Megosztás a következőn keresztül:

A Power BI implementálásának megtervezése: Felhőhöz készült Defender Power BI-alkalmazások

Feljegyzés

Ez a cikk a Power BI implementációtervezési cikksorozatának része. A sorozat a Power BI-élmény Microsoft Fabricen belüli implementálásának megtervezésére összpontosít. Tekintse meg a sorozat bemutatóját.

Ez a cikk az Felhőhöz készült Defender-alkalmazások implementálásával kapcsolatos tervezési tevékenységeket ismerteti a Power BI monitorozásával kapcsolatban. A cél a következő:

  • Power BI-rendszergazdák: A power BI felügyeletéért felelős rendszergazdák a szervezetben. A Power BI-rendszergazdáknak együtt kell működniük az információbiztonsággal és más releváns csapatokkal.
  • Kiválósági Központ, informatikai és BI-csapatok: Mások, akik a Power BI felügyeletéért felelősek a szervezetben. Előfordulhat, hogy együtt kell működniük a Power BI-rendszergazdákkal, az információbiztonsági csapatokkal és más releváns csapatokkal.

Fontos

A monitorozás és az adatveszteség-megelőzés (DLP) jelentős szervezetszintű vállalkozás. Hatóköre és hatása sokkal nagyobb, mint a Power BI. Az ilyen típusú kezdeményezések finanszírozást, rangsorolást és tervezést igényelnek. Várhatóan több, többfunkcionális csapatot is bevon a tervezésbe, a használatba és a felügyeletbe.

Javasoljuk, hogy a Power BI monitorozására szolgáló Felhőhöz készült Defender-alkalmazások fokozatos, szakaszos megközelítését kövesse. A bevezetési fázisok típusainak leírásáért tekintse meg a Power BI információvédelmet (bevezetési fázisok).

A monitorozás célja

Felhőhöz készült Microsoft Defender Apps (korábbi nevén Microsoft Felhőappbiztonság) egy Cloud Access Security Broker (CASB), amely támogatja a különböző üzembe helyezési módokat. Számos olyan funkcióval rendelkezik, amelyek jóval túlmutatnak a jelen cikk hatókörén. Egyes képességek valós idejűek, míg mások nem valós idejűek.

Íme néhány példa a valós idejű monitorozás implementálható.

  • Letöltések letiltása a Power BI szolgáltatásból: Létrehozhat egy munkamenet-szabályzatot bizonyos felhasználói tevékenységek letiltásához. Ha például egy felhasználó megpróbál letölteni egy jelentést a szigorúan korlátozott bizalmassági címkével ellátott Power BI szolgáltatás, a letöltési művelet valós időben blokkolható.
  • Nem felügyelt eszközletilthatja a Power BI szolgáltatáshoz való hozzáférést: Létrehozhat egy hozzáférési szabályzatot, amely megakadályozza, hogy a felhasználók hozzáférjenek bizonyos alkalmazásokhoz, kivéve, ha felügyelt eszközt használnak. Ha például egy felhasználó megpróbál hozzáférni a Power BI szolgáltatás a személyes mobiltelefonjáról, a művelet blokkolható.

Íme néhány példa más képességekre, amelyek nem valós idejűek.

  • Bizonyos tevékenységek észlelése és riasztása a Power BI szolgáltatásban: Létrehozhat egy tevékenységszabályzatot, amely riasztást hoz létre bizonyos típusú tevékenységek esetén. Ha például rendszergazdai tevékenység történik a Power BI szolgáltatás (amely azt jelzi, hogy egy bérlői beállítás módosult), e-mailes riasztást kaphat.
  • Speciális biztonsági tevékenységek figyelése: Megtekintheti és figyelheti a bejelentkezéseket és a biztonsági tevékenységeket, a rendellenességeket és a szabálysértéseket. Riasztások hozhatók létre olyan helyzetekben, mint a gyanús tevékenység, a váratlan helyek vagy egy új hely.
  • Felhasználói tevékenységek monitorozása: Megtekintheti és figyelheti a felhasználói tevékenységeket. Egy Power BI-rendszergazda például engedélyt kaphat a Power BI-tevékenységnapló megtekintésére a felhasználói bejelentkezés gyakorisága mellett Felhőhöz készült Defender-alkalmazásokban.
  • Szokatlan viselkedés észlelése és riasztása a Power BI szolgáltatásban: Beépített szabályzatok vannak az anomáliadetektáláshoz. Ha például egy felhasználó a szokásos mintáknál lényegesen gyakrabban tölt le vagy exportál tartalmat a Power BI szolgáltatás, e-mailes riasztást kaphat.
  • Nem kijelölt alkalmazások megkeresése: A szervezeten belül használt nem kijelölt alkalmazásokat is megtalálhatja. Előfordulhat például, hogy aggódik a külső fájlmegosztó rendszeren fájlokat (például Power BI Desktop-fájlokat vagy Excel-fájlokat) megosztó felhasználók miatt. Letilthatja a nem engedélyezett alkalmazások használatát, majd kapcsolatba léphet a felhasználókkal, hogy megtanítsa őket a másokkal való megosztás és együttműködés megfelelő módjaira.

Tipp.

A Felhőhöz készült Defender-alkalmazások portálja kényelmes hely a tevékenységek és riasztások megtekintésére anélkül, hogy szkriptet hoz létre az adatok kinyeréséhez és letöltéséhez. Ez az előny magában foglalja a Power BI-tevékenységnaplóból származó adatok megtekintését.

A Power BI egyike azon alkalmazásoknak és szolgáltatásoknak, amelyek integrálhatók Felhőhöz készült Defender-alkalmazásokkal. Ha már más célra használja a Felhőhöz készült Defender-alkalmazásokat, az a Power BI monitorozására is használható.

