Często używane zasady ochrony informacji Microsoft Defender dla Chmury Apps
Defender dla Chmury Zasady plików aplikacji umożliwiają wymuszanie szerokiego zakresu zautomatyzowanych procesów. Zasady można ustawić tak, aby zapewnić ochronę informacji, w tym ciągłe skanowanie zgodności, zadania zbierania elektronicznych materiałów dowodowych i DLP dla poufnej zawartości udostępnianej publicznie.
Defender dla Chmury Aplikacje mogą monitorować dowolny typ pliku na podstawie ponad 20 filtrów metadanych, na przykład poziomu dostępu i typu pliku. Aby uzyskać więcej informacji, zobacz Zasady dotyczące plików.
Wykrywanie i zapobieganie zewnętrznemu udostępnianiu poufnych danych
Wykryj, kiedy pliki z danymi osobowymi identyfikującymi lub inne poufne dane są przechowywane w usłudze w chmurze i udostępniane użytkownikom spoza organizacji, które naruszają zasady zabezpieczeń firmy, i tworzą potencjalne naruszenie zgodności.
Wymagania wstępne
Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.
Kroki
W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady dotyczące plików.
Ustaw poziom dostępu filtru równy Publiczne (Internet) / Publiczny / Zewnętrzny.
W obszarze Metoda inspekcji wybierz pozycję Usługa klasyfikacji danych (DCS) i w obszarze Wybierz typ wybierz typ poufnych informacji, które mają być sprawdzane przez usługę DCS.
Skonfiguruj akcje ładu do wykonania po wyzwoleniu alertu. Na przykład możesz utworzyć akcję nadzoru uruchamianą w przypadku wykrytych naruszeń plików w obszarze roboczym Google, w którym wybierzesz opcję Usuń użytkowników zewnętrznych i Usuń dostęp publiczny.
Utwórz zasady dotyczące plików.
Wykrywanie danych poufnych udostępnianych zewnętrznie
Wykryj, kiedy pliki oznaczone etykietą Poufne i są przechowywane w usłudze w chmurze są udostępniane użytkownikom zewnętrznym, naruszając zasady firmy.
Wymagania wstępne
Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.
Włącz integrację usługi Microsoft Purview Information Protection.
Kroki
W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady dotyczące plików.
Ustaw etykietę poufności filtru na Wartość Microsoft Purview Information Protection równą etykiecie Poufne lub równoważnej firmie.
Ustaw poziom dostępu filtru równy Publiczne (Internet) / Publiczny / Zewnętrzny.
Opcjonalnie: ustaw akcje nadzoru , które mają być wykonywane dla plików po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług.
Utwórz zasady dotyczące plików.
Wykrywanie i szyfrowanie poufnych danych magazynowanych
Wykrywanie plików zawierających dane osobowe i inne poufne dane, które są udostępniane w aplikacji w chmurze, i stosowanie etykiet poufności w celu ograniczenia dostępu tylko do pracowników w firmie.
Wymagania wstępne
Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.
Włącz integrację usługi Microsoft Purview Information Protection.
Kroki
W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady dotyczące plików.
W obszarze Metoda inspekcji wybierz pozycję Usługa klasyfikacji danych (DCS) i w obszarze Wybierz typ wybierz typ poufnych informacji, które mają być sprawdzane przez usługę DCS.
W obszarze Akcje ładu zaznacz pole Zastosuj etykietę poufności i wybierz etykietę poufności używaną przez firmę w celu ograniczenia dostępu do pracowników firmy.
Utwórz zasady dotyczące plików.
Uwaga
Możliwość stosowania etykiety poufności bezpośrednio w aplikacjach Defender dla Chmury jest obecnie obsługiwana tylko w przypadku usług Box, Google Workspace, SharePoint Online i OneDrive dla Firm.
Wykrywanie dostępu do danych z nieautoryzowanej lokalizacji
Wykryj, kiedy pliki są dostępne z nieautoryzowanej lokalizacji na podstawie typowych lokalizacji organizacji, aby zidentyfikować potencjalny wyciek danych lub złośliwy dostęp.
