Share via

A Power BI implementálásának megtervezése: Adatveszteség-megelőzés a Power BI-hoz

  • Cikk

Feljegyzés

Ez a cikk a Power BI implementációtervezési cikksorozatának része. Ez a sorozat elsősorban a Microsoft Fabricen belüli Power BI-számítási feladatokra összpontosít. A sorozat bemutatása: Power BI implementációtervezés.

Ez a cikk az adatveszteség-megelőzés (DLP) Power BI-ban való megvalósításával kapcsolatos tervezési tevékenységeket ismerteti. A cél a következő:

  • Power BI-rendszergazdák: Azok a rendszergazdák, akik a Power BI felügyeletéért felelősek a szervezetben. A Power BI-rendszergazdáknak együtt kell működniük az információbiztonsági csapatokkal és más releváns csapatokkal.
  • Kiválósági központ, informatikai és BI-csapatok: Mások, akik a Power BI felügyeletéért felelősek a szervezetben. Előfordulhat, hogy együtt kell működniük a Power BI-rendszergazdákkal, az információbiztonsági csapatokkal és más releváns csapatokkal.

Fontos

Az adatveszteség-megelőzés (DLP) jelentős szervezetszintű vállalkozás. Hatóköre és hatása sokkal nagyobb, mint a Power BI. Az ilyen típusú kezdeményezéshez finanszírozásra, rangsorolásra és tervezésre van szükség. A tervezés, a használat és a felügyelet terén várhatóan több többfunkcionális csapat is részt vesz majd.

Javasoljuk, hogy a DLP Power BI-hoz való bevezetése fokozatos, szakaszos megközelítést alkalmazzon. A bevezetési fázisok típusainak leírásáért tekintse meg a Power BI információvédelmet (bevezetési fázisok).

A DLP célja

Az adatveszteség-megelőzés (DLP) a szervezet adatainak védelmét szolgáló tevékenységekre és gyakorlatokra vonatkozik. A DLP célja az adatszivárgás kockázatának csökkentése, ami akkor fordulhat elő, ha bizalmas adatokat osztanak meg jogosulatlan személyekkel. Bár a felelős felhasználói viselkedés az adatok védelmének kritikus része, a DLP általában automatizált szabályzatokra hivatkozik.

A DLP lehetővé teszi, hogy:

  • Észlelheti és tájékoztathatja a rendszergazdákat, ha bizalmas adatok kockázatos, véletlen vagy nem megfelelő megosztása történt. Pontosabban a következőt teszi lehetővé:
    • A Power BI-bérlő általános biztonsági beállításának javítása automatizálással és információkkal.
    • Engedélyezze a bizalmas adatokat tartalmazó elemzési használati eseteket.
    • Adjon meg naplózási információkat a biztonsági rendszergazdáknak.
  • Környezeti értesítések küldése a felhasználóknak. Pontosabban a következőt teszi lehetővé:
    • Segítség a felhasználóknak a megfelelő döntések meghozatalában a normál munkafolyamat során.
    • Útmutató a felhasználóknak az adatbesorolási és védelmi szabályzat követéséhez anélkül, hogy negatívan befolyásolná a hatékonyságukat.

DLP-szolgáltatások

Általánosságban két különböző szolgáltatás létezik, amelyek adatveszteség-megelőzést valósíthatnak meg.

  • Microsoft Purview DLP-szabályzatok a Power BI-hoz
  • Microsoft Defender for Cloud Apps

Microsoft Purview DLP-szabályzatok a Power BI-hoz

A Power BI DLP-szabályzata a Microsoft Purview megfelelőségi portál van beállítva. Képes észlelni a bizalmas adatokat egy szemantikai modellben (korábbi nevén adatkészletben), amelyet a Power BI szolgáltatás prémium szintű munkaterületén tettek közzé.

Fontos

Ez a cikk időnként a Power BI Premiumra vagy annak kapacitás-előfizetésére (P termékváltozatokra) hivatkozik. Vegye figyelembe, hogy a Microsoft jelenleg összevonja a vásárlási lehetőségeket, és visszavonul a Power BI Premium kapacitásonkénti termékváltozataitól. Az új és a meglévő ügyfeleknek érdemes megfontolni a Fabric-kapacitás-előfizetések (F SKU-k) megvásárlását.

További információ: Fontos frissítés a Power BI Premium licenceléséhez és a Power BI Premiumhoz – gyakori kérdések.

Az ilyen típusú DLP-szabályzat célja, hogy felhívja a felhasználók figyelmét, és tájékoztassa a rendszergazdákat arról, hogy hol tárolják a bizalmas adatokat. A DLP-szabályzat bizalmas információtípusok vagy bizalmassági címkék alapján felhasználói értesítéseket és rendszergazdai riasztásokat hozhat létre. Meghatározhatja például, hogy a hitelkártyaadatok vagy a személyazonosításra alkalmas adatok (PII) egy szemantikai modellben legyenek-e tárolva.

Feljegyzés

A cikk középpontjában a Power BI-hoz készült DLP áll.

