Planlegging av Power BI-implementering: Defender for Cloud Apps for Power BI
Merk
Denne artikkelen er en del av planleggingsserien for power BI-implementering av artikler. Denne serien fokuserer hovedsakelig på Power BI-opplevelsen i Microsoft Fabric. Hvis du vil ha en innføring i serien, kan du se Planlegging av Power BI-implementering.
Denne artikkelen beskriver planleggingsaktivitetene knyttet til implementering av Defender for Cloud Apps når det gjelder overvåking av Power BI. Det er rettet mot:
- Power BI-administratorer: Administratorene som er ansvarlige for å overvåke Power BI i organisasjonen. Power BI-administratorer må samarbeide med informasjonssikkerhet og andre relevante team.
- Center of Excellence-, IT- og BI-team: Andre som er ansvarlige for å overvåke Power BI i organisasjonen. De må kanskje samarbeide med Power BI-administratorer, informasjonssikkerhetsteam og andre relevante team.
Viktig
Overvåking og hindring av datatap (DLP) er et betydelig foretak for hele organisasjonen. Omfanget og virkningen er langt større enn Power BI alene. Denne typen initiativ krever finansiering, prioritering og planlegging. Forvent å involvere flere tverrfunksjonelle team i planlegging, bruk og tilsynsarbeid.
Vi anbefaler at du følger en gradvis, faset tilnærming til å rulle ut Defender for Cloud Apps for å overvåke Power BI. Hvis du vil ha en beskrivelse av hvilke typer utrullingsfaser du bør vurdere, kan du se Informasjonsbeskyttelse for Power BI (utrullingsfaser).
Formålet med overvåking
Microsoft Defender for Cloud Apps (tidligere kjent som Microsoft Cloud App Security) er en Cloud Access Security Broker (CASB) som støtter ulike distribusjonsmoduser. Den har et bredt sett med funksjoner som strekker seg langt utover omfanget av denne artikkelen. Noen funksjoner er i sanntid, mens andre ikke er i sanntid.
Her er noen eksempler på sanntidsovervåking du kan implementere.
- Blokkere nedlastinger fra Power Bi-tjeneste: Du kan opprette en øktpolicy for å blokkere bestemte typer brukeraktiviteter. Når en bruker for eksempel prøver å laste ned en rapport fra Power Bi-tjeneste som er tilordnet en svært begrenset følsomhetsetikett, kan nedlastingshandlingen blokkeres i sanntid.
- Blokker tilgang til Power Bi-tjeneste av en uadministrert enhet: Du kan opprette en tilgangspolicy for å hindre brukere i å få tilgang til bestemte programmer med mindre de bruker en administrert enhet. Når en bruker for eksempel prøver å få tilgang til Power Bi-tjeneste fra sin personlige mobiltelefon, kan handlingen blokkeres.
Her er noen eksempler på andre funksjoner som ikke er i sanntid.
- Finn og varsle bestemte aktiviteter i Power Bi-tjeneste: Du kan opprette en aktivitetspolicy for å generere et varsel når bestemte typer aktiviteter forekommer. Når for eksempel en administrativ aktivitet forekommer i Power Bi-tjeneste (som angir at en leierinnstilling ble endret), kan du motta et e-postvarsel.
- Overvåk avanserte sikkerhetsaktiviteter: Du kan vise og overvåke pålogginger og sikkerhetsaktiviteter, avvik og brudd. Varsler kan utløses for situasjoner som mistenkelig aktivitet, uventede plasseringer eller en ny plassering.
- Overvåk brukeraktiviteter: Du kan vise og overvåke brukeraktiviteter. En Power BI-administrator kan for eksempel tilordnes tillatelse til å vise Power BI-aktivitetsloggen, i tillegg til brukerpåloggingsfrekvens i Defender for Cloud Apps.
- Oppdage og varsle uvanlig virkemåte i Power Bi-tjeneste: Det finnes innebygde policyer for avviksregistrering. Når en bruker for eksempel laster ned eller eksporterer innhold fra Power Bi-tjeneste betydelig oftere enn vanlige mønstre, kan du motta et e-postvarsel.
- Finn programmer som ikke er sanksjonerte: Du kan finne programmer som ikke er sanksjonert i organisasjonen. Du kan for eksempel bli bekymret for brukere som deler filer (for eksempel Power BI Desktop-filer eller Excel-filer) på et tredjeparts fildelingssystem. Du kan blokkere bruken av et program som ikke er sanksjonert, og deretter kontakte brukere for å lære dem om riktige måter å dele og samarbeide med andre på.
Tips
Portalen i Defender for Cloud Apps er et praktisk sted å vise aktiviteter og varsler uten å opprette et skript for å trekke ut og laste ned dataene. Denne fordelen inkluderer visning av data fra Power BI-aktivitetsloggen.