Wymagania wstępne
Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.
Kroki
W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady działania.
Ustaw typ działania filtru na działania dotyczące plików i folderów, takie jak Widok, Pobieranie, Dostęp i Modyfikowanie.
Ustaw filtr Lokalizacja nie równa się, a następnie wprowadź kraje/regiony, z których organizacja oczekuje aktywności.
- Opcjonalnie: możesz użyć przeciwnego podejścia i ustawić filtr Na wartość Lokalizacja jest równa, jeśli organizacja blokuje dostęp z określonych krajów/regionów.
Opcjonalnie: Utwórz akcje ładu , które mają być stosowane w przypadku wykrytego naruszenia (dostępność różni się między usługami), takich jak Wstrzymaj użytkownika.
Utwórz zasady działania.
Wykrywanie i ochrona poufnego magazynu danych w niezgodnej witrynie sp
Wykrywanie plików, które są oznaczone jako poufne i są przechowywane w niezgodnej witrynie programu SharePoint.
Wymagania wstępne
Etykiety poufności są konfigurowane i używane w organizacji.
Kroki
W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady dotyczące plików.
Ustaw etykietę poufności filtru na Wartość Microsoft Purview Information Protection równą etykiecie Poufne lub równoważnej firmie.
Ustaw folder nadrzędny filtru nie jest równy, a następnie w obszarze Wybierz folder wybierz wszystkie zgodne foldery w organizacji.
W obszarze Alerty wybierz pozycję Utwórz alert dla każdego pasującego pliku.
Opcjonalnie: ustaw akcje nadzoru , które mają być wykonywane dla plików po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług. Na przykład ustaw pole na Wysyłanie skrótu dopasowania zasad do właściciela pliku i Umieść w kwarantannie administratora.
Utwórz zasady dotyczące plików.
Wykrywanie kodu źródłowego udostępnionego zewnętrznie
Wykryj, kiedy pliki zawierające zawartość, która może być kodem źródłowym, są udostępniane publicznie lub są udostępniane użytkownikom spoza organizacji.
Wymagania wstępne
Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.
Kroki
W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady dotyczące plików.
Wybierz i zastosuj szablon zasad Zewnętrznie udostępniony kod źródłowy
Opcjonalnie: dostosuj listę rozszerzeń plików, aby dopasować je do rozszerzeń plików kodu źródłowego organizacji.
Opcjonalnie: ustaw akcje nadzoru , które mają być wykonywane dla plików po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług. Na przykład w polu Wyślij skrót dopasowania zasad do właściciela pliku i Umieść w kwarantannie administratora.
Wybierz i zastosuj szablon zasad.
Wykrywanie nieautoryzowanego dostępu do danych grupy
Wykryj, kiedy dostęp do niektórych plików należących do określonej grupy użytkowników jest nadmiernie uzyskiwany przez użytkownika, który nie jest częścią grupy, co może być potencjalnym zagrożeniem poufnym.
Wymagania wstępne
Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.
Kroki
W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady działania.
W obszarze Działanie włączone wybierz pozycję Powtórzone działanie i dostosuj minimalne powtarzające się działania i ustaw przedział czasu , aby był zgodny z zasadami organizacji.
Ustaw typ działania filtru na działania dotyczące plików i folderów, takie jak Widok, Pobieranie, Dostęp i Modyfikowanie.
Ustaw filtr User na From group equals (Użytkownik ) na From group (Z grupy ), a następnie wybierz odpowiednie grupy użytkowników.
Uwaga
Grupy użytkowników można zaimportować ręcznie z obsługiwanych aplikacji.
Ustaw filtr Pliki i foldery na Określone pliki lub foldery równe, a następnie wybierz pliki i foldery należące do poddanej inspekcji grupy użytkowników.
Ustaw akcje nadzoru, które mają być wykonywane na plikach po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług. Możesz na przykład wybrać opcję Wstrzymanie użytkownika.