Microsoft Defender for Cloud Apps

Felhőhöz készült Microsoft Defender Alkalmazások számos funkcióval rendelkező eszköz. A Felhőhöz készült Microsoft Defender-alkalmazásokban (a Microsoft Entra ID-val való integrációval – korábban Azure Active Directory) beállítható szabályzatok közé tartozik a DLP. Ezek a szabályzatok blokkolhatnak, naplózhatnak vagy riasztást, ha bizonyos felhasználói tevékenységek történnek. Ha például egy felhasználó megpróbál letölteni egy jelentést a szigorúan korlátozott bizalmassági címkével rendelkező Power BI szolgáltatás, a letöltési művelet le lesz tiltva.

A Felhőhöz készült Defender Power BI-alkalmazások című cikk a Felhőhöz készült Defender-alkalmazások használatát ismerteti a Power BI szolgáltatás figyeléséhez. A cikk további része a Power BI-hoz készült DLP-vel foglalkozik.

Fontos

A Power BI Microsoft Purview megfelelőségi portál beállított DLP-szabályzatai csak a Power BI Premium-munkaterületen tárolt tartalmakra alkalmazhatók. Az Felhőhöz készült Defender-alkalmazásokban beállított szabályzatok azonban nem rendelkeznek hasonló Power BI Premium-előfeltételekkel. Vegye figyelembe, hogy a funkciók, a cél és a rendelkezésre álló műveletek eltérnek a két eszközkészlet esetében. A maximális hatás elérése érdekében javasoljuk, hogy fontolja meg mindkét eszközkészlet használatát.

A DLP előfeltételei a Power BI-hoz

Mostanra el kellett volna végeznie a Power BI Információvédelem című cikkben ismertetett szervezeti szintű tervezési lépéseket. A folytatás előtt tisztáznia kell a következőt:

A DLP implementálása előtt általában az információvédelem (a Power BI-ra vonatkozó információvédelem című cikkben leírtak szerint) implementálható. Ez azonban nem előfeltétele a DLP Power BI-hoz való használatának. Ha bizalmassági címkéket tesznek közzé, a Power BI DLP-jével is használhatók. A Power BI-hoz készült DLP-vel bizalmas információtípusokat is használhat. Mindkét típust ebben a cikkben ismertetjük.

Főbb döntések és műveletek

A DLP-szabályzat célja, hogy a védeni kívánt tartalomra vonatkozó szabályok és feltételek alapján automatikus műveletet állítson be. Meg kell hoznia néhány döntést azokkal a szabályokkal és feltételekkel kapcsolatban, amelyek támogatják a céljait és követelményeit.

A különálló szabályok egyetlen DLP-szabályzatban való definiálásának előnye, hogy testre szabott riasztásokat vagy felhasználói értesítéseket engedélyezhet.

A DLP-szabályzatok listája és a DLP-szabályzatszabályok hierarchikus elsőbbséget élveznek. Az elsőbbség befolyásolja, hogy melyik szabályzatot hívja meg a rendszer, amikor először találkozik vele.

Figyelemfelhívás

Ez a szakasz nem tartalmazza az összes lehetséges DLP-döntés teljes listáját az összes lehetséges alkalmazáshoz. Győződjön meg arról, hogy más érdekelt felekkel és a rendszergazdákkal együttműködve minden alkalmazáshoz és használati esethez megfelelő döntéseket hoz. Javasoljuk például, hogy vizsgálja meg a forrásfájlok és a OneDrive-ban vagy a SharePointban tárolt exportált fájlok védelmére vonatkozó további DLP-szabályzatokat. Ez a cikkkészlet csak a Power BI szolgáltatás tartalmaira összpontosít.

Bizalmas adatok típusa

A Power BI Microsoft Purview megfelelőségi portál beállított DLP-szabályzata bizalmassági címkén vagy bizalmas információtípuson alapulhat.

Fontos

Bár a Power BI legtöbb elemtípusához bizalmassági címkéket rendelhet, a cikkben ismertetett DLP-szabályzatok kifejezetten szemantikai modellekre összpontosítanak. A szemantikai modellt közzé kell tenni egy prémium szintű munkaterületen.

Bizalmassági címke

Bizalmassági címkék használatával osztályozhatja a tartalmakat, a kevésbé érzékenytől a bizalmasabbig.

A Power BI-hoz készült DLP-szabályzat meghívásakor egy bizalmassági címkeszabály ellenőrzi a szemantikai modelleket (amelyeket a Power BI szolgáltatás közzétevők) egy bizonyos bizalmassági címke jelenlétére vonatkozóan. A Power BI Információvédelem című cikkében leírtak szerint a címkéket felhasználó vagy automatizált folyamat (például örökölt vagy alapértelmezett címke) rendelheti hozzá.

Íme néhány példa arra, hogy mikor hozhat létre bizalmassági címke alapján egy DLP-szabályt.

