Planning van power BI-implementatie: controle van gegevensbescherming en preventie van gegevensverlies voor Power BI

Notitie

Dit artikel maakt deel uit van de reeks artikelen over de implementatieplanning van Power BI. Deze reeks richt zich voornamelijk op de Power BI-workload in Microsoft Fabric. Zie de planning van de Power BI-implementatie voor een inleiding tot de reeks.

In dit artikel wordt beschreven welk type controle u kunt uitvoeren nadat u DLP (Information Protection and Data Loss Prevention) hebt geïmplementeerd. Het is gericht op:

• Power BI-beheerders: de beheerders die verantwoordelijk zijn voor het toezicht op Power BI in de organisatie. Power BI-beheerders moeten samenwerken met informatiebeveiliging en andere relevante teams.
• Center of Excellence-, IT- en BI-teams: anderen die verantwoordelijk zijn voor het toezicht op Power BI in de organisatie. Mogelijk moeten ze samenwerken met Power BI-beheerders, informatiebeveiligingsteams en andere relevante teams.

Het is belangrijk om te begrijpen hoe gegevensbescherming en preventie van gegevensverlies in uw organisatie worden gebruikt. U kunt dit bereiken door controle uit te voeren, wat het volgende kan:

• Gebruikspatronen, activiteiten en acceptatie bijhouden
• Ondersteuning voor governance en beveiligingsvereisten
• Niet-nalevingsproblemen met specifieke vereisten zoeken
• De huidige installatie documenteer
• Mogelijkheden voor gebruikersonderwijs en -training identificeren

Controlelijst : bij het overwegen van controle voor gegevensbeveiliging en DLP zijn belangrijke beslissingen en acties:

• Bepaal wat het belangrijkst is om te controleren: bedenk wat het belangrijkst is vanuit een controleperspectief. Prioriteit geven aan risicogebieden, grote inefficiënties of niet-naleving van wettelijke vereisten. Wanneer er zich een situatie voordoet die kan worden verbeterd, informeert u gebruikers over de juiste manieren om dingen te doen.
• Implementeer relevante controleprocessen: Plaats processen om rapporten te extraheren, integreren, modelleren en maken, zodat controle kan worden uitgevoerd.
• Voer de juiste actie uit: Zorg ervoor dat iemand de autoriteit en tijd heeft om passende actie te ondernemen met behulp van de informatie die is verkregen uit de controleprocessen. Afhankelijk van de situatie kan het nodig zijn om aan te passen welke vertrouwelijkheidslabels aan inhoud zijn toegewezen. Andere situaties kunnen betrekking hebben op gebruikersonderwijs of -training.

In de rest van dit artikel worden nuttige controleprocessen en suggesties beschreven.

Power BI-activiteitenlogboek

Voor informatiebeveiliging kunt u het Power BI-activiteitenlogboek gebruiken om activiteiten bij te houden die betrekking hebben op vertrouwelijkheidslabels.

Wanneer u DLP voor Power BI hebt geïmplementeerd, wordt in het activiteitenlogboek bijgehouden wanneer er een overeenkomst met een DLP-regel is.

• Wat u zoekt: U kunt bepalen wanneer specifieke activiteiten plaatsvinden, zoals:
  • Vertrouwelijkheidslabels zijn toegepast, gewijzigd, verwijderd en door welke gebruikers
  • Of labels handmatig zijn toegepast
  • Of labels automatisch zijn toegepast (bijvoorbeeld door overname of een implementatiepijplijn)
  • Of een gewijzigd label is bijgewerkt (naar een gevoeliger label) of gedowngraded (naar een minder gevoelig label)
  • Hoe vaak DLP-gebeurtenissen worden geactiveerd, waar en door welke gebruikers
• Acties die moeten worden uitgevoerd: Zorg ervoor dat gegevens uit het activiteitenlogboek regelmatig worden geëxtraheerd door een beheerder die gemachtigd is om metagegevens op tenantniveau te extraheren. Bepaal hoe u activiteiten classificeert ter ondersteuning van uw controlebehoeften. Sommige activiteiten kunnen een beoordeling rechtvaardigen door een beheerder of inhoudseigenaar (bijvoorbeeld wanneer een label wordt verwijderd). Andere activiteiten kunnen rechtvaardigen dat ze worden opgenomen in reguliere controlebeoordelingen (bijvoorbeeld wanneer labels worden gedowngraded of wanneer DLP-regel overeenkomt).
• Waar u deze gegevens kunt vinden: Power BI-beheerders kunnen het Power BI-activiteitenlogboek gebruiken om activiteiten weer te geven die betrekking hebben op Power BI-inhoud. In Defender voor Cloud Apps kunt u uw Power BI-beheerders ook een beperkte weergave geven, zodat ze activiteitenlogboekgebeurtenissen, aanmeldingsgebeurtenissen en andere gebeurtenissen met betrekking tot de Power BI-service kunnen zien.

Metrische gegevens over Power BI-beveiliging

Het rapport met metrische gegevensbescherming is een speciaal rapport in de Power BI-beheerportal. Hierin wordt samengevat hoe vertrouwelijkheidslabels worden toegewezen aan inhoud in uw Power BI-tenant.

• Wat u zoekt: U kunt snel zien hoe vaak vertrouwelijkheidslabels worden toegepast op elk type item (bijvoorbeeld semantisch model of rapport) in de Power BI-service.
• Acties die moeten worden uitgevoerd: bekijk dit rapport om vertrouwd te raken met de hoeveelheid inhoud waarop geen label is toegepast.
• Waar u deze gegevens kunt vinden: Power BI-beheerders kunnen het rapport met metrische gegevensbescherming vinden in de Power BI-beheerportal.

