Zdieľať cez

Plánovanie implementácie služby Power BI: Defender for Cloud Apps pre Power BI

  • Článok

Poznámka

Tento článok je súčasťou série článkov k plánovaniu implementácie služby Power BI. Táto séria sa zameriava predovšetkým na prostredie služby Power BI v rámci služby Microsoft Fabric. Úvod do série nájdete v téme Plánovanie implementácie služby Power BI.

Tento článok popisuje plánovanie aktivít súvisiacich s implementáciou aplikácie Defender for Cloud Apps v súvislosti s monitorovaním služby Power BI. Je zameraná na:

  • Správcovia služby Power BI: správcovia, ktorí sú zodpovední za dohľad nad službou Power BI v organizácii. Správcovia služby Power BI musia spolupracovať so zabezpečením informácií a inými relevantnými tímami.
  • Centrum excelentnosti, IT a tímy BI: ostatní používatelia, ktorí sú zodpovední za dohľad nad službou Power BI v organizácii. Možno budú musieť spolupracovať so správcami služby Power BI, tímami zabezpečenia informácií a ďalšími relevantnými tímami.

Dôležité

Monitorovanie a ochrana pred únikom údajov (DLP) je významný podnik v celej organizácii. Jej rozsah a vplyv sú oveľa väčšie ako len v samotnej službe Power BI. Tieto typy iniciatív si vyžadujú financovanie, stanovenie priorít a plánovanie. Očakávajte, že bude zahŕňať niekoľko tímov krížovej funkčnosti pri plánovaní, používaní a dozore nad tímami.

Odporúčame, aby ste postupovali postupne a postupne pri zavádzaní aplikácie Defender for Cloud Apps na monitorovanie Power BI. Popis typov fáz zavádzania, ktoré by ste mali zvážiť, nájdete v téme Ochrana informácií pre službu Power BI (fázy zavádzania).

Účel monitorovania

Microsoft Defender for Cloud Apps (predtým známy ako Microsoft Cloud App Security) je sprostredkovateľ cloudového prístupu zabezpečenia (CASB), ktorý podporuje rôzne režimy nasadenia. Má širokú škálu možností, ktoré presahujú aj za rozsah tohto článku. Niektoré možnosti sú v reálnom čase, zatiaľ čo iné nie sú v reálnom čase.

Tu je niekoľko príkladov monitorovania v reálnom čase, ktoré môžete implementovať.

  • Blokovanie sťahovania z služba Power BI: Môžete vytvoriť politiku relácie na blokovanie určitých typov aktivít používateľov. Ak sa napríklad používateľ pokúsi stiahnuť zostavu zo služba Power BI, ktoré má priradené označenie citlivosti Vysoko obmedzené, akcia sťahovania môže byť zablokovaná v reálnom čase.
  • Blokovanie prístupu k služba Power BI nespravovaným zariadením: Môžete vytvoriť politiku prístupu, ktorá zabráni používateľom v prístupe k určitým aplikáciám, pokiaľ nepoužívajú spravované zariadenie. Ak sa používateľ napríklad pokúša získať prístup k služba Power BI zo svojho osobného mobilného telefónu, táto akcia môže byť zablokovaná.

Tu je niekoľko príkladov ďalších možností, ktoré nie sú v reálnom čase.

  • Zisťovanie a upozornenie niektorých aktivít v služba Power BI: Môžete vytvoriť politiku aktivity na generovanie upozornenia, keď sa vyskytnú určité typy aktivít. Ak napríklad v služba Power BI dôjde k administratívnej činnosti (čo znamená, že nastavenie nájomníka sa zmenilo), môžete prijať e-mailové upozornenie.
  • Monitorovanie pokročilých aktivít zabezpečenia: môžete zobrazovať a monitorovať prihlásenia a aktivity zabezpečenia, anomálie a porušenia. Upozornenia možno zvýšiť pre situácie, ako je podozrivá aktivita, neočakávané miesta alebo nové miesto.
  • Monitorovanie aktivít používateľa: Môžete zobrazovať a monitorovať aktivity používateľov. Okrem frekvencie prihlásenia používateľa v službe Defender for Cloud Apps môže byť napríklad správcovi služby Power BI priradené povolenie na zobrazenie denníka aktivity služby Power BI.
  • Zistenie a upozornenie nezvyčajného správania v služba Power BI: Existujú vstavané politiky na zisťovanie anomálií. Ak napríklad používateľ stiahne alebo exportuje obsah z služba Power BI podstatne častejšie ako zvyčajne, môžete prijať e-mailové upozornenie.
  • Nájdenie neschválených aplikácií: V rámci organizácie môžete nájsť neschválené aplikácie, ktoré sa používajú. Mohli by vás napríklad zaujímať, ako používatelia zdieľajú súbory (ako napríklad súbory aplikácie Power BI Desktop alebo excelové súbory) v systéme na zdieľanie súborov tretej strany. Môžete blokovať používanie neschválenej aplikácie a potom kontaktovať používateľov a vzdelávať ich o vhodných spôsoboch, ako zdieľať aplikáciu a spolupracovať s ostatnými.

Tip

Portál v službe Defender for Cloud Apps je pohodlné miesto na zobrazenie aktivít a upozornení bez vytvárania skriptu na extrahovanie a sťahovanie údajov. Táto výhoda zahŕňa zobrazenie údajov z denníka aktivity služby Power BI.