  • Jogszabályi megfelelőség: Rendelkezik egy bizalmassági címkével, amely egy adott szabályozási követelmény hatálya alá tartozó adatokhoz van fenntartva. Riasztást szeretne küldeni a biztonsági rendszergazdáknak, ha a felhasználók ezt a bizalmassági címkét egy szemantikai modellhez rendelik a Power BI szolgáltatás.
  • Emlékeztetők a tartalomkészítőknek a bizalmas adatokról: Bizalmas adatokhoz használt bizalmassági címkével rendelkezik. Felhasználói értesítést szeretne létrehozni, ha egy felhasználó megtekinti a szemantikai modell részleteit tartalmazó oldalt az adatközpontban a Power BI szolgáltatás. Emlékeztetheti például a felhasználókat a bizalmas adatok megfelelő kezelésére.

A felhasználói értesítésekre és riasztásokra vonatkozó egyéb szempontokat a cikk következő szakasza ismerteti.

Ellenőrzőlista – Ha figyelembe vesszük a bizalmassági címkékre vonatkozó szabályok iránti igényeket, a legfontosabb döntések és műveletek a következők:

  • Ellenőrizze az információvédelem aktuális állapotát: Győződjön meg arról, hogy a bizalmassági címkék telepítve vannak a szervezetben, és készen állnak a DLP-szabályzatok használatára.
  • A bizalmassági címkéken alapuló DLP használati eseteinek fordítása: Határozza meg, hogy mely bizalmassági címkék élveznék a DLP-szabályzatok használatát. Vegye figyelembe a céljait, szabályzatait és belső követelményeit.
  • A bizalmassági címkék alapján rangsorolja a DLP használati eseteinek listáját: A legfontosabb prioritások megvitatása a csapattal. Határozza meg, hogy mely elemeket érdemes rangsorolni a projekttervben.

Feljegyzés

A DLP-szabályzatok általában automatizáltak. A felelős felhasználói műveletek azonban kulcsfontosságú szerepet játszanak az adatok védelmében is.

További információ: Információvédelem a Power BI-hoz (adatbesorolási és védelmi szabályzat). Egy belső szabályozási szabályzatot ír le, amely útmutatást nyújt arról, hogy a felhasználók mit tehetnek és mit nem tehetnek egy adott bizalmassági címkéhez rendelt tartalommal.

Bizalmas információtípusok

Nem minden adattípus azonos; bizonyos adattípusok természetüknél fogva érzékenyebbek, mint mások. Számos különböző bizalmas információtípus (SIT) létezik. Az iparágtól és a megfelelőségi követelményektől függően csak néhány SIT lesz alkalmazható a szervezetre.

Néhány gyakori példa az SIT-kre:

  • Útlevél, társadalombiztosítási és jogosítványszámok
  • Bankszámla- és útválasztási számok
  • Hitelkártya- és bankkártyaszámok
  • Adóazonosító és nemzeti azonosítószámok
  • Egészségügyi azonosító számok és orvosi információk
  • Fizikai címek
  • Fiókkulcsok, jelszavak és adatbázis-kapcsolati sztring

Tipp.

Ha a bizalmas adatok nem rendelkeznek elemzési értékkel, kérdezze meg, hogy az elemzési rendszerben kell-e lennie. Javasoljuk, hogy a tartalomkészítőket arra tanítsa, hogy segítsenek nekik jó döntéseket hozni arról, hogy milyen adatokat tárolnak a Power BI-ban.

Az SIT-k mintaalapú osztályozók. Normál kifejezések használatával keresnek egy ismert mintát a szövegben.

Számos előre konfigurált SIT található a Microsoft Purview megfelelőségi portál. Ha megfelelnek a követelményeknek, egy előre konfigurált SIT használatával időt takaríthat meg. Vegye figyelembe az előre konfigurált SIT hitelkártyaszámot : Észleli az összes főbb kártyakibocsátó helyes mintáit, biztosítja az ellenőrzőösszeg érvényességét, és a hitelkártyaszám közelében keres egy releváns kulcsszót.

Ha az előre konfigurált SIT-k nem felelnek meg az igényeinek, vagy saját adatmintákkal rendelkezik, létrehozhat egy egyéni SIT-et. Létrehozhat például egy egyéni SIT-et, amely megfelel az alkalmazotti azonosító számának.

A SIT beállítása után a rendszer meghív egy DLP-házirendet a Power BI-hoz egy szemantikai modell feltöltése vagy frissítésekor. Ekkor egy bizalmas információtípus-szabály ellenőrzi a szemantikai modelleket (a Power BI szolgáltatás) a bizalmas információtípusok meglétét.

Íme néhány példa arra, hogy mikor hozhat létre DLP-szabályt bizalmas információtípus alapján.

  • Jogszabályi megfelelőség: Olyan bizalmas információtípussal rendelkezik, amelyre szabályozási követelmények vonatkoznak. Riasztást szeretne létrehozni a biztonsági rendszergazdák számára, ha a rendszer ilyen típusú adatokat észlel egy szemantikai modellben a Power BI szolgáltatás.
  • Belső követelmények: Olyan bizalmas információtípussal rendelkezik, amely speciális kezelést igényel. A belső követelményeknek való megfelelés érdekében felhasználói értesítést szeretne létrehozni, ha egy felhasználó megtekinti a szemantikai modell beállításait vagy a szemantikai modell részleteit tartalmazó oldalt az adatközpontban (a Power BI szolgáltatás).

