Поделиться через

Обнаружение угроз конфиденциальным данным

  • Статья

Обнаружение угроз конфиденциальной информации позволяет эффективно определять приоритеты и проверять оповещения системы безопасности, учитывая конфиденциальность данных, которые могут быть подвержены риску, что приводит к лучшему обнаружению и предотвращению нарушений данных. Быстро идентифицируя и устраняя наиболее значительные риски, эта возможность помогает группам безопасности снизить вероятность нарушений данных и повысить защиту конфиденциальных данных, обнаруживая события воздействия и подозрительные действия на ресурсах, содержащих конфиденциальные данные.

Это настраиваемая функция в новом плане Defender для хранилища. Вы можете включить или отключить его без дополнительных затрат.

Дополнительные сведения о области и ограничениях сканирования конфиденциальных данных.

Необходимые компоненты

Обнаружение угроз конфиденциальной данных доступно для учетных записей хранения BLOB-объектов, в том числе:

  • Стандартная версия 1 общего назначения
  • Стандартная версия 2 общего назначения
  • Azure Data Lake Storage 2-го поколения
  • Блочные BLOB-объекты (цен. категория "Премиум")

Узнайте больше о доступности функций Defender для хранилища.

Чтобы включить обнаружение угроз конфиденциальных данных на уровне подписки и учетных записей хранения, необходимо иметь соответствующие разрешения, связанные с данными, от ролей владельца подписки или владельца учетной записи хранения.

Дополнительные сведения о ролях и разрешениях, необходимых для обнаружения угроз конфиденциальных данных.

Как работает обнаружение конфиденциальных данных?

Обнаружение угроз конфиденциальной данных осуществляется с помощью обработчика обнаружения конфиденциальных данных, обработчика без агента, использующего интеллектуальный метод выборки для поиска ресурсов с конфиденциальными данными.

Служба интегрирована с типами конфиденциальной информации (SIT) Microsoft Purview и метками классификации, что позволяет легко наследование параметров конфиденциальности вашей организации. Это гарантирует, что обнаружение и защита конфиденциальных данных соответствуют установленным политикам и процедурам.

Схема, показывающая, как CSPM Defender и Defender для хранилища объединяются для обеспечения безопасности с учетом данных.

При включении подсистема инициирует автоматический процесс сканирования во всех поддерживаемых учетных записях хранения. Результаты обычно создаются в течение 24 часов. Кроме того, только что созданные учетные записи хранения под защищенными подписками сканируются в течение шести часов после их создания. Повторяющиеся проверки планируются еженедельно после даты включения. Это тот же механизм, который использует CSPM Defender для обнаружения конфиденциальных данных.

Включение обнаружения угроз конфиденциальных данных

Обнаружение угроз конфиденциальной данных по умолчанию включается при включении Defender для хранилища. Его можно включить или отключить в портал Azure или с другими методами в масштабе. Эта функция включена в цену Defender для хранилища.

Использование контекста конфиденциальности в оповещениях системы безопасности

Возможность обнаружения угроз конфиденциальной данных помогает группам безопасности выявлять и определять и определять приоритеты инцидентов безопасности данных для ускорения реагирования. Оповещения Defender для хранилища включают результаты проверки конфиденциальности и указания операций, выполненных на ресурсах, содержащих конфиденциальные данные.

В расширенных свойствах оповещения можно найти результаты проверки конфиденциальности для контейнера BLOB-объектов:

  • Время сканирования конфиденциальности в формате UTC — при выполнении последней проверки
  • Метка верхнего уровня конфиденциальности — самая конфиденциальная метка, найденная в контейнере BLOB-объектов.
  • Типы конфиденциальной информации — типы информации, найденные и основанные на пользовательских правилах
  • Типы конфиденциальных файлов — типы файлов конфиденциальных данных

Снимок экрана: оповещение о конфиденциальных данных.

Интеграция с параметрами конфиденциальности организации в Microsoft Purview (необязательно)

При включении обнаружения угроз конфиденциальных данных категории конфиденциальных данных включают встроенные типы конфиденциальной информации (SIT) в список Microsoft Purview по умолчанию. Это влияет на оповещения, полученные от Defender для хранения: хранилище или контейнеры, найденные с помощью этих SIT, помечены как содержащие конфиденциальные данные.

Из этих встроенных типов конфиденциальной информации в списке Microsoft Purview по умолчанию существует подмножество, поддерживаемое обнаружением конфиденциальных данных. Вы можете просмотреть список ссылок этого подмножества, который также указывает, какие типы информации поддерживаются по умолчанию. Эти значения можно изменить по умолчанию.

Чтобы настроить обнаружение конфиденциальности данных для вашей организации, можно создать пользовательские типы конфиденциальной информации (SIT) и подключиться к параметрам организации с помощью одной пошаговой интеграции. Подробнее см. здесь.

Вы также можете создавать и публиковать метки конфиденциальности для клиента в Microsoft Purview с областью, включающей элементы и ресурсы данных схемы и правила автоматической маркировки (рекомендуется). Дополнительные сведения о метках конфиденциальности в Microsoft Purview.

Следующие шаги

В этой статье вы узнали о проверке конфиденциальных данных в Microsoft Defender для хранилища.

Включение Defender для хранилища