Strategia Zero Trust DoD dla filaru danych

Strategia i harmonogram działania DoD Zero Trust przedstawia ścieżkę dla partnerów Departamentu Obrony i Bazy Przemysłowej Obrony (DIB) w celu przyjęcia nowej struktury cyberbezpieczeństwa na podstawie zasad Zero Trust. Zero Trust eliminuje tradycyjne założenia dotyczące obwodów i zaufania, umożliwiając bardziej wydajną architekturę, która zwiększa bezpieczeństwo, środowiska użytkownika i wydajność misji.

Ten przewodnik zawiera zalecenia dotyczące 152 działań Zero Trust w Planie wdrażania zdolności Zero Trust DoD. Sekcje odpowiadają siedmiu filarom modelu Zero Trust DoD.

Skorzystaj z poniższych linków, aby przejść do sekcji przewodnika.

4 Dane

Ta sekcja zawiera wskazówki i zalecenia firmy Microsoft dotyczące działań Zero Trust doD w filarze danych. Aby dowiedzieć się więcej, zobacz Ochrona danych z Zero Trust.

4.1 Dostosowanie ryzyka katalogu danych

Rozwiązania Microsoft Purview pomagają odkrywać, identyfikować, zarządzać, chronić i administrować danymi w miejscu ich przechowywania. Microsoft Purview udostępnia trzy elementy do identyfikowania elementów, aby można je było sklasyfikować. Elementy mogą być klasyfikowane ręcznie, przez użytkowników za pośrednictwem zautomatyzowanego rozpoznawania wzorców, tak jak w przypadku typów informacji poufnych i za pośrednictwem uczenia maszynowego.

Opis i wynik działania dod Wskazówki i zalecenia firmy Microsoft

Target 4.1.1 Analiza Danych
Organizacje Departamentu Obrony aktualizują katalog usług i aplikacji poprzez przypisywanie klasyfikacji danych. Tagi danych są również dodawane do każdej usługi i aplikacji.

Wynik:
— wykaz usług jest aktualizowany przy użyciu typów danych dla każdej aplikacji i usługi na podstawie poziomów klasyfikacji danych Microsoft Purview
Przeglądnij typy informacji poufnych w portalu zgodności Microsoft Purview i zdefiniuj niestandardowe typy informacji poufnych.
- Niestandardowe typy informacji poufnych w portalu zgodności usługi Purview

Użyj Eksploratora zawartości usługi Purview lub Eksploratora działań, aby wyświetlić migawkę oznaczonej etykietami zawartości Microsoft 365 i wyświetlić powiązane działania użytkownika.
- Eksplorator zawartości
- Eksplorator działań

Microsoft Defender for Cloud Apps
Zintegruj Microsoft Purview Information Protection, żeby zastosować etykiety poufności do danych pasujących do zasad. Zbadaj potencjalne ujawnienie poufnych danych w aplikacjach w chmurze.
- Zintegruj Ochronę Informacji

Katalog danych Microsoft Purview
Przeglądaj katalog danych Purview, aby eksplorować dane w swoim zbiorze danych.
- Katalog danych Purview

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 4.1.1 Analiza Danych Organizacje Departamentu Obrony aktualizują katalog usług i aplikacji poprzez przypisywanie klasyfikacji danych. Tagi danych są również dodawane do każdej usługi i aplikacji. Wynik: — wykaz usług jest aktualizowany przy użyciu typów danych dla każdej aplikacji i usługi na podstawie poziomów klasyfikacji danych	Microsoft Purview Przeglądnij typy informacji poufnych w portalu zgodności Microsoft Purview i zdefiniuj niestandardowe typy informacji poufnych. - Niestandardowe typy informacji poufnych w portalu zgodności usługi Purview Użyj Eksploratora zawartości usługi Purview lub Eksploratora działań, aby wyświetlić migawkę oznaczonej etykietami zawartości Microsoft 365 i wyświetlić powiązane działania użytkownika. - Eksplorator zawartości - Eksplorator działań Microsoft Defender for Cloud Apps Zintegruj Microsoft Purview Information Protection, żeby zastosować etykiety poufności do danych pasujących do zasad. Zbadaj potencjalne ujawnienie poufnych danych w aplikacjach w chmurze. - Zintegruj Ochronę Informacji Katalog danych Microsoft Purview Przeglądaj katalog danych Purview, aby eksplorować dane w swoim zbiorze danych. - Katalog danych Purview