A Felhőhöz készült Defender-alkalmazásokban létrehozott szabályzatok A DLP egy formája. A Power BI adatveszteség-megelőzési cikke a Power BI-hoz készült DLP-szabályzatokat ismerteti, amelyek a Microsoft Purview megfelelőségi portál vannak beállítva. Javasoljuk, hogy a cikkben ismertetett képességekkel használja a Power BI DLP-szabályzatait. Bár elméletileg van átfedés, a képességek eltérőek.

Figyelemfelhívás

Ez a cikk a Power BI-tartalmak monitorozására és védelmére használható Felhőhöz készült Microsoft Defender-alkalmazások képességeire összpontosít. A jelen cikkben nem tárgyalt Felhőhöz készült Defender-alkalmazások számos egyéb funkcióval rendelkeznek. Mindenképpen működjön együtt más érdekelt felekkel és a rendszergazdákkal, hogy minden alkalmazáshoz és használati esethez jól működő döntéseket hozhassanak.

A Power BI-hoz készült Felhőhöz készült Defender-alkalmazások előfeltételei

Mostanra el kellett volna végeznie a Power BI adatveszteség-megelőzési cikkében leírt szervezeti szintű tervezési lépéseket. A folytatás előtt tisztáznia kell a következőt:

  • Jelenlegi állapot: Az Ön szervezet DLP-jelenlegi állapota. Tisztában kell lennie azzal, hogy a DLP milyen mértékben már használatban van, és ki a felelős a kezeléséért.
  • Célok és követelmények: A szervezetén belüli DLP megvalósításának stratégiai céljai. A célok és követelmények megismerése útmutatóként szolgál a megvalósítási erőfeszítésekhez.

Az információvédelem általában már a DLP implementálása előtt implementálva van. Ha a bizalmassági címkéket közzéteszik (a Power BI Információvédelem című cikkében leírtak szerint), az Felhőhöz készült Defender-alkalmazások bizonyos szabályzataiban használhatók.

Előfordulhat, hogy már implementálta a DLP-t a Power BI-hoz (a Power BI adatveszteség-megelőzési cikkében leírtak szerint). Ezek a DLP-képességek eltérnek a Microsoft Purview megfelelőségi portál kezelt képességekétől. A cikkben ismertetett összes DLP-funkciót a Felhőhöz készült Defender Alkalmazások portál kezeli.

Főbb döntések és műveletek

Néhány fontos döntést meg kell hoznia, mielőtt készen áll a szabályzatok beállítására az Felhőhöz készült Defender Appsben.

A Felhőhöz készült Defender-alkalmazásszabályzatokkal kapcsolatos döntéseknek közvetlenül támogatniuk kell a korábban azonosított adatok védelmének céljait és követelményeit.

Szabályzat típusa és tevékenységei

Figyelembe kell vennie, hogy mely felhasználói tevékenységeket szeretné figyelni, letiltani vagy szabályozni. Az Felhőhöz készült Defender-alkalmazások házirendtípusa a következőt befolyásolja:

  • Amit el tud érni.
  • Mely tevékenységek vehetők fel a konfigurációba.
  • Hogy a vezérlők valós időben történnek-e.

Valós idejű szabályzatok

A Felhőhöz készült Defender-alkalmazásokban létrehozott hozzáférési szabályzatok és munkamenet-szabályzatok lehetővé teszik a felhasználói munkamenetek valós idejű monitorozását, blokkolását vagy vezérlését.

A hozzáférési szabályzatok és a munkamenet-szabályzatok lehetővé teszik a következőket:

  • Programozott módon válaszolhat valós időben: Észlelheti, tájékoztathatja és letilthatja a bizalmas adatok kockázatos, véletlen vagy nem megfelelő megosztását. Ezek a műveletek a következőket teszik lehetővé:
    • A Power BI-bérlő általános biztonsági beállításának javítása automatizálással és információkkal.
    • Olyan elemzési használati esetek engedélyezése, amelyek bizalmas adatokat foglalnak magukban oly módon, hogy naplózhatók legyenek.
  • Környezetfüggő értesítések küldése a felhasználóknak: Ez a funkció a következő lehetőségeket teszi lehetővé:
    • Segítség a felhasználóknak a megfelelő döntések meghozatalában a normál munkafolyamat során.
    • Útmutató a felhasználóknak az adatbesorolási és védelmi szabályzat követéséhez anélkül, hogy ez hatással van a hatékonyságukra.

Valós idejű vezérlők biztosításához a hozzáférési szabályzatok és a munkamenet-szabályzatok a Microsoft Entra ID-val működnek, a feltételes hozzáférésű alkalmazások vezérlésének fordított proxyképességeire támaszkodva. Az alkalmazáson (ebben az esetben a Power BI szolgáltatás) áthaladó felhasználói kérések és válaszok helyett fordított proxyn (Felhőhöz készült Defender Alkalmazások) keresztül mennek keresztül.

Az átirányítás nem befolyásolja a felhasználói élményt. A Power BI szolgáltatás URL-címe azonban akkor változikhttps://app.powerbi.com.mcas.ms, ha beállította a Microsoft Entra-azonosítót a feltételes hozzáférésű alkalmazások Power BI-ban való vezérléséhez. Emellett a felhasználók értesítést kapnak, amikor bejelentkeznek a Power BI szolgáltatás, amely bejelenti, hogy az alkalmazást Felhőhöz készült Defender Apps figyeli.

Fontos

A hozzáférési szabályzatok és a munkamenet-szabályzatok valós időben működnek. Az Felhőhöz készült Defender-alkalmazások egyéb szabályzattípusai a riasztások rövid késleltetésével járnak. A legtöbb más típusú DLP és naplózás is késést tapasztal, beleértve a Power BI-hoz készült DLP-t és a Power BI tevékenységnaplóját.

Hozzáférési szabályzatok

Az Felhőhöz készült Defender Appsben létrehozott hozzáférési szabályzat szabályozza, hogy a felhasználó bejelentkezhet-e egy felhőalkalmazásba, például a Power BI szolgáltatás. A szigorúan szabályozott iparágakban tevékenykedő szervezetek hozzáférési szabályzatokkal fognak foglalkozni.

Íme néhány példa arra, hogyan tilthatja le a hozzáférési szabályzatokat a Power BI szolgáltatás való hozzáférés letiltásához.

  • Váratlan felhasználói: Letilthatja a hozzáférést egy olyan felhasználó számára, aki nem tagja egy adott biztonsági csoportnak. Ez a szabályzat például akkor lehet hasznos, ha egy fontos belső folyamattal rendelkezik, amely egy adott csoporton keresztül nyomon követi a jóváhagyott Power BI-felhasználókat.
  • Nem felügyelt eszköz: Letilthatja a szervezet által nem felügyelt személyes eszközök hozzáférését.
  • szükséges frissítések: Letilthatja az elavult böngészőt vagy operációs rendszert használó felhasználók hozzáférését.
  • Hely: Letilthatja a hozzáférést olyan helyeken, ahol nincsenek irodái vagy felhasználói, vagy ismeretlen IP-címről.

Tipp.

Ha olyan külső felhasználókkal rendelkezik, akik gyakran férnek hozzá a Power BI-bérlőhöz vagy az alkalmazottakhoz, az hatással lehet a hozzáférés-vezérlési szabályzatok meghatározására. Az ilyen típusú szabályzatokat általában az informatikai rendszer kezeli.

Munkamenet-szabályzatok

A munkamenet-szabályzatok akkor hasznosak, ha nem szeretné teljesen engedélyezni vagy letiltani a hozzáférést (ez a korábban ismertetett hozzáférési szabályzattal is elvégezhető). Pontosabban lehetővé teszi a hozzáférést a felhasználó számára, miközben figyeli vagy korlátozza, hogy mi történik aktívan a munkamenet során.

Íme néhány példa arra, hogyan használhat munkamenet-szabályzatokat a felhasználói munkamenetek figyelésére, letiltására vagy vezérlésére a Power BI szolgáltatás.

  • Letöltések letiltása: Letilthatja a letöltéseket és exportálásokat, ha egy adott bizalmassági címkét (például szigorúan korlátozott) rendel a Power BI szolgáltatás eleméhez.
  • Bejelentkezések monitorozása: Figyeli, ha egy felhasználó, aki megfelel bizonyos feltételeknek, bejelentkezik. A felhasználó például tagja lehet egy adott biztonsági csoportnak, vagy olyan személyes eszközt használ, amelyet nem a szervezet felügyel.

Tipp.

Egy adott bizalmassági címkéhez (például szigorúan korlátozott) hozzárendelt tartalom munkamenet-szabályzatának létrehozása (például a letöltések megakadályozása érdekében) az egyik leghatékonyabb használati eset a Power BI-jal való valós idejű munkamenet-vezérlőkhöz.

A fájlfeltöltéseket munkamenetszabályzatokkal is szabályozhatja. Általában azonban arra szeretné ösztönözni az önkiszolgáló BI-felhasználókat, hogy tartalmakat töltsenek fel a Power BI szolgáltatás (a Power BI Desktop-fájlok megosztása helyett). Ezért alaposan gondolja át a fájlfeltöltések blokkolását.

Ellenőrzőlista – A valós idejű szabályzatok Felhőhöz készült Defender-alkalmazásokban való tervezésekor a legfontosabb döntések és műveletek a következők:

  • Hozzáférésiletiltásának használati eseteinek azonosítása: A Power BI szolgáltatáshoz való hozzáférés letiltása esetén megfelelő forgatókönyvek listájának összeállítása.
  • Bejelentkezésimonitorozásának használati eseteinek azonosítása: A Power BI szolgáltatásba való bejelentkezések monitorozásának megfelelő forgatókönyvek listájának összeállítása.
  • A letöltések letiltására szolgáló használati esetek azonosítása: Határozza meg, hogy mikor kell letiltani a Power BI szolgáltatásból való letöltéseket. Határozza meg, hogy mely bizalmassági címkéket kell tartalmaznia.

Tevékenység-szabályzatok

Az Felhőhöz készült Defender-alkalmazások tevékenységszabályzatai nem működnek valós időben.

Beállíthat egy tevékenységszabályzatot a Power BI tevékenységnaplójában rögzített események ellenőrzéséhez. A szabályzat egyetlen tevékenységre is képes, vagy egyetlen felhasználó ismétlődő tevékenységeire is képes (ha egy adott tevékenység több mint egy meghatározott számú alkalommal fordul elő egy adott perc alatt).

A tevékenységszabályzatokkal különböző módokon figyelheti a Power BI szolgáltatás tevékenységeit. Íme néhány példa arra, hogy mit érhet el.

  • Jogosulatlan vagy váratlan felhasználó megtekinti a kiemelt tartalmakat: Az a felhasználó, aki nem tagja egy adott biztonsági csoportnak (vagy külső felhasználónak), megtekintett egy magas jogosultságú jelentést, amelyet az igazgatótanács biztosított.
  • Jogosulatlan vagy váratlan felhasználó frissíti a bérlői beállításokat: Az a felhasználó, aki nem tagja egy adott biztonsági csoportnak, például a Power BI-rendszergazdák csoport, frissítette a bérlői beállításokat a Power BI szolgáltatásban. Dönthet úgy is, hogy értesítést kap a bérlői beállítások frissítésekor.
  • Nagy számú törlési: A felhasználó több mint 20 munkaterületet vagy jelentést törölt egy 10 percnél rövidebb időszakban.
  • Nagy számú letöltés: Egy felhasználó több mint 30 jelentést töltött le egy öt percnél rövidebb időszakban.

Az ebben a szakaszban ismertetett tevékenységszabályzat-riasztásokat a Power BI-rendszergazdák általában a Power BI felügyeletének részeként kezelik. Ha riasztásokat állít be Felhőhöz készült Defender-alkalmazásokban, javasoljuk, hogy a szervezet számára jelentős kockázatot jelentő helyzetekre összpontosítson. Ennek az az oka, hogy minden riasztást egy rendszergazdának kell áttekintenie és bezárnia.

Figyelmeztetés

Mivel a Power BI tevékenységnapló-eseményei nem érhetők el valós időben, nem használhatók valós idejű monitorozásra vagy blokkolásra. A tevékenységnaplóban lévő műveleteket azonban használhatja a tevékenységszabályzatokban. Mielőtt túl messzire jut a tervezési folyamatba, mindenképpen működjön együtt az információbiztonsági csapattal, és ellenőrizze, hogy mi valósítható meg műszakilag.

Ellenőrzőlista – A tevékenységszabályzatok tervezésekor a legfontosabb döntések és műveletek a következők:

  • Tevékenységfigyelésihasználati eseteinek azonosítása: Állítson össze egy listát a Power BI tevékenységnaplójából, amely jelentős kockázatot jelent a szervezet számára. Annak meghatározása, hogy a kockázat egyetlen tevékenységhez vagy ismétlődő tevékenységhez kapcsolódik-e.
  • A Power BI-rendszergazdákkal való munka koordinálása: A Defender for Cloud Appsben figyelendő Power BI-tevékenységek ismertetése. Győződjön meg arról, hogy a különböző rendszergazdák nem duplikálást igényelnek.

Érintett felhasználók

A Power BI Felhőhöz készült Defender-alkalmazásokkal való integrálásának egyik kényszerítő oka, hogy valós idejű vezérlőket használhat, amikor a felhasználók használják a Power BI szolgáltatás. Az ilyen típusú integráció feltételes hozzáférésű alkalmazásvezérlést igényel a Microsoft Entra ID-ban.

Mielőtt beállítja a feltételes hozzáférésű alkalmazások vezérlését a Microsoft Entra-azonosítóban, meg kell fontolnia, hogy mely felhasználók lesznek benne. A rendszer általában minden felhasználót tartalmaz. Előfordulhat azonban, hogy bizonyos felhasználókat ki kell zárni.

Tipp.

A feltételes hozzáférési szabályzat beállításakor valószínű, hogy a Microsoft Entra rendszergazdája kizár bizonyos rendszergazdai fiókokat. Ez a módszer megakadályozza a rendszergazdák kizárását. Azt javasoljuk, hogy a kizárt fiókok a Szokásos Power BI-felhasználók helyett a Microsoft Entra rendszergazdái legyenek.

Az Felhőhöz készült Defender-alkalmazások bizonyos szabályzattípusai bizonyos felhasználókra és csoportokra vonatkozhatnak. Az ilyen típusú szabályzatok leggyakrabban minden felhasználóra érvényesek. Előfordulhat azonban, hogy olyan helyzet merül fel, amikor szándékosan ki kell zárnia bizonyos felhasználókat.

Ellenőrzőlista – Ha mérlegeli, hogy mely felhasználók érintettek, a legfontosabb döntések és műveletek a következők:

  • Fontolja meg, hogy mely felhasználók szerepelnek a: Ellenőrizze, hogy az összes felhasználó szerepel-e a Microsoft Entra feltételes hozzáférés alkalmazásvezérlési szabályzatában.
  • Határozza meg, hogy mely rendszergazdai fiókokat kell kizárni: Határozza meg, hogy mely rendszergazdai fiókokat kell szándékosan kizárni a Microsoft Entra feltételes hozzáférés alkalmazásvezérlési szabályzatából.
  • Annak meghatározása, hogy bizonyos Defender-szabályzatok a felhasználók részhalmazaira vonatkoznak-e: Érvényes használati esetekben fontolja meg, hogy azokat az összes vagy néhány felhasználóra alkalmazni kell-e (ha lehetséges).

Felhasználói üzenetkezelés

A használati esetek azonosítása után figyelembe kell vennie, hogy mi történjen, ha a szabályzatnak megfelelő felhasználói tevékenység történik.

Ha egy tevékenység valós időben le van tiltva, fontos, hogy személyre szabott üzenetet adjon meg a felhasználónak. Az üzenet akkor hasznos, ha további útmutatást és tudatosságot szeretne nyújtani a felhasználóknak a normál munkafolyamat során. Valószínűbb, hogy a felhasználók a következő esetekben fogják elolvasni és feldolgozni a felhasználói értesítéseket:

  • Konkrét: Az üzenetnek a szabályzathoz való korrelációja megkönnyíti a megértést.
  • Végrehajtható: Javaslatot tesz arra, hogy mit kell tennie, vagy hogyan találhat további információkat.

Az Felhőhöz készült Defender-alkalmazások bizonyos szabályzattípusai testre szabott üzenetekkel rendelkezhetnek. Íme két példa a felhasználói értesítésekre.

1. példa: Létrehozhat egy valós idejű munkamenet-szabályzatot, amely megakadályozza az összes exportálást és letöltést, ha a Power BI elem érzékenységi címkéje (például jelentés vagy szemantikai modell) Nagyon Korlátozott-ra van állítva. A Felhőhöz készült Defender Apps testreszabott blokküzenete így hangzik: A szigorúan korlátozott címkével rendelkező fájlok nem tölthetők le a Power BI szolgáltatás. Tekintse meg a tartalmat online a Power BI szolgáltatás. Kérdéseivel forduljon a Power BI támogatási csapatához.

2. példa: Meghatározhat egy valós idejű hozzáférési szabályzatot, amely megakadályozza, hogy a felhasználók bejelentkezhessenek a Power BI szolgáltatásba, ha nem a szervezet által felügyelt gépet használnak. A Felhőhöz készült Defender Apps testreszabott blokküzenete a következőt olvassa: Előfordulhat, hogy a Power BI szolgáltatás nem érhető el személyes eszközön. Használja a szervezet által biztosított eszközt. Kérdéseivel forduljon a Power BI támogatási csapatához.

Ellenőrzőlista – Az Felhőhöz készült Defender-alkalmazások felhasználói üzeneteinek figyelembe vételekor a legfontosabb döntések és műveletek a következők:

  • Döntse el, hogy mikor van szükség testreszabott blokküzenetre: Minden létrehozni kívánt házirend esetében határozza meg, hogy szükség lesz-e testre szabott blokküzenetre.
  • Testreszabott blokküzenetek létrehozása: Minden szabályzat esetében határozza meg, hogy milyen üzenet jelenjen meg a felhasználók számára. Tervezze meg, hogy az egyes üzeneteket a szabályzathoz kapcsolja, hogy az konkrét és végrehajtható legyen.

Rendszergazdai riasztás

A riasztás akkor hasznos, ha tudatni szeretné a biztonsági és megfelelőségi rendszergazdákkal, hogy szabályzatmegsértés történt. Amikor szabályzatokat határoz meg az Felhőhöz készült Defender-alkalmazásokban, fontolja meg, hogy létre kell-e hozni riasztásokat. További információ: riasztástípusok a Felhőhöz készült Defender-alkalmazásokban.

Igény szerint beállíthat egy riasztást, amely e-mailt küld több rendszergazdának. Ha e-mailes riasztásra van szükség, javasoljuk, hogy használjon levelezésre képes biztonsági csoportot. Használhat például egy Biztonsági és megfelelőségi rendszergazdai riasztás nevű csoportot.

Magas prioritású helyzetek esetén sms-ben is küldhet riasztásokat. A Power Automate integrálásával egyéni riasztás-automatizálást és munkafolyamatokat is létrehozhat.

Az egyes riasztásokat beállíthatja alacsony, közepes vagy magas súlyossággal. A súlyossági szint akkor hasznos, ha rangsorolja a nyitott riasztások felülvizsgálatát. A rendszergazdáknak minden egyes riasztást felül kell vizsgálniuk és végre kell hajtanak. A riasztások valódi pozitívként, hamis pozitívként vagy jóindulatúként zárhatók be.

Íme két példa a rendszergazdai riasztásokra.

1. példa: Létrehozhat egy valós idejű munkamenet-szabályzatot, amely megakadályozza az összes exportálást és letöltést, ha a Power BI elem érzékenységi címkéje (például jelentés vagy szemantikai modell) Nagyon Korlátozott-ra van állítva. Hasznos, testre szabott blokküzenetet tartalmaz a felhasználó számára. Ebben a helyzetben azonban nincs szükség riasztás létrehozására.

2. példa: Meghatározhat egy tevékenységszabályzatot, amely nyomon követi, hogy egy külső felhasználó megtekintett-e egy, az igazgatótanács számára biztosított, kiemelten kiemelt jelentést. Magas súlyosságú riasztás állítható be, hogy a tevékenység azonnal kivizsgálva legyen.

Tipp.

A 2. példa az információvédelem és a biztonság közötti különbségeket emeli ki. A tevékenységszabályzat segíthet azonosítani azokat a forgatókönyveket, amelyekben az önkiszolgáló BI-felhasználók rendelkeznek engedéllyel a tartalom biztonságának kezelésére. Ezek a felhasználók azonban olyan műveleteket hajthatnak végre, amelyeket a szervezeti szabályzat nem fogad el. Javasoljuk, hogy ezeket a szabályzattípusokat csak bizonyos körülmények között állítsa be, ha az információk különösen érzékenyek.

Ellenőrzőlista – Ha Felhőhöz készült Defender-alkalmazások rendszergazdáinak riasztását fontolgatja, a legfontosabb döntések és műveletek a következők:

  • Döntse el, hogy mikor van szükség riasztásokra: Minden létrehozni kívánt szabályzat esetében döntse el, hogy mely helyzetek indokolják a riasztások használatát.
  • Szerepkörök és felelősségek tisztázása: Határozza meg a riasztások létrehozásakor végrehajtandó elvárásokat és műveletet.
  • Határozza meg, hogy ki kapja meg a riasztásokat: Döntse el, hogy mely biztonsági és megfelelőségi rendszergazdák fogják áttekinteni a riasztásokat, és műveletet hajtanak végre. Ellenőrizze, hogy teljesülnek-e az engedélyek és a licencelési követelmények minden olyan rendszergazda esetében, aki Felhőhöz készült Defender-alkalmazásokat fog használni.
  • Hozzon létre egy új csoport: Szükség esetén hozzon létre egy új, e-mail-értesítésekhez használható biztonsági csoportot.

Szabályzat elnevezési konvenciója

Mielőtt szabályzatokat hoz létre az Felhőhöz készült Defender-alkalmazásokban, érdemes először létrehozni egy elnevezési konvenciót. Az elnevezési konvenciók akkor hasznosak, ha számos típusú alkalmazáshoz számos szabályzat létezik. Akkor is hasznos, ha a Power BI-rendszergazdák részt vesznek a monitorozásban.

Tipp.

Fontolja meg, hogy Felhőhöz készült Defender-alkalmazások számára hozzáférést biztosítson a Power BI-rendszergazdáknak. Használja a rendszergazdai szerepkört, amely lehetővé teszi a tevékenységnapló, a bejelentkezési események és a Power BI szolgáltatás kapcsolódó események megtekintését.

Fontolja meg az összetevők helyőrzőit tartalmazó elnevezési konvenciós sablont: <Alkalmazás> – <Leírás> – <Művelet> – <Szabályzat típusa>

Íme néhány elnevezési konvenciós példa.

Szabályzat típusa Valós idejű Szabályzat neve
Munkamenet-szabályzat Igen Power BI – Szigorúan korlátozott címke – Letöltések letiltása – RT
Hozzáférési szabályzat Igen Minden – Nem felügyelt eszköz – Hozzáférés letiltása – RT
Tevékenység-házirend Nem Power BI – Felügyeleti tevékenység
Tevékenység-házirend Nem Power BI – Külső felhasználók nézetei vezetői jelentés

Az elnevezési konvenció összetevői a következők:

  • Alkalmazás: Az alkalmazás neve. A Power BI előtagja segít az összes Power BI-specifikus szabályzat csoportosításában rendezéskor. Egyes szabályzatok azonban nem csak a Power BI szolgáltatás, hanem az összes felhőalkalmazásra érvényesek lesznek.
  • Leírás: A név leírási része a legnagyobb mértékben változik. Tartalmazhat bizalmassági címkéket, vagy a nyomon követett tevékenység típusát.
  • Művelet: (Nem kötelező) A példákban egy munkamenet-házirend Letöltések letiltása művelettel rendelkezik. Egy művelet általában csak valós idejű szabályzat esetén szükséges.
  • házirend típusa: (Nem kötelező) A példában a RT utótag azt jelzi, hogy valós idejű szabályzat. Annak megtervezése, hogy valós idejű-e vagy sem, segít az elvárások kezelésében.

Vannak más attribútumok is, amelyeket nem kell belefoglalni a szabályzat nevére. Ezek az attribútumok közé tartozik a súlyossági szint (alacsony, közepes vagy magas) és a kategória (például fenyegetésészlelés vagy DLP). Mindkét attribútum szűrhető a riasztások oldalán.

Tipp.

A szabályzatokat átnevezheti az Felhőhöz készült Defender-alkalmazásokban. A beépített anomáliadetektálási szabályzatok azonban nem nevezhető át. A Gyanús Power BI-jelentésmegosztás például egy beépített szabályzat, amely nem nevezhető át.

Ellenőrzőlista – A szabályzat elnevezési konvenciójának figyelembe vételekor a legfontosabb döntések és műveletek a következők:

  • Válasszon elnevezési konvenciót: Az első irányelvekkel hozzon létre konzisztens és könnyen érthető elnevezési konvenciót. Koncentráljon egy konzisztens előtag és utótag használatára.
  • Az elnevezési konvenció dokumentálása: Adja meg a szabályzat elnevezési konvencióval kapcsolatos referenciadokumentációt. Győződjön meg arról, hogy a rendszergazdák tisztában vannak az elnevezési konvencióval.
  • Meglévő szabályzatok frissítése: Frissítse a meglévő Defender-házirendeket, hogy megfeleljenek az új elnevezési konvenciónak.

Licencelési követelmények

A Power BI-bérlők figyeléséhez meghatározott licenceknek kell lenniük. A rendszergazdáknak az alábbi licencek egyikével kell rendelkezniük.

  • Microsoft Defender for Cloud Apps: A Defender for Cloud Apps funkcióit biztosítja az összes támogatott alkalmazáshoz (beleértve a Power BI szolgáltatást is).
  • Office 365 Cloud App Security: A Defender for Cloud Apps funkcióit biztosítja az Office 365 E5 csomag részét képező Office 365-alkalmazásokhoz (beleértve a Power BI szolgáltatást is).

Továbbá, ha a felhasználóknak valós idejű hozzáférési szabályzatokat vagy munkamenet-szabályzatokat kell használniuk Felhőhöz készült Defender Appsben, microsoft Entra ID P1 licencre lesz szükségük.

Tipp.

Ha pontosításra van szüksége a licencelési követelményekkel kapcsolatban, forduljon a Microsoft-fiók csapatához.

Ellenőrzőlista – A licencelési követelmények értékelésekor a legfontosabb döntések és műveletek a következők:

  • Terméklicencelési követelmények áttekintése: Győződjön meg arról, hogy áttekintette a Defender for Cloud Apps használatának összes licencfeltételét.
  • További licencek beszerzése: Ha lehetséges, vásároljon további licenceket a használni kívánt funkciók feloldásához.
  • Licencek hozzárendelése: Rendeljen licencet minden olyan biztonsági és megfelelőségi rendszergazdához, aki a Defender for Cloud Appst fogja használni.

Felhasználói dokumentáció és betanítás

A Felhőhöz készült Defender-alkalmazások bevezetése előtt javasoljuk, hogy hozzon létre és tegye közzé a felhasználói dokumentációt. A központosított portálon található SharePoint-lapok vagy wikilapok jól működnek, mert könnyen karbantarthatók lesznek. Egy megosztott tárba vagy Teams-webhelyre feltöltött dokumentum is jó megoldás.

A dokumentáció célja a zökkenőmentes felhasználói élmény elérése. A felhasználói dokumentáció előkészítése segít abban is, hogy mindent átgondoljon.

Adjon meg információkat arról, hogy kivel lépjen kapcsolatba, ha a felhasználók kérdései vagy technikai problémái vannak.

A gyakori kérdések és példák különösen hasznosak a felhasználói dokumentációban.

Ellenőrzőlista – A felhasználói dokumentáció és a betanítás előkészítésekor a legfontosabb döntések és műveletek a következők:

  • Tartalomkészítők és -felhasználók dokumentációjának frissítése: Frissítse a gyakori kérdéseket és példákat, hogy releváns információkat tartalmazzon a felhasználók által esetleg előforduló szabályzatokról.
  • Tegye közzé, hogyan kérhet segítséget: Győződjön meg arról, hogy a felhasználók tudják, hogyan kérhetnek segítséget, ha valami váratlant tapasztalnak, vagy ha nem értik őket.
  • Annak meghatározása, hogy szükség van-e konkrét betanításra: Hozza létre vagy frissítse a felhasználói betanítást, hogy hasznos információkat tartalmazzon, különösen akkor, ha erre jogszabályi követelmények vonatkoznak.

Felhasználói támogatás

Fontos ellenőrizni, hogy ki lesz felelős a felhasználói támogatásért. Gyakori, hogy az Felhőhöz készült Defender-alkalmazások a Power BI monitorozására való használatát egy központosított informatikai ügyfélszolgálat végzi.

Előfordulhat, hogy létre kell hoznia a támogatási szolgálat dokumentációját, és el kell végeznie néhány tudásátadási munkamenetet, hogy a segélyszolgálat készen álljon a támogatási kérelmek megválaszolására.

Ellenőrzőlista – A felhasználói támogatási funkció előkészítésekor a legfontosabb döntések és műveletek a következők:

  • Azonosítsa, hogy ki nyújt felhasználói támogatást: Szerepkörök és felelősségek meghatározásakor ügyeljen arra, hogy a felhasználók hogyan kapnak segítséget az esetlegesen felmerülő problémákhoz.
  • Győződjön meg arról, hogy a felhasználói támogatási csapat készen áll: Hozzon létre dokumentációt, és végezzen tudásátadási munkameneteket, hogy az ügyfélszolgálat készen álljon a folyamatok támogatására.
  • Kommunikálj a csapatok között: Beszéld meg a felhasználók által látott esetleges üzeneteket és a nyílt riasztások feloldásának folyamatát a Power BI-rendszergazdákkal és a Kiválósági központtal. Győződjön meg arról, hogy minden érintett felkészült a Power BI-felhasználók esetleges kérdéseire.

Implementáció összefoglalása

A döntések meghozatala és a bevezetési terv előkészítése után ideje megkezdeni a végrehajtást.

Ha valós idejű szabályzatokat (munkamenet-szabályzatokat vagy hozzáférési szabályzatokat) kíván használni, az első feladata a Microsoft Entra feltételes hozzáférésű alkalmazások vezérlésének beállítása. A Power BI szolgáltatás katalógusalkalmazásként kell beállítania, amelyet Felhőhöz készült Defender Apps vezérel.

A Microsoft Entra feltételes hozzáférésű alkalmazásvezérlő beállítása és tesztelése után szabályzatokat hozhat létre Felhőhöz készült Defender-alkalmazásokban.

Fontos

Javasoljuk, hogy először néhány tesztfelhasználónak mutassa be ezt a funkciót. Van egy csak monitorozási mód is, amely hasznos lehet ennek a funkciónak a rendezett bevezetésében.

Az alábbi ellenőrzőlista a teljes körű megvalósítás lépéseinek összesített listáját tartalmazza. A lépések közül sok más részletet is tartalmaz, amelyekről a cikk korábbi szakaszaiban olvashat.

Ellenőrzőlista – Az Felhőhöz készült Defender-alkalmazások Power BI-beli implementálásakor a legfontosabb döntések és műveletek a következők:

  • Ellenőrizze az aktuális állapotot és célokat: Győződjön meg arról, hogy a Power BI-ban való használathoz a DLP aktuális állapota egyértelmű. A DLP megvalósítására vonatkozó összes célnak és követelménynek egyértelműnek és aktívnak kell lennie a döntéshozatali folyamat megvalósításához.
  • Végezze el a döntéshozatali folyamatot: Tekintse át és tárgyalja meg az összes szükséges döntést. Ennek a feladatnak az éles környezet beállítása előtt kell történnie.
  • Licencelési követelmények áttekintése: Győződjön meg arról, hogy tisztában van a terméklicenceléssel és a felhasználói licencelési követelményekkel. Szükség esetén szerezze be és rendeljen hozzá további licenceket.
  • Felhasználói dokumentáció közzététele: Tegye közzé azokat az információkat, amelyekre a felhasználóknak válaszolniuk kell a kérdésekre, és tisztázni kell az elvárásokat. Útmutatást, kommunikációt és képzést biztosít a felhasználóknak, hogy felkészültek legyenek.
  • Microsoft Entra feltételes hozzáférési szabályzat létrehozása: Feltételes hozzáférési szabályzat létrehozása a Microsoft Entra-azonosítóban a Power BI szolgáltatás monitorozásának valós idejű vezérlőinek engedélyezéséhez. Először engedélyezze a Microsoft Entra feltételes hozzáférési szabályzatát néhány tesztfelhasználó számára.
  • Power BI beállítása csatlakoztatott alkalmazásként a Defender for Cloud Appsben: Adja hozzá vagy ellenőrizze, hogy a Power BI csatlakoztatott alkalmazásként jelenik-e meg a Defender for Cloud Appsben a feltételes hozzáférésű alkalmazások vezérléséhez.
  • Kezdeti tesztelési: Jelentkezzen be a Power BI szolgáltatásba a tesztfelhasználók egyikeként. Ellenőrizze, hogy működik-e a hozzáférés. Azt is ellenőrizze, hogy a megjelenő üzenet tájékoztatja-e arról, hogy a Power BI szolgáltatás Felhőhöz készült Defender Apps figyeli.
  • Valós idejű szabályzat létrehozása és tesztelése: A már lefordított használati esetek használatával hozzon létre hozzáférési szabályzatot vagy munkamenet-szabályzatot a Defender for Cloud Appsben.
  • Kezdeti tesztelési: Tesztfelhasználóként hajtsa végre a valós idejű szabályzatot aktiváló műveletet. Ellenőrizze, hogy a művelet le van-e tiltva (ha szükséges), és hogy megjelennek-e a várt riasztási üzenetek.
  • Felhasználói visszajelzések összegyűjtése: Visszajelzés beszerzése a folyamatról és a felhasználói élményről. Azonosítsa a keveredési területeket, a bizalmas információtípusokkal kapcsolatos váratlan eredményeket és egyéb technikai problémákat.
  • Iteratív kiadások folytatása: Fokozatosan adjon hozzá további szabályzatokat a Defender for Cloud Appsben, amíg az összes használati esetet meg nem oldja.
  • Tekintse át a beépített szabályzatokat: Keresse meg a beépített anomáliadetektálási szabályzatokat a Defender for Cloud Appsben (amelyek nevében a Power BI szerepel). Szükség esetén frissítse a beépített szabályzatok riasztási beállításait.
  • Haladjon tovább egy szélesebb körű bevezetés felé: Folytassa a munkát az iteratív bevezetési tervvel. Frissítse a Microsoft Entra feltételes hozzáférési szabályzatát, hogy szükség szerint a felhasználók szélesebb körére vonatkozzanak. Az Felhőhöz készült Defender-alkalmazásokban lévő egyes szabályzatok frissítése a felhasználók szélesebb körére való alkalmazás érdekében, adott esetben.
  • Figyelje, hangolja és állítsa be a: Fektessen be erőforrásokat a szabályzati összepasszolási riasztások és naplók gyakori áttekintéséhez. Vizsgálja meg a hamis pozitívumokat, és szükség esetén módosítsa a szabályzatokat.

Tipp.

Ezeket az ellenőrzőlistaelemeket a rendszer tervezési célokra összegzi. Az ellenőrzőlista elemeiről a cikk előző szakaszaiban olvashat bővebben.

A Power BI katalógusalkalmazásként való üzembe helyezéséről a Felhőhöz készült Defender Appsben a katalógusalkalmazások üzembe helyezésének lépéseiben talál további információt.

Folyamatos figyelés

A megvalósítás befejezése után a figyelésre, kényszerítésre és Felhőhöz készült Defender alkalmazásszabályzatok használatára kell irányítania a figyelmet.

A Power BI-rendszergazdáknak, valamint a biztonsági és megfelelőségi rendszergazdáknak időről időre együtt kell működniük. A Power BI-tartalmak esetében két célközönség áll rendelkezésre a monitorozáshoz.

  • Power BI-rendszergazdák: A Defender for Cloud Apps által létrehozott riasztások mellett a Power BI tevékenységnaplóból származó tevékenységek is megjelennek a Defender for Cloud Apps portálon.
  • biztonsági és megfelelőségi rendszergazdák: A szervezet biztonsági és megfelelőségi rendszergazdái általában a Defender for Cloud Apps-riasztásokat használják.

A Power BI-rendszergazdák korlátozott nézetet biztosíthatnak a Felhőhöz készült Defender-alkalmazásokban. Hatókörrel rendelkező szerepkörrel jeleníti meg a tevékenységnaplót, a bejelentkezési eseményeket és a Power BI szolgáltatás kapcsolódó eseményeket. Ez a funkció kényelmes a Power BI-rendszergazdák számára.

Ellenőrzőlista – Az Felhőhöz készült Defender-alkalmazások monitorozása során a legfontosabb döntések és műveletek a következők:

  • Szerepkörök és felelősségek ellenőrzése: Győződjön meg arról, hogy egyértelmű, hogy ki a felelős a műveletekért. Tájékoztassa és kommunikáljon a Power BI-rendszergazdákkal, ha ők lesznek a felelősek a monitorozás bármely aspektusáért.
  • A Power BI-rendszergazdák hozzáférésének kezelése: A Power BI-rendszergazdák felvétele a hatókörbe tartozó rendszergazdai szerepkörbe a Cloud Apps Defenderben. Kommunikáljon velük, hogy tisztában legyenek azzal, mit tehetnek ezekkel a további információkkal.
  • A tevékenység-ellenőrzésére szolgáló folyamat létrehozása vagy ellenőrzése: Győződjön meg arról, hogy a biztonsági és megfelelőségi rendszergazdák tisztában vannak a tevékenységkezelő rendszeres felülvizsgálatával kapcsolatos elvárásokkal.
  • Hozza létre vagy ellenőrizze a riasztások feloldására vonatkozó folyamatot: Győződjön meg arról, hogy a biztonsági és megfelelőségi rendszergazdák rendelkeznek a nyitott riasztások kivizsgálására és feloldására szolgáló folyamatokkal.

Kapcsolódó tartalom

A sorozat következő cikkében megismerheti a Power BI információvédelmi és adatveszteség-megelőzési naplózását.

  • Last updated on