Power BI er ett av mange programmer og tjenester som kan integreres med Defender for Cloud Apps. Hvis du allerede bruker Defender for Cloud Apps til andre formål, kan den også brukes til å overvåke Power BI.
Policyer som er opprettet i Defender for Cloud Apps, er en form for DLP. Datatapsforhindring for Power BI-artikkelen dekker DLP-policyer for Power BI som er konfigurert i Microsoft Purview-samsvarsportal. Vi anbefaler at du bruker DLP-policyer for Power BI med funksjonene som er beskrevet i denne artikkelen. Selv om det er noe overlappende begrepsmessig, er funksjonene forskjellige.
Forsiktig!
Denne artikkelen fokuserer på funksjoner i Microsoft Defender for skyapper som kan brukes til å overvåke og beskytte Power BI-innhold. Det finnes mange andre funksjoner i Defender for Cloud Apps som ikke dekkes i denne artikkelen. Pass på å samarbeide med andre interessenter og systemansvarlige for å ta avgjørelser som fungerer bra for alle programmer og brukstilfeller.
Forutsetninger for Defender for Cloud Apps for Power BI
Nå skal du ha fullført planleggingstrinnene på organisasjonsnivå som ble beskrevet i artikkelen Datatapsforhindring for Power BI . Før du fortsetter, bør du ha klarhet i:
- Gjeldende tilstand: Gjeldende tilstand for DLP i organisasjonen. Du bør ha en forståelse i hvilken grad DLP allerede er i bruk, og hvem som er ansvarlig for å administrere det.
- Mål og krav: De strategiske målene for å implementere DLP i organisasjonen. Å forstå målene og kravene vil fungere som en veiledning for implementeringsarbeidet.
Vanligvis er informasjonsbeskyttelse allerede implementert før DLP implementeres. Hvis følsomhetsetiketter publiseres (beskrevet i Informasjonsbeskyttelse for Power BI-artikkelen ), kan de brukes i visse policyer i Defender for Cloud Apps.
Du har kanskje allerede implementert DLP for Power BI (beskrevet i artikkelen Datatapsforhindring for Power BI ). Disse DLP-funksjonene er forskjellige fra funksjonene som administreres i Microsoft Purview-samsvarsportal. Alle DLP-funksjoner som er beskrevet i denne artikkelen, administreres i Defender for Cloud Apps-portalen.
Viktige beslutninger og handlinger
Du må ta noen viktige avgjørelser før du er klar til å konfigurere policyer i Defender for Cloud Apps.
Beslutningene som er relatert til Defender for Cloud Apps-policyer, bør støtte målene og kravene for å beskytte dataene du tidligere har identifisert.
Policytype og aktiviteter
Du må vurdere hvilke brukeraktiviteter du er interessert i å overvåke, blokkere eller kontrollere. Policytypen i Defender for Cloud Apps påvirker:
- Hva du er i stand til å oppnå.
- Hvilke aktiviteter som kan inkluderes i konfigurasjonen.
- Om kontrollene vil skje i sanntid eller ikke.
Sanntidspolicyer
Access-policyer og øktpolicyer som er opprettet i Defender for Cloud Apps, lar deg overvåke, blokkere eller kontrollere brukerøkter i sanntid.
Med tilgangspolicyer og øktpolicyer kan du:
- Svare programmatisk i sanntid: Oppdage, informere og blokkere risikabelt, utilsiktet eller upassende deling av sensitive data. Med disse handlingene kan du:
- Forbedre det generelle sikkerhetsoppsettet for Power BI-leieren, med automatisering og informasjon.
- Aktiver analytiske brukstilfeller som involverer sensitive data på en måte som kan overvåkes.
- Gi brukere kontekstavhengige varsler: Med denne funksjonen kan du:
- Hjelp brukere med å ta de riktige avgjørelsene under den normale arbeidsflyten.
- Veilede brukere til å følge policyen for dataklassifisering og beskyttelse uten å påvirke produktiviteten.
Hvis du vil gi sanntidskontroller, fungerer tilgangspolicyer og øktpolicyer med Microsoft Entra ID (tidligere kjent som Azure Active Directory), avhengig av de omvendte proxy-egenskapene til appkontroll for betinget tilgang. I stedet for brukerforespørsler og svar som går gjennom appen (Power Bi-tjeneste i dette tilfellet), går de gjennom en omvendt proxy (Defender for Cloud Apps).
Omadressering påvirker ikke brukeropplevelsen. NETTADRESSEn for Power Bi-tjeneste endres imidlertid til https://app.powerbi.com.mcas.ms når du har konfigurert Microsoft Entra ID for appkontroll for betinget tilgang med Power BI. Brukere vil også motta et varsel når de logger på Power Bi-tjeneste som sier at appen overvåkes av Defender for Cloud Apps.