Ellenőrzőlista – A bizalmas információtípusok iránti igények figyelembe vételekor a legfontosabb döntések és műveletek a következők:

  • A DLP használati eseteinek fordítása bizalmas információtípusok alapján: Határozza meg, hogy mely bizalmas információtípusok élveznék a DLP-szabályzatok használatát. Vegye figyelembe a céljait, szabályzatait és belső követelményeit.
  • Meglévő bizalmas információtípusok tesztelése: Az információbiztonsági csapattal együttműködve ellenőrizze, hogy az előre konfigurált SIT-k megfelelnek-e az igényeinek. Használjon tesztadatokat a minták és kulcsszavak helyes észlelésének ellenőrzéséhez.
  • Egyéni bizalmas információtípusok létrehozása: Ha lehetséges, az információbiztonsági csapattal együttműködve hozzon létre SIT-ket, hogy azok a Power BI-hoz készült DLP-ben is használhatók legyenek.
  • A használati esetek listájának rangsorolása: A legfontosabb prioritások megvitatása a csapattal. Határozza meg, hogy mely elemeket érdemes rangsorolni a projekttervben.

Felhasználói értesítések

Ha azonosította a bizalmassági címkékkel és SIT-kkel rendelkező DLP használati eseteit, a következő lépésben figyelembe kell vennie, hogy mi történik egy DLP-szabályegyezés esetén. Általában felhasználói értesítést tartalmaz.

A DLP-szabályzatok felhasználói értesítései szabályzattippekként is ismertek. Ezek akkor hasznosak, ha további útmutatást és tudatosságot szeretne biztosítani a felhasználóknak a munkájuk során. Valószínűbb, hogy a felhasználók a következő esetekben olvasnak és vesznek fel felhasználói értesítéseket:

  • Konkrét: Az üzenetnek a szabályhoz való korrelációja sokkal könnyebbé teszi a megértést.
  • Végrehajtható: Javaslatot tesz arra, hogy mit kell tennie a felhasználónak, vagy hogyan találhat további információkat.

A Power BI DLP-jében a felhasználói értesítések megjelennek a szemantikai modell beállításai között. Az adatközpont szemantikai modell részleteit tartalmazó oldalának tetején is megjelennek, ahogyan az alábbi képernyőképen látható. Ebben az esetben az értesítés a következőt olvassa fel: Ezek az adatok hitelkártyákat tartalmaznak. Ez az adattípus nem engedélyezett a Power BI-ban az adatbesorolási, védelmi és használati szabályzat szerint.

Képernyőkép egy DLP-felhasználó értesítéséről az adatközpont lap tetején.

Az egyes DLP-szabályzatokhoz egy vagy több szabályt határozhat meg. Minden szabályhoz külön szabályzattipp is tartozhat, amely a felhasználók számára jelenik meg.

Tekintse meg az alábbi példát arra, hogyan definiálhat DLP-szabályzatot a Power BI szolgáltatás szemantikai modelljeiben tárolt pénzügyi adatok észleléséhez. A DLP-szabályzat SIT-ket használ, és két szabálya van.

  • 1. szabály: Az első szabály a hitelkártyaszámokat észleli. A testre szabott szabályzattipp szövege a következő: Ezek az adatok hitelkártyaszámokat tartalmaznak. Ez az adattípus nem engedélyezett a Power BI-ban az adatbesorolási és védelmi szabályzat szerint.
  • 2. szabály: A második szabály a pénzügyi számlákat észleli. A testre szabott szabályzattipp szövege a következő: Ezek az adatok bizalmas pénzügyi információkat tartalmaznak. A szigorúan korlátozott címke használatát igényli. A pénzügyi adatok tárolására vonatkozó követelményekről tekintse meg az adatbesorolási és védelmi szabályzatot.

Az 1. szabály sürgősebb, mint a 2. szabály. Az 1. szabály célja, hogy közölje, hogy van egy olyan probléma, amely beavatkozást igényel. A második szabály több információval szolgál. Sürgős problémák esetén érdemes riasztást beállítani. A rendszergazdák riasztását a következő szakaszban ismertetjük.

Amikor eldönti, hogy milyen értesítéseket kapnak a felhasználók, javasoljuk, hogy csak a nagyon fontos értesítések megjelenítésére összpontosítson. Ha túl sok szabályzatértesítés van, a felhasználók túlterhelhetik őket. Ennek az az eredménye, hogy egyes értesítések figyelmen kívül hagyhatók.

A felhasználók úgy tehetnek lépéseket , hogy jelentést tesznek a problémáról , ha úgy vélik, hogy hamis pozitív (helytelenül megadott). Azt is lehetővé teszi, hogy a felhasználó felülbírálja a szabályzatot. Ezek a képességek lehetővé teszik a Power BI-felhasználók és a Power BI DLP-t kezelő biztonsági rendszergazdák közötti kommunikációt.