Power BI je jednou z mnohých aplikácií a služieb, ktoré môžu byť integrované s aplikáciou Defender for Cloud Apps. Ak už používate Defender for Cloud Apps na iné účely, môžete ho použiť aj na monitorovanie služby Power BI.

Politiky vytvorené v službe Defender for Cloud Apps sú súčasťou ochrany pred únikom údajov. V článku Ochrana pred únikom údajov pre Power BI sa vzťahujú politiky ochrany pred únikom údajov pre službu Power BI, ktoré sú nastavené v portál na správu dodržiavania súladu Microsoft Purview. Odporúčame, aby ste pre službu Power BI používali politiky ochrany pred únikom údajov s možnosťami popísanými v tomto článku. Aj keď sa tieto možnosti koncepčne prekrývajú, možnosti sú odlišné.

Výstraha

Tento článok sa zameriava na možnosti v aplikácii Microsoft Defender for Cloud Apps , ktoré možno použiť na monitorovanie a ochranu obsahu služby Power BI. Existuje mnoho ďalších funkcií v službe Defender for Cloud Apps, ktoré nie sú zahrnuté v tomto článku. Nezabudnite spolupracovať s inými zainteresovanými stranami a správcami systému na rozhodovaní, ktoré fungujú správne vo všetkých aplikáciách a prípadoch použitia.

Požiadavky na Defender for Cloud Apps pre Power BI

Teraz by ste mali dokončiť kroky plánovania na úrovni organizácie, ktoré boli popísané v článku Ochrana pred únikom údajov pre službu Power BI . Pred pokračovaním by ste mali mať prehľad o:

  • Aktuálny stav: aktuálny stav DLP vo vašej organizácii. Mali by ste vedieť, do akej miery sa DLP už používa, a kto je zodpovedný za jej spravovanie.
  • Ciele a požiadavky: Strategické ciele implementácie ochrany pred únikom údajov vo vašej organizácii. Pochopenie cieľov a požiadaviek bude slúžiť ako pomôcka pre vaše úsilie o implementáciu.

Zvyčajne, Information Protection už implementované pred DLP je vykonávaná. Ak sú označenia citlivosti publikované (popísané v článku Information Protection for Power BI ), môžu sa použiť v určitých politikách v rámci služby Defender for Cloud Apps.

Možno ste už implementovali DLP pre Power BI (popis je popísaný v článku Ochrana pred únikom údajov pre Power BI ). Tieto funkcie ochrany pred únikom údajov sa líšia od možností, ktoré sú spravované v portál na správu dodržiavania súladu Microsoft Purview. Všetky funkcie ochrany pred únikom údajov popísané v tomto článku sú spravované na portáli Defender for Cloud Apps.

Kľúčové rozhodnutia a akcie

Skôr než budete pripravení na nastavenie politík v službe Defender for Cloud Apps, musíte vykonať niekoľko kľúčových rozhodnutí.

Rozhodnutia týkajúce sa politík služby Defender for Cloud Apps by mali priamo podporovať ciele a požiadavky na ochranu údajov, ktoré ste predtým identifikovali.

Typ politiky a aktivity

Musíte zvážiť, ktoré aktivity používateľa majú záujem sledovať, blokovať alebo ovládať. Typ politiky v službe Defender for Cloud Apps ovplyvňuje:

  • Čo dokážete dosiahnuť.
  • Ktoré aktivity môžu byť zahrnuté do konfigurácie.
  • Určuje, či sa ovládacie prvky budú vykonávať v reálnom čase, alebo nie.

Politiky v reálnom čase

Politiky prístupu a politiky relácií vytvorené v aplikáciách Defender for Cloud Apps umožňujú monitorovať, blokovať alebo ovládať relácie používateľov v reálnom čase.

Politiky prístupu a politiky relácie vám umožňujú:

  • Programová reakcia v reálnom čase: Zisťovanie, informovanie a blokovanie riskantného, neúmyselného alebo nevhodného zdieľania citlivých údajov. Tieto akcie vám umožňujú:
    • Zlepšite celkové nastavenie zabezpečenia nájomníka služby Power BI pomocou automatizácie a informácií.
    • Povoliť analytické prípady použitia, ktoré zahŕňajú citlivé údaje spôsobom, ktorý je možné auditovať.
  • Poskytnutie kontextových oznámení používateľom: táto funkcia vám umožňuje:
    • Pomôžte používateľom správne rozhodovať sa počas normálneho pracovného postupu.
    • Usmernite používateľov, aby dodržiavali svoju politiku klasifikácie údajov a ochrany bez vplyvu na ich produktivitu.

Ak chcete poskytnúť ovládacie prvky v reálnom čase, politiky prístupu a politiky relácie fungujú so službou Microsoft Entra ID (predtým známou ako Azure Active Directory), pričom sa spoliehajú na možnosti reverzného servera proxy ovládacieho prvku podmieneného prístupu k aplikáciám. Namiesto požiadaviek a odpovedí používateľov, ktoré prechádzajú aplikáciou (v tomto prípade služba Power BI), prechádzajú reverzným serverom proxy (Defender for Cloud Apps).

Presmerovanie nemá vplyv na používateľské prostredie. URL adresa služba Power BI sa však zmení na https://app.powerbi.com.mcas.ms url adresu pre riadenie aplikácie podmieneného prístupu pomocou služby Power BI po nastavení ID služby Microsoft Entra. Používatelia tiež dostanú oznámenie, keď sa prihlásia do služba Power BI ktorá oznamuje, že aplikáciu monitoruje služba Defender for Cloud Apps.