4.2 Zarządzanie danymi przedsiębiorstwa w obrębie DoD

Microsoft Purview Information Protection używa etykiet poufności. Możesz tworzyć etykiety poufności odpowiednie dla organizacji, kontrolować, które etykiety są widoczne dla użytkowników, i definiować zakres etykiet. Określanie zakresu etykiet plików, wiadomości e-mail, spotkań, Microsoft Teams, witryn SharePoint i innych. Etykiety chronią zawartość za pomocą szyfrowania, ograniczają udostępnianie zewnętrzne i zapobiegają utracie danych.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 4.2.1 Definiowanie standardów tagowania danychDoD Enterprise współpracuje z organizacjami w celu ustanowienia standardów tagowania i klasyfikacji danych na podstawie najlepszych rozwiązań branżowych. Klasyfikacje są uzgadniane i implementowane w procesach. Tagi są identyfikowane jako ręczne i zautomatyzowane na potrzeby przyszłych działań. Wyniki: - Standardy klasyfikacji i tagowania danych dla przedsiębiorstwa są opracowywane — organizacje dostosowują się do standardów przedsiębiorstwa i rozpoczynają wdrażanie	pl-PL: Microsoft Purview Tworzenie i publikowanie etykiet poufności w Microsoft Purview, zgodnie ze standardami tagowania danych, które definiujesz. - Etykiety i zasady poufności - Etykiety poufności w Microsoft 365
`Target` 4.2.2 Standardy współdziałania DoD Enterprise współpracując z organizacjami opracowuje standardy interoperacyjności, integrując obowiązkowe rozwiązania Zarządzania Prawami do Danych (DRM) i ochrony z niezbędnymi technologiami, aby umożliwić docelową funkcjonalność ZT. Wynik: — standardy formalne obowiązują w przedsiębiorstwie zgodnie z odpowiednimi standardami danych	Azure Rights Management Użyj Azure RMS na potrzeby zarządzania prawami do danych (DRM) i współdziałania z innymi jednostkami DoD we współpracy z usługami Microsoft 365. - Azure RMS - Aplikacje obsługujące etykiety poufności
`Target` 4.2.3 Opracowywanie zasad magazynu zdefiniowanego programowo (SDS)Firma DoD współpracująca z organizacjami ustanawia zasady i standardy dotyczące magazynu definiowanego przez oprogramowanie (SDS) oparte na najlepszych rozwiązaniach branżowych. Organizacje doD oceniają bieżącą strategię magazynowania danych i technologię implementacji sdS. W stosownych przypadkach technologia magazynowania jest identyfikowana na potrzeby implementacji sdS. Wyniki: — określanie potrzeby implementacji narzędzia SDS — zasady dla sdS są tworzone na poziomie przedsiębiorstwa i organizacji	SharePoint Online Użyj SharePoint Online i OneDrive for Business jako standardowe rozwiązanie do przechowywania współdziałającego oprogramowania (SDS). Ogranicz dostęp do poufnych witryn SharePoint Online i zawartości przy użyciu zasad ograniczeń dostępu do witryny. Zapobiegaj dostępowi gościa do plików podczas stosowania reguł ochrony przed utratą danych (DLP). - Ogranicz dostęp do członków grupy - Zapobiegaj dostępowi gościa do plików przy użyciu reguł DLP - Zabezpieczanie udostępniania plików gościom Microsoft Defender for Cloud Apps Użyj usługi Defender for Cloud Apps, aby zablokować dostęp do nieautoryzowanych usług magazynu w chmurze. - Zarządzaj wykrytymi aplikacjami

4.3 Etykietowanie i tagowanie danych

Microsoft Purview Information Protection automatycznie klasyfikuje dane na podstawie zdefiniowanych typów informacji poufnych. Zasady dotyczące etykietowania po stronie usługi i klienta zapewniają, że Microsoft 365 zawartość utworzona przez użytkowników jest oznaczona i chroniona.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 4.3.1 Wdrażanie narzędzi do tagowania i klasyfikacji danych. Organizacje DoD korzystają ze standardu przedsiębiorstwa i wymagań w celu zaimplementowania rozwiązań do tagowania i klasyfikacji danych. Organizacje zapewniają, że przyszłe integracje uczenia maszynowego i sztucznej inteligencji są wspierane przez rozwiązania zgodnie z wymaganiami przedsiębiorstwa Departamentu Obrony (DoD). Outcomes: — wymaganie, aby narzędzia do klasyfikacji i tagowania danych obejmowały integrację i/lub obsługę Machine Learning (ML) — narzędzia do klasyfikacji i tagowania danych są implementowane na poziomie organizacji i przedsiębiorstwa	Microsoft Purview Information Protection Użyj Microsoft Purview Information Protection do klasyfikowania danych na podstawie typów informacji poufnych i klasyfikatorów wyszkolonych przez uczenie maszynowe (ML). - Sensitive data and Purview - Label policies