Ellenőrzőlista – A DLP felhasználói értesítéseinek mérlegelésekor a legfontosabb döntések és műveletek a következők:

  • Döntse el, hogy mikor van szükség felhasználói értesítésekre: Minden létrehozni kívánt DLP-szabály esetében határozza meg, hogy szükség van-e egyéni felhasználói értesítésre.
  • Testreszabott szabályzattippek létrehozása: Minden egyes értesítésnél adja meg, hogy milyen üzenetet jelenítsen meg a felhasználók számára. Tervezze meg, hogy korrelálja az üzenetet a DLP-szabályhoz, hogy az konkrét és végrehajtható legyen.

riasztás Rendszergazda istrator

A riasztások akkor hasznosak bizonyos DLP-szabályok esetében, ha szabályzatsértés esetén szeretné nyomon követni az incidenseket. A DLP-házirendszabályok meghatározásakor fontolja meg, hogy létre kell-e hozni a riasztásokat .

Tipp.

A riasztások célja, hogy felhívják a rendszergazdák figyelmét bizonyos helyzetekre. Ezek akkor ideálisak, ha aktívan szeretné kivizsgálni és feloldani a fontos riasztásokat. Az összes DPS-szabályegyezés megtalálható a tevékenységkezelőben a Microsoft Purview megfelelőségi portál.

A riasztás akkor hasznos, ha:

  • Vegye figyelembe a biztonsági és megfelelőségi rendszergazdákat, hogy valami történt a DLP riasztáskezelési irányítópultján. Igény szerint e-mailt is küldhet egy adott felhasználói csoportnak.
  • További részletek a bekövetkezett eseményekről.
  • Rendeljen hozzá egy eseményt valakihez a kivizsgálásához.
  • Kezelheti egy esemény állapotát, vagy megjegyzéseket fűzhet hozzá.
  • Tekintse meg az ugyanazon felhasználó által végzett tevékenységhez létrehozott egyéb riasztásokat.

Az egyes riasztások súlyossági szinttel határozhatók meg, amelyek lehetnek alacsonyak, közepesek vagy magasak. A súlyossági szint segít rangsorolni a nyitott riasztások felülvizsgálatát.

Íme két példa a riasztások használatára.

1. példa: Definiált egy DLP-szabályzatot a Power BI szolgáltatás szemantikai modelljeiben tárolt pénzügyi adatok észleléséhez. A DLP-szabályzat bizalmas információtípusokat használ. Két szabálya van.

  • 1. szabály: Ez a szabály a hitelkártyaszámokat észleli. A riasztások nagy súlyossággal engedélyezve lesznek. Egy e-mail is létre lesz hozva.
  • 2. szabály: Ez a szabály észleli a pénzügyi számlákat. A riasztások nagy súlyossággal engedélyezve lesznek.

2. példa: Definiált egy DLP-szabályzatot, amely akkor lesz meghívva, amikor a szigorúan korlátozott\végrehajtó bizottság és a tanácstagok bizalmassági címkéje hozzá van rendelve egy szemantikai modellhez a Power BI szolgáltatás. Nem hoz létre felhasználói értesítést. Ebben az esetben előfordulhat, hogy nem szeretne riasztást létrehozni, mert csak az előfordulást szeretné naplózni. Szükség esetén további információt a tevékenységkezelőből szerezhet be.

Ha e-mailes riasztásra van szükség, javasoljuk, hogy használjon levelezésre képes biztonsági csoportot. Használhatja például a Security and Privacy Rendszergazda Alerting nevű csoportot.

Tipp.

Ne feledje, hogy a Power BI DLP-szabályait minden alkalommal ellenőrzi a rendszer, amikor feltölt vagy frissít egy szemantikai modellt. Ez azt jelenti, hogy a szemantikai modell frissítésekor riasztás hozható létre. A rendszeres vagy gyakori adatfrissítések túl sok naplózott eseményt és riasztást eredményezhetnek.

Ellenőrzőlista – A rendszergazdák DLP-riasztásának mérlegelésekor a legfontosabb döntések és műveletek a következők:

  • Döntse el, hogy mikor van szükség riasztásokra: Minden létrehozni kívánt DLP-szabály esetében határozza meg, hogy mely helyzetek indokolják a riasztások használatát.
  • Szerepkörök és felelősségek tisztázása: Határozza meg a riasztások létrehozásakor végrehajtandó elvárásokat és konkrét műveleteket.
  • Határozza meg, hogy kik kapnak riasztásokat: Döntse el, hogy mely biztonsági és megfelelőségi rendszergazdák fogják kezelni a nyitott riasztásokat. Ellenőrizze, hogy teljesülnek-e a Microsoft Purview megfelelőségi portál használó összes rendszergazda engedély- és licenckövetelményei.
  • E-mail-csoportok létrehozása: Ha szükséges, hozzon létre új, e-mail-kompatibilis biztonsági csoportokat a riasztások kezeléséhez.

