常用 Microsoft Defender for Cloud Apps 信息保护策略

Defender for Cloud Apps 文件策略允许强制执行各种自动化流程。 可以设置策略以提供信息保护，包括持续的合规性扫描、合法的电子数据展示任务、对公开共享的敏感内容的 DLP。

Microsoft Defender for Cloud Apps 可基于 20 多个元数据过滤器监视任何文件类型，例如，访问级别和文件类型。 有关更多信息，请参阅文件策略。

检测和防止外部共享敏感数据

检测包含个人身份信息或其他敏感数据的文件存储在云服务中，并与组织外部的用户共享时，是否违反了公司的安全策略，并造成潜在的合规性漏洞。

先决条件

你必须使用应用连接器至少连接一个应用。

步骤

1. 在 Microsoft Defender 门户的“Cloud Apps”下，转到“策略”->“策略管理”。 创建新的文件策略。

2. 设置筛选器“访问级别”等于“公开（互联网）/公开/外部”。

3. 在“检查方法”下，选择“数据分类服务 (DCS)”，然后在“选择类型”下，选择希望 DCS 检查的敏感信息类型。

4. 配置触发警报时要执行的治理操作。 例如，你可以在 Google Workspace 中创建一个治理操作，该操作在检测到的文件冲突时运行，可在其中选择“移除外部用户”和“移除公开访问”选项。

5. 创建文件策略。

检测外部共享的保密数据

检测标记为“保密”且存储在云服务中的文件是否与外部用户共享，这违反了公司策略。

先决条件

• 你必须使用应用连接器至少连接一个应用。

• 启用 Microsoft Purview 信息保护集成。

步骤

1. 在 Microsoft Defender 门户的“Cloud Apps”下，转到“策略”->“策略管理”。 创建新的文件策略。

2. 将筛选器“敏感度标签”设置为“Microsoft Purview 信息保护”等于“保密”标签或公司的等效标签。

3. 设置筛选器“访问级别”等于“公开（互联网）/公开/外部”。

4. 可选：设置在检测到冲突时要对文件执行的治理操作。 可用的治理操作因服务而异。

5. 创建文件策略。

检测和加密静态敏感数据

检测包含个人身份信息以及在云应用中共享的其他敏感数据的文件，并应用敏感度标签，将访问权限仅限于公司员工。

先决条件

• 你必须使用应用连接器至少连接一个应用。

• 启用 Microsoft Purview 信息保护集成。

步骤

1. 在 Microsoft Defender 门户的“Cloud Apps”下，转到“策略”->“策略管理”。 创建新的文件策略。

2. 在“检查方法”下，选择“数据分类服务 (DCS)”，然后在“选择类型”下，选择希望 DCS 检查的敏感信息的类型。

3. 在“治理操作”下，选中“应用敏感度标签”，然后选择公司用来将访问权限限制给公司员工的敏感度标签。

4. 创建文件策略。

注意

目前，只有 Box、Google Workspace、SharePoint Online 和 OneDrive for Business 直接支持在 Defender for Cloud Apps 中应用敏感度标签的功能。

检测来自于未授权位置的数据访问

根据组织的常用位置，检测何时从未经授权的位置访问文件，以识别潜在的数据泄露或恶意访问。

先决条件

你必须使用应用连接器至少连接一个应用。

步骤

1. 在 Microsoft Defender 门户的“Cloud Apps”下，转到“策略”->“策略管理”。 创建新的活动策略。

2. 将筛选器“活动类型”设置为感兴趣的文件和文件夹活动，例如“查看”、“下载”、“访问”和“修改”。

3. 设置筛选器“位置”不等于，然后输入组织希望活动来自哪个国家/地区。

   • 可选：如果组织阻止从特定国家/地区访问，则可以使用相反的方法，将筛选器设置为“位置”等于。

4. 可选：创建要应用于检测到冲突时的治理操作（可用性因服务而异），例如暂停用户。

5. 创建活动策略。

检测和保护不合规的 SP 网站中的保密数据存储

检测标记为“保密”且存储在不合规的 SharePoint 网站中的文件。

先决条件

敏感度标签在组织内配置和使用。

步骤

1. 在 Microsoft Defender 门户的“Cloud Apps”下，转到“策略”->“策略管理”。 创建新的文件策略。

2. 将筛选器“敏感度标签”设置为“Microsoft Purview 信息保护”等于“保密”标签或公司的等效标签。

3. 设置筛选器“父文件夹”不等于，然后在“选择文件夹”下选择组织中的所有合规文件夹。

4. 在“警报”下，选择“为每个匹配文件创建警报”。

5. 可选：设置在检测到冲突时要对文件执行的治理操作。 可用的治理操作因服务而异。 例如，将“Box”设置为“将匹配策略的摘要发送到文件所有者”和“放入管理员隔离区”。

