Share via

A Power BI implementálásának megtervezése: Felhőhöz készült Defender Power BI-alkalmazások

  • Cikk

Feljegyzés

Ez a cikk a Power BI implementációtervezési cikksorozatának része. Ez a sorozat elsősorban a Microsoft Fabricen belüli Power BI-számítási feladatokra összpontosít. A sorozat bemutatása: Power BI implementációtervezés.

Ez a cikk az Felhőhöz készült Defender-alkalmazások implementálásával kapcsolatos tervezési tevékenységeket ismerteti a Power BI monitorozásával kapcsolatban. A cél a következő:

  • Power BI-rendszergazdák: Azok a rendszergazdák, akik a Power BI felügyeletéért felelősek a szervezetben. A Power BI-rendszergazdáknak együtt kell működniük az információbiztonsággal és más releváns csapatokkal.
  • Kiválósági központ, informatikai és BI-csapatok: Mások, akik a Power BI felügyeletéért felelősek a szervezetben. Előfordulhat, hogy együtt kell működniük a Power BI-rendszergazdákkal, az információbiztonsági csapatokkal és más releváns csapatokkal.

Fontos

A monitorozás és az adatveszteség-megelőzés (DLP) jelentős szervezetszintű vállalkozás. Hatóköre és hatása sokkal nagyobb, mint a Power BI. Az ilyen típusú kezdeményezések finanszírozást, rangsorolást és tervezést igényelnek. Várhatóan több, többfunkcionális csapatot is bevon a tervezésbe, a használatba és a felügyeletbe.

Javasoljuk, hogy a Power BI monitorozására szolgáló Felhőhöz készült Defender-alkalmazások fokozatos, szakaszos megközelítését kövesse. A bevezetési fázisok típusainak leírásáért tekintse meg a Power BI információvédelmet (bevezetési fázisok).

A monitorozás célja

Felhőhöz készült Microsoft Defender Apps (korábbi nevén Microsoft Felhőappbiztonság) egy Cloud Access Security Broker (CASB), amely támogatja a különböző üzembe helyezési módokat. Számos olyan funkcióval rendelkezik, amelyek jóval túlmutatnak a jelen cikk hatókörén. Egyes képességek valós idejűek, míg mások nem valós idejűek.

Íme néhány példa a valós idejű monitorozás implementálható.

  • Letöltések letiltása a Power BI szolgáltatás: Létrehozhat egy munkamenet-szabályzatot bizonyos felhasználói tevékenységek letiltásához. Ha például egy felhasználó megpróbál letölteni egy jelentést a szigorúan korlátozott bizalmassági címkével ellátott Power BI szolgáltatás, a letöltési művelet valós időben blokkolható.
  • Nem felügyelt eszköz letilthatja a Power BI szolgáltatás való hozzáférést: Létrehozhat egy hozzáférési szabályzatot, amely megakadályozza, hogy a felhasználók hozzáférjenek bizonyos alkalmazásokhoz, kivéve, ha felügyelt eszközt használnak. Ha például egy felhasználó megpróbál hozzáférni a Power BI szolgáltatás a személyes mobiltelefonjáról, a művelet blokkolható.

Íme néhány példa más képességekre, amelyek nem valós idejűek.

  • Bizonyos tevékenységek észlelése és riasztása a Power BI szolgáltatás: Létrehozhat egy tevékenységszabályzatot, amely riasztást hoz létre bizonyos típusú tevékenységek esetén. Ha például rendszergazdai tevékenység történik a Power BI szolgáltatás (amely azt jelzi, hogy egy bérlői beállítás módosult), e-mailes riasztást kaphat.
  • Speciális biztonsági tevékenységek figyelése: Megtekintheti és figyelheti a bejelentkezéseket és a biztonsági tevékenységeket, a rendellenességeket és a szabálysértéseket. Riasztások hozhatók létre olyan helyzetekben, mint a gyanús tevékenység, a váratlan helyek vagy egy új hely.
  • Felhasználói tevékenységek figyelése: Megtekintheti és figyelheti a felhasználói tevékenységeket. Egy Power BI-rendszergazda például engedélyt kaphat a Power BI-tevékenységnapló megtekintésére a felhasználói bejelentkezés gyakorisága mellett Felhőhöz készült Defender-alkalmazásokban.
  • Szokatlan viselkedés észlelése és riasztása a Power BI szolgáltatás: Beépített szabályzatok vannak az anomáliadetektáláshoz. Ha például egy felhasználó a szokásos mintáknál lényegesen gyakrabban tölt le vagy exportál tartalmat a Power BI szolgáltatás, e-mailes riasztást kaphat.
  • Nem kijelölt alkalmazások keresése: A szervezeten belül használatlan alkalmazásokat találhat. Előfordulhat például, hogy aggódik a külső fájlmegosztó rendszeren fájlokat (például Power BI Desktop-fájlokat vagy Excel-fájlokat) megosztó felhasználók miatt. Letilthatja a nem engedélyezett alkalmazások használatát, majd kapcsolatba léphet a felhasználókkal, hogy megtanítsa őket a másokkal való megosztás és együttműködés megfelelő módjaira.

Tipp.

A Felhőhöz készült Defender-alkalmazások portálja kényelmes hely a tevékenységek és riasztások megtekintésére anélkül, hogy szkriptet hoz létre az adatok kinyeréséhez és letöltéséhez. Ez az előny magában foglalja a Power BI-tevékenységnaplóból származó adatok megtekintését.

A Power BI egyike azon alkalmazásoknak és szolgáltatásoknak, amelyek integrálhatók Felhőhöz készült Defender-alkalmazásokkal. Ha már más célra használja a Felhőhöz készült Defender-alkalmazásokat, az a Power BI monitorozására is használható.

A Felhőhöz készült Defender-alkalmazásokban létrehozott szabályzatok A DLP egy formája. A Power BI adatveszteség-megelőzési cikke a Power BI-hoz készült DLP-szabályzatokat ismerteti, amelyek a Microsoft Purview megfelelőségi portál vannak beállítva. Javasoljuk, hogy a cikkben ismertetett képességekkel használja a Power BI DLP-szabályzatait. Bár elméletileg van átfedés, a képességek eltérőek.

Figyelemfelhívás

Ez a cikk a Power BI-tartalmak monitorozására és védelmére használható Felhőhöz készült Microsoft Defender-alkalmazások képességeire összpontosít. A jelen cikkben nem tárgyalt Felhőhöz készült Defender-alkalmazások számos egyéb funkcióval rendelkeznek. Mindenképpen működjön együtt más érdekelt felekkel és a rendszergazdákkal, hogy minden alkalmazáshoz és használati esethez jól működő döntéseket hozhassanak.

A Power BI-hoz készült Felhőhöz készült Defender-alkalmazások előfeltételei

Mostanra el kellett volna végeznie a Power BI adatveszteség-megelőzési cikkében leírt szervezeti szintű tervezési lépéseket. A folytatás előtt tisztáznia kell a következőt:

Az információvédelem általában már a DLP implementálása előtt implementálva van. Ha a bizalmassági címkéket közzéteszik (a Power BI Információvédelem című cikkében leírtak szerint), az Felhőhöz készült Defender-alkalmazások bizonyos szabályzataiban használhatók.

Előfordulhat, hogy már implementálta a DLP-t a Power BI-hoz (a Power BI adatveszteség-megelőzési cikkében leírtak szerint). Ezek a DLP-képességek eltérnek a Microsoft Purview megfelelőségi portál kezelt képességekétől. A cikkben ismertetett összes DLP-funkciót a Felhőhöz készült Defender Alkalmazások portál kezeli.

Főbb döntések és műveletek

Néhány fontos döntést meg kell hoznia, mielőtt készen áll a szabályzatok beállítására az Felhőhöz készült Defender Appsben.

A Felhőhöz készült Defender-alkalmazásszabályzatokkal kapcsolatos döntéseknek közvetlenül támogatniuk kell a korábban azonosított adatok védelmének céljait és követelményeit.

Szabályzat típusa és tevékenységei

Figyelembe kell vennie, hogy mely felhasználói tevékenységeket szeretné figyelni, letiltani vagy szabályozni. Az Felhőhöz készült Defender-alkalmazások házirendtípusa a következőt befolyásolja:

  • Amit el tud érni.
  • Mely tevékenységek vehetők fel a konfigurációba.
  • Hogy a vezérlők valós időben történnek-e.

Valós idejű szabályzatok

A Felhőhöz készült Defender-alkalmazásokban létrehozott hozzáférési szabályzatok és munkamenet-szabályzatok lehetővé teszik a felhasználói munkamenetek valós idejű monitorozását, blokkolását vagy vezérlését.

A hozzáférési szabályzatok és a munkamenet-szabályzatok lehetővé teszik a következőket:

  • Programozott válasz valós időben: Bizalmas adatok kockázatos, véletlen vagy nem megfelelő megosztásának észlelése, tájékoztatása és letiltása. Ezek a műveletek a következőket teszik lehetővé:
    • A Power BI-bérlő általános biztonsági beállításának javítása automatizálással és információkkal.
    • Olyan elemzési használati esetek engedélyezése, amelyek bizalmas adatokat foglalnak magukban oly módon, hogy naplózhatók legyenek.
  • Környezetfüggő értesítések küldése a felhasználóknak: Ez a funkció lehetővé teszi a következő lehetőségeket:
    • Segítség a felhasználóknak a megfelelő döntések meghozatalában a normál munkafolyamat során.
    • Útmutató a felhasználóknak az adatbesorolási és védelmi szabályzat követéséhez anélkül, hogy ez hatással van a hatékonyságukra.

A valós idejű vezérlők biztosításához a hozzáférési szabályzatok és a munkamenet-szabályzatok a Microsoft Entra-azonosítóval (korábbi nevén Azure Active Directory) működnek, a feltételes hozzáférésű alkalmazások vezérlésének fordított proxyképességeire támaszkodva. Az alkalmazáson (ebben az esetben a Power BI szolgáltatás) áthaladó felhasználói kérések és válaszok helyett fordított proxyn (Felhőhöz készült Defender Alkalmazások) keresztül mennek keresztül.

Az átirányítás nem befolyásolja a felhasználói élményt. A Power BI szolgáltatás URL-címe azonban akkor változikhttps://app.powerbi.com.mcas.ms, ha beállította a Microsoft Entra-azonosítót a feltételes hozzáférésű alkalmazások Power BI-ban való vezérléséhez. Emellett a felhasználók értesítést kapnak, amikor bejelentkeznek a Power BI szolgáltatás, amely bejelenti, hogy az alkalmazást Felhőhöz készült Defender Apps figyeli.

Fontos

A hozzáférési szabályzatok és a munkamenet-szabályzatok valós időben működnek. Az Felhőhöz készült Defender-alkalmazások egyéb szabályzattípusai a riasztások rövid késleltetésével járnak. A legtöbb más típusú DLP és naplózás is késést tapasztal, beleértve a Power BI-hoz készült DLP-t és a Power BI tevékenységnaplóját.

Hozzáférési szabályzatok

Az Felhőhöz készült Defender Appsben létrehozott hozzáférési szabályzat szabályozza, hogy a felhasználó bejelentkezhet-e egy felhőalkalmazásba, például a Power BI szolgáltatás. A szigorúan szabályozott iparágakban tevékenykedő szervezetek hozzáférési szabályzatokkal fognak foglalkozni.

Íme néhány példa arra, hogyan tilthatja le a hozzáférési szabályzatokat a Power BI szolgáltatás való hozzáférés letiltásához.

  • Váratlan felhasználó: Letilthatja a hozzáférést egy olyan felhasználó számára, aki nem tagja egy adott biztonsági csoportnak. Ez a szabályzat például akkor lehet hasznos, ha egy fontos belső folyamattal rendelkezik, amely egy adott csoporton keresztül nyomon követi a jóváhagyott Power BI-felhasználókat.
  • Nem felügyelt eszköz: Letilthatja a szervezet által nem felügyelt személyes eszközök hozzáférését.
  • Frissítések szükséges: Letilthatja az elavult böngészőt vagy operációs rendszert használó felhasználók hozzáférését.
  • Hely: Letilthatja a hozzáférést olyan helyeken, ahol nem rendelkezik irodával vagy felhasználóval, vagy ismeretlen IP-címről.

Tipp.

Ha olyan külső felhasználókkal rendelkezik, akik gyakran férnek hozzá a Power BI-bérlőhöz vagy az alkalmazottakhoz, az hatással lehet a hozzáférés-vezérlési szabályzatok meghatározására. Az ilyen típusú szabályzatokat általában az informatikai rendszer kezeli.

Munkamenet-szabályzatok

A munkamenet-szabályzatok akkor hasznosak, ha nem szeretné teljesen engedélyezni vagy letiltani a hozzáférést (ez a korábban ismertetett hozzáférési szabályzattal is elvégezhető). Pontosabban lehetővé teszi a hozzáférést a felhasználó számára, miközben figyeli vagy korlátozza, hogy mi történik aktívan a munkamenet során.

Íme néhány példa arra, hogyan használhat munkamenet-szabályzatokat a felhasználói munkamenetek figyelésére, letiltására vagy vezérlésére a Power BI szolgáltatás.

  • Letöltések letiltása: Letilthatja a letöltéseket és exportálásokat, ha egy adott bizalmassági címkét (például szigorúan korlátozott) rendel a Power BI szolgáltatás lévő elemhez.
  • Bejelentkezések figyelése: Figyelheti, hogy egy bizonyos feltételeknek megfelelő felhasználó mikor jelentkezik be. A felhasználó például tagja lehet egy adott biztonsági csoportnak, vagy olyan személyes eszközt használ, amelyet nem a szervezet felügyel.

Tipp.

Egy adott bizalmassági címkéhez (például szigorúan korlátozott) hozzárendelt tartalom munkamenet-szabályzatának létrehozása (például a letöltések megakadályozása érdekében) az egyik leghatékonyabb használati eset a Power BI-jal való valós idejű munkamenet-vezérlőkhöz.

A fájlfeltöltéseket munkamenetszabályzatokkal is szabályozhatja. Általában azonban arra szeretné ösztönözni az önkiszolgáló BI-felhasználókat, hogy tartalmakat töltsenek fel a Power BI szolgáltatás (a Power BI Desktop-fájlok megosztása helyett). Ezért alaposan gondolja át a fájlfeltöltések blokkolását.

Ellenőrzőlista – A valós idejű szabályzatok Felhőhöz készült Defender-alkalmazásokban való tervezésekor a legfontosabb döntések és műveletek a következők:

  • A hozzáférés letiltásának használati eseteinek azonosítása: A Power BI szolgáltatás való hozzáférés letiltása esetén megfelelő forgatókönyvek listájának összeállítása.
  • A bejelentkezések monitorozásának használati eseteinek azonosítása: A bejelentkezések Power BI szolgáltatás való monitorozásának forgatókönyveinek listája.
  • A letöltések letiltására szolgáló használati esetek azonosítása: Határozza meg, hogy mikor kell letiltani a Power BI szolgáltatás való letöltéseket. Határozza meg, hogy mely bizalmassági címkéket kell tartalmaznia.

Tevékenység-szabályzatok

Az Felhőhöz készült Defender-alkalmazások tevékenységszabályzatai nem működnek valós időben.

Beállíthat egy tevékenységszabályzatot a Power BI tevékenységnaplójában rögzített események ellenőrzéséhez. A szabályzat egyetlen tevékenységre is képes, vagy egyetlen felhasználó ismétlődő tevékenységeire is képes (ha egy adott tevékenység több mint egy meghatározott számú alkalommal fordul elő egy adott perc alatt).

A tevékenységszabályzatokkal különböző módokon figyelheti a Power BI szolgáltatás tevékenységeit. Íme néhány példa arra, hogy mit érhet el.

  • Jogosulatlan vagy váratlan felhasználómegtekinti a kiemelt tartalmakat: Az a felhasználó, aki nem tagja egy adott biztonsági csoportnak (vagy külső felhasználónak), megtekintett egy magas jogosultsági szintű jelentést, amelyet az igazgatótanács biztosított.
  • Jogosulatlan vagy váratlan felhasználó frissíti a bérlői beállításokat: Az a felhasználó, aki nem tagja egy adott biztonsági csoportnak, például a Power BI Rendszergazda istrators csoportnak, frissítette a bérlői beállításokat a Power BI szolgáltatás. Dönthet úgy is, hogy értesítést kap a bérlői beállítások frissítésekor.
  • Nagy számú törlés: Egy felhasználó több mint 20 munkaterületet vagy jelentést törölt egy 10 percnél rövidebb időszakban.
  • Nagy számú letöltés: Egy felhasználó több mint 30 jelentést töltött le egy öt percnél rövidebb időszakban.

Az ebben a szakaszban ismertetett tevékenységszabályzat-riasztásokat a Power BI-rendszergazdák általában a Power BI felügyeletének részeként kezelik. Ha riasztásokat állít be Felhőhöz készült Defender-alkalmazásokban, javasoljuk, hogy a szervezet számára jelentős kockázatot jelentő helyzetekre összpontosítson. Ennek az az oka, hogy minden riasztást egy rendszergazdának kell áttekintenie és bezárnia.

Figyelmeztetés

Mivel a Power BI tevékenységnapló-eseményei nem érhetők el valós időben, nem használhatók valós idejű monitorozásra vagy blokkolásra. A tevékenységnaplóban lévő műveleteket azonban használhatja a tevékenységszabályzatokban. Mielőtt túl messzire jut a tervezési folyamatba, mindenképpen működjön együtt az információbiztonsági csapattal, és ellenőrizze, hogy mi valósítható meg műszakilag.

Ellenőrzőlista – A tevékenységszabályzatok tervezésekor a legfontosabb döntések és műveletek a következők:

  • A tevékenységfigyelés használati eseteinek azonosítása: Állítson össze egy listát a Power BI tevékenységnaplójából, amely jelentős kockázatot jelent a szervezet számára. Annak meghatározása, hogy a kockázat egyetlen tevékenységhez vagy ismétlődő tevékenységhez kapcsolódik-e.
  • A Power BI-rendszergazdákkal folytatott munka koordinálása: A Felhőhöz készült Defender-alkalmazásokban figyelendő Power BI-tevékenységek ismertetése. Győződjön meg arról, hogy a különböző rendszergazdák nem duplikálást igényelnek.

Érintett felhasználók

A Power BI Felhőhöz készült Defender-alkalmazásokkal való integrálásának egyik kényszerítő oka, hogy valós idejű vezérlőket használhat, amikor a felhasználók használják a Power BI szolgáltatás. Az ilyen típusú integráció feltételes hozzáférésű alkalmazásvezérlést igényel a Microsoft Entra ID-ban.

Mielőtt beállítja a feltételes hozzáférésű alkalmazások vezérlését a Microsoft Entra-azonosítóban, meg kell fontolnia, hogy mely felhasználók lesznek benne. A rendszer általában minden felhasználót tartalmaz. Előfordulhat azonban, hogy bizonyos felhasználókat ki kell zárni.

Tipp.

A feltételes hozzáférési szabályzat beállításakor valószínű, hogy a Microsoft Entra rendszergazdája kizár bizonyos rendszergazdai fiókokat. Ez a módszer megakadályozza a rendszergazdák kizárását. Azt javasoljuk, hogy a kizárt fiókok a Szokásos Power BI-felhasználók helyett a Microsoft Entra rendszergazdái legyenek.

Az Felhőhöz készült Defender-alkalmazások bizonyos szabályzattípusai bizonyos felhasználókra és csoportokra vonatkozhatnak. Az ilyen típusú szabályzatok leggyakrabban minden felhasználóra érvényesek. Előfordulhat azonban, hogy olyan helyzet merül fel, amikor szándékosan ki kell zárnia bizonyos felhasználókat.

Ellenőrzőlista – Ha mérlegeli, hogy mely felhasználók érintettek, a legfontosabb döntések és műveletek a következők:

  • Fontolja meg, hogy mely felhasználók tartoznak ide: Ellenőrizze, hogy az összes felhasználó szerepel-e a Microsoft Entra feltételes hozzáférés alkalmazásvezérlési szabályzatában.
  • Határozza meg, hogy mely rendszergazdai fiókokat kell kizárni: Határozza meg, hogy mely rendszergazdai fiókokat kell szándékosan kizárni a Microsoft Entra feltételes hozzáférés alkalmazásvezérlési szabályzatából.
  • Annak meghatározása, hogy bizonyos Defender-szabályzatok a felhasználók részhalmazaira vonatkoznak-e: Érvényes használati esetekben fontolja meg, hogy azokat az összes vagy néhány felhasználóra alkalmazni kell-e (ha lehetséges).

Felhasználói üzenetkezelés

A használati esetek azonosítása után figyelembe kell vennie, hogy mi történjen, ha a szabályzatnak megfelelő felhasználói tevékenység történik.

Ha egy tevékenység valós időben le van tiltva, fontos, hogy személyre szabott üzenetet adjon meg a felhasználónak. Az üzenet akkor hasznos, ha további útmutatást és tudatosságot szeretne nyújtani a felhasználóknak a normál munkafolyamat során. Valószínűbb, hogy a felhasználók a következő esetekben fogják elolvasni és feldolgozni a felhasználói értesítéseket:

  • Konkrét: Az üzenetnek a szabályzathoz való korrelációja egyszerűvé teszi a megértést.
  • Végrehajtható: Javaslatot tesz arra, hogy mit kell tennie, vagy hogyan találhat további információkat.

Az Felhőhöz készült Defender-alkalmazások bizonyos szabályzattípusai testre szabott üzenetekkel rendelkezhetnek. Íme két példa a felhasználói értesítésekre.

1. példa: Meghatározhat egy valós idejű munkamenet-vezérlési szabályzatot, amely megakadályozza az összes exportálást és letöltést, ha a Power BI-elem bizalmassági címkéje (például egy jelentés vagy szemantikai modell – korábbi nevén adathalmaz) szigorúan korlátozott értékre van állítva. A Felhőhöz készült Defender Apps testreszabott blokküzenete így hangzik: A szigorúan korlátozott címkével rendelkező fájlok nem tölthetők le a Power BI szolgáltatás. Tekintse meg a tartalmat online a Power BI szolgáltatás. Kérdéseivel forduljon a Power BI támogatási csapatához.

2. példa: Meghatározhat egy valós idejű hozzáférési szabályzatot, amely megakadályozza, hogy a felhasználók bejelentkezhessenek a Power BI szolgáltatás, ha nem a szervezet által felügyelt gépet használnak. A Felhőhöz készült Defender Apps testreszabott blokküzenete a következőt olvassa: Előfordulhat, hogy a Power BI szolgáltatás nem érhető el személyes eszközön. Használja a szervezet által biztosított eszközt. Kérdéseivel forduljon a Power BI támogatási csapatához.

Ellenőrzőlista – Az Felhőhöz készült Defender-alkalmazások felhasználói üzeneteinek figyelembe vételekor a legfontosabb döntések és műveletek a következők:

  • Döntse el, hogy mikor van szükség testre szabott blokküzenetre: Minden létrehozni kívánt szabályzat esetében határozza meg, hogy szükség lesz-e testre szabott blokküzenetre.
  • Testreszabott blokküzenetek létrehozása: Minden szabályzat esetében határozza meg, hogy milyen üzenet jelenjen meg a felhasználók számára. Tervezze meg, hogy az egyes üzeneteket a szabályzathoz kapcsolja, hogy az konkrét és végrehajtható legyen.

riasztás Rendszergazda istrator

A riasztás akkor hasznos, ha tudatni szeretné a biztonsági és megfelelőségi rendszergazdákkal, hogy szabályzatmegsértés történt. Amikor szabályzatokat határoz meg az Felhőhöz készült Defender-alkalmazásokban, fontolja meg, hogy létre kell-e hozni riasztásokat. További információ: riasztástípusok a Felhőhöz készült Defender-alkalmazásokban.

Igény szerint beállíthat egy riasztást, amely e-mailt küld több rendszergazdának. Ha e-mailes riasztásra van szükség, javasoljuk, hogy használjon levelezésre képes biztonsági csoportot. Használhat például egy Biztonsági és megfelelőségi Rendszergazda Riasztás nevű csoportot.

Magas prioritású helyzetek esetén sms-ben is küldhet riasztásokat. A Power Automate integrálásával egyéni riasztás-automatizálást és munkafolyamatokat is létrehozhat.

Az egyes riasztásokat beállíthatja alacsony, közepes vagy magas súlyossággal. A súlyossági szint akkor hasznos, ha rangsorolja a nyitott riasztások felülvizsgálatát. A rendszergazdáknak minden egyes riasztást felül kell vizsgálniuk és végre kell hajtanak. A riasztások valódi pozitívként, hamis pozitívként vagy jóindulatúként zárhatók be.

Íme két példa a rendszergazdai riasztásokra.

1. példa: Meghatározhat egy valós idejű munkamenet-vezérlési szabályzatot, amely megakadályozza az összes exportálást és letöltést, ha a Power BI-elem bizalmassági címkéje (például jelentés vagy szemantikai modell) szigorúan korlátozott értékre van állítva. Hasznos, testre szabott blokküzenetet tartalmaz a felhasználó számára. Ebben a helyzetben azonban nincs szükség riasztás létrehozására.

2. példa: Meghatározhat egy tevékenységszabályzatot, amely nyomon követi, hogy egy külső felhasználó megtekintett-e egy, az igazgatótanács számára biztosított magas jogosultsági szintű jelentést. Magas súlyosságú riasztás állítható be, hogy a tevékenység azonnal kivizsgálva legyen.

Tipp.

A 2. példa az információvédelem és a biztonság közötti különbségeket emeli ki. A tevékenységszabályzat segíthet azonosítani azokat a forgatókönyveket, amelyekben az önkiszolgáló BI-felhasználók rendelkeznek engedéllyel a tartalom biztonságának kezelésére. Ezek a felhasználók azonban olyan műveleteket hajthatnak végre, amelyeket a szervezeti szabályzat nem fogad el. Javasoljuk, hogy ezeket a szabályzattípusokat csak bizonyos körülmények között állítsa be, ha az információk különösen érzékenyek.

Ellenőrzőlista – Ha Felhőhöz készült Defender-alkalmazások rendszergazdáinak riasztását fontolgatja, a legfontosabb döntések és műveletek a következők:

  • Döntse el, hogy mikor van szükség riasztásokra: Minden létrehozni kívánt szabályzat esetében döntse el, hogy mely helyzetek indokolják a riasztások használatát.
  • Szerepkörök és felelősségek tisztázása: Határozza meg az elvárásokat és a riasztások létrehozásakor végrehajtandó műveletet.
  • Határozza meg, hogy kik kapnak riasztásokat: Döntse el, hogy mely biztonsági és megfelelőségi rendszergazdák fogják áttekinteni a riasztásokat, és milyen műveletekkel nyitják meg a riasztásokat. Ellenőrizze, hogy teljesülnek-e az engedélyek és a licencelési követelmények minden olyan rendszergazda esetében, aki Felhőhöz készült Defender-alkalmazásokat fog használni.
  • Új csoport létrehozása: Szükség esetén hozzon létre egy új, e-mail-értesítésekhez használható biztonsági csoportot.

Szabályzat elnevezési konvenciója

Mielőtt szabályzatokat hoz létre az Felhőhöz készült Defender-alkalmazásokban, érdemes először létrehozni egy elnevezési konvenciót. Az elnevezési konvenciók akkor hasznosak, ha számos típusú alkalmazáshoz számos szabályzat létezik. Akkor is hasznos, ha a Power BI-rendszergazdák részt vesznek a monitorozásban.

Tipp.

Fontolja meg, hogy Felhőhöz készült Defender-alkalmazások számára hozzáférést biztosítson a Power BI-rendszergazdáknak. Használja a rendszergazdai szerepkört, amely lehetővé teszi a tevékenységnapló, a bejelentkezési események és a Power BI szolgáltatás kapcsolódó események megtekintését.

Fontolja meg az összetevők helyőrzőit tartalmazó elnevezési konvenciós sablont: <Alkalmazás> – <Leírás> – <Művelet> – <Szabályzat típusa>

Íme néhány elnevezési konvenciós példa.

Szabályzat típusa Valós idejű Szabályzat neve
Munkamenet-szabályzat Igen Power BI – Szigorúan korlátozott címke – Letöltések letiltása – RT
Hozzáférési szabályzat Igen Minden – Nem felügyelt eszköz – Hozzáférés letiltása – RT
Tevékenység-házirend Nem Power BI – Rendszergazda istrative tevékenység
Tevékenység-házirend Nem Power BI – Külső felhasználók nézetei vezetői jelentés

Az elnevezési konvenció összetevői a következők:

  • Alkalmazás: Az alkalmazás neve. A Power BI előtagja segít az összes Power BI-specifikus szabályzat csoportosításában rendezéskor. Egyes szabályzatok azonban nem csak a Power BI szolgáltatás, hanem az összes felhőalkalmazásra érvényesek lesznek.
  • Leírás: A név leírási része a leginkább változik. Tartalmazhat bizalmassági címkéket, vagy a nyomon követett tevékenység típusát.
  • Művelet: (Nem kötelező) A példákban az egyik munkamenet-szabályzatban a letöltések blokkolása művelet szerepel. Egy műveletre általában csak akkor van szükség, ha valós idejű szabályzatról van szó.
  • Szabályzat típusa: (Nem kötelező) A példában az RT utótag azt jelzi, hogy valós idejű szabályzat. Annak megtervezése, hogy valós idejű-e vagy sem, segít az elvárások kezelésében.

Vannak más attribútumok is, amelyeket nem kell belefoglalni a szabályzat nevére. Ezek az attribútumok közé tartozik a súlyossági szint (alacsony, közepes vagy magas) és a kategória (például fenyegetésészlelés vagy DLP). Mindkét attribútum szűrhető a riasztások oldalán.

Tipp.

A szabályzatokat átnevezheti az Felhőhöz készült Defender-alkalmazásokban. A beépített anomáliadetektálási szabályzatok azonban nem nevezhető át. A Gyanús Power BI-jelentésmegosztás például egy beépített szabályzat, amely nem nevezhető át.

Ellenőrzőlista – A szabályzat elnevezési konvenciójának figyelembe vételekor a legfontosabb döntések és műveletek a következők:

  • Válasszon egy elnevezési konvenciót: Az első szabályzatokkal konzisztens elnevezési konvenciót hozhat létre, amely egyenes irányban értelmezhető. Koncentráljon egy konzisztens előtag és utótag használatára.
  • Az elnevezési konvenció dokumentálása: Adjon meg referenciadokumentációt a szabályzat elnevezési konvenciójáról. Győződjön meg arról, hogy a rendszergazdák tisztában vannak az elnevezési konvencióval.
  • Meglévő szabályzatok frissítése: A meglévő Defender-szabályzatok frissítése az új elnevezési konvenciónak megfelelően.

Licencelési követelmények

A Power BI-bérlők figyeléséhez meghatározott licenceknek kell lenniük. Rendszergazda istratoroknak az alábbi licencek egyikével kell rendelkezniük.

  • Felhőhöz készült Microsoft Defender alkalmazások: Felhőhöz készült Defender-alkalmazások funkcióit biztosítja az összes támogatott alkalmazáshoz (beleértve a Power BI szolgáltatás is).
  • Office 365 Felhőappbiztonság: A Office 365 E5 csomag csomag részét képező Office 365-alkalmazásokhoz (beleértve a Power BI szolgáltatás is) Felhőhöz készült Defender-alkalmazások funkcióit biztosítja.

Továbbá, ha a felhasználóknak valós idejű hozzáférési szabályzatokat vagy munkamenet-szabályzatokat kell használniuk Felhőhöz készült Defender Appsben, microsoft Entra ID P1 licencre lesz szükségük.

Tipp.

Ha pontosításra van szüksége a licencelési követelményekkel kapcsolatban, forduljon a Microsoft-fiók csapatához.

Ellenőrzőlista – A licencelési követelmények értékelésekor a legfontosabb döntések és műveletek a következők:

  • Tekintse át a terméklicenc-követelményeket: Győződjön meg arról, hogy áttekintette az Felhőhöz készült Defender-alkalmazások használatának összes licencfeltételét.
  • További licencek beszerzése: Ha lehetséges, vásároljon további licenceket a használni kívánt funkciók feloldásához.
  • Licencek hozzárendelése: Rendeljen hozzá egy licencet az egyes biztonsági és megfelelőségi rendszergazdákhoz, akik Felhőhöz készült Defender-alkalmazásokat fognak használni.

Felhasználói dokumentáció és betanítás

A Felhőhöz készült Defender-alkalmazások bevezetése előtt javasoljuk, hogy hozzon létre és tegye közzé a felhasználói dokumentációt. A központosított portálon található SharePoint-lapok vagy wikilapok jól működnek, mert könnyen karbantarthatók lesznek. Egy megosztott tárba vagy Teams-webhelyre feltöltött dokumentum is jó megoldás.

A dokumentáció célja a zökkenőmentes felhasználói élmény elérése. A felhasználói dokumentáció előkészítése segít abban is, hogy mindent átgondoljon.

Adjon meg információkat arról, hogy kivel lépjen kapcsolatba, ha a felhasználók kérdései vagy technikai problémái vannak.

A gyakori kérdések és példák különösen hasznosak a felhasználói dokumentációban.

Ellenőrzőlista – A felhasználói dokumentáció és a betanítás előkészítésekor a legfontosabb döntések és műveletek a következők:

  • Tartalomkészítők és -felhasználók dokumentációjának frissítése: Frissítse a gyakori kérdéseket és példákat, hogy releváns információkat tartalmazzon a felhasználók által esetleg előforduló szabályzatokról.
  • Segítségkérési útmutató közzététele: Győződjön meg arról, hogy a felhasználók tudják, hogyan kérhetnek segítséget, ha valami váratlant tapasztalnak, vagy ha nem értik őket.
  • Határozza meg, hogy szükség van-e konkrét betanításra: Hozza létre vagy frissítse a felhasználói betanítást, hogy hasznos információkat tartalmazzon, különösen akkor, ha erre jogszabályi követelmények vonatkoznak.

Felhasználói támogatás

Fontos ellenőrizni, hogy ki lesz felelős a felhasználói támogatásért. Gyakori, hogy az Felhőhöz készült Defender-alkalmazások a Power BI monitorozására való használatát egy központosított informatikai ügyfélszolgálat végzi.

Előfordulhat, hogy létre kell hoznia a támogatási szolgálat dokumentációját, és el kell végeznie néhány tudásátadási munkamenetet, hogy a segélyszolgálat készen álljon a támogatási kérelmek megválaszolására.

Ellenőrzőlista – A felhasználói támogatási funkció előkészítésekor a legfontosabb döntések és műveletek a következők:

  • Határozza meg, hogy ki nyújt felhasználói támogatást: Szerepkörök és felelősségek meghatározásakor ügyeljen arra, hogy a felhasználók hogyan kapnak segítséget az esetlegesen felmerülő problémákhoz.
  • Győződjön meg arról, hogy a felhasználói támogatási csapat készen áll: Hozzon létre dokumentációt, és végezzen tudásátadási munkameneteket, hogy az ügyfélszolgálat készen álljon a folyamatok támogatására.
  • Kommunikáció a csapatok között: A felhasználók által esetleg látott üzenetek és a Power BI-rendszergazdák és a Kiválósági központ nyílt riasztásainak feloldásának folyamata. Győződjön meg arról, hogy minden érintett felkészült a Power BI-felhasználók esetleges kérdéseire.

Implementáció összefoglalása

A döntések meghozatala és a bevezetési terv előkészítése után ideje megkezdeni a végrehajtást.

Ha valós idejű szabályzatokat (munkamenet-szabályzatokat vagy hozzáférési szabályzatokat) kíván használni, az első feladata a Microsoft Entra feltételes hozzáférésű alkalmazások vezérlésének beállítása. A Power BI szolgáltatás katalógusalkalmazásként kell beállítania, amelyet Felhőhöz készült Defender Apps vezérel.

A Microsoft Entra feltételes hozzáférésű alkalmazásvezérlő beállítása és tesztelése után szabályzatokat hozhat létre Felhőhöz készült Defender-alkalmazásokban.

Fontos

Javasoljuk, hogy először néhány tesztfelhasználónak mutassa be ezt a funkciót. Van egy csak monitorozási mód is, amely hasznos lehet ennek a funkciónak a rendezett bevezetésében.

Az alábbi ellenőrzőlista a teljes körű megvalósítás lépéseinek összesített listáját tartalmazza. A lépések közül sok más részletet is tartalmaz, amelyekről a cikk korábbi szakaszaiban olvashat.

Ellenőrzőlista – Az Felhőhöz készült Defender-alkalmazások Power BI-beli implementálásakor a legfontosabb döntések és műveletek a következők:

  • Ellenőrizze az aktuális állapotot és célokat: Győződjön meg arról, hogy a Power BI-ban való használathoz egyértelmű a DLP aktuális állapota. A DLP megvalósítására vonatkozó összes célnak és követelménynek egyértelműnek és aktívnak kell lennie a döntéshozatali folyamat megvalósításához.
  • A döntéshozatali folyamat végrehajtása: Tekintse át és tárgyalja meg az összes szükséges döntést. Ennek a feladatnak az éles környezet beállítása előtt kell történnie.
  • Tekintse át a licencelési követelményeket: Győződjön meg arról, hogy ismeri a terméklicencelési és felhasználói licencelési követelményeket. Szükség esetén szerezze be és rendeljen hozzá további licenceket.
  • Felhasználói dokumentáció közzététele: Olyan információk közzététele, amelyekre a felhasználóknak válaszolniuk kell a kérdésekre és tisztázni az elvárásokat. Útmutatást, kommunikációt és képzést biztosít a felhasználóknak, hogy felkészültek legyenek.
  • Microsoft Entra feltételes hozzáférési szabályzat létrehozása: Feltételes hozzáférési szabályzat létrehozása a Microsoft Entra-azonosítóban, amely lehetővé teszi a valós idejű vezérlők használatát a Power BI szolgáltatás figyeléséhez. Először engedélyezze a Microsoft Entra feltételes hozzáférési szabályzatát néhány tesztfelhasználó számára.
  • A Power BI beállítása csatlakoztatott alkalmazásként az Felhőhöz készült Defender-alkalmazásokban: Adja hozzá vagy ellenőrizze, hogy a Power BI csatlakoztatott alkalmazásként jelenik-e meg a Felhőhöz készült Defender-alkalmazásokban a feltételes hozzáférésű alkalmazások vezérléséhez.
  • Kezdeti tesztelés végrehajtása: Jelentkezzen be a Power BI szolgáltatás a tesztfelhasználók egyikeként. Ellenőrizze, hogy működik-e a hozzáférés. Azt is ellenőrizze, hogy a megjelenő üzenet tájékoztatja-e arról, hogy a Power BI szolgáltatás Felhőhöz készült Defender Apps figyeli.
  • Valós idejű szabályzat létrehozása és tesztelése: A már lefordított használati esetek használatával hozzon létre hozzáférési szabályzatot vagy munkamenet-szabályzatot a Felhőhöz készült Defender Appsben.
  • Kezdeti tesztelés: Tesztfelhasználóként hajthat végre egy műveletet, amely elindítja a valós idejű szabályzatot. Ellenőrizze, hogy a művelet le van-e tiltva (ha szükséges), és hogy megjelennek-e a várt riasztási üzenetek.
  • Felhasználói visszajelzések összegyűjtése: Visszajelzés beszerzése a folyamatról és a felhasználói élményről. Azonosítsa a keveredési területeket, a bizalmas információtípusokkal kapcsolatos váratlan eredményeket és egyéb technikai problémákat.
  • Folytassa az iteratív kiadásokat: Fokozatosan adjon hozzá további szabályzatokat Felhőhöz készült Defender Alkalmazásokban, amíg az összes használati esetet meg nem oldja.
  • Tekintse át a beépített szabályzatokat: Keresse meg a beépített anomáliadetektálási szabályzatokat az Felhőhöz készült Defender-alkalmazásokban (amelyek nevében a Power BI szerepel). Szükség esetén frissítse a beépített szabályzatok riasztási beállításait.
  • Folytassa a szélesebb körű bevezetést: Folytassa a munkát az iteratív bevezetési tervvel. Frissítse a Microsoft Entra feltételes hozzáférési szabályzatát, hogy szükség szerint a felhasználók szélesebb körére vonatkozzanak. Az Felhőhöz készült Defender-alkalmazásokban lévő egyes szabályzatok frissítése a felhasználók szélesebb körére való alkalmazás érdekében, adott esetben.
  • Figyelés, finomhangolás és beállítás: Erőforrásokat fektethet be a szabályzatok riasztásainak és naplóinak gyakori áttekintéséhez. Vizsgálja meg a hamis pozitívumokat, és szükség esetén módosítsa a szabályzatokat.

Tipp.

Ezeket az ellenőrzőlistaelemeket a rendszer tervezési célokra összegzi. Az ellenőrzőlista elemeiről a cikk előző szakaszaiban olvashat bővebben.

A Power BI katalógusalkalmazásként való üzembe helyezéséről a Felhőhöz készült Defender Appsben a katalógusalkalmazások üzembe helyezésének lépéseiben talál további információt.

Folyamatos figyelés

A megvalósítás befejezése után a figyelésre, kényszerítésre és Felhőhöz készült Defender alkalmazásszabályzatok használatára kell irányítania a figyelmet.

A Power BI-rendszergazdáknak, valamint a biztonsági és megfelelőségi rendszergazdáknak időről időre együtt kell működniük. A Power BI-tartalmak esetében két célközönség áll rendelkezésre a monitorozáshoz.

  • Power BI-rendszergazdák: A Felhőhöz készült Defender-alkalmazások által generált riasztások mellett a Power BI-tevékenységnaplóból származó tevékenységek is megjelennek az Felhőhöz készült Defender Alkalmazások portálon.
  • Biztonsági és megfelelőségi rendszergazdák: A szervezet biztonsági és megfelelőségi rendszergazdái általában Felhőhöz készült Defender Apps-riasztásokat használnak.

A Power BI-rendszergazdák korlátozott nézetet biztosíthatnak a Felhőhöz készült Defender-alkalmazásokban. Hatókörrel rendelkező szerepkörrel jeleníti meg a tevékenységnaplót, a bejelentkezési eseményeket és a Power BI szolgáltatás kapcsolódó eseményeket. Ez a funkció kényelmes a Power BI-rendszergazdák számára.

Ellenőrzőlista – Az Felhőhöz készült Defender-alkalmazások monitorozása során a legfontosabb döntések és műveletek a következők:

  • Szerepkörök és felelősségek ellenőrzése: Győződjön meg arról, hogy tisztában van azzal, hogy ki a felelős a műveletekért. Tájékoztassa és kommunikáljon a Power BI-rendszergazdákkal, ha ők lesznek a felelősek a monitorozás bármely aspektusáért.
  • A Power BI-rendszergazdák hozzáférésének kezelése: Adja hozzá a Power BI-rendszergazdákat a hatókörrel rendelkező rendszergazdai szerepkörhöz az Felhőhöz készült Defender-alkalmazásokban. Kommunikáljon velük, hogy tisztában legyenek azzal, mit tehetnek ezekkel a további információkkal.
  • A tevékenység ellenőrzésére szolgáló folyamat létrehozása vagy ellenőrzése: Győződjön meg arról, hogy a biztonsági és megfelelőségi rendszergazdák tisztában vannak a tevékenységkezelő rendszeres felülvizsgálatával kapcsolatos elvárásokkal.
  • Hozza létre vagy ellenőrizze a riasztások feloldásának folyamatát: Győződjön meg arról, hogy a biztonsági és megfelelőségi rendszergazdák rendelkeznek a nyitott riasztások kivizsgálására és feloldására szolgáló folyamatokkal.

Kapcsolódó tartalom

A sorozat következő cikkében megismerheti a Power BI információvédelmi és adatveszteség-megelőzési naplózását.