Dôležité

Politiky prístupu a politiky relácií fungujú v reálnom čase. Iné typy politík v službe Defender for Cloud Apps zahŕňajú krátke oneskorenie pri upozornení. Vo väčšine iných typov DLP a auditovania sa tiež vyskytne časové oneskorenie, vrátane ochrany pred únikom údajov pre službu Power BI a denníka aktivity služby Power BI.

Politiky prístupu

Politika prístupu vytvorená v službe Defender for Cloud Apps kontroluje, či sa používateľ môže prihlásiť do cloudovej aplikácie, ako je napríklad služba Power BI. Organizácie, ktoré sú vo vysoko regulovaných odvetviach, sa budú týkať politík prístupu.

Tu je niekoľko príkladov používania politík prístupu na blokovanie prístupu k služba Power BI.

  • Neočakávaný používateľ: Prístup môžete zablokovať pre používateľa, ktorý nie je členom konkrétnej skupiny zabezpečenia. Táto politika môže byť užitočná napríklad vtedy, keď máte dôležitý interný proces, ktorý sleduje schválených používateľov služby Power BI prostredníctvom konkrétnej skupiny.
  • Nespravované zariadenie: Môžete zablokovať prístup k osobnému zariadeniu, ktoré nie je spravované organizáciou.
  • Aktualizácie potrebné: Prístup môžete zablokovať pre používateľa, ktorý používa zastaraný prehliadač alebo operačný systém.
  • Miesto: Môžete zablokovať prístup pre miesto, kde nemáte kancelárie alebo používateľov, alebo z neznámej IP adresy.

Tip

Ak máte externých používateľov, ktorí pristupujú k vášmu nájomníkovi Služby Power BI alebo k zamestnancom, ktorí často cestujú, môže to ovplyvniť definovanie politík riadenia prístupu. Tieto typy politík zvyčajne spravuje IT.

Politiky relácií

Politika relácie je užitočná, keď prístup nechcete povoliť ani úplne zablokovať (dá sa to urobiť pomocou politiky prístupu, ako je to popísané vyššie). Konkrétne umožňuje používateľovi prístup pri monitorovaní alebo obmedzení toho, čo sa aktívne vyskytuje počas jeho relácie.

Tu je niekoľko príkladov spôsobov, ako pomocou politík relácií monitorovať, blokovať alebo ovládať relácie používateľov v služba Power BI.

  • Blokovanie sťahovania: Blokovanie sťahovania a exportovania, keď je k položke v služba Power BI priradené konkrétne označenie citlivosti, ako je napríklad Vysoko obmedzené.
  • Monitorovanie prihlásení: Monitorujte, keď sa používateľ, ktorý spĺňa určité podmienky, prihlási. Používateľ môže byť napríklad členom konkrétnej skupiny zabezpečenia alebo používa osobné zariadenie, ktoré organizácia nespravuje.

Tip

Vytvorenie politiky relácie (napríklad s cieľom zabrániť sťahovaniu) obsahu priradeného k určitému označeniu citlivosti, napríklad Vysoko obmedzené, je jedným z najúčinnejších prípadov použitia ovládacích prvkov relácie v reálnom čase v službe Power BI.

S politikami relácie je tiež možné ovládať nahrávanie súborov. Zvyčajne však chcete, aby používatelia samoobslužného BI odporúčali nahrávať obsah do služba Power BI (namiesto zdieľania súborov aplikácie Power BI Desktop). Preto dôkladne premyslite, ako blokovať nahrávanie súborov.

Kontrolný zoznam – pri plánovaní politík v reálnom čase v aplikácii Defender for Cloud Apps môžete prijímať kľúčové rozhodnutia a akcie:

  • Identifikácia prípadov použitia na zablokovanie prístupu: Je vhodné zostaviť zoznam scenárov, kedy je zablokovanie prístupu k služba Power BI vhodné.
  • Identifikácia prípadov použitia na monitorovanie prihlásení: Ak je vhodné monitorovať prihlásenia do služba Power BI, vytvorte zoznam scenárov, na ktoré sa používajú.
  • Identifikácia prípadov použitia na blokovanie sťahovania: Určte, kedy by sťahovanie zo služba Power BI malo byť zablokované. Určte, ktoré označenia citlivosti sa majú zahrnúť.

Politiky aktivít

Politiky aktivít v službe Defender for Cloud Apps nefungujú v reálnom čase.

Politiku aktivity môžete nastaviť na kontrolu udalostí zaznamenaných v denníku aktivity služby Power BI. Politika môže konať na základe jednej aktivity alebo môže vykonávať opakované aktivity jedným používateľom (keď sa konkrétna aktivita odohráva viac ako stanovený počet ráz v rámci stanoveného počtu minút).

Na monitorovanie aktivity v služba Power BI môžete použiť politiky aktivít rôznymi spôsobmi. Tu je niekoľko príkladov toho, čo môžete dosiahnuť.