6. 创建文件策略。

检测外部共享的源代码

检测包含可能是源代码内容的文件何时公开共享或与组织外部的用户共享。

先决条件

你必须使用应用连接器至少连接一个应用。

步骤

1. 在 Microsoft Defender 门户的“Cloud Apps”下，转到“策略”->“策略管理”。 创建新的文件策略。

2. 选择并应用策略模板“外部共享的源代码”

3. 可选：自定义文件“扩展插件”的列表以匹配组织的源代码文件扩展插件。

4. 可选：设置在检测到冲突时要对文件执行的治理操作。 可用的治理操作因服务而异。 例如，在 Box 中，“将策略匹配的摘要发送到文件所有者”并“放入管理员隔离区”。

5. 选择并应用策略模板。

检测对组数据的未经授权访问

检测属于特定用户组的某些文件何时被不属于该组的用户过度访问，此行为可能是潜在的内部威胁。

先决条件

你必须使用应用连接器至少连接一个应用。

步骤

1. 在 Microsoft Defender 门户的“Cloud Apps”下，转到“策略”->“策略管理”。 创建新的活动策略。

2. 在“执行操作”下，选择“重复活动”并自定义“最低重复活动”，然后设置“时间范围”以符合组织的策略。

3. 将筛选器“活动类型”设置为感兴趣的文件和文件夹活动，例如“查看”、“下载”、“访问”和“修改”。

4. 将筛选器“用户”设置为“来源组”等于，然后选择相关的用户组。

   注意

   从受支持的应用手动导入用户组。

5. 将筛选器“文件和文件夹”设置为“特定文件或文件夹”等于，然后选择属于已审核的用户组的文件和文件夹。

6. 设置在检测到冲突时要对文件执行的治理操作。 可用的治理操作因服务而异。 例如，可以选择“暂停用户”。

7. 创建文件策略。

检测可公开访问的 S3 存储桶

检测并防止来自 AWS S3 存储桶的潜在数据泄漏。

先决条件

必须使用应用连接器连接 AWS 实例。

步骤

1. 在 Microsoft Defender 门户的“Cloud Apps”下，转到“策略”->“策略管理”。 创建新的文件策略。

2. 选择并应用策略模板可公开访问的 S3 存储桶 (AWS)。

3. 设置在检测到冲突时要对文件执行的治理操作。 可用的治理操作因服务而异。 例如，将 AWS 设置为“设为专用”，这会使 S3 存储桶成为专用。

4. 创建文件策略。

跨文件存储应用检测并保护 GDPR 相关数据

检测在云存储应用中共享的文件，以及包含受 GDPR 符合性策略约束的个人身份信息和其他敏感数据的文件。 然后，自动应用敏感度标签，将访问权限仅限于授权人员。

先决条件

• 你必须使用应用连接器至少连接一个应用。

• 已启用 Microsoft Purview 信息保护集成并在 Microsoft Purview 中配置了 GDPR 标签

步骤

1. 在 Microsoft Defender 门户的“Cloud Apps”下，转到“策略”->“策略管理”。 创建新的文件策略。

2. 在“检查方法”下，选择“数据分类服务 (DCS)”，并在“选择类型”下，选择符合 GDPR 合规性的一个或多个信息类型，例如：欧盟借记卡卡号、欧盟驾驶执照号、欧盟国家/地区标识号、欧盟护照号、EU SSN、SU 税务标识号。