Munkaterületek a hatókörben

A Power BI Microsoft Purview megfelelőségi portál beállított DLP-szabályzata szemantikai modelleket céloz meg. Pontosabban támogatja a prémium szintű munkaterületen közzétett szemantikai modellek vizsgálatát.

Beállíthatja a DLP-szabályzatot az összes Premium-munkaterület vizsgálatához. Lehetőség van adott munkaterületek hozzáadására vagy kizárására is. Kizárhat például bizonyos fejlesztési vagy tesztelési munkaterületeket, amelyek alacsonyabb kockázatnak minősülnek (különösen akkor, ha nem tartalmaznak valós éles adatokat). Másik lehetőségként létrehozhat külön szabályzatokat bizonyos fejlesztési vagy tesztelési munkaterületekhez.

Tipp.

Ha úgy dönt, hogy a prémium szintű munkaterületek csak egy részhalmazát fogja tartalmazni a DLP-hez, vegye figyelembe a karbantartás szintjét. A DLP-szabályok könnyebben kezelhetők, ha az összes Premium-munkaterületet tartalmazza. Ha úgy dönt, hogy csak a Premium-munkaterületek egy részét tartalmazza, győződjön meg arról, hogy van egy naplózási folyamat, hogy gyorsan megállapíthassa, hogy hiányzik-e egy új munkaterület a DLP-szabályzatból.

A munkaterületről további információt a munkaterület tervezési cikkeiben talál.

Ellenőrzőlista – A DLP hatókörébe felvenni kívánt munkaterületek meghatározásakor a legfontosabb döntések és műveletek a következők:

  • Döntse el, hogy mely Prémium munkaterületeket kell alkalmazni a DLP-vel: Fontolja meg, hogy a DLP-szabályzatok az összes Power BI Premium-munkaterületre vagy csak egy részhalmazra legyenek hatással.
  • Munkaterület-hozzárendelések dokumentációjának létrehozása: Ha van ilyen, a DLP hatálya alá tartozó munkaterületek dokumentuma. Adja meg a munkaterületek belefoglalásának vagy kizárásának feltételeit és okait.
  • A DLP-döntések és a munkaterület szabályozásának korrelálása: Ha lehetséges, frissítse a munkaterület szabályozási dokumentációját, hogy a DLP kezelésének részleteit is tartalmazza.
  • Fontolja meg a többi fontos fájlhelyet: A Power BI szolgáltatás mellett határozza meg, hogy szükség van-e más DLP-szabályzatok létrehozására a Forrásfájlok és a OneDrive-ban vagy a SharePointban tárolt exportált fájlok védelméhez.

Licencelési követelmények

A DLP használatához több licencelési követelmény is szükséges. A DLP beállítását, kezelését és felügyeletét végző rendszergazdáknak Microsoft Purview információvédelem licencre van szükség. Előfordulhat, hogy már rendelkezik ezekkel a licencekkel, mert bizonyos licenccsomagokban, például a Microsoft 365 E5-ben szerepelnek. Másik lehetőségként Microsoft 365 Megfelelőség E5 csomag képességek különálló licencként is megvásárolhatók.

A Power BI DLP-szabályzataihoz a Power BI Premiumra is szükség van. Ez a licencelési követelmény prémium szintű kapacitással vagy felhasználónkénti Premium (PPU) licenccel is teljesíthető.

Tipp.

Ha pontosításra van szüksége a licencelési követelményekkel kapcsolatban, forduljon a Microsoft-fiók csapatához. Vegye figyelembe, hogy a Microsoft 365 Megfelelőség E5 csomag licenc más DLP-képességeket is tartalmaz, amelyek nem tartoznak a jelen cikk hatókörébe.

Ellenőrzőlista – A DLP licencelési követelményeinek értékelésekor a legfontosabb döntések és műveletek a következők:

  • Terméklicenc-követelmények áttekintése: Győződjön meg arról, hogy áttekintette a DLP összes licencelési követelményét.
  • Tekintse át a prémium szintű licencelési követelményeket: Ellenőrizze, hogy a DLP-hez konfigurálni kívánt munkaterületek prémium szintű munkaterületek-e.
  • További licencek beszerzése: Ha lehetséges, vásároljon további licenceket a használni kívánt funkciók feloldásához.
  • Licencek hozzárendelése: Rendeljen hozzá egy licencet minden biztonsági és megfelelőségi rendszergazdához, akinek szüksége lesz rá.

Felhasználói dokumentáció és betanítás

A DLP Power BI-hoz való bevezetése előtt javasoljuk, hogy hozzon létre és tegye közzé a felhasználói dokumentációt. A központosított portálon található SharePoint-lapok vagy wikilapok jól működnek, mert könnyen karbantarthatók lesznek. Egy megosztott tárba vagy Teams-webhelyre feltöltött dokumentum is jó megoldás.

A dokumentáció célja a zökkenőmentes felhasználói élmény elérése. A felhasználói dokumentáció előkészítése segít abban is, hogy mindent átgondoljon.