  • Neoprávnený alebo neočakávaný používateľ zobrazí privilegovaný obsah: Používateľ, ktorý nie je členom konkrétnej skupiny zabezpečenia (alebo externý používateľ), zobrazil veľmi privilegovanú zostavu, ktorá bola poskytnutá správnej rade.
  • Neautorizované alebo neočakávané nastavenia nájomníka aktualizácií používateľa: Používateľ, ktorý nie je členom konkrétnej skupiny zabezpečenia, ako je napríklad skupina Spravovanie istratorov v službe Power BI, aktualizoval nastavenia nájomníka v služba Power BI. Môžete si tiež vybrať, či budete upozornení pri aktualizácii nastavenia nájomníka.
  • Veľký počet odstránení: Používateľ odstránil viac ako 20 pracovných priestorov alebo zostáv za časové obdobie dlhšie ako 10 minút.
  • Veľký počet stiahnutí: Používateľ stiahol viac ako 30 zostáv za časové obdobie dlhšie ako päť minút.

Správcovia služby Power BI bežne spravujú typy upozornení politiky činnosti popísaných v tejto časti v rámci dozoru nad službou Power BI. Pri nastavovaní upozornení v rámci služby Defender for Cloud Apps sa odporúča zamerať sa na situácie, ktoré predstavujú značné riziko pre organizáciu. Je to spôsobené tým, že každý upozornenie musí správca skontrolovať a zavrieť.

Upozornenie

Keďže udalosti denníka aktivity služby Power BI nie sú k dispozícii v reálnom čase, nemožno ich použiť na monitorovanie ani blokovanie v reálnom čase. Operácie však môžete použiť z denníka aktivity v politikách aktivity. Skôr než sa dostanete príliš ďaleko do procesu plánovania, nezabudnite spolupracovať s tímom zabezpečenia informácií na overení toho, čo je technicky uskutočniteľné.

Kontrolný zoznam – kľúčové rozhodnutia a akcie, ktoré môžete plánovať, zahŕňajú:

  • Identifikácia prípadov použitia na monitorovanie aktivity: Zostavte zoznam konkrétnych aktivít z denníka aktivity služby Power BI, ktorý predstavuje významné riziko pre organizáciu. Určte, či riziko súvisí s jednou aktivitou alebo opakovanými aktivitami.
  • Súradnicové úsilie so správcami služby Power BI: Diskutujte o aktivitách služby Power BI, ktoré sa budú monitorovať v službe Defender for Cloud Apps. Dbajte na to, aby nedošlo k duplicite úsilia medzi rôznymi správcami.

Vplyv používateľov na ne

Jedným z presvedčivých dôvodov na integráciu služby Power BI s aplikáciou Defender for Cloud Apps je výhoda ovládacích prvkov v reálnom čase pri interakcii používateľov s služba Power BI. Tento typ integrácie vyžaduje riadenie podmieneného prístupu k aplikácii v aplikácii Microsoft Entra ID.

Pred nastavením ovládacieho prvku aplikácie podmieneného prístupu v aplikácii Microsoft Entra ID musíte zvážiť, ktorí používatelia budú zahrnutí. Zvyčajne sú zahrnutí všetci používatelia. Môžu však existovať dôvody na vylúčenie konkrétnych používateľov.

Tip

Pri nastavovaní politiky podmieneného prístupu je pravdepodobné, že správca služby Microsoft Entra vylúči konkrétne kontá správcu. Tento prístup zabráni uzamknutiu správcov. Odporúčame, aby boli vylúčené kontá skôr správcami služby Microsoft Entra než štandardnými používateľmi služby Power BI.

Na niektorých používateľov a skupiny sa môžu vzťahovať určité typy politík v službe Defender for Cloud Apps. Tieto typy politík sa najčastejšie vzťahujú na všetkých používateľov. Situácia sa však môže vyskytnúť vtedy, keď budete musieť zámerne vylúčiť určitých používateľov.

Kontrolný zoznam – kľúčové rozhodnutia a akcie zahŕňajú pri zvážení vplyvu používateľov tieto kľúčové rozhodnutia a akcie:

  • Zvážte, ktorí používatelia sú súčasťou aplikácie: Potvrďte, či sa do politiky riadenia aplikácií podmieneného prístupu spoločnosti Microsoft budú nachádzať všetci používatelia.
  • Identifikujte, ktoré kontá správcu by sa mali vylúčiť: Určte, ktoré konkrétne kontá správcu by mali byť účelne vylúčené z politiky riadenia aplikácie podmieneného prístupu spoločnosti Microsoft Entra.
  • Určte, či sa na podmnožiny používateľov vzťahujú určité politiky nástroja Defender: V prípade platných prípadov použitia zvážte, či sa majú vzťahovať na všetkých alebo niektorých používateľov (ak je to možné).

Odosielanie správ používateľom

Po identifikovaní prípadov použitia budete musieť zvážiť, čo sa má stať, keď sa vyskytne aktivita používateľa, ktorá zodpovedá politike.

Keď je aktivita v reálnom čase zablokovaná, je dôležité poskytnúť používateľovi prispôsobenú správu. Správa je užitočná vtedy, keď chcete používateľov informovať o svojom bežnom pracovnom postupe. Je pravdepodobnejšie, že používatelia budú čítať a prijímať upozornenia používateľov, keď sú:

  • Konkrétne: Korelácia správy k politike uľahčuje pochopenie.
  • Akcia: ponúka návrh, čo potrebujú urobiť, alebo ako nájsť ďalšie informácie.

Niektoré typy politík v službe Defender for Cloud Apps môžu obsahovať prispôsobenú správu. Tu sú dva príklady oznámení používateľov.