Viktig
Access-policyer og øktpolicyer fungerer i sanntid. Andre policytyper i Defender for Cloud Apps innebærer en kort forsinkelse i varslingen. De fleste andre typer DLP og overvåking opplever også ventetid, inkludert DLP for Power BI og Power BI-aktivitetsloggen.
Tilgangspolicyer
En tilgangspolicy som er opprettet i Defender for Cloud Apps, kontrollerer om en bruker har tillatelse til å logge på et skyprogram som Power Bi-tjeneste. Organisasjoner som er i svært regulerte bransjer vil være opptatt av tilgangspolicyer.
Her er noen eksempler på hvordan du kan bruke tilgangspolicyer til å blokkere tilgang til Power Bi-tjeneste.
- Uventet bruker: Du kan blokkere tilgang for en bruker som ikke er medlem av en bestemt sikkerhetsgruppe. Denne policyen kan for eksempel være nyttig når du har en viktig intern prosess som sporer godkjente Power BI-brukere via en bestemt gruppe.
- Ikke-administrert enhet: Du kan blokkere tilgang for en personlig enhet som ikke administreres av organisasjonen.
- Oppdateringer nødvendig: Du kan blokkere tilgang for en bruker som bruker en utdatert nettleser eller et operativsystem.
- Plassering: Du kan blokkere tilgang for en plassering der du ikke har kontorer eller brukere, eller fra en ukjent IP-adresse.
Tips
Hvis du har eksterne brukere som har tilgang til Power BI-leieren eller ansatte som reiser ofte, kan dette påvirke hvordan du definerer policyene for tilgangskontroll. Disse policytypene administreres vanligvis av IT.
Øktpolicyer
En øktpolicy er nyttig når du ikke vil tillate eller blokkere tilgangen fullstendig (som kan gjøres med en tilgangspolicy som tidligere beskrevet). Spesielt gir den tilgang til brukeren mens han overvåker eller begrenser hva som skjer aktivt i løpet av økten.
Her er noen eksempler på hvordan du kan bruke øktpolicyer til å overvåke, blokkere eller kontrollere brukerøkter i Power Bi-tjeneste.
- Blokker nedlastinger: Blokker nedlastinger og eksporter når en bestemt følsomhetsetikett, for eksempel Svært begrenset, tilordnes til elementet i Power Bi-tjeneste.
- Overvåk pålogginger: Overvåk når en bruker, som oppfyller visse betingelser, logger på. Brukeren kan for eksempel være medlem av en bestemt sikkerhetsgruppe, eller de bruker en personlig enhet som ikke administreres av organisasjonen.
Tips
Oppretting av en øktpolicy (for eksempel for å forhindre nedlastinger) for innhold som er tilordnet en bestemt følsomhetsetikett, for eksempel Svært begrenset, er et av de mest effektive brukstilfellene for øktkontroller i sanntid med Power BI.
Det er også mulig å kontrollere filopplastinger med øktpolicyer. Vanligvis vil du imidlertid oppfordre selvbetjente BI-brukere til å laste opp innhold til Power Bi-tjeneste (i stedet for å dele Power BI Desktop-filer). Tenk derfor nøye gjennom hvordan du blokkerer filopplastinger.
Sjekkliste – Når du planlegger sanntidspolicyene dine i Defender for Cloud Apps, omfatter viktige beslutninger og handlinger:
- Identifiser brukstilfeller for å blokkere tilgang: Kompiler en liste over scenarioer for når du blokkerer tilgang til Power Bi-tjeneste er riktig.
- Identifiser brukstilfeller for å overvåke pålogginger: Kompiler en liste over scenarier for når overvåking av pålogginger til Power Bi-tjeneste er riktig.
- Identifiser brukstilfeller for å blokkere nedlastinger: Bestem når nedlastinger fra Power Bi-tjeneste skal blokkeres. Bestem hvilke følsomhetsetiketter som skal inkluderes.
Aktivitetspolicyer
Aktivitetspolicyer i Defender for Cloud Apps fungerer ikke i sanntid.
Du kan konfigurere en aktivitetspolicy for å kontrollere hendelser som er registrert i aktivitetsloggen for Power BI. Policyen kan handle på én enkelt aktivitet, eller den kan handle på gjentatte aktiviteter av én enkelt bruker (når en bestemt aktivitet forekommer mer enn et angitt antall ganger i løpet av et angitt antall minutter).
Du kan bruke aktivitetspolicyer til å overvåke aktiviteten i Power Bi-tjeneste på forskjellige måter. Her er noen eksempler på hva du kan oppnå.
- Uautorisert eller uventet bruker viser privilegert innhold: En bruker som ikke er medlem av en bestemt sikkerhetsgruppe (eller en ekstern bruker), har sett en svært privilegert rapport som er gitt til styret.
- Uautoriserte eller uventede brukeroppdateringer leierinnstillinger: En bruker som ikke er medlem av en bestemt sikkerhetsgruppe, for eksempel Power BI-administratorgruppen, har oppdatert leierinnstillingene i Power Bi-tjeneste. Du kan også velge å bli varslet når en leierinnstilling oppdateres.
- Stort antall slettinger: En bruker har slettet mer enn 20 arbeidsområder eller rapporter i en tidsperiode som er mindre enn 10 minutter.
- Stort antall nedlastinger: En bruker har lastet ned mer enn 30 rapporter i en tidsperiode som er mindre enn fem minutter.
Hvilke typer aktivitetspolicyvarsler som er beskrevet i denne delen, håndteres vanligvis av Power BI-administratorer som en del av deres tilsyn med Power BI. Når du konfigurerer varsler i Defender for Cloud Apps, anbefaler vi at du fokuserer på situasjoner som representerer betydelig risiko for organisasjonen. Det er fordi hvert varsel må gjennomgås og lukkes av en administrator.
Advarsel!
Siden aktivitetslogghendelser i Power BI ikke er tilgjengelige i sanntid, kan de ikke brukes til overvåking eller blokkering i sanntid. Du kan imidlertid bruke operasjoner fra aktivitetsloggen i aktivitetspolicyer. Pass på å samarbeide med informasjonssikkerhetsteamet for å bekrefte hva som er teknisk mulig før du kommer for langt inn i planleggingsprosessen.
Sjekkliste – Når du planlegger aktivitetspolicyene, omfatter viktige beslutninger og handlinger:
- Identifiser brukstilfeller for aktivitetsovervåking: Kompiler en liste over bestemte aktiviteter fra Power BI-aktivitetsloggen som representerer betydelig risiko for organisasjonen. Avgjør om risikoen er knyttet til én enkelt aktivitet eller gjentatte aktiviteter.
- Koordinere innsats med Power BI-administratorer: Diskuter Power BI-aktivitetene som skal overvåkes i Defender for Cloud Apps. Sørg for at det ikke er en duplisering av innsatsen mellom ulike administratorer.
Brukere påvirket
En av de overbevisende grunnene til å integrere Power BI med Defender for Cloud Apps er å dra nytte av sanntidskontroller når brukere samhandler med Power Bi-tjeneste. Denne typen integrering krever betinget tilgang til appkontroll i Microsoft Entra ID.
Før du konfigurerer appkontroll for betinget tilgang i Microsoft Entra-ID, må du vurdere hvilke brukere som skal inkluderes. Vanligvis er alle brukere inkludert. Det kan imidlertid være grunner til å ekskludere bestemte brukere.
Tips
Når du konfigurerer policyen for betinget tilgang, er det sannsynlig at Microsoft Entra-administratoren utelater bestemte administratorkontoer. Denne tilnærmingen vil hindre låsing av administratorer. Vi anbefaler at de ekskluderte kontoene er Microsoft Entra-administratorer i stedet for standard Power BI-brukere.
Visse typer policyer i Defender for Cloud Apps kan gjelde for bestemte brukere og grupper. Disse policytypene gjelder oftest for alle brukere. Det er imidlertid mulig at du støter på en situasjon når du må ekskludere bestemte brukere med hensikt.
Sjekkliste – Når du vurderer hvilke brukere som påvirkes, omfatter viktige beslutninger og handlinger:
- Vurder hvilke brukere som er inkludert: Bekreft om alle brukere vil bli inkludert i policyen for microsoft entra betinget tilgang-appkontroll.
- Identifiser hvilke administratorkontoer som skal utelates: Bestem hvilke spesifikke administratorkontoer som skal utelates med hensikt fra policyen for appkontroll for Microsoft Entra Betinget tilgang.
- Avgjør om visse Defender-policyer gjelder for delsett av brukere: Vurder om de skal gjelde for alle eller enkelte brukere (når det er mulig) for gyldige brukstilfeller.
Brukermeldinger
Når du har identifisert brukstilfeller, må du vurdere hva som skal skje når det er brukeraktivitet som samsvarer med policyen.
Når en aktivitet blokkeres i sanntid, er det viktig å gi brukeren en tilpasset melding. Meldingen er nyttig når du vil gi mer veiledning og bevissthet til brukerne i løpet av den vanlige arbeidsflyten. Det er mer sannsynlig at brukere leser og absorberer brukervarsler når de er:
- Spesifikk: Korrelerer meldingen til policyen gjør det enkelt å forstå.
- Handlingsvennlig: Tilbyr et forslag til hva de trenger å gjøre, eller hvordan du finner mer informasjon.
Noen typer policyer i Defender for Cloud Apps kan ha en tilpasset melding. Her er to eksempler på brukervarsler.