Utwórz zasady dotyczące plików.
Wykrywanie publicznie dostępnych zasobników S3
Wykrywanie i ochrona przed potencjalnymi wyciekami danych z zasobników usługi AWS S3.
Wymagania wstępne
Musisz mieć wystąpienie platformy AWS połączone przy użyciu łączników aplikacji.
Kroki
W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady dotyczące plików.
Wybierz i zastosuj szablon zasad Publicznie dostępne zasobniki S3 (AWS).
Ustaw akcje nadzoru, które mają być wykonywane na plikach po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług. Na przykład ustaw usługę AWS na Ustaw jako prywatną, co spowoduje, że zasobniki S3 będą prywatne.
Utwórz zasady dotyczące plików.
Wykrywanie i ochrona danych związanych z RODO w aplikacjach magazynu plików
Wykrywanie plików udostępnianych w aplikacjach magazynu w chmurze i zawiera informacje osobowe oraz inne poufne dane powiązane z zasadami zgodności z RODO. Następnie automatycznie zastosuj etykiety poufności, aby ograniczyć dostęp tylko do autoryzowanych pracowników.
Wymagania wstępne
Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.
Integracja usługi Microsoft Purview Information Protection jest włączona, a etykieta RODO jest skonfigurowana w usłudze Microsoft Purview
Kroki
W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady dotyczące plików.
W obszarze Metoda inspekcji wybierz pozycję Data Classification Service (DCS) i w obszarze Wybierz typ wybierz jeden lub więcej typów informacji, które są zgodne ze zgodnością z RODO, na przykład: numer karty debetowej UE, numer licencji kierowców UE, numer identyfikacyjny ue/regionalny, numer paszportu UE, numer identyfikacyjny UE, numer SSN, numer identyfikacyjny jednostki SU.
Ustaw akcje nadzoru, które mają być wykonywane dla plików po wykryciu naruszenia, wybierając pozycję Zastosuj etykietę poufności dla każdej obsługiwanej aplikacji.
Utwórz zasady dotyczące plików.
Uwaga
Obecnie opcja Zastosuj etykietę poufności jest obsługiwana tylko w przypadku usług Box, Google Workspace, SharePoint Online i OneDrive dla firm.
Blokowanie pobierania dla użytkowników zewnętrznych w czasie rzeczywistym
Zapobiegaj eksfiltracji danych firmowych przez użytkowników zewnętrznych, blokując pobieranie plików w czasie rzeczywistym przy użyciu kontrolek sesji Defender dla Chmury Apps.
Wymagania wstępne
Upewnij się, że aplikacja jest aplikacją opartą na protokole SAML, która używa identyfikatora Microsoft Entra do logowania jednokrotnego lub jest dołączona do aplikacji Defender dla Chmury do kontroli aplikacji dostępu warunkowego.
Aby uzyskać więcej informacji na temat obsługiwanych aplikacji, zobacz Obsługiwane aplikacje i klienci.
Kroki
W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady sesji.
W obszarze Typ kontrolki sesji wybierz pozycję Kontrola pobierania pliku (z inspekcją)..
W obszarze Filtry działań wybierz pozycję Użytkownik i ustaw ją na Wartość Z grupy równa się Użytkownicy zewnętrzni.
Uwaga
Nie musisz ustawiać żadnych filtrów aplikacji, aby umożliwić stosowanie tych zasad do wszystkich aplikacji.
Możesz użyć filtru Plik, aby dostosować typ pliku. Zapewnia to bardziej szczegółową kontrolę nad typem plików kontrolek zasad sesji.
W obszarze Akcje wybierz pozycję Blokuj. Możesz wybrać pozycję Dostosuj komunikat bloku, aby ustawić niestandardowy komunikat , który ma być wysyłany do użytkowników, aby zrozumieć przyczynę zablokowania zawartości i sposób jej włączania, stosując odpowiednią etykietę poufności.