`Target` 4.3.2 Ręczne tagowanie danych pt1 Korzystając z zasad i standardów tagowania danych przedsiębiorstwa DoD, ręczne tagowanie zaczyna korzystać z podstawowych atrybutów poziomu danych, aby osiągnąć docelową funkcjonalność ZT. Wynik: - Ręczne tagowanie danych rozpoczyna się na poziomie przedsiębiorstwa z podstawowymi atrybutami	Microsoft Purview Tworzenie i publikowanie etykiet poufności w Microsoft Purview, zgodnie ze standardami tagowania danych, które definiujesz. Pojdź wskazówki firmy Microsoft w 4.2.1." Konfiguruj zasady etykietowania, aby wymagać od użytkowników zastosowania etykiet poufności do wiadomości e-mail i dokumentów. - Użytkownicy stosują etykiety do wiadomości e-mail i dokumentów
`Advanced` 4.3.3 Ręczne tagowanie danych pt2 Atrybuty poziomu danych specyficznych dla organizacji doD są zintegrowane z procesem ręcznego tagowania danych. Firma DoD i organizacje współpracują, aby zdecydować, które atrybuty są wymagane do spełnienia zaawansowanych funkcji usługi ZTA. Atrybuty poziomu danych dla zaawansowanych funkcji ZTA są ustandaryzowane w całym przedsiębiorstwie i włączone. Wynik: - Ręczne tagowanie danych jest rozszerzane na poziomy programu/organizacji z określonymi atrybutami	Microsoft Purview Przegląd typów informacji poufnych w portalu zgodności Microsoft Purview. Zdefiniuj niestandardowe typy informacji poufnych zgodnie z potrzebami. Zobacz Wskazówki firmy Microsoft w wersji 4.1.1.
`Advanced` 4.3.4 Automatyczne tagowanie danych i wsparcie pkt 1 Organizacje DoD używają rozwiązań do zapobiegania utracie danych, ochrony i/lub zarządzania prawami do skanowania repozytoriów danych. Standardowe tagi są stosowane do obsługiwanych repozytoriów danych i typów danych. Zidentyfikowano nieobsługiwane repozytoria danych i typy. Wynik: - Podstawowa automatyzacja rozpoczyna się od skanowania repozytoriów danych i stosowania tagów	Microsoft Purview Information Protection Konfiguruj etykietowanie po stronie klienta dla plików i wiadomości e-mail utworzonych w aplikacjach Microsoft Office. - Automatyczne etykietowanie dla aplikacji pakietu Office Konfiguruj etykietowanie po stronie usługi dla zawartości przechowywanej w Office 365. - Polityka automatycznego etykietowania dla SharePoint, OneDrive i Exchange Stosuj etykiety poufności do kontenerów: witryn Microsoft Teams, grup Microsoft 365 i witryn SharePoint. - Etykiety poufności dla aplikacji Teams, Microsoft 365, grup i witryn SharePoint Aby znaleźć dokumenty i wiadomości e-mail w danym środowisku, przeskanuj je pod kątem wartości pasujących do danych w zdefiniowanych typach informacji poufnych. - Dopasowanie poufnych typów informacji Użyj odcisków palców dokumentu, aby znaleźć i oznaczyć zawartość zgodną z szablonami dokumentów i standardowymi formularzami. - Odciśnięcie palca dokumentu Microsoft Purview Rejestruj źródła danych, skanuj, pozyskuj i klasyfikuj dane w portalu zarządzania Microsoft Purview. - Źródła danych w Purview - Skanowanie i pozyskiwanie - Klasyfikacja danych Microsoft Defender for Cloud Apps Zintegruj Microsoft Purview Information Protection z Microsoft Defender for Cloud Apps, aby automatycznie stosować etykiety poufności, wymuszać zasady szyfrowania i zapobiegać utracie danych. - Integracja ochrony informacji - Stosowanie etykiet poufności - DLP - inspekcja zawartości
`Advanced` 4.3.5 Automatyczne tagowanie danych i obsługa pt2 Pozostałe obsługiwane repozytoria danych mają podstawowe i rozszerzone tagi danych, które są stosowane przy użyciu uczenia maszynowego i sztucznej inteligencji. Rozszerzone tagi danych są stosowane do istniejących repozytoriów. Nieobsługiwane repozytoria danych i typy danych są oceniane pod kątem likwidacji przy użyciu metodycznego podejścia opartego na ryzyku. Zatwierdzone wyjątki wykorzystują metody ręcznego tagowania danych z właścicielami danych i/lub opiekunami do zarządzania tagowaniem. Wyniki: - Ukończono pełną automatyzację tagowania danych — wyniki tagowania danych są przekazywane do algorytmów uczenia maszynowego.	Microsoft Purview Information Protection Klasyfikatory uczące się w systemie Purview ułatwiają rozpoznawanie zawartości przy użyciu uczenia maszynowego (ML). Tworzenie i trenowanie klasyfikatorów przy użyciu wybranych i pozytywnie dopasowanych próbek. - Klasyfikatory trenowalne