Eksempel 1: Du kan definere en policy for øktkontroll i sanntid som forhindrer alle eksporter og nedlastinger når følsomhetsetiketten for Power BI-elementet (for eksempel en rapport eller semantisk modell – tidligere kjent som et datasett) er satt til svært begrenset. Den tilpassede blokkmeldingen i Defender for Cloud Apps lyder: Filer med en svært begrenset etikett har ikke tillatelse til å lastes ned fra Power Bi-tjeneste. Vis innholdet på nettet i Power Bi-tjeneste. Kontakt kundestøtteteamet for Power BI med eventuelle spørsmål.
Eksempel 2: Du kan definere en sanntidstilgangspolicy som hindrer en bruker i å logge på Power Bi-tjeneste når de ikke bruker en maskin som administreres av organisasjonen. Den tilpassede blokkeringsmeldingen i Defender for Cloud Apps lyder: Det kan hende at Power Bi-tjeneste ikke er tilgjengelig på en personlig enhet. Bruk enheten som leveres av organisasjonen. Kontakt kundestøtteteamet for Power BI med eventuelle spørsmål.
Sjekkliste – Når du vurderer brukermeldinger i Defender for Cloud Apps, omfatter viktige beslutninger og handlinger:
- Bestem når en tilpasset blokkeringsmelding er nødvendig: For hver policy du har tenkt å opprette, må du avgjøre om det kreves en tilpasset blokkmelding.
- Opprett tilpassede blokkeringsmeldinger: For hver policy definerer du hvilken melding som skal vises for brukere. Planlegg å relatere hver melding til policyen slik at den er spesifikk og gjennomførbar.
Administratorvarsler
Varsling er nyttig når du vil gjøre sikkerhets- og samsvarsadministratorene oppmerksomme på at det har oppstått et brudd på policyen. Når du definerer policyer i Defender for Cloud Apps, bør du vurdere om varsler skal genereres. Hvis du vil ha mer informasjon, kan du se varslingstyper i Defender for Cloud Apps.
Du kan eventuelt konfigurere et varsel for å sende en e-postmelding til flere administratorer. Når det kreves et e-postvarsel, anbefaler vi at du bruker en e-postaktivert sikkerhetsgruppe. Du kan for eksempel bruke en gruppe kalt Varsling av sikkerhets- og samsvarsadministrator.
For situasjoner med høy prioritet er det mulig å sende varsler via tekstmelding. Det er også mulig å opprette egendefinert varslingsautomatisering og arbeidsflyter ved å integrere med Power Automate.
Du kan konfigurere hvert varsel med lav, middels eller høy alvorlighetsgrad. Alvorsgradsnivået er nyttig når du prioriterer gjennomgang av åpne varsler. En administrator må se gjennom og handle hvert varsel. Et varsel kan lukkes som sann positiv, falsk positiv eller godartet.
Her er to eksempler på administratorvarsler.
Eksempel 1: Du kan definere en policy for øktkontroll i sanntid som forhindrer alle eksporter og nedlastinger når følsomhetsetiketten for Power BI-elementet (for eksempel en rapport eller semantisk modell) er satt til svært begrenset. Den har en nyttig tilpasset blokkmelding for brukeren. I denne situasjonen er det imidlertid ikke nødvendig å generere et varsel.
Eksempel 2: Du kan definere en aktivitetspolicy som sporer om en ekstern bruker har sett en svært privilegert rapport som leveres til styret. Et varsel med høy alvorlighetsgrad kan konfigureres for å sikre at aktiviteten undersøkes umiddelbart.
Tips
Eksempel 2 fremhever forskjellene mellom informasjonsbeskyttelse og sikkerhet. Aktivitetspolicyen kan bidra til å identifisere scenarioer der selvbetjente BI-brukere har tillatelse til å administrere sikkerhet for innhold. Likevel kan disse brukerne utføre handlinger som er motløs av organisasjonspolicyen. Vi anbefaler at du konfigurerer disse policytypene bare i bestemte tilfeller når informasjonen er spesielt sensitiv.
Sjekkliste – Når du vurderer å varsle for administratorer i Defender for Cloud Apps, omfatter viktige beslutninger og handlinger:
- Bestem når varsler kreves: For hver policy du har tenkt å opprette, må du avgjøre hvilke situasjoner som garanterer bruk av varsler.
- Klargjør roller og ansvarsområder: Bestem forventningene og handlingen som skal utføres når et varsel genereres.
- Bestem hvem som skal motta varsler: Bestem hvilke sikkerhets- og samsvarsadministratorer som skal gjennomgå og handling åpne varsler. Bekreft at tillatelser og lisensieringskrav oppfylles for hver administrator som skal bruke Defender for Cloud Apps.