Wybierz pozycję Utwórz.
Wymuszanie trybu tylko do odczytu dla użytkowników zewnętrznych w czasie rzeczywistym
Uniemożliwianie eksfiltracji danych firmowych przez użytkowników zewnętrznych przez blokowanie działań drukowania i kopiowania/wklejania w czasie rzeczywistym przy użyciu kontrolek sesji Defender dla Chmury Apps.
Wymagania wstępne
Upewnij się, że aplikacja jest aplikacją opartą na protokole SAML, która używa identyfikatora Microsoft Entra do logowania jednokrotnego lub jest dołączona do aplikacji Defender dla Chmury do kontroli aplikacji dostępu warunkowego.
Aby uzyskać więcej informacji na temat obsługiwanych aplikacji, zobacz Obsługiwane aplikacje i klienci.
Kroki
W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady sesji.
W obszarze Typ kontrolki sesji wybierz pozycję Blokuj działania.
W filtrze Źródło działania:
Wybierz pozycję Użytkownik i ustaw pozycję Z grupy na użytkowników zewnętrznych.
Wybierz pozycję Typ działania równy Drukuj i Wycinaj/kopiuj element.
Uwaga
Nie musisz ustawiać żadnych filtrów aplikacji, aby umożliwić stosowanie tych zasad do wszystkich aplikacji.
Opcjonalnie: W obszarze Metoda inspekcji wybierz typ inspekcji, który ma być stosowany, i ustaw niezbędne warunki skanowania DLP.
W obszarze Akcje wybierz pozycję Blokuj. Możesz wybrać pozycję Dostosuj komunikat bloku, aby ustawić niestandardowy komunikat , który ma być wysyłany do użytkowników, aby zrozumieć przyczynę zablokowania zawartości i sposób jej włączania, stosując odpowiednią etykietę poufności.
Wybierz pozycję Utwórz.
Blokuj przekazywanie niesklasyfikowanych dokumentów w czasie rzeczywistym
Uniemożliwiaj użytkownikom przekazywanie niechronionych danych do chmury przy użyciu kontrolek sesji Defender dla Chmury Apps.
Wymagania wstępne
- Upewnij się, że aplikacja jest aplikacją opartą na protokole SAML, która używa identyfikatora Microsoft Entra do logowania jednokrotnego lub jest dołączona do aplikacji Defender dla Chmury do kontroli aplikacji dostępu warunkowego.
Aby uzyskać więcej informacji na temat obsługiwanych aplikacji, zobacz Obsługiwane aplikacje i klienci.
- Etykiety poufności z usługi Microsoft Purview Information Protection muszą być skonfigurowane i używane w organizacji.
Kroki
W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady sesji.
W obszarze Typ kontroli sesji wybierz pozycję Kontrola przekazywania plików (z inspekcją) lub Kontrola pobierania pliku (z inspekcją)..
Uwaga
Nie musisz ustawiać żadnych filtrów, aby umożliwić stosowanie tych zasad do wszystkich użytkowników i aplikacji.
Wybierz etykietę poufności filtru pliku, a następnie wybierz etykiety używane przez firmę do tagowania plików sklasyfikowanych.
Opcjonalnie: W obszarze Metoda inspekcji wybierz typ inspekcji, który ma być stosowany, i ustaw niezbędne warunki skanowania DLP.
W obszarze Akcje wybierz pozycję Blokuj. Możesz wybrać pozycję Dostosuj komunikat bloku, aby ustawić niestandardowy komunikat , który ma być wysyłany do użytkowników, aby zrozumieć przyczynę zablokowania zawartości i sposób jej włączania, stosując odpowiednią etykietę poufności.
Wybierz pozycję Utwórz.
Uwaga
Aby uzyskać listę typów plików, które obecnie Defender dla Chmury Apps obsługuje etykiety poufności z usługi Microsoft Purview Information Protection, zobacz Wymagania wstępne dotyczące integracji usługi Microsoft Purview Information Protection.
Następne kroki
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.