Power BI 实施规划:审核 Power BI 的信息保护和数据丢失防护

  • 项目

备注

本文是 Power BI 实现规划系列文章中的一篇。 本系列着重介绍 Microsoft Fabric 中的 Power BI 工作负载。 有关该系列的介绍,请参阅 Power BI 实施规划

本文介绍在实现信息保护和数据丢失防护 (DLP) 后可以执行的审核类型。 它针对:

  • Power BI 管理员:负责监督组织中 Power BI 的管理员。 Power BI 管理员需要与信息安全和其他相关团队协作。
  • 卓越中心、IT 和 BI 团队:负责在组织中监督 Power BI 的其他人。 他们可能需要与 Power BI 管理员、信息安全团队和其他相关团队协作。

请务必了解组织中信息保护和数据丢失防护的使用情况。 可以通过执行审核来实现此目的,审核可以:

  • 跟踪使用模式、活动和采用
  • 支持治理和安全要求
  • 查找特定要求的不符合性问题
  • 记录当前设置
  • 确定用户教育和培训机会

清单 - 考虑信息保护和 DLP 的审核时,关键决策和操作包括:

  • 确定审核最重要的内容:从审核角度考虑最重要的内容。 确定风险领域、主要效率低下问题或不符合法规要求的问题的优先级。 当出现可以改进的情况时,请让用户了解执行相关操作的适当方法。
  • 实现相关的审核过程:将过程落实到位以提取、集成、建模和创建报表,以便完成审核。
  • 采取适当的操作:使用从审核过程获取的信息,确保有人具有执行适当操作的权限和时间。 根据情况,这可能涉及调整哪些敏感度标签分配给内容。 其他情况可能涉及用户教育或培训。

本文的其余部分介绍实用的审核过程和建议。

Power BI 活动日志

为了帮助信息保护,可以使用 Power BI 活动日志跟踪与敏感度标签相关的活动

实现适用于 Power BI 的 DLP 后,活动日志会跟踪有 DLP 规则匹配项的时间。

  • 要查找的内容:可以确定发生特定活动的时间,例如:
    • 敏感度标签应用、更改、删除的时间以及执行操作的用户
    • 是否手动应用标签
    • 是否自动应用标签(例如,通过继承或部署管道)
    • 已更改的标签是否升级(为敏感度更高的标签)或降级(为敏感度更低的标签)
    • 触发 DLP 事件的频率、位置和用户
  • 要执行的操作:确保具有提取租户级元数据权限的管理员定期提取活动日志数据中的数据。 确定如何对活动进行分类以支持审核需求。 某些活动可能为管理员或内容所有者进行的审查提供依据(例如,删除标签时)。 其他活动可能为包含在定期审核审查中提供依据(例如,当标签降级时,或当 DLP 规则匹配项出现时)。
  • 在何处查找此数据:Power BI 管理员可以使用 Power BI 活动日志查看与 Power BI 内容相关的活动。 或者,在 Defender for Cloud Apps 中,可以向 Power BI 管理员授予有限视图,以便他们可以查看与 Power BI 服务相关的活动日志事件、登录事件和其他事件。

Power BI 保护指标

数据保护指标报表是 Power BI 管理门户中的专用报表。 它总结了如何将敏感度标签分配给 Power BI 租户中的内容。

  • 要查找的内容:可以快速了解敏感度标签应用于 Power BI 服务中每种类型的项(例如语义模型或报表)的频率
  • 要执行的操作:查看此报表以熟悉有多少内容未应用标签。
  • 在何处查找此数据:Power BI 管理员可以在 Power BI 管理门户中找到数据保护指标报表。

提示

数据保护指标报表是汇总报表。 还可以使用下一部分所述的扫描程序 API 执行更深入的分析。

Power BI 扫描程序 API

Power BI 扫描程序 API 支持扫描 Power BI 租户中的元数据。 Power BI 项(如语义模型和报表)的元数据可以帮助你监视和审查自助式用户活动。

例如,你可能会发现财务工作区中的内容已分配给三个不同的敏感度标签。 如果其中任何标签不适合财务数据,则可以应用更适合的标签。

  • 要查找的内容:可以在租户中创建 Power BI 项的清单,包括每个项的敏感度标签。
  • 要执行的操作:创建每周或每月扫描租户的流程。 使用扫描程序 API 检索的元数据来了解 Power BI 内容是如何标记的。 如果发现某些标签不符合工作区的预期,请进一步调查。 将扫描程序 API 中的元数据与 Power BI 活动日志中的事件相关联,以确定敏感度标签应用、更改、删除的时间和执行操作的用户。
  • 在何处查找此数据:Power BI 管理员可以使用 Power BI 扫描程序 API 检索应用于所有 Power BI 内容的敏感度标签的快照。 如果想要生成自己的清单报表,可以通过编写脚本直接使用 API。 或者可以通过在 Microsoft Purview Data Map 中注册 Power BI 间接使用 API(Microsoft Purview Data Map 使用 Power BI 扫描程序 API 扫描 Power BI 租户)。

Microsoft Purview 活动资源管理器

Microsoft Purview 合规门户中的活动资源管理器聚合有用的审核数据。 此数据可帮助你了解应用程序和服务中的活动。

提示

活动资源管理器仅公开某些类型的 Power BI 事件。 计划同时使用 Power BI 活动日志和活动资源管理器查看事件。

  • 要查找的内容:可以使用活动资源管理器查看各种应用程序中的敏感度标签活动,包括 Teams、SharePoint Online、OneDrive、Exchange Online 和 Power BI。 还可以查看文件读取时间、位置以及用户。 活动资源管理器中还显示了某些类型的 DLP 策略事件。 如果提供了解释敏感度标签更改的理由,可以在活动资源管理器中查看原因。
  • 要执行的操作:定期查看活动资源管理器事件,以确定是否存在需要进一步调查的问题或事件。 某些事件可能为管理员或内容所有者进行的审查提供依据(例如,删除标签时)。 其他事件可能为包含在定期审核审查中提供依据(例如,当标签降级时)。
  • 在何处查找此数据:Microsoft 365 管理员可以使用 Microsoft Purview 合规门户中的活动资源管理器查看所有敏感度标签活动。

Microsoft Purview 内容浏览器

Microsoft Purview 合规门户中的内容浏览器提供了敏感信息在各种应用程序和服务中所处的位置的快照。

提示

无法在内容浏览器中看到 Power BI Desktop (.pbix) 文件。 但是,可以使用内容浏览器查看从 Power BI 服务导出的某些类型的受支持文件,例如 Excel 文件。

  • 要查找的内容:可以使用内容浏览器来确定在 Teams、SharePoint Online、OneDrive 和 Exchange Online 等各种位置找到的敏感数据。
  • 要执行的操作:如果需要了解什么内容存在以及驻留在哪儿,可查看内容浏览器。 使用此信息来评估已做出的决定,以及是否应采取其他操作。
  • 在何处查找此数据:Microsoft 365 管理员可以在 Microsoft Purview 合规门户中使用内容浏览器来查找敏感数据当前所在的位置。

相关内容

有关有助于做出 Power BI 实现决策的更多注意事项、操作、决策标准和建议,请参阅 Power BI 实现计划主题区域