- Opprett en ny gruppe: Når det er nødvendig, oppretter du en ny e-postaktivert sikkerhetsgruppe som skal brukes til e-postvarsler.
Policynavnekonvensjon
Før du oppretter policyer i Defender for Cloud Apps, er det lurt å først opprette en navnekonvensjon. En navnekonvensjon er nyttig når det finnes mange typer policyer for mange typer programmer. Det er også nyttig når Power BI-administratorer blir involvert i overvåking.
Tips
Vurder å gi Defender for Cloud Apps tilgang til Power BI-administratorene dine. Bruk administratorrollen, som gjør det mulig å vise aktivitetsloggen, påloggingshendelser og hendelser relatert til Power Bi-tjeneste.
Vurder en navnekonvensjonsmal som inneholder komponentplassholdere: <Program> - <Beskrivelse> - <Handling> - <Policytype>
Her er noen eksempler på navnekonvensjon.
| Policytype | Sanntid | Policynavn |
|---|---|---|
| Øktpolicy | Ja | Power BI – svært begrenset etikett – Blokker nedlastinger – RT |
| Tilgangspolicy | Ja | Alle – uadministrert enhet – blokker tilgang – RT |
| Aktivitetspolicy | No | Power BI – administrativ aktivitet |
| Aktivitetspolicy | No | Power BI – rapport om leder for eksterne brukervisninger |
Komponentene i navnekonvensjonen inkluderer:
- Program: Programnavnet. Power BI-prefikset bidrar til å gruppere alle Power BI-spesifikke policyer sammen når de sorteres. Noen policyer gjelder imidlertid for alle skyapper i stedet for bare Power Bi-tjeneste.
- Beskrivelse: Beskrivelsesdelen av navnet varierer mest. Det kan omfatte følsomhetsetiketter som påvirkes eller aktivitetstypen som spores.
- Handling: (Valgfritt) I eksemplene har én øktpolicy en handling med blokkeringsnedlastinger . Vanligvis er en handling bare nødvendig når det er en sanntidspolicy.
- Policytype: (Valgfritt) I eksemplet angir RT-suffikset at det er en sanntidspolicy. Å angi om det er sanntid eller ikke bidrar til å håndtere forventningene.
Det finnes andre attributter som ikke trenger å inkluderes i policynavnet. Disse attributtene inkluderer alvorsgraden (lavt, middels eller høyt) og kategorien (for eksempel trusselregistrering eller DLP). Begge attributtene kan filtreres på varslingssiden.
Tips
Du kan gi nytt navn til en policy i Defender for Cloud Apps. Det er imidlertid ikke mulig å gi nytt navn til de innebygde policyene for avviksregistrering. Mistenkelig deling av Power BI-rapporter er for eksempel en innebygd policy som ikke kan gis nytt navn.
Sjekkliste – Når du vurderer policynavnekonvensjonen, omfatter viktige beslutninger og handlinger:
- Velg en navnekonvensjon: Bruk de første policyene til å etablere en konsekvent navnekonvensjon som er rett frem til å tolke. Fokuser på å bruke et konsekvent prefiks og suffiks.
- Dokumenter navnekonvensjonen: Gi referansedokumentasjon om policynavnekonvensjonen. Kontroller at systemansvarlige er klar over navnekonvensjonen.
- Oppdater eksisterende policyer: Oppdater eventuelle eksisterende Defender-policyer for å overholde den nye navnekonvensjonen.
Lisensieringskrav
Bestemte lisenser må være på plass for å overvåke en Power BI-leier. Administratorer må ha én av følgende lisenser.
- Microsoft Defender for Cloud Apps: Gir Defender for Cloud Apps-funksjoner for alle støttede programmer (inkludert Power Bi-tjeneste).
- Office 365 Cloud App Security: Gir Defender for Cloud Apps-funksjoner for Office 365-apper som er en del av Office 365 E5-programserien (inkludert Power Bi-tjeneste).
Hvis brukere må bruke sanntidstilgangspolicyer eller øktpolicyer i Defender for Cloud Apps, trenger de også en Microsoft Entra ID P1-lisens.
Tips
Hvis du trenger avklaringer om lisensieringskrav, kan du snakke med Microsoft-kontoteamet.
Sjekkliste – Ved evaluering av lisensieringskrav omfatter viktige beslutninger og handlinger:
- Se gjennom kravene til produktlisensiering: Sørg for at du har gjennomgått alle lisensieringskravene for å arbeide med Defender for Cloud Apps.
- Anskaffe flere lisenser: Hvis aktuelt, kan du kjøpe flere lisenser for å låse opp funksjonaliteten du har tenkt å bruke.
- Tilordne lisenser: Tilordne en lisens til hver av sikkerhets- og samsvarsadministratorene som skal bruke Defender for Cloud Apps.
Brukerdokumentasjon og opplæring
Før du ruller ut Defender for Cloud Apps, anbefaler vi at du oppretter og publiserer brukerdokumentasjon. En SharePoint-side eller en wiki-side i den sentraliserte portalen kan fungere bra fordi det vil være enkelt å vedlikeholde. Et dokument som er lastet opp til et delt bibliotek eller Teams-nettsted, er også en god løsning.
Målet med dokumentasjonen er å oppnå en sømløs brukeropplevelse. Klargjøring av brukerdokumentasjon vil også hjelpe deg med å sørge for at du har vurdert alt.
Inkluder informasjon om hvem som skal kontaktes når brukere har spørsmål eller tekniske problemer.
Vanlige spørsmål og eksempler er spesielt nyttige for brukerdokumentasjon.
Sjekkliste – Når du forbereder brukerdokumentasjon og opplæring, omfatter viktige beslutninger og handlinger:
- Oppdater dokumentasjon for innholdsopprettere og forbrukere: Oppdater vanlige spørsmål og eksempler for å inkludere relevant informasjon om policyer som brukere kan støte på.
- Publiser hvordan du får hjelp: Sørg for at brukerne vet hvordan de får hjelp når de opplever noe uventet eller at de ikke forstår.
- Bestem om spesifikk opplæring er nødvendig: Opprett eller oppdater brukeropplæringen for å inkludere nyttig informasjon, spesielt hvis det er et forskriftsmessig krav til å gjøre det.
Brukerstøtte
Det er viktig å bekrefte hvem som er ansvarlig for brukerstøtte. Det er vanlig at bruk av Defender for Cloud Apps til å overvåke Power BI gjøres av en sentralisert IT-brukerstøtte.
Det kan hende du må opprette dokumentasjon for brukerstøtte og gjennomføre noen kunnskapsoverføringsøkter for å sikre at brukerstøtten er klar til å svare på støtteforespørsler.
Sjekkliste – Når du forbereder brukerstøttefunksjonen, omfatter viktige beslutninger og handlinger:
- Identifiser hvem som vil gi brukerstøtte: Når du definerer roller og ansvarsområder, må du passe på å ta hensyn til hvordan brukere får hjelp med problemer de kan støte på.
- Sørg for at brukerstøtteteamet er klar: Opprett dokumentasjon og utfør kunnskapsoverføringsøkter for å sikre at brukerstøtten er klar til å støtte disse prosessene.
- Kommuniser mellom team: Diskuter meldinger brukere kan se, og prosessen med å løse åpne varsler med Power BI-administratorer og Kompetansesenteret. Kontroller at alle involverte er forberedt på potensielle spørsmål fra Power BI-brukere.
Implementeringssammendrag
Etter at beslutningene er tatt, og en utrullingsplan er utarbeidet, er det på tide å starte implementeringen.
Hvis du har tenkt å bruke policyer i sanntid (øktpolicyer eller tilgangspolicyer), er den første oppgaven å konfigurere appkontroll for betinget tilgang for Microsoft Entra. Du må konfigurere Power Bi-tjeneste som en katalogapp som kontrolleres av Defender for Cloud Apps.
Når Microsoft Entra-appkontroll for betinget tilgang er konfigurert og testet, kan du deretter opprette policyer i Defender for Cloud Apps.
Viktig
Vi anbefaler at du introduserer denne funksjonaliteten til et lite antall testbrukere først. Det finnes også en skjermmodus som kan være nyttig for å introdusere denne funksjonaliteten på en ryddig måte.
Følgende sjekkliste inneholder en oppsummert liste over trinnene for ende-til-ende-implementering. Mange av trinnene har andre detaljer som ble dekket i tidligere deler av denne artikkelen.
Sjekkliste – Når du implementerer Defender for Cloud Apps med Power BI, omfatter viktige beslutninger og handlinger:
- Bekreft gjeldende tilstand og mål: Sørg for at du har klarhet i gjeldende tilstand for DLP for bruk med Power BI. Alle mål og krav for implementering av DLP bør være klare og aktivt brukt til å drive beslutningsprosessen.
- Utfør beslutningsprosessen: Se gjennom og diskuter alle beslutningene som kreves. Denne aktiviteten bør skje før du konfigurerer noe i produksjon.
- Se gjennom lisensieringskravene: Sørg for at du forstår kravene til produktlisensiering og brukerlisensiering. Om nødvendig kan du anskaffe og tilordne flere lisenser.
- Publiser brukerdokumentasjon: Publiser informasjon om at brukere må svare på spørsmål og klargjøre forventningene. Gi veiledning, kommunikasjon og opplæring til brukerne slik at de er forberedt.
