nimessä on Power BI). Päivitä tarvittaessa sisäänrakennettujen käytäntöjen hälytysasetukset.
- Jatka laajempaa käyttöönottoa: Jatka iteratiivisen käyttöönottosuunnitelman läpi työskentelyä. Päivitä Microsoft Entran ehdollinen käyttöoikeuskäytäntö niin, että se koskee tarvittaessa laajempaa käyttäjäjoukkoa. Päivitä yksittäisiä käytäntöjä Defender for Cloud Appsissa, jotta ne koskevat soveltuvin tavoin laajempaa käyttäjäjoukkoa.
- Valvo, hienosäädä ja säädä: Sijoita resursseja, jotta voit tarkistaa käytäntövastaavuuden hälytyksiä ja valvontalokeja usein. Tutki false-positiiviset tiedot ja mukauta käytäntöjä tarvittaessa.
Vihje
Näistä tarkistusluettelon kohteista tehdään yhteenveto suunnittelua varten. Lisätietoja näistä tarkistusluettelon kohteista on tämän artikkelin aiemmissa osissa.
Lisätietoja Power BI:n käyttöönotosta luettelosovelluksena Defender for Cloud Appsissa saat luettelosovellusten käyttöönottovaiheista.
Jatkuva seuranta
Kun olet suorittanut toteutuksen, sinun tulee kiinnittää huomiosi Defender for Cloud Apps -käytäntöjen valvontaan, valvontaan ja käyttöön niiden käytön mukaan.
Power BI -järjestelmänvalvojien sekä suojauksen ja yhteensopivuuden järjestelmänvalvojien on tehtävä ajoittain yhteistyötä. Power BI -sisällössä on kaksi käyttäjäryhmää seurantaa varten.
- Power BI -järjestelmänvalvojat: Defender for Cloud Appsin luomien hälytysten lisäksi Power BI:n toimintalokin toiminnot näytetään myös Defender for Cloud Apps -portaalissa.
- Suojauksen ja yhteensopivuuden järjestelmänvalvojat: Organisaation suojauksen ja vaatimustenmukaisuuden järjestelmänvalvojat käyttävät yleensä Defender for Cloud Apps -hälytyksiä.
On mahdollista tarjota Power BI -järjestelmänvalvojille rajoitettu näkymä Defender for Cloud Appsissa. Se käyttää laajuusroolia toimintolokin, kirjautumistapahtumien ja Power BI -palvelu liittyvien tapahtumien tarkasteluun. Tästä ominaisuudesta on hyötyä Power BI -järjestelmänvalvojille.
Tarkistusluettelo – Kun valvot Defender for Cloud Appsia, tärkeimpiä päätöksiä ja toimintoja ovat muun muassa seuraavat:
- Tarkista roolit ja vastuut: Varmista, että olet selvillä siitä, kuka on vastuussa mistäkin toiminnosta. Kerro Power BI -järjestelmänvalvojille, onko he vastuussa valvonnasta.
- Power BI -järjestelmänvalvojien käyttöoikeuksien hallinta: Lisää Power BI -järjestelmänvalvojasi rajoitettuun järjestelmänvalvojarooliin Defender for Cloud Appsissa. Ole yhteydessä heidän kanssaan, jotta he tietävät, mitä he voivat tehdä näiden lisätietojen avulla.
- Luo tai vahvista prosessi toiminnan tarkistamista varten: Varmista, että suojauksen ja yhteensopivuuden järjestelmänvalvojat ovat selvillä toiminnoista, jotka koskevat toimintojen hallinnan säännöllistä tarkistusta.
- Luo tai vahvista prosessi ilmoitusten ratkaisemiseksi: Varmista, että suojauksen ja vaatimustenmukaisuuden järjestelmänvalvojilla on prosessi käynnissä avoimien hälytysten tutkimista ja ratkaisemista varten.
Liittyvä sisältö
Tämän sarjan seuraavassa artikkelissa on tietoja auditoinnista tietojen suojaamisen ja tietojen menetyksen estämisen osalta Power BI:ssä.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle