Opplæring: Oppdag og beskytt sensitiv informasjon i organisasjonen

I en perfekt verden forstår alle de ansatte viktigheten av informasjonsbeskyttelse og arbeider innenfor retningslinjene dine. I den virkelige verden er det sannsynlig at en travel partner som ofte arbeider med regnskapsinformasjon utilsiktet laster opp et sensitivt dokument til Box-repositoriet med feil tillatelser. En uke senere innser du at bedriftens konfidensielle informasjon ble lekket til konkurrentene.

For å hindre at dette skjer, gir Microsoft Defender for Cloud Apps deg en omfattende pakke med DLP-funksjoner som dekker de ulike datalekkasjepunktene som finnes i organisasjoner.

I denne opplæringen lærer du hvordan du bruker Defender for Cloud Apps til å oppdage potensielt eksponerte sensitive data og bruke kontroller for å forhindre eksponering:

• Oppdag dataene dine
• Klassifiser sensitiv informasjon
• Beskytt dataene
• Overvåk og rapporter på dataene dine

Slik oppdager og beskytter du sensitiv informasjon i organisasjonen

Vår tilnærming til informasjonsbeskyttelse kan deles inn i følgende faser som lar deg beskytte dataene gjennom hele livssyklusen, på tvers av flere steder og enheter.

Fase 1: Oppdag dataene dine

1. Koble til apper: Det første trinnet i å oppdage hvilke data som brukes i organisasjonen, er å koble skyapper som brukes i organisasjonen til å Defender for Cloud Apps. Når du er tilkoblet, kan Defender for Cloud Apps skanne data, legge til klassifiseringer og håndheve policyer og kontroller. Avhengig av hvordan apper er tilkoblet, påvirker det hvordan, og når, skanninger og kontroller brukes. Du kan koble til appene på én av følgende måter:

   • Bruk en appkobling: Appkoblingene våre bruker API-ene som leveres av appleverandører. De gir større innsyn i og kontroll over appene som brukes i organisasjonen. Skanninger utføres regelmessig (hver 12. time) og i sanntid (utløses hver gang en endring oppdages). Hvis du vil ha mer informasjon og instruksjoner om hvordan du legger til apper, kan du se Koble til apper.

   • Bruk appkontroll for betinget tilgang: Appkontrollløsningen for betinget tilgang bruker en omvendt proxy-arkitektur som er unikt integrert med Microsoft Entra betinget tilgang, og lar deg bruke kontroller på alle apper.

     Microsoft Edge-brukere drar nytte av direkte beskyttelse i nettleseren. Appkontroll for betinget tilgang brukes i andre nettlesere ved hjelp av en omvendt proxy-arkitektur. Hvis du vil ha mer informasjon, kan du se Beskytte apper med Microsoft Defender for Cloud Apps appkontroll for betinget tilgang og beskyttelse i nettleseren med Microsoft Edge for bedrifter (forhåndsvisning).

2. Undersøk: Når du har koblet en app til Defender for Cloud Apps ved hjelp av API-koblingen, skanner Defender for Cloud Apps alle filene den bruker. Gå til Filer under Skyapper i Microsoft Defender-portalen for å få en oversikt over filene som deles av skyappene, tilgjengeligheten og statusen deres. Hvis du vil ha mer informasjon, kan du se Undersøke filer.

Fase 2: Klassifiser sensitiv informasjon

1. Definer hvilken informasjon som er sensitiv: Før du ser etter sensitiv informasjon i filene, må du først definere det som teller som sensitivt for organisasjonen. Som en del av dataklassifiseringstjenesten tilbyr vi over 100 ut-av-boksen sensitive informasjonstyper, eller du kan opprette dine egne som passer til firmaets retningslinjer. Defender for Cloud Apps er integrert med Microsoft Purview informasjonsbeskyttelse, og de samme sensitive typene og etikettene er tilgjengelige i begge tjenestene. Så når du vil definere sensitiv informasjon, går du til Microsoft Purview informasjonsbeskyttelse-portalen for å opprette dem, og når de er definert, blir de tilgjengelige i Defender for Cloud Apps. Du kan også bruke avanserte klassifiseringstyper som fingeravtrykk eller Nøyaktig datasamstykke (EDM).

   For de av dere som allerede har gjort det harde arbeidet med å identifisere sensitiv informasjon og bruke de riktige følsomhetsetikettene, kan du bruke disse etikettene i policyene dine uten å måtte skanne innholdet på nytt.

2. Aktiver Integrering av Microsoft Information Protection

   1. Velg Innstillinger i Microsoft Defender-portalen. Velg deretter Skyapper.
   2. Gå til MicrosoftInformation Protection under Information Protection. Velg Søk automatisk etter nye filer for Microsoft Information Protection følsomhetsetiketter og advarsler for innholdsinspeksjon.

   Hvis du vil ha mer informasjon, kan du se Microsoft Purview informasjonsbeskyttelse integrering.

3. Opprett policyer for å identifisere sensitiv informasjon i filer: Når du vet hva slags informasjon du vil beskytte, er det på tide å opprette policyer for å oppdage dem. Begynn med å opprette følgende policyer:

   Filpolicy
   Bruk denne typen policy til å skanne innholdet i filer som er lagret i API-tilkoblede skyapper, i nær sanntid og inaktive data. Filer skannes ved hjelp av en av våre støttede inspeksjonsmetoder, inkludert Microsoft Purview informasjonsbeskyttelse kryptert innhold takket være den opprinnelige integreringen med Defender for Cloud Apps.

   1. Velg Policybehandling> under Skyapper i Microsoft Defender-portalen.

   2. Velg Opprett policy, og velg deretter Filpolicy.

   3. Velg og konfigurer en av følgende klassifiseringstjenester under Inspeksjonsmetode:

      • Dataklassifiseringstjenester: Bruker klassifiseringsbeslutninger du har tatt på tvers av Microsoft 365, Microsoft Purview informasjonsbeskyttelse og Defender for Cloud Apps for å gi en enhetlig merkingsopplevelse. Dette er den foretrukne innholdsinspeksjonsmetoden, da den gir en konsekvent og enhetlig opplevelse på tvers av Microsoft-produkter.

   4. For svært sensitive filer velger du Opprett et varsel for hver samsvarende fil og velger varslene du trenger, slik at du blir informert når det finnes filer med ubeskyttet sensitiv informasjon i organisasjonen.

   5. Velg Opprett.

   Øktpolicy
   Bruk denne typen policy til å skanne og beskytte filer i sanntid på tilgang til:

   • Forhindre dataeksfiltrering: Blokker nedlasting, klipp ut, kopier og skriv ut sensitive dokumenter på for eksempel uadministrerte enheter.
   • Beskytt filer ved nedlasting: Krev at dokumenter merkes og beskyttes med Microsoft Purview informasjonsbeskyttelse. Denne handlingen sikrer at dokumentet er beskyttet og brukertilgang er begrenset i en potensielt risikabel økt.
   • Forhindre opplasting av umerkede filer: Krev at en fil har riktig etikett og beskyttelse før en sensitiv fil lastes opp, distribueres og brukes av andre. Med denne handlingen kan du sikre at umerkede filer med sensitivt innhold blokkeres fra å lastes opp til brukeren klassifiserer innholdet.

   1. Velg Policybehandling> under Skyapper i Microsoft Defender-portalen.

   2. Velg Opprett policy, og velg deretter Øktpolicy.

   3. Velg ett av alternativene med DLP under Øktkontrolltype.

   4. Velg og konfigurer en av følgende klassifiseringstjenester under Inspeksjonsmetode:

      • Dataklassifiseringstjenester: Bruker klassifiseringsbeslutninger du har tatt på tvers av Microsoft 365, Microsoft Purview informasjonsbeskyttelse og Defender for Cloud Apps for å gi en enhetlig merkingsopplevelse. Dette er den foretrukne innholdsinspeksjonsmetoden, da den gir en konsekvent og enhetlig opplevelse på tvers av Microsoft-produkter.