- Opprett en microsoft Entra-policy for betinget tilgang: Opprett en policy for betinget tilgang i Microsoft Entra ID for å aktivere sanntidskontroller for overvåking av Power Bi-tjeneste. Først må du aktivere policyen for betinget tilgang for Microsoft Entra for noen få testbrukere.
- Angi Power BI som en tilkoblet app i Defender for Cloud Apps: Legg til eller kontroller at Power BI vises som en tilkoblet app i Defender for Cloud Apps for betinget tilgang til appkontroll.
- Utfør første testing: Logg på Power Bi-tjeneste som en av testbrukerne. Kontroller at tilgang fungerer. Kontroller også at meldingen som vises, informerer deg om at Power Bi-tjeneste overvåkes av Defender for Cloud Apps.
- Opprett og test en sanntidspolicy: Ved hjelp av brukstilfellene som allerede er kompilert, oppretter du en tilgangspolicy eller en øktpolicy i Defender for Cloud Apps.
- Utfør første testing: Som testbruker utfører du en handling som utløser sanntidspolicyen. Kontroller at handlingen er blokkert (hvis aktuelt), og at de forventede varselmeldingene vises.
- Samle inn tilbakemeldinger fra brukere: Få tilbakemelding om prosessen og brukeropplevelsen. Identifiser områder med forvirring, uventede resultater med sensitive informasjonstyper og andre tekniske problemer.
- Fortsett iterative utgivelser: Legg gradvis til flere policyer i Defender for Cloud Apps til alle brukstilfeller er adressert.
- Se gjennom de innebygde policyene: Finn de innebygde policyene for avviksregistrering i Defender for Cloud Apps (som har Power BI i navnet). Oppdater varslingsinnstillingene for de innebygde policyene når det er nødvendig.
- Fortsett med en bredere utrulling: Fortsett å arbeide gjennom den iterative utrullingsplanen. Oppdater policyen for betinget tilgang for Microsoft Entra for å gjelde for et bredere sett med brukere etter behov. Oppdater individuelle policyer i Defender for Cloud Apps for å gjelde for et bredere sett med brukere etter behov.
- Overvåk, juster og juster: Invester ressurser for å se gjennom varsler og overvåkingslogger for policyer ofte. Undersøk eventuelle falske positiver og juster policyer når det er nødvendig.
Tips
Disse sjekklisteelementene er oppsummert for planleggingsformål. Hvis du vil ha mer informasjon om disse sjekklisteelementene, kan du se de forrige delene av denne artikkelen.
Hvis du vil ha mer spesifikk informasjon om distribusjon av Power BI som et katalogprogram i Defender for Cloud Apps, kan du se fremgangsmåten for å distribuere katalogapper.
Kontinuerlig overvåking
Når du har fullført implementeringen, bør du rette oppmerksomheten mot overvåking, håndheve og justere Policyer for Defender for Cloud Apps basert på bruken deres.
Power BI-administratorer og sikkerhets- og samsvarsadministratorer må samarbeide fra tid til annen. For Power BI-innhold er det to målgrupper for overvåking.
- Power BI-administratorer: I tillegg til varsler som genereres av Defender for Cloud Apps, vises også aktiviteter fra Power BI-aktivitetsloggen i Defender for Cloud Apps-portalen.
- Sikkerhets- og samsvarsadministratorer: Organisasjonens sikkerhets- og samsvarsadministratorer bruker vanligvis Defender for Cloud Apps-varsler.
Det er mulig å gi Power BI-administratorene en begrenset visning i Defender for Cloud Apps. Den bruker en omfangsrolle til å vise aktivitetsloggen, påloggingshendelser og hendelser relatert til Power Bi-tjeneste. Denne funksjonen er en praktisk funksjon for Power BI-administratorer.
Sjekkliste – Når du overvåker Defender for Cloud Apps, omfatter viktige beslutninger og handlinger:
- Bekreft roller og ansvarsområder: Sørg for at du er tydelig på hvem som er ansvarlig for hvilke handlinger. Lær opp og kommuniser med Power BI-administratorene hvis de er ansvarlige for alle aspekter ved overvåking.
- Administrer tilgang for Power BI-administratorer: Legg til Power BI-administratorer i rollen som administrator i Defender for Cloud Apps. Kommuniser med dem slik at de er klar over hva de kan gjøre med denne ekstra informasjonen.
- Opprett eller valider prosessen for gjennomgang av aktivitet: Kontroller at sikkerhets- og samsvarsadministratorene er tydelige på forventningene til regelmessig gjennomgang av aktivitetsutforskeren.
- Opprett eller valider prosessen for å løse varsler: Sørg for at sikkerhets- og samsvarsadministratorene har en prosess på plass for å undersøke og løse åpne varsler.
Relatert innhold
I den neste artikkelen i denne serien finner du ut mer om overvåking for hindring av informasjonsbeskyttelse og hindring av datatap for Power BI.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for