4.4 Monitorowanie i wykrywanie danych

Microsoft Purview zasady ochrony przed utratą danych (DLP) uniemożliwiają opuszczenie organizacji danych. Zasady DLP można stosować do danych magazynowanych, używanych i w ruchu. Zasady DLP są wymuszane, gdy dane znajdują się w usługach w chmurze, lokalnych udziałach plików, również na urządzeniach z systemem Windows i macOS.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 4.4.1 Rejestrowanie i analiza punktów wymuszania DLPOrganizacje doD identyfikują punkty wymuszania ochrony przed utratą danych (DLP), takie jak określone usługi i punkty końcowe użytkownika. Korzystając z ustalonego standardu reagowania na zdarzenia cyberbezpieczeństwa w usłudze DoD Enterprise, organizacje DoD zapewniają przechwycenie odpowiednich szczegółów danych. Ponadto opracowano przypadki użycia ochrony, wykrywania i reagowania, aby lepiej określić zakres rozwiązań. Wyniki: - Punkty egzekwowania są identyfikowane — ustandaryzowany schemat rejestrowania jest egzekwowany na poziomie przedsiębiorstwa i organizacji	Microsoft Purview Przeciwdziałanie Utracie Danych Utwórz zasady DLP w zgodności Purview. Wystosuj DLP dla aplikacji Microsoft 365, Windows i punktów końcowych systemu macOS, a także aplikacje w chmurze innych firm niż Microsoft. - Zaprojektuj plan DLP - Zaprojektuj politykę DLP - Działania w dzienniku inspekcji - Schemat interfejsu API działań zarządzania w Office 365 Microsoft Defender for Cloud Apps Zintegruj Purview Information Protection z usługą Defender for Cloud Apps w celu automatycznego stosowania etykiet poufności, wymuszania zasad szyfrowania i zapobiegania utracie danych. Zobacz wskazówki firmy Microsoft w 4.3.4.
`Target` 4.4.2 Rejestrowanie i analiza punktów wymuszania DRM Organizacje DoD identyfikują punkty wymuszania zarządzania prawami do danych (DRM), takie jak określone usługi i punkty końcowe użytkownika. Korzystając z ustalonego standardu reagowania na zdarzenia cyberbezpieczeństwa w usłudze DoD Enterprise, organizacje DoD zapewniają przechwycenie odpowiednich szczegółów danych. Ponadto opracowano przypadki użycia ochrony, wykrywania i reagowania, aby lepiej określić zakres rozwiązań. Wyniki: - Punkty egzekwowania są identyfikowane – ustandaryzowany schemat rejestrowania jest egzekwowany na poziomie przedsiębiorstwa i organizacji	Microsoft Purview Information ProtectionPurview punkty wymuszania zarządzania prawami do danych (DRM) obejmują Microsoft 365 oraz aplikacje i usługi innych firm zintegrowane z usługami firmy Microsoft Information Protection (MIP) Zestaw SDK, aplikacje online, i rozbudowane aplikacje klienckie.Chroń poufne daneOgranicz dostęp do zawartości z etykietami poufnościMIP SDKSzyfrowanie w Microsoft 365Microsoft Defender for Cloud AppsZintegruj Purview Information Protection z usługą Defender for Cloud Apps w celu automatycznego stosowania etykiet poufności, wymuszania polityk szyfrowania i zapobiegania utracie danych.Zobacz wskazówki firmy Microsoft w 4.3.4.
`Target` 4.4.3 Monitorowanie aktywności plików Część 1 Organizacje DoD używają narzędzi do monitorowania plików, aby śledzić kluczowe poziomy klasyfikacji danych w aplikacjach, usługach i repozytoriach. Analizy z monitorowania są wprowadzane do rozwiązania SIEM z podstawowymi atrybutami danych w celu osiągnięcia funkcjonalności ZT Target. Wyniki: - Dane i pliki klasyfikacji krytycznej są aktywnie monitorowane — podstawowa integracja odbywa się z systemem monitorowania, takim jak SIEM	Microsoft Purview Zapobieganie utracie danych Alerty DLP są wyświetlane w Microsoft Defender XDR. Działanie dotyczące tworzenia, etykietowania, drukowania i udostępniania plików znajduje się w ujednoliconym dzienniku inspekcji, i w Eksploratorze działań w portalu zgodności Microsoft Purview. - Alerty DLP - Eksplorator działań - Eksport, konfigurowanie i wyświetlanie rekordów dziennika inspekcji Microsoft Defender XDR i Microsoft Sentinel Integracja Microsoft Defender XDR z usługą Sentinel umożliwia wyświetlanie i badanie alertów ochrony przed utratą danych (DLP) w systemie zarządzania incydentami i zdarzeniami zabezpieczeń przedsiębiorstwa (SIEM). - Integracja narzędzi SIEM - Łącznik Information Protection dla usługi Sentinel - Łączenie danych XDR usługi Defender z usługą Sentinel - Dochodzenia DLP
`Target` 4.4.4 Monitorowanie aktywności plików pt2 Organizacje DoD wykorzystują narzędzia do monitorowania plików do monitorowania wszystkich chronionych przez przepisy danych (np. CUI, PII, PHI itp.) w aplikacjach, usługach i repozytoriach. Rozszerzona integracja służy do wysyłania danych do odpowiednich rozwiązań między filarami, takich jak zapobieganie utracie danych, zarządzanie prawami do danych/ochrona i analiza zachowań użytkowników i jednostek. Wyniki: - Dane i pliki wszystkich klasyfikacji regulowanych są aktywnie monitorowane — rozszerzone integracje są wdrażane zgodnie z potrzebami w celu dalszego zarządzania ryzykiem	Microsoft Sentinel Określ wymagane etykiety poufności i skonfiguruj niestandardowe reguły analizy Sentinel. Utwórz zdarzenie, gdy alerty DLP są wyzwalane dla krytycznych zdarzeń plikowych. Krytyczne zdarzenia plików obejmują wykrywanie poufnych informacji, naruszeń zasad i innych podejrzanych działań. - Niestandardowe reguły analizy w celu wykrywania zagrożeń reagowania na zagrożenia - za pomocą podręczników
`Advanced` 4.4.5 Monitorowanie aktywności bazy danychOrganizacje DoD nabywają, implementują i wykorzystują rozwiązania monitora bazy danych do monitorowania wszystkich baz danych zawierających regulowane typy danych (CUI, PII, PHI itp.). Dzienniki i analizy z rozwiązania do monitorowania bazy danych są przekazywane do rozwiązania SIEM na potrzeby monitorowania i reagowania. Analiza jest wprowadzana do działań obejmujących wiele filarów, takich jak "Profil zabezpieczeń przedsiębiorstwa" i "Dostęp w czasie rzeczywistym", aby lepiej podejmować bezpośrednie decyzje. Wyniki: - Odpowiednie bazy danych są aktywnie monitorowane - Technologia monitorowania jest zintegrowana z rozwiązaniami, takimi jak systemy SIEM, PDP i mechanizmy dynamicznej kontroli dostępu	Microsoft Defender for SQL Defender for SQL chroni bazy danych w Azure i innych chmurach. - Microsoft Defender for SQL - Alerty zabezpieczeń Microsoft Sentinel Połącz Microsoft Defender for Cloud i Microsoft Defender XDR z usługą Sentinel za pomocą łączników danych. - Połączone alerty usługi Defender for Cloud z usługą Sentinel - Połącz usługę Defender XDR z usługą Sentinel Dostęp warunkowy Wymagaj kontekstu uwierzytelniania dla poufnych witryn SharePoint i chroń logowanie do usługi Azure SQL Database przy użyciu dostępu warunkowego. - Etykiety wrażliwości - Kontekst uwierzytelniania - Dostęp warunkowy przy użyciu Azure SQL Database i Azure Synapse Analytics
`Advanced` 4.4.6 Kompleksowe monitorowanie aktywności danych Organizacje DoD rozszerzają monitorowanie repozytoriów danych, w tym baz danych, odpowiednio na podstawie metodycznego podejścia do ryzyka. Dodatkowe atrybuty danych spełniające wymagania zaawansowanych funkcji ZT są zintegrowane w analizach dla dalszej integracji. Wyniki: - Mechanizmy monitorowania aktywności danych są zintegrowane, aby zapewnić ujednolicony widok monitorowania między repozytoriami danych — odpowiednie integracje istnieją z rozwiązaniami, takimi jak SIEM i PDP	Microsoft Graph API Użyj dzienników aktywności Microsoft Graph do śledzenia inspekcji żądań odbieranych przez usługę Microsoft Graph i przetwarzanych przez tenant. - Dzienniki aktywności Mapa danych Microsoft Purview Skonfiguruj Mapę danych Purview, aby skanować pod kątem poufnych plików w infrastrukturze danych organizacji. - Zarządzanie źródłami danych Microsoft Sentinel Aby zintegrować się z systemem zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), skonfiguruj łączniki danych Sentinel dla Microsoft Defender for Cloud, Microsoft Defender XDR i Purview. Zobacz wytyczne Microsoft w 4.4.5. Kontrola warunkowa Wykrycia nietypowego dostępu do plików, znalezione przez Microsoft Defender XDR, zwiększają poziom ryzyka użytkownika. Ryzyko użytkownika jest warunkiem Dostępu warunkowego, punktu decyzyjnego polityki (PDP) dla Microsoft Entra ID. Zdefiniuj kontekst uwierzytelniania dostępu warunkowego z ustawieniem ryzyka użytkownika na brak ryzyka. Chroń oznaczone etykietami witryny SharePoint; wymagaj kontekstu uwierzytelniania dla dostępu warunkowego. - Wykrycie ryzyka - Nietypowy dostęp do pliku - Przykład kontekstu uwierzytelnienia