Príklad 1: Môžete definovať politiku ovládacieho prvku relácie v reálnom čase, ktorá zabráni všetkým exportom a sťahovaniu, keď sa označenie citlivosti položky Power BI (napríklad zostavy alebo sémantického modelu – predtým známeho ako množina údajov) nastaví na možnosť Vysoko obmedzené. Prispôsobená správa o blokovaní v službe Defender for Cloud Apps znie: Súbory s označením Vysoko obmedzené nie sú povolené na stiahnutie z služba Power BI. Zobrazte obsah v služba Power BI online. S akýmikoľvek otázkami sa obráťte na tím podpory služby Power BI.

Príklad č. 2: Môžete definovať politiku prístupu v reálnom čase, ktorá zabráni používateľovi prihlásiť sa do služba Power BI keď nepoužíva počítač spravovaný organizáciou. Prispôsobená správa o blokovaní v službe Defender for Cloud Apps znie: K služba Power BI nemusí byť prístupný v osobnom zariadení. Použite zariadenie, ktoré poskytuje organizácia. S akýmikoľvek otázkami sa obráťte na tím podpory služby Power BI.

Kontrolný zoznam – pri zvažovaní používateľských správ v aplikáciách Defender for Cloud Apps môžu kľúčové rozhodnutia a akcie zahŕňať:

  • Rozhodnite sa, kedy bude potrebná prispôsobená správa o bloku: Pre každú politiku, ktorú chcete vytvoriť, určite, či sa bude vyžadovať prispôsobená správa o blokovaní.
  • Vytváranie prispôsobených správ o blokoch: Pre každú politiku definujte, ktorá správa sa má používateľom zobraziť. Plánujete vytvoriť vzťah medzi každou správou a politikou tak, aby bola špecifická a použiteľná.

upozorňovanie Spravovanie istrátora

Upozorňovanie je užitočné, ak chcete, aby správcovia zabezpečenia a dodržiavania súladu vedeli, že došlo k porušeniu politiky. Pri definovaní politík v službe Defender for Cloud Apps zvážte, či sa majú vygenerovať upozornenia. Ďalšie informácie nájdete v téme Typy upozornení v službe Defender for Cloud Apps.

Prípadne môžete nastaviť upozornenie na odoslanie e-mailu viacerým správcom. Keď sa vyžaduje e-mailové upozornenie, odporúčame použiť skupinu zabezpečenia s podporou e-mailu. Môžete napríklad použiť skupinu s názvom Zabezpečenie a zabezpečenie Spravovanie upozorňovanie.

V prípade situácií s vysokou prioritou je možné odoslať upozornenia prostredníctvom textovej správy. Taktiež je možné vytvoriť vlastnú automatizáciu upozornení a pracovné postupy prostredníctvom integrácie so službou Power Automate.

Každé upozornenie môžete nastaviť s nízkou, strednou alebo vysokou závažnosťou. Úroveň závažnosti je užitočná pri určovaní priority kontroly otvorených upozornení. Správca bude musieť skontrolovať každé upozornenie a vykonať akciu. Upozornenie je možné zavrieť ako skutočne pozitívne, falošne pozitívne alebo benígne.

Tu sú dva príklady upozornení správcu.

Príklad 1: Môžete definovať politiku ovládacieho prvku relácie v reálnom čase, ktorá zabráni všetkým exportom a sťahovaniu, keď je označenie citlivosti položky Power BI (napríklad zostavy alebo sémantického modelu) nastavené na možnosť Vysoko obmedzené. Obsahuje užitočnú prispôsobenú správu o blokovaní pre používateľa. V takejto situácii však nie je potrebné vygenerovať upozornenie.

Príklad č. 2: Môžete definovať politiku aktivity, ktorá sleduje, či externý používateľ zobrazil veľmi privilegovanú zostavu, ktorá je poskytnutá predstavenstvu. Upozornenie na vysokú závažnosť je možné nastaviť, aby sa zabezpečilo, že aktivita sa okamžite preskúma.

Tip

Príklad 2 zvýrazňuje rozdiely medzi ochranou informácií a zabezpečením. Jej politika aktivít pomôže identifikovať scenáre, v ktorých majú samoobslužní používatelia BI povolenie na spravovanie zabezpečenia obsahu. Títo používatelia však môžu vykonávať akcie, ktoré sa neodporúčajú v politike organizácie. Tieto typy politík odporúčame nastaviť iba za konkrétnych okolností, keď sú informácie obzvlášť citlivé.

Kontrolný zoznam – pri zvážení upozorňovania pre správcov v aplikácii Defender for Cloud Apps, ku kľúčovým rozhodnutiam a akciám patria:

  • Rozhodnite sa, kedy sa vyžadujú upozornenia: Pre každú politiku, ktorú chcete vytvoriť, vyberte situácie, na ktoré sa vzťahuje príkaz pomocou upozornení.
  • Objasnite roly a povinnosti: Určte očakávania a akciu, ktorá sa má vykonať pri generovaní upozornenia.
  • Určenie, kto bude dostávať upozornenia: Rozhodnite sa, ktorí správcovia zabezpečenia a dodržiavania súladu budú kontrolovať a akciu otvárať upozornenia. Potvrďte, že povolenia a licenčné požiadavky sú splnené pre každého správcu, ktorý bude používať Defender for Cloud Apps.
  • Vytvorenie novej skupiny: Ak je to potrebné, vytvorte novú skupinu zabezpečenia s podporou e-mailu, ktorá sa použije pri e-mailových oznámeniach.