Adjon meg információkat arról, hogy kivel lépjen kapcsolatba, ha a felhasználók kérdései vagy technikai problémái vannak. Mivel az információvédelem egy szervezetre kiterjedő projekt, az informatikai részleg gyakran nyújt támogatást.

A gyakori kérdések és példák különösen hasznosak a felhasználói dokumentációban.

Tipp.

További információ: Információvédelem a Power BI-hoz (adatbesorolási és védelmi szabályzat). Az adatbesorolási és védelmi szabályzatok létrehozásának javaslatait ismerteti, hogy a felhasználók megértsék, mit tehetnek és mit nem tehetnek a bizalmassági címkékkel.

Ellenőrzőlista – A felhasználói dokumentáció és a betanítás előkészítésekor a legfontosabb döntések és műveletek a következők:

  • Tartalomkészítők és -felhasználók dokumentációjának frissítése: Frissítse a gyakori kérdéseket és példákat, hogy a DLP-szabályzatokkal kapcsolatos releváns útmutatást is tartalmazzon.
  • Segítségkérési útmutató közzététele: Győződjön meg arról, hogy a felhasználók tudják, hogyan kérhetnek segítséget, ha valami váratlant tapasztalnak, vagy ha nem értik őket.
  • Határozza meg, hogy szükség van-e konkrét betanításra: Hozza létre vagy frissítse a felhasználói betanítást, hogy hasznos információkat tartalmazzon, különösen akkor, ha erre jogszabályi követelmények vonatkoznak.

Felhasználói támogatás

Fontos ellenőrizni, hogy ki lesz felelős a felhasználói támogatásért. Gyakori, hogy a DLP-t egy központosított informatikai ügyfélszolgálat támogatja.

Előfordulhat, hogy útmutatást kell létrehoznia a segélyszolgálathoz (más néven runbookhoz). Előfordulhat, hogy tudásátadási munkameneteket is kell végeznie, hogy az ügyfélszolgálat készen álljon a támogatási kérelmek megválaszolására.

Ellenőrzőlista – A felhasználói támogatási funkció előkészítésekor a legfontosabb döntések és műveletek a következők:

  • Azonosítsa, hogy ki nyújt felhasználói támogatást: Szerepkörök és felelősségek meghatározásakor ügyeljen arra, hogy a felhasználók hogyan kapnak segítséget a DLP-vel kapcsolatos problémákhoz.
  • Győződjön meg arról, hogy a felhasználói támogatási csapat készen áll: Hozzon létre dokumentációt, és végezzen tudásátadási munkameneteket, hogy az ügyfélszolgálat készen álljon a DLP támogatására.
  • Kommunikáció a csapatok között: A felhasználói értesítések és a DLP-riasztások megoldásának folyamata a támogatási csapattal, valamint a Power BI-rendszergazdákkal és a Kiválósági központtal. Győződjön meg arról, hogy minden érintett felkészült a Power BI-felhasználók esetleges kérdéseire.

Implementáció és tesztelés összegzése

A döntések és az előfeltételek teljesülése után ideje megkezdeni a DLP power BI-hoz való implementálását és tesztelését.

A Power BI DLP-szabályzatai a Microsoft 365 Felügyeleti központ Microsoft Purview megfelelőségi portál (korábbi nevén Microsoft 365 megfelelőségi központban) vannak beállítva.

Tipp.

A DLP Power BI-hoz való beállításának folyamata a Microsoft Purview megfelelőségi portál csak egy lépésből áll, kettő helyett a szabályzat beállításához. Ez a folyamat eltér a Microsoft Purview megfelelőségi portál az információvédelem beállításától (erről a Power BI Információvédelem című cikkében olvashat). Ebben az esetben a címke beállításának és egy címkeszabályzat közzétételének két külön lépése volt. Ebben az esetben a DLP esetében a megvalósítási folyamatnak csak egy lépése van.

Az alábbi ellenőrzőlista a teljes körű megvalósítás lépéseinek összesített listáját tartalmazza. A lépések közül sok más részletet is tartalmaz, amelyekről a cikk korábbi szakaszaiban olvashat.

Ellenőrzőlista – A DLP Power BI-hoz való implementálása során a legfontosabb döntések és műveletek a következők:

  • Ellenőrizze az aktuális állapotot és célokat: Győződjön meg arról, hogy a Power BI-ban való használathoz egyértelmű a DLP aktuális állapota. A DLP megvalósítására vonatkozó összes célnak és követelménynek egyértelműnek és aktívnak kell lennie a döntéshozatali folyamat megvalósításához.
  • Döntések meghozatala: Tekintse át és tárgyalja meg az összes szükséges döntést. Ennek a feladatnak az éles környezet beállítása előtt kell történnie.
  • Tekintse át a licencelési követelményeket: Győződjön meg arról, hogy ismeri a terméklicencelési és felhasználói licencelési követelményeket. Szükség esetén szerezze be és rendeljen hozzá további licenceket.
  • Felhasználói dokumentáció közzététele: Olyan információk közzététele, amelyekre a felhasználóknak válaszolniuk kell a kérdésekre és tisztázni az elvárásokat. Útmutatást, kommunikációt és képzést biztosít a felhasználóknak, hogy felkészültek legyenek.
  • DLP-szabályzatok létrehozása: A Microsoft Purview megfelelőségi portál hozza létre és állítsa be az egyes DLP-szabályzatokat. Tekintse meg a DLP-szabályok beállításával kapcsolatban korábban hozott összes döntést.
  • Kezdeti tesztelés: Végezzen el egy kezdeti tesztkészletet annak ellenőrzéséhez, hogy minden megfelelően van-e beállítva. Használjon tesztmódot néhány mintaadattal annak meghatározásához, hogy minden a várt módon viselkedik-e, miközben minimalizálja a felhasználókra gyakorolt hatást. Kezdetben használjon egy kis részhalmazt a Premium-munkaterületek közül. Érdemes lehet nem éles bérlőt használni, ha rendelkezik hozzáféréssel.
  • Felhasználói visszajelzések összegyűjtése: Visszajelzés beszerzése a folyamatról és a felhasználói élményről. Azonosítsa a keveredési területeket vagy a váratlan eredményeket bizalmas információtípusokkal és egyéb technikai problémákkal.
  • Folytassa az iteratív kiadásokat: Fokozatosan adjon hozzá további prémium szintű munkaterületeket a DLP-szabályzathoz, amíg azokat nem tartalmazza.
  • Figyelés, finomhangolás és beállítás: Erőforrásokat fektethet be a szabályzatok riasztásainak és naplóinak gyakori áttekintéséhez. Vizsgálja meg a hamis pozitív értékeket, és szükség esetén módosítsa a szabályzatokat.

Tipp.

Ezeket az ellenőrzőlistaelemeket a rendszer tervezési célokra összegzi. Az ellenőrzőlista elemeiről a cikk előző szakaszaiban olvashat bővebben.

A kezdeti bevezetésen túlmutató további lépésekért tekintse meg Felhőhöz készült Defender Power BI-alkalmazások című témakört.

Folyamatos figyelés

A megvalósítás befejezése után a DLP-szabályzatok monitorozására, kényszerítésére és módosítására kell irányítania a figyelmet a használatuk alapján.

A Power BI-rendszergazdáknak, valamint a biztonsági és megfelelőségi rendszergazdáknak időről időre együtt kell működniük. A Power BI-tartalmak esetében két célközönség áll rendelkezésre a monitorozáshoz.

  • Power BI-rendszergazdák: A Rendszer minden DLP-szabályegyeztetéskor rögzít egy bejegyzést a Power BI tevékenységnaplójában. A Power BI tevékenységnapló-bejegyzése rögzíti a DLP-esemény részleteit, beleértve a felhasználót, a dátumot és az időt, az elem nevét, a munkaterületet és a kapacitást. A szabályzattal kapcsolatos információkat is tartalmaz, például a szabályzat nevét, a szabály nevét, a súlyosságot és a megfeleltetett feltételt.
  • Biztonsági és megfelelőségi rendszergazdák: A szervezet biztonsági és megfelelőségi rendszergazdái általában Microsoft Purview-jelentéseket, riasztásokat és auditnaplókat használnak.

Figyelmeztetés

A DLP Power BI-szabályzatokhoz való monitorozása nem történik meg valós időben, mert a DLP-naplók és riasztások létrehozása időt vesz igénybe. Ha a cél a valós idejű kényszerítés, tekintse meg Felhőhöz készült Defender Power BI-alkalmazások (valós idejű szabályzatok) című témakört.

Ellenőrzőlista – A DLP Power BI-hoz való monitorozása során a legfontosabb döntések és műveletek a következők:

  • Szerepkörök és felelősségek ellenőrzése: Győződjön meg arról, hogy tisztában van azzal, hogy ki a felelős a műveletekért. A Power BI-rendszergazdák vagy a biztonsági rendszergazdák tájékoztatása és kommunikációja, ha közvetlenül ők lesznek felelősek a DLP monitorozásának egyes aspektusaiért.
  • A tevékenység ellenőrzésére szolgáló folyamat létrehozása vagy ellenőrzése: Győződjön meg arról, hogy a biztonsági és megfelelőségi rendszergazdák tisztában vannak a tevékenységkezelő rendszeres felülvizsgálatával kapcsolatos elvárásokkal.
  • Hozza létre vagy ellenőrizze a riasztások feloldásának folyamatát: Győződjön meg arról, hogy a biztonsági és megfelelőségi rendszergazdák rendelkeznek a DLP-riasztások vizsgálatára és feloldására a szabályzategyeztetés esetén.

Tipp.

A naplózással kapcsolatos további információkért lásd a Power BI információvédelmi és adatveszteség-megelőzési naplóját.

Kapcsolódó tartalom

A sorozat következő cikkében megismerheti a Felhőhöz készült Defender-alkalmazások Power BI-val való használatát.