   5. For svært sensitive filer velger du Opprett et varsel og velger varslene du trenger, slik at du blir informert når det finnes filer med ubeskyttet sensitiv informasjon i organisasjonen.

   6. Velg Opprett.

Du bør opprette så mange policyer som kreves for å oppdage sensitive data i samsvar med firmaets retningslinjer.

Fase 3: Beskytt dataene dine

Nå kan du oppdage filer med sensitiv informasjon, men det du virkelig ønsker å gjøre, er å beskytte denne informasjonen mot potensielle trusler. Når du er klar over en hendelse, kan du manuelt utbedre situasjonen, eller du kan bruke en av de automatiske styringshandlingene som leveres av Defender for Cloud Apps for å sikre filene dine. Handlinger omfatter, men er ikke begrenset til, Microsoft Purview informasjonsbeskyttelse opprinnelige kontroller, API-angitte handlinger og sanntidsovervåking. Hvilken type styring du kan bruke, avhenger av hvilken type policy du konfigurerer, som følger:

1. Handlinger for filpolicystyring: Bruker API-en til skyappleverandøren og de opprinnelige integreringene våre til å sikre filer, inkludert:

   • Utløse varsler og sende e-postvarsler om hendelsen
   • Behandle etiketter brukt på en fil for å fremtvinge opprinnelige Microsoft Purview informasjonsbeskyttelse kontroller
   • Endre delingstilgang til en fil
   • Sette en fil i karantene
   • Fjerne bestemte fil- eller mappetillatelser i Microsoft 365
   • Flytte en fil til papirkurvmappen

2. Øktpolicykontroller: Bruker omvendte proxy-funksjoner for å beskytte filer, for eksempel:

   • Utløse varsler og sende e-postvarsler om hendelsen
   • Eksplisitt tillater nedlasting eller opplasting av filer og overvåker alle relaterte aktiviteter.
   • Eksplisitt blokkere nedlasting eller opplasting av filer. Bruk dette alternativet for å beskytte organisasjonens sensitive filer mot eksfiltrering eller infiltrasjon fra alle enheter, inkludert uadministrerte enheter.
   • Bruk automatisk en følsomhetsetikett på filer som samsvarer med policyens filfiltre. Bruk dette alternativet for å beskytte nedlasting av sensitive filer.

   Hvis du vil ha mer informasjon, kan du se Opprette Microsoft Defender for Cloud Apps øktpolicyer.

Fase 4: Overvåke og rapportere om dataene dine

Policyene dine er på plass for å undersøke og beskytte dataene dine. Nå bør du sjekke instrumentbordet daglig for å se hvilke nye varsler som er utløst. Det er et godt sted å holde øye med tilstanden til skymiljøet. Instrumentbordet hjelper deg med å få en oversikt over hva som skjer, og hvis det er nødvendig, kan du starte en undersøkelse.

En av de mest effektive måtene å overvåke sensitive filhendelser på, er å gå til Policyer-siden og se gjennom treff for policyer du har konfigurert. Hvis du har konfigurert varsler, bør du også vurdere regelmessig overvåking av filvarsler ved å gå over til Varsler-siden , angi kategorien som DLP og se gjennom hvilke filrelaterte policyer som utløses. Gjennomgang av disse hendelsene kan hjelpe deg med å finjustere policyene dine for å fokusere på trusler som er av interesse for organisasjonen.

Til slutt sikrer administrasjon av sensitiv informasjon på denne måten at data som er lagret i skyen, har maksimal beskyttelse mot ondsinnet eksfiltrering og infiltrasjon. Hvis en fil deles eller går tapt, kan den også bare åpnes av autoriserte brukere.

Se også

Forstå fildata og policyer

Filpolicyer

Innholdsinspeksjon

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.