Konvencia pomenovávanie politík

Skôr než vytvoríte politiky v aplikácii Defender for Cloud Apps, je vhodné najskôr vytvoriť konvenciu pomenovania. Konvencia pomenovania je užitočná, ak existuje mnoho typov politík pre mnoho typov aplikácií. Je užitočný aj vtedy, keď sa správcovia služby Power BI zapoja do monitorovania.

Tip

Zvážte udelenie prístupu Defender for Cloud Apps správcom služby Power BI. Použite rolu správcu, ktorá umožňuje zobrazenie denníka aktivity, udalostí prihlásenia a udalostí súvisiacich s služba Power BI.

Zoberme si šablónu konvencie pomenovania, ktorá obsahuje zástupné symboly súčasti: <Aplikácia> – <Popis> – <akcia> – <typ politiky>

Tu je niekoľko príkladov konvencie pomenovania.

Typ politiky Real-time Názov politiky
Politika relácií Áno Power BI – Vysoko obmedzené označenie – Blokovanie sťahovania – RT
Politika prístupu Áno Všetko – Nespravované zariadenie – Blokovať prístup – RT
Politika aktivít No Power BI – Spravovanie istratívna aktivita
Politika aktivít No Power BI – zobrazenia externého používateľa – výkonná zostava

Medzi súčasti konvencie pomenovania patria:

  • Aplikácia: názov aplikácie. Predpona služby Power BI pomáha zoskupiť pri zoradení všetky politiky špecifické pre Power BI. Niektoré politiky sa však budú vzťahovať na všetky cloudové aplikácie a nie len na služba Power BI.
  • Popis: Časť názvu, ktorá sa bude popisovať, sa bude najviac líšiť. Môže zahŕňať ovplyvnené označenia citlivosti alebo typ aktivity, ktorá sa sleduje.
  • Akcia: (Voliteľné) V príkladoch má jedna politika relácie akciu Blokovať súbory na stiahnutie. Akcia je zvyčajne potrebná len v prípade, že ide o politiku v reálnom čase.
  • Typ politiky: (Voliteľné) V príklade prípona RT označuje, že ide o politiku v reálnom čase. Určujúce, či je to v reálnom čase alebo nie, pomôže riadiť očakávania.

Existujú aj iné atribúty, ktoré nie je potrebné zahrnúť do názvu politiky. Tieto atribúty zahŕňajú úroveň závažnosti (nízka, stredná alebo vysoká) a kategóriu (napríklad zisťovanie hrozieb alebo DLP). Oba atribúty je možné filtrovať na stránke s upozorneniami.

Tip

Politiku môžete premenovať v službe Defender for Cloud Apps. Nie je však možné premenovať vstavané politiky detekcie anomálií. Podozrivé zdieľanie zostáv Power BI je napríklad vstavaná politika, ktorú nie je možné premenovať.

Kontrolný zoznam – kľúčové rozhodnutia a akcie zahŕňajú pri zvažovaní dohovoru o pomenovaní politiky tieto kľúčové rozhodnutia a akcie:

  • Vyberte konvenciu pomenovania: Použite svoje prvé politiky na vytvorenie konzistentnej konvencie pomenovania, ktorá sa má priamo interpretovať. Zamerajte sa na používanie konzistentnej predpony a prípony.
  • Dokumentácia k konvencii pomenovania: Zadajte referenčnú dokumentáciu o dohovore o pomenovaní politiky. Uistite sa, že správcovia systému vedia o konvencii pomenovania.
  • Aktualizácia existujúcich politík: Aktualizujte všetky existujúce politiky nástroja Defender, aby boli v súlade s novou konvenciou pomenovania.

Požiadavky na licencie

Na monitorovanie nájomníka služby Power BI musia byť zavedené konkrétne licencie. Spravovanie istrátory musia mať jednu z nasledujúcich licencií.

  • Microsoft Defender for Cloud Apps: poskytuje možnosti služby Defender for Cloud Apps pre všetky podporované aplikácie (vrátane služba Power BI).
  • Office 365 Cloud App Security: poskytuje možnosti služby Defender for Cloud Apps pre aplikácie Služieb Office 365, ktoré sú súčasťou balíka Office 365 E5 (vrátane služba Power BI).

Okrem toho, ak používatelia potrebujú používať politiky prístupu v reálnom čase alebo politiky relácie v službe Defender for Cloud Apps, budú potrebovať licenciu Microsoft Entra ID P1.

Tip

Ak potrebujete objasnenie licenčných požiadaviek, obráťte sa na tím konta Microsoft.

Kontrolný zoznam – pri vyhodnocovaní licenčných požiadaviek patria kľúčové rozhodnutia a akcie:

  • Kontrola licenčných požiadaviek na produkty: Skontrolujte všetky licenčné požiadavky na prácu s defender for Cloud Apps.
  • Zaobstaranie ďalších licencií: Ak je to vhodné, zakúpte si ďalšie licencie, aby ste mohli odomknúť funkcie, ktoré chcete používať.
  • Priradenie licencií: Priraďte licenciu každému zo správcov zabezpečenia a dodržiavania súladu, ktorí budú používať Defender for Cloud Apps.