4.5 Szyfrowanie danych i zarządzanie prawami

Usługi Microsoft 365 szyfrują dane w spoczynku i w transporcie. Microsoft Purview ogranicza dostęp do zawartości zgodnie z zasadami szyfrowania etykiet poufności. Usługa Purview osiąga cel z inną warstwą szyfrowania dla poczty e-mail i plików.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 4.5.1 Implementowanie narzędzi DRM i ochrony Pt1 Organizacje DoD nabywają i implementują rozwiązania DRM i Protection zgodnie z wymaganiami i standardem DoD Enterprise. Nowo zaimplementowane rozwiązania DRM i ochrony są implementowane z repozytoriami danych o wysokim ryzyku przy użyciu ochrony na poziomie docelowym ZTA. Wynik: - Narzędzia do zarządzania prawami cyfrowymi i ochrony są włączone dla repozytoriów danych wysokiego ryzyka z podstawową ochroną	szyfrowanie Microsoft 365 Microsoft 365 ma szyfrowanie bazowe, szyfrowanie na poziomie woluminu za pomocą funkcji zabezpieczeń Windows BitLocker i rozproszonego menedżera kluczy (DKM). - Zrozum szyfrowanie Microsoft Purview Użyj zasad etykietowania, aby automatycznie zastosować więcej szyfrowania dla danych wysokiego ryzyka w Microsoft 365, na podstawie etykiety poufności. - Ogranicz dostęp do zawartości za pomocą etykiet poufności - Szyfrowanie poczty e-mail w Microsoft 365 Microsoft Defender for Cloud Apps Zintegruj Microsoft Purview Information Protection z Defender for Cloud Apps w celu automatycznego stosowania etykiet poufności, wymuszania zasad szyfrowania i zapobiegania utracie danych. Zobacz wskazówki Microsoft w 4.3.4. Azure Policy Użyj Azure Policy, aby wymagać bezpiecznej wersji Transport Layer Security (TLS), zaimplementuj Transparentne Szyfrowanie Danych (TDE) i wymagaj jej za pomocą kluczy zarządzanych przez klienta w celu szyfrowania danych w spoczynku. - Azure Policy definicje bazy danych Azure SQL i SQL Managed Instance
`Target` 4.5.2 Implementowanie narzędzi DRM i ochrony Pt2 Ochrona DRM i narzędzia ochrony są rozszerzone, aby obejmować wszystkie repozytoria danych w zakresie. Klucze szyfrowania są automatycznie zarządzane w celu spełnienia najlepszych rozwiązań (np. FIPS). Rozszerzone atrybuty ochrony danych są implementowane na podstawie klasyfikacji środowiska. Wynik: - DRM i narzędzia ochrony są włączone dla wszystkich możliwych repozytoriów	Azure Key Vault Użyj zarządzanego modułu sprzętowego zabezpieczeń Azure Key Vault (Azure Key Vault HSM) w celu ochrony kluczy kryptograficznych aplikacji przy użyciu zweryfikowanych sprzętowych modułów zabezpieczeń FIPS 140-2 poziom 3. - Zarządzany moduł Azure Key Vault HSM Klucz klienta Microsoft Purview Microsoft 365 oferuje warstwę szyfrowania dla zawartości z użyciem klucza klienta. - Szyfrowanie usługi Klucz dzierżawy Azure Information Protection Azure Information Protection obsługuje klucze główne dzierżawy wygenerowane przez Microsoft oraz przynoszenie własnego klucza (BYOK). - Klucz dzierżawy - Szyfrowanie podwójnym kluczem - BYOK
`Target` 4.5.3 Wymuszanie DRM za pośrednictwem tagów danych i analityki Pt1 Rozwiązania do zarządzania prawami do danych (DRM) i ochrony są zintegrowane z podstawowymi tagami danych zdefiniowanymi w standardzie DoD Enterprise. Początkowe repozytoria danych są monitorowane i mają włączone akcje ochrony i odpowiedzi. Dane w spoczynku są szyfrowane w repozytoriach. Wyniki: - Tagi danych są zintegrowane z DRM, a monitorowane repozytoria są rozszerzane — na podstawie tagów danych dane są szyfrowane w stanie spoczynku	Microsoft Purview Information ProtectionZastosuj zasady etykietowania, aby automatycznie stosować więcej szyfrowania dla danych wysokiego ryzyka w Microsoft 365 w oparciu o etykietę poufności.Ogranicz dostęp do zawartości za pomocą etykiet poufnościszyfrowanie Microsoft 365Microsoft 365 ma podstawowe szyfrowanie na poziomie woluminu za pomocą funkcji BitLocker i menedżera kluczy rozproszonych (DKM).Zobacz wskazówki Microsoft w wersji 4.5.1.
`Advanced` 4.5.4 Egzekwowanie DRM za pośrednictwem tagów danych i analityki pt2 Rozszerzone repozytoria danych są chronione za pomocą rozwiązań DRM i ochrony. Organizacje DoD implementują rozszerzone tagi danych mające zastosowanie do organizacji, a nie w przedsiębiorstwie. Dane są szyfrowane w repozytoriach rozszerzonych przy użyciu dodatkowych tagów. Wyniki: - Wszystkie odpowiednie repozytoria danych są chronione przy użyciu funkcji DRM — dane są szyfrowane przy użyciu rozszerzonych tagów danych z poziomów organizacji	Azure szyfrowanie Azure używa szyfrowania dla danych magazynowanych i przesyłanych. - Azure szyfrowanie Polityka Azure Włącz politykę Azure w celu zabezpieczenia baz danych Azure SQL. Zobacz wytyczne Microsoft 4.5.1. Dostęp warunkowy Stosuj zasady dostępu warunkowego dla użytkowników łączących się z Azure SQL. Zobacz wskazówki firmy Microsoft w 4.4.5.
`Advanced` 4.5.5 Wymuszanie DRM za pośrednictwem tagów danych i analizy Pt3 Rozwiązania DRM i ochrony integrują się z narzędziami sztucznej inteligencji i uczenia maszynowego na potrzeby szyfrowania, zarządzania prawami i ochrony. Wyniki: - Analiza z uczenia maszynowego/sztucznej inteligencji jest zintegrowana z drM w celu lepszego zautomatyzowania ochrony — ochrona szyfrowania jest zintegrowana ze sztuczną inteligencją/uczeniem maszynowym, a zaktualizowane metody szyfrowania są używane zgodnie z potrzebami	Microsoft Purview Information Protection Użyj Microsoft Purview Information Protection do klasyfikowania danych na podstawie typów informacji poufnych i klasyfikatorów wyszkolonych przez uczenie maszynowe (ML). Zobacz zalecenia Microsoftu w 4.3.5. Azure Machine Learning Azure Machine Learning i Azure OpenAI Service korzystają z usług Azure Storage i Azure Compute, które szyfrują dane. - Szyfrowanie danych - Szyfrowanie danych w spoczynku przez Azure OpenAI Dostęp warunkowy Zdefiniuj kontekst uwierzytelniania za pomocą sygnałów ryzyka Identity Protection. Wymagaj kontekstu uwierzytelniania dla oznaczonych witryn SharePoint i niestandardowych aplikacji. - Kontekst uwierzytelniania Zobacz wytyczne firmy Microsoft w 4.4.5.