3. 通过为每个受支持的应用选择“应用敏感度标签”，设置在检测到冲突时要对文件执行的治理操作。

4. 创建文件策略。

注意

目前，只有 Box、Google Workspace、SharePoint Online 和 OneDrive for Business 支持应用敏感度标签。

实时阻止外部用户下载

使用 Defender for Cloud Apps 会话控制，实时阻止文件下载，防止公司数据被外部用户窃取。

先决条件

确保应用是基于 SAML 的应用，并且该应用使用 Microsoft Entra ID 进行单一登录，或已载入到 Defender for Cloud Apps，用于条件访问应用控制。

有关支持的应用的更多信息，请参阅支持的应用和客户端。

步骤

1. 在 Microsoft Defender 门户的“Cloud Apps”下，转到“策略”->“策略管理”。 创建新的会话策略。

2. 在“会话控制类型”下，选择“控制文件下载(通过检查)”。

3. 在“活动筛选器”下，选择“用户”并将其设置为“来源组”等于“外部用户”。

   注意

   无需设置任何应用筛选器，即可将此策略用于所有应用。

4. 可以使用文件筛选器来自定义文件类型。 这样，你便可以更精细地控制会话策略控制的文件类型。

5. 在“操作”下，选择“阻止”。 你可以选择“自定义阻止消息”以设置要发送给用户的自定义消息，以便他们了解内容被阻止的原因，以及他们如何通过应用正确的敏感度标签来启用它。

6. 选择创建。

对外部用户实时强制执行只读模式

通过使用 Defender for Cloud Apps 会话控制，实时阻止打印和复制/粘贴活动，从而防止公司数据被外部用户窃取。

先决条件

确保应用是基于 SAML 的应用，并且该应用使用 Microsoft Entra ID 进行单一登录，或已载入到 Defender for Cloud Apps，用于条件访问应用控制。

有关支持的应用的更多信息，请参阅支持的应用和客户端。

步骤

1. 在 Microsoft Defender 门户的“Cloud Apps”下，转到“策略”->“策略管理”。 创建新的会话策略。

2. 在“会话控制类型”下，选择“阻止活动”。

3. 在“活动源”筛选器中：

   1. 选择“用户”并将“来源组”设置为“外部用户”。

   2. 选择“活动类型”等于“打印”和“剪切/复制项”。

   注意

   无需设置任何应用筛选器，即可将此策略用于所有应用。

4. 可选：在“检查方法”下，选择要应用的检查类型，并设置 DLP 扫描的必要条件。

5. 在“操作”下，选择“阻止”。 你可以选择“自定义阻止消息”以设置要发送给用户的自定义消息，以便他们了解内容被阻止的原因，以及他们如何通过应用正确的敏感度标签来启用它。

6. 选择创建。

实时阻止上传未分类的文档

使用 Defender for Cloud Apps 会话控制防止用户将未受保护的数据上传到云。

先决条件

• 确保应用是基于 SAML 的应用，并且该应用使用 Microsoft Entra ID 进行单一登录，或已载入到 Defender for Cloud Apps，用于条件访问应用控制。

有关支持的应用的更多信息，请参阅支持的应用和客户端。

• 必须在组织内配置和使用来自 Microsoft Purview 信息保护的敏感度标签。

步骤

1. 在 Microsoft Defender 门户的“Cloud Apps”下，转到“策略”->“策略管理”。 创建新的会话策略。

2. 在“会话控制类型”下，选择“控制文件上传（执行检查）”或“控制文件下载（执行检查）”。

   注意

   无需设置任何筛选器，即可将此策略用于所有用户和应用。

3. 选择文件筛选器“敏感度标签”不等于，然后选择公司用于标记分类的文件的标签。

4. 可选：在“检查方法”下，选择要应用的检查类型，并设置 DLP 扫描的必要条件。

5. 在“操作”下，选择“阻止”。 你可以选择“自定义阻止消息”以设置要发送给用户的自定义消息，以便他们了解内容被阻止的原因，以及他们如何通过应用正确的敏感度标签来启用它。

6. 选择“创建”。

注意

有关 Defender for Cloud Apps 当前支持 Microsoft Purview 信息保护敏感度标签的文件类型列表，请参阅 Microsoft Purview 信息保护集成先决条件。

后续步骤

保护组织的最佳做法

如果遇到任何问题，我们可以提供帮助。 要获取产品问题的帮助或支持，请开立支持票证。