Dokumentácia a školenie používateľov

Pred uvedeniem aplikácie Defender for Cloud Apps odporúčame vytvoriť a publikovať používateľskú dokumentáciu. Stránka SharePointu alebo stránka wiki na centralizovanom portáli môže fungovať dobre, pretože sa bude dať jednoducho udržiavať. Dobrým riešením je aj dokument nahratý do zdieľanej knižnice alebo lokality Teams.

Cieľom dokumentácie je dosiahnutie bezproblémového používateľského prostredia. Príprava používateľskej dokumentácie vám tiež pomôže skontrolovať, či ste všetko zohľadnili.

Uveďte informácie o tom, koho kontaktovať, keď majú používatelia otázky alebo technické problémy.

Najčastejšie otázky a príklady sú užitočné najmä pre dokumentáciu používateľov.

Kontrolný zoznam – pri príprave dokumentácie a školení používateľov sú kľúčové rozhodnutia a akcie:

  • Aktualizujte dokumentáciu pre tvorcov obsahu a spotrebiteľov: Aktualizujte svoje najčastejšie otázky a príklady tak, aby obsahovali relevantné informácie o politikách, ktoré sa môžu vyskytnúť používateľom.
  • Publikovanie spôsobu získania pomoci: Zabezpečte, aby používatelia vedeli, ako získať pomoc, keď zažívajú niečo neočakávané alebo keď tomu nerozumejú.
  • Určite, či je potrebné konkrétne školenie: Vytvorte alebo aktualizujte školenia používateľov, aby obsahovali užitočné informácie, najmä ak sa v ňom vyžaduje regulácia.

Podpora používateľov

Je dôležité overiť, kto bude zodpovedný za podporu používateľov. Je bežné, že používanie defender for Cloud Apps na monitorovanie Power BI vykonáva centralizovaná technická podpora IT.

Možno bude potrebné vytvoriť dokumentáciu pre oddelenie technickej podpory a vykonať niekoľko relácií prenosu vedomostí, aby oddelenie technickej podpory bolo pripravené odpovedať na žiadosti o podporu.

Kontrolný zoznam – pri príprave na funkciu podpory používateľa sú kľúčové rozhodnutia a akcie:

  • Identifikujte, kto bude poskytovať podporu používateľov: Keď definujete roly a povinnosti, uistite sa, ako používatelia získajú pomoc s problémami, ktoré sa môžu vyskytnúť.
  • Skontrolujte, či je tím podpory používateľov pripravený: Vytvorte dokumentáciu a vykonajte relácie prenosu vedomostí, aby oddelenie technickej podpory bolo pripravené podporovať tieto procesy.
  • Komunikácia medzi tímami: Môžete diskutovať o správach, ktoré si používatelia môžu zobraziť, a o procese riešenia otvorených upozornení so správcami služby Power BI a Centrom excelentnosti. Uistite sa, že všetci zúčastnení sú pripravení na potenciálne otázky používateľov služby Power BI.

Súhrn implementácie

Po vykonaní rozhodnutí a príprave plánu zavádzania je čas spustiť implementáciu.

Ak plánujete používať politiky v reálnom čase (politiky relácií alebo politiky prístupu), vašou prvou úlohou je nastaviť riadenie podmieneného prístupu k aplikácii Microsoft Entra. Budete musieť nastaviť služba Power BI ako aplikáciu pre katalóg, ktorú bude riadiť Defender for Cloud Apps.

Po nastavení a otestovaní ovládacieho prvku aplikácie Podmieneného prístupu spoločnosti Microsoft Entra môžete vytvoriť politiky v aplikácii Defender for Cloud Apps.

Dôležité

Odporúčame vám predstaviť túto funkciu najprv malému počtu používateľov testu. K dispozícii je aj režim iba na monitorovanie, ktorý môže byť užitočný pri zavádzaní tejto funkcie usporiadaným spôsobom.

Nasledujúci kontrolný zoznam obsahuje súhrnný zoznam krokov implementácie od konca. Mnohé z týchto krokov obsahujú ďalšie podrobnosti, ktoré boli popísané v predchádzajúcich častiach tohto článku.

Kontrolný zoznam – kľúčové rozhodnutia a akcie zahŕňajú implementáciu aplikácie Defender for Cloud Apps pomocou služby Power BI:

  • Overenie aktuálneho stavu a cieľov: Zabezpečte prehľadnosť aktuálneho stavu ochrany pred únikom údajov na použitie so službou Power BI. Všetky ciele a požiadavky na implementáciu ochrany pred únikom údajov by mali byť jasné a aktívne použité na zavedenie rozhodovacieho procesu.
  • Vykonajte rozhodovací proces: Preskúmajte a prediskutujte všetky požadované rozhodnutia. Táto úloha by sa mala uskutočniť ešte pred nastavením čohokoľvek v produkčnom prostredí.
  • Kontrola licenčných požiadaviek: Zabezpečte, aby ste pochopili licenčné požiadavky na produkty a licencovanie používateľov. Ak je to potrebné, zaobstaranie a priradenie ďalších licencií.
  • Publikovanie dokumentácie používateľov: Publikujte informácie, ktoré používatelia budú musieť odpovedať na otázky a objasniť očakávania. Poskytnite svojim používateľom sprievodný materiál, komunikáciu a školenia, aby boli pripravení.
  • Vytvorenie politiky podmieneného prístupu k službe Microsoft Entra: Vytvorenie politiky podmieneného prístupu v aplikácii Microsoft Entra ID na povolenie ovládacích prvkov v reálnom čase na monitorovanie služba Power BI. Najprv povoľte politiku podmieneného prístupu k službe Microsoft Entra pre niekoľkých používateľov testu.
  • Nastavenie služby Power BI ako pripojenej aplikácie v aplikácii Defender for Cloud Apps: Pridajte alebo overte, či sa služba Power BI v službe Defender for Cloud Apps zobrazuje ako pripojená aplikácia pre riadenie podmieneného prístupu k aplikácii.
  • Vykonať počiatočné testovanie: Prihláste sa do služba Power BI ako jeden z používateľov testu. Overte, či prístup funguje. Overte tiež, či vás zobrazená správa informuje o tom, že služba Power BI monitoruje Defender for Cloud Apps.
  • Vytvorenie a testovanie politiky v reálnom čase: Pomocou už zostavených prípadov použitia vytvorte politiku prístupu alebo politiku relácie v službe Defender for Cloud Apps.
  • Vykonať počiatočné testovanie: Ako testovací používateľ vykonajte akciu, ktorá spustí politiku v reálnom čase. Overte, či je akcia blokovaná (ak je to vhodné) a či sa zobrazujú očakávané správy upozornenia.
  • Získavanie pripomienok od používateľov: Získajte pripomienky k procesu a používateľskému zážitku. Identifikujte oblasti zámeny, neočakávané výsledky s typmi citlivých informácií a ďalšími technickými problémami.
  • Pokračovať v iteračných vydaniach: Postupne pridávajte ďalšie politiky v aplikácii Defender for Cloud Apps, kým nebudú riešené všetky prípady použitia.
  • Prečítajte si vstavané politiky: Vyhľadajte politiky vstavaného zisťovania anomálií v službe Defender for Cloud Apps (ktoré majú v názve službu Power BI). Ak je to potrebné, aktualizujte nastavenia upozornenia pre vstavané politiky.
  • Pokračujte so širším zavádzaním: Pokračujte v práci prostredníctvom iteračného plánu zavádzania. Aktualizujte politiku podmieneného prístupu k službe Microsoft Entra, aby sa podľa potreby vzťahovala na širší súbor používateľov. Aktualizujte jednotlivé politiky v službe Defender for Cloud Apps, aby ste sa podľa potreby mohli vzťahovať na širší súbor používateľov.
  • Monitorovanie, ladenie a úprava: Zdroje investícií na časté kontrola zhody politík s upozorneniami a denníkmi auditu. Preskúmajte všetky falošne pozitívne a v prípade potreby upravte politiky.

Tip

Tieto položky kontrolného zoznamu sú zhrnuté na účely plánovania. Ďalšie podrobnosti o týchto položkách kontrolného zoznamu nájdete v predchádzajúcich častiach tohto článku.

Podrobnejšie informácie o nasadení služby Power BI ako aplikácie katalógu v službe Defender for Cloud Apps nájdete v krokoch na nasadenie aplikácií katalógu.

Priebežné monitorovanie

Po dokončení implementácie by ste mali upriamiť vašu pozornosť na monitorovanie, vynucovanie a prispôsobovanie politík služby Defender for Cloud Apps na základe ich používania.

Správcovia služby Power BI, správcovia zabezpečenia a dodržiavania súladu budú musieť spolupracovať z času na čas. V prípade obsahu služby Power BI máte dve cieľové skupiny na monitorovanie.

  • Správcovia služby Power BI: Okrem upozornení vygenerovaných aplikáciou Defender for Cloud Apps sa aktivity z denníka aktivity služby Power BI zobrazujú aj na portáli Defender for Cloud Apps.
  • Správcovia zabezpečenia a dodržiavania súladu: Správcovia zabezpečenia a dodržiavania súladu organizácie zvyčajne používajú upozornenia v službe Defender for Cloud Apps.

Správcom služby Power BI je možné poskytnúť obmedzené zobrazenie v aplikácii Defender for Cloud Apps. Používa rolu v rozsahu na zobrazenie denníka aktivity, udalostí prihlásenia a udalostí súvisiacich s služba Power BI. Pre správcov služby Power BI je táto funkcia výhodná.

Kontrolný zoznam – pri monitorovaní služby Defender for Cloud Apps sú k dispozícii kľúčové rozhodnutia a akcie:

  • Overenie rolí a povinností: Skontrolujte, či máte jasnú predstavu o tom, kto je zodpovedný za aké akcie. Vzdelávajte správcov služby Power BI a komunikujte s ich vtedy, ak budú zodpovední za akýkoľvek aspekt monitorovania.
  • Správa prístupu pre správcov služby Power BI: Pridajte správcov služby Power BI do roly správcu v rámci nástroja Defender for Cloud Apps. S nimi komunikujú, aby si boli vedomí toho, čo môžu s týmito ďalšími informáciami robiť.
  • Vytvorte alebo overte proces kontroly aktivity: Uistite sa, že správcovia zabezpečenia a dodržiavania súladu jasne sledujú očakávania, že budú pravidelne kontrolovať prieskumníka aktivity.
  • Vytvorte alebo overte proces riešenia upozornení: Zabezpečte, aby správcovia zabezpečenia a dodržiavania súladu mali k dispozícii proces na preskúmanie a riešenie otvorených upozornení.

Súvisiaci obsah

V nasledujúcom článku v tejto sérii získate informácie o auditovaní v oblasti ochrany informácií a ochrany pred únikom údajov pre službu Power BI.