Tip

Het rapport met metrische gegevensbescherming is een overzichtsrapport. U kunt ook de scanner-API's gebruiken, die in de volgende sectie worden beschreven, om diepere analyses uit te voeren.

API's voor Power BI-scanner

Met de API's van de Power BI-scanner kunt u de metagegevens in uw Power BI-tenant scannen. De metagegevens van Power BI-items, zoals semantische modellen en rapporten, kunnen u helpen bij het bewaken en controleren van selfservicegebruikersactiviteit.

U kunt bijvoorbeeld ontdekken dat inhoud in een financiële werkruimte is toegewezen aan drie verschillende vertrouwelijkheidslabels. Als een van deze labels niet geschikt is voor financiële gegevens, kunt u geschiktere labels toepassen.

• Wat u zoekt: u kunt een inventaris maken van Power BI-items in uw tenant, inclusief het vertrouwelijkheidslabel van elk item.
• Te ondernemen acties: Maak een proces om uw tenant wekelijks of maandelijks te scannen. Gebruik de metagegevens die zijn opgehaald door de scanner-API's om te begrijpen hoe Power BI-inhoud is gelabeld. Onderzoek verder als u merkt dat sommige labels niet voldoen aan de verwachtingen voor de werkruimte. Correleren metagegevens van de scanner-API's met gebeurtenissen uit het Power BI-activiteitenlogboek om te bepalen wanneer een vertrouwelijkheidslabel is toegepast, gewijzigd, verwijderd en door welke gebruiker.
• Waar u deze gegevens kunt vinden: Power BI-beheerders kunnen de Api's van de Power BI-scanner gebruiken om een momentopname op te halen van de vertrouwelijkheidslabels die zijn toegepast op alle Power BI-inhoud. Als u liever uw eigen inventarisrapporten wilt maken, kunt u de API's rechtstreeks gebruiken door scripts te schrijven. U kunt de API's ook indirect gebruiken door Power BI te registreren in de Microsoft Purview-gegevenstoewijzing (die gebruikmaakt van de Api's van de Power BI-scanner om de Power BI-tenant te scannen).

Microsoft Purview-activiteitenverkenner

Activiteitenverkenner in de Microsoft Purview-nalevingsportal voegt nuttige controlegegevens samen. Deze gegevens kunnen u helpen inzicht te hebben in de activiteiten in toepassingen en services.

Tip

Activiteitenverkenner toont alleen bepaalde typen Power BI-gebeurtenissen. Plan zowel het Power BI-activiteitenlogboek als de activiteitenverkenner te gebruiken om gebeurtenissen weer te geven.

• Wat u zoekt: U kunt activiteitenverkenner gebruiken om activiteit van vertrouwelijkheidslabels van verschillende toepassingen weer te geven, waaronder Teams, SharePoint Online, OneDrive, Exchange Online en Power BI. Het is ook mogelijk om te zien wanneer een bestand is gelezen, waar en door welke gebruiker. Bepaalde typen DLP-beleidsevenementen worden ook weergegeven in de activiteitenverkenner. Wanneer er een reden wordt gegeven om een wijziging van het vertrouwelijkheidslabel uit te leggen, kunt u de reden bekijken in activiteitenverkenner.
• Acties die moeten worden uitgevoerd: Controleer regelmatig activiteitenverkenner-gebeurtenissen om te bepalen of er gebieden van zorg zijn of gebeurtenissen die verder onderzoek rechtvaardigen. Sommige gebeurtenissen kunnen een beoordeling rechtvaardigen door een beheerder of inhoudseigenaar (bijvoorbeeld wanneer een label wordt verwijderd). Andere gebeurtenissen kunnen rechtvaardigen dat ze worden opgenomen in reguliere controlebeoordelingen (bijvoorbeeld wanneer labels worden gedowngraded).
• Waar u deze gegevens kunt vinden: Microsoft 365-beheerders kunnen activiteitenverkenner in de Microsoft Purview-nalevingsportal gebruiken om alle activiteiten voor vertrouwelijkheidslabels weer te geven.

Microsoft Purview-inhoudsverkenner

Inhoudsverkenner in de Microsoft Purview-nalevingsportal biedt een momentopname van waar gevoelige informatie zich bevindt in een breed scala aan toepassingen en services.

Tip

Het is niet mogelijk om Power BI Desktop-bestanden (.pbix) te zien in inhoudsverkenner. U kunt inhoudsverkenner echter gebruiken om bepaalde typen ondersteunde bestanden te zien die zijn geëxporteerd uit de Power BI-service, zoals Excel-bestanden.

• Waar u naar moet zoeken: u kunt inhoudsverkenner gebruiken om te bepalen welke gevoelige gegevens op verschillende locaties worden gevonden, zoals Teams, SharePoint Online, OneDrive en Exchange Online.
• Acties die moeten worden uitgevoerd: Bekijk inhoudsverkenner wanneer u inzicht wilt krijgen in welke inhoud er bestaat en waar deze zich bevindt. Gebruik deze informatie om de beslissingen te beoordelen die u hebt genomen en of er andere acties moeten worden ondernomen.
• Waar u deze gegevens kunt vinden: Microsoft 365-beheerders kunnen inhoudsverkenner in de Microsoft Purview-nalevingsportal gebruiken om te zoeken waar gevoelige gegevens zich momenteel bevinden.

Gerelateerde inhoud

Voor meer overwegingen, acties, besluitvormingscriteria en aanbevelingen om u te helpen bij beslissingen over de implementatie van Power BI, raadpleegt u de onderwerpen voor de planning van de Power BI-implementatie.