4.6 Zapobieganie utracie danych (DLP)

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 4.6.1 Wdrożenie punktów wymuszania Rozwiązanie ochrony przed utratą danych (DLP) jest wdrażane w określonych punktach zgodności. Rozwiązanie DLP jest ustawione na tryb "tylko monitorowanie" lub "nauka" w celu ograniczenia wpływu. Wyniki rozwiązania DLP są analizowane, a zasady są dostosowane do zarządzania ryzykiem na akceptowalnym poziomie. Wynik: - Zidentyfikowane punkty wymuszania wykorzystują narzędzie DLP, które jest wdrożone i ustawione w trybie monitorowania z użyciem standardowego rejestrowania	Microsoft Purview Zapobieganie utracie danych Aplikacje Microsoft 365 i punkty końcowe Windows wymuszają zasady DLP. Skonfiguruj zasady w trybie symulacji DLP. - Utwórz zasady w DLP. Ustaw stan zasad na test lub test z wskazówkami dotyczącymi zasad. Ustaw akcje zasad na Audit only lub Blokuj z obejściem. - Wdrożenie zasad DLP Wdroż urządzenia z systemem Windows 10, 11 oraz macOS do ochrony przed utratą danych na urządzeniach końcowych (Endpoint DLP) - Endpoint DLP Wdróż skaner Microsoft Purview Information Protection. Etykietowanie i wymuszanie zasad DLP dla zawartości w lokalnych bazach danych SQL, udziałach plików, sieciowej pamięci masowej (NAS) i bibliotekach dokumentów SharePoint Server. - DLP w repozytoriach lokalnych - skaner ochrony informacji Microsoft Purview Zapobieganie utracie danych Zintegruj Microsoft Purview Information Protection z usługą Defender for Cloud Apps w celu automatycznego stosowania etykiet poufności, wymuszania zasad szyfrowania i zapobiegania utracie danych. Zobacz wytyczne firmy Microsoft w 4.3.4. Dostęp warunkowy Kontroluj dostęp do Office 365 i innych aplikacji zintegrowanych z Microsoft Entra. Użyj trybu wyłącznie do raportowania, aby monitorować wynik przed włączeniem zasad z kontrolą blokowania dostępu. Zbuduj politykę Tryb wyłącznie do raportowania Zasady sesji: monitoruj wszystkie
`Target` 4.6.2 Wymuszanie DLP za pośrednictwem tagów danych i analizy pt1 Rozwiązanie ochrony przed utratą danych (DLP) jest aktualizowane z trybu monitorowania tylko do trybu zapobiegania. Podstawowe tagi danych są używane dla rozwiązania DLP i schemat rejestrowania jest zintegrowany. Wynik: - Punkty wymuszania ustawione na tryb zapobiegania integrowaniu schematu logowania oraz klasyfikacji środowiska za pomocą ręcznych tagów.	Microsoft Purview Zapobieganie utracie danych Utwórz zasady DLP w trybie testowym. Zmień stan na Włączone, aby włączyć tryb wymuszania. Jeśli ustawisz akcje zasad na Block, działanie użytkownika, które wyzwala DLP, jest blokowane przez zasady. - Akcje w zasadach DLP Włącz ochronę just-in-time (JIT) dla wymuszenia Endpoint DLP na urządzeniach w trybie offline. - Urządzenia offline Microsoft Defender for Cloud Apps Włącz inspekcję zawartości w usłudze Defender for Cloud Apps. - Inspekcja zawartości DLP Dostęp warunkowy Po testach włącz zasady dostępu warunkowego, które stosują kontrolki sesji, lub blokują kontrolę nad udzielaniem dostępu. Aby uniknąć wykluczenia najemcy, wyklucz konta dostępu awaryjnego. - Konta dostępu awaryjnego Zobacz wskazówki firmy Microsoft w sekcji 4.6.1.
`Advanced` 4.6.3 Wymuszanie DLP za pośrednictwem tagów danych i analizy pt2 Rozwiązanie ochrony przed utratą danych (DLP) zostało zaktualizowane w celu uwzględnienia rozszerzonych tagów danych opartych na działaniach automatyzacji równoległej. Wynik: - Punkty wymuszania mają rozszerzone atrybuty tagów danych stosowane w celu dodatkowego zapobiegania	Microsoft Purview Information Protection Zdefiniuj niestandardowe typy informacji poufnych. Tworzenie etykiet i zasad ochrony przed utratą danych. Zobacz Wskazówki firmy Microsoft w wersji 4.1.1.
`Advanced` 4.6.4 Wymuszanie zasad DLP poprzez tagi danych i analizy część 3 Rozwiązanie zapobiegające utracie danych (DLP) jest zintegrowane z automatycznymi technikami tagowania, aby dołączyć brakujące punkty wymuszeń i tagi. Wynik: - Atrybuty zautomatyzowanego tagowania są zintegrowane z funkcją DLP, a wynikowe metryki są używane dla uczenia maszynowego	Microsoft Purview Information Protection Użyj Microsoft Purview Information Protection do klasyfikowania danych na podstawie typów informacji poufnych i klasyfikatorów wyszkolonych przez uczenie maszynowe (ML). Zobacz dokumentację Microsoft w 4.3.5.

4.7 Kontrola dostępu do danych

usługi Microsoft 365 i Azure Storage są zintegrowane z usługami Microsoft Entra ID na potrzeby autoryzacji opartej na tożsamościach. Microsoft Entra ID obsługuje kontrolę dostępu opartą na rolach (RBAC) i kontrolę dostępu opartą na atrybutach (ABAC).

Microsoft Entra role i grupy zabezpieczeń zapewniają organizacjom kontrolę dostępu opartą na rolach. Dynamiczne grupy zabezpieczeń używają atrybutów zdefiniowanych na obiektach użytkowników, grup i urządzeń do definiowania członkostwa na podstawie zaawansowanych wyrażeń i zestawów reguł.

Microsoft Entra ID, system kontroli dostępu opartego na atrybutach, wykorzystuje niestandardowe atrybuty zabezpieczeń, które można definiować i przypisywać do obiektów Microsoft Entra, dostosowując je do specyficznych potrzeb biznesowych. Niestandardowe atrybuty zabezpieczeń przechowują poufne informacje. Dostęp do wyświetlania lub modyfikowania niestandardowych atrybutów zabezpieczeń jest ograniczony do ról administratorów atrybutów.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 4.7.1 Integrowanie dostępu DAAS z Polityką SDS Część 1 Wykorzystując politykę SDS przedsiębiorstwa DoD, organizacyjne zasady DAAS są opracowywane z myślą o zamierzonej integracji. Przewodnik implementacji SDS jest opracowywany przez organizacje DoD ze względu na charakter specyficzny dla środowiska. Wyniki: - Szczegółowe zasady DAAS oparte na atrybutach są opracowywane z wsparciem na poziomie przedsiębiorstwa i organizacji — plan integracji SDS został opracowany w celu obsługi zasad DAAS	Microsoft Entra ID Implementuj zasady oparte na atrybutach dla danych, zasobów, aplikacji i usług z Microsoft Entra ID przy użyciu mechanizmów, takich jak kontrola dostępu oparta na atrybutach Azure (Azure ABAC), niestandardowe filtrowanie atrybutów zabezpieczeń dla aplikacji oraz dynamiczne grupy zabezpieczeń. - Kontrolki oparte na atrybutach Niestandardowe atrybuty zabezpieczeń Zdefiniuj niestandardowe atrybuty zabezpieczeń i przypisz im wartości użytkownikom. Skonfiguruj warunki przypisywania ról dla Azure ABAC dla ról Azure. Obecnie ta funkcja jest dostępna w wersji zapoznawczej dla uprawnień konta Azure Storage. - Azure ABAC - Zarządzaj dostępem do niestandardowych atrybutów zabezpieczeń - Zarządzaj atrybutami z delegowaniem Użyj niestandardowe atrybuty zabezpieczeń na potrzeby szczegółowej autoryzacji aplikacji dynamicznej. Przypisz niestandardowe atrybuty zabezpieczeń i użyj filtrów atrybutów (wersja zapoznawcza) dla aplikacji w zasadach dostępu warunkowego. - Zarządzanie niestandardowymi atrybutami zabezpieczeń aplikacji Dynamic security groups Użyj dynamicznych grup zabezpieczeń, aby przypisać dostęp do zasobów, które obsługują grupy Microsoft Entra ID w celu udzielenia uprawnień. Obejmuje to grupy ról Microsoft 365, role aplikacji Microsoft Entra ID, role Azure i przypisania aplikacji. Zasady dostępu warunkowego używają grup dynamicznych i stosują poziomy autoryzacji dla użytkowników z różnymi wartościami atrybutów. - Reguły członkostwa w grupach dynamicznych - Generuj oświadczenia na podstawie warunków
`Advanced` 4.7.2 Integrowanie dostępu DAAS w/ SDS Policy Pt2 Organizacje DoD implementują zasady DAAS w zautomatyzowany sposób. Wynik: - Szczegółowe zasady DAAS oparte na atrybutach zaimplementowane w zautomatyzowany sposób	Microsoft Graph API Automatyzuj konfigurację zasad dostępu warunkowego, niestandardowych atrybutów zabezpieczeń, dynamicznych grup zabezpieczeń i innych funkcji Microsoft Entra ID przy użyciu Microsoft Graph API.
`Advanced` 4.7.3 Integrowanie dostępu DAAS z polityką SDS cz. 3 Nowo zaimplementowana technologia SDS i/lub funkcje są zintegrowane z polityką DAAS w sposób oparty na analizie ryzyka. Podejście etapowe należy podjąć podczas wdrażania w celu mierzenia wyników i odpowiedniego dostosowania. Wyniki: - SDS jest zintegrowany z funkcjami zasad DAAS — wszystkie dane we wszystkich aplikacjach są chronione za pomocą zasad DAAS opartych na atrybutach.	Microsoft Defender for Cloud Apps Zintegruj Microsoft Purview i Defender for Cloud Apps. Tworzenie zasad plików w celu wymuszania zautomatyzowanych procesów przy użyciu interfejsów API dostawcy usług w chmurze. - Integrate Information Protection - File policies
`Target` 4.7.4 Integrowanie rozwiązań i zasad z dostawcą tożsamości przedsiębiorstwa Pt1 Organizacje DoD opracowują plan integracji, używając zasad SDS oraz technologii/funkcjonalności razem z rozwiązaniem dostawcy tożsamości przedsiębiorstwa (IdP). Wynik: - Plan integracji między SDS a autorytatywnym dostawcą tożsamości został opracowany w celu obsługi istniejącego dostępu DAAS	Microsoft Entra ID Usługi przechowywania Microsoft 365, takie jak SharePoint Online i OneDrive for Business, są zintegrowane z Microsoft Entra ID. Konfigurowanie usług Azure Storage na potrzeby integracji z Microsoft Entra ID na potrzeby autoryzacji opartej na tożsamościach żądań do usług Blob, File, Queue i Table Services. - Microsoft Entra ID - Authorize Azure Storage W galerii aplikacji zintegruj więcej rozwiązań magazynu zdefiniowanego programowo (SDS) z Microsoft Entra ID. - Galerii aplikacji
`Advanced` 4.7.5 Integracja rozwiązania/rozwiązań i polityki z dostawcą tożsamości w przedsiębiorstwie część 2 Nowo zaimplementowana technologia SDS i/lub funkcjonalności są zintegrowane z dostawcą tożsamości w przedsiębiorstwie zgodnie z planem integracji. Do integracji wymagane są atrybuty tożsamości wymagane do spełnienia funkcji usługi ZT Target. pl-PL: Wynik: - Pełna integracja z narzędziami IDP i SDS klasy korporacyjnej w celu obsługi dostępu do DAAS opartego na wszystkich atrybutach	Wykonaj działania 4.7.1 i 4.7.4.
`Advanced` 4.7.6 Implementowanie narzędzia SDS i/lub integracja z narzędziem DRM Pt1 W zależności od potrzeb narzędzia do magazynowania zdefiniowanego programowo nowe rozwiązanie jest implementowane lub istniejące rozwiązanie jest identyfikowane zgodnie z wymaganiami dotyczącymi funkcjonalności, które mają zostać zintegrowane z rozwiązaniami DLP, DRM/Protection i ML. Wynik: - Jeśli potrzebne jest narzędzia, upewnij się, że istnieją obsługiwane integracje z narzędziami DLP, DRM i ML	funkcje Microsoft Purview Microsoft Purview Information Protection digital rights management (DRM) i Microsoft Purview Data Loss Prevention (DLP) integrują się natywnie z klientami pakietu Office i usługami Microsoft 365. Integracje są wbudowane i nie wymagają więcej wdrożeń. - Omówienie Purview Użyj SDK Microsoft Information Protection (MIP SDK) do tworzenia niestandardowych narzędzi do stosowania etykiet i ochrony plików. Zobacz wskazówki firmy Microsoft w 4.4.2.
`Advanced` 4.7.7 Implementowanie narzędzia SDS i/lub integracja z narzędziem DRM Pt2 Organizacje DoD konfigurują funkcjonalność SDS i/lub rozwiązanie tak, aby były zintegrowane z podstawową infrastrukturą DLP i DRM/Ochrona, zgodnie z wymaganiami. Integracje niższego poziomu umożliwiają bardziej efektywną ochronę i reagowanie. Wynik: - Integrowanie infrastruktury SDS z istniejącą infrastrukturą DLP i DRM	Microsoft 365 i Microsoft Purview Microsoft Purview chroni zawartość Microsoft 365 za pomocą ochrony przed utratą danych (DLP) i zarządzania prawami do danych (DRM) bez większej infrastruktury. - Protect poufne dane

Następne kroki

Konfigurowanie usług w chmurze firmy Microsoft dla strategii Zero Trust DoD:

Opinia

Czy ta strona była pomocna?

Last updated on 2026-03-26