本部分针对数据支柱 CISA 零信任成熟度模型 提供了Microsoft指导和建议。 有关详细信息,请参阅使用零信任保护网络。 网络安全 & 基础结构安全局(CISA)数据定义包括驻留或驻留在联邦系统、设备、网络、应用程序、数据库、基础结构和备份的所有结构化和非结构化文件和片段。 定义包括本地和虚拟环境,还包括关联的元数据。
5 数据
根据联邦要求保护设备、应用程序和网络上的企业数据。 维护清单、分类和标签数据。 保护静态、传输中和使用中的数据。 部署机制以检测和停止数据外泄。 制定和查看数据管理策略,以确保在整个企业中强制实施数据生命周期。
使用以下链接转到指南的各个部分。
5.1 函数:数据清单管理
| CISA ZTMM 阶段说明 | Microsoft指南和建议 |
|---|---|
|
初始成熟度状态 企业开始自动执行本地和云环境中的数据清单过程,涵盖大多数企业数据,并开始合并针对数据丢失的保护。 |
Microsoft Purview 信息保护 基于敏感信息类型对数据进行分类。 - 敏感数据和 Purview - 标签策略 定义和应用容器敏感度标签:Microsoft Teams 网站、Microsoft 365 组和 Microsoft SharePoint 网站。 敏感度标签 Microsoft Purview 数据管理 使用 Purview 治理解决方案自动扫描本地、多云和软件即服务(SaaS)数据源。 Microsoft Purview Microsoft Purview Data Estate Insights 治理利益干系人使用此功能作为数据管理、合规性和数据使用角色,例如首席数据官。 使用有关数据资产、目录使用情况、采纳和流程的洞察。 洞察报告、清单和所有权 Microsoft Purview 终端数据丢失防护 监控对敏感项采取的操作,并协助防止意外共享。 设备列表、设备状态 |
|
高级成熟度状态 企业在全企业范围内自动化实现数据清单和跟踪,涵盖所有适用的企业数据,并实施基于静态属性和/或标签的数据丢失防护策略。 |
Microsoft Purview 敏感信息类型 在 Purview 合规性门户中查看和定义自定义敏感信息类型。 使用机器学习训练的分类器。 - 自定义敏感信息类型 - 可训练分类器 Microsoft Purview 内容资源管理器 在内容资源管理器和活动资源管理器中,查看标识Microsoft 365 内容和相关用户活动。 - 内容资源管理器 - 活动资源管理器 Microsoft Purview 敏感度标签, 根据数据标签标准创建和发布敏感度标签。Microsoft 365 数据丢失防护 Microsoft Purview 终结点数据丢失防护 监视对敏感项执行的操作,并帮助防止意外共享。 设备列表、设备状态 |
|
最佳成熟度状态 企业持续清点所有适用的企业数据,并采用可靠的数据丢失防护策略来动态阻止可疑数据外泄。 |
Microsoft Purview 内容资源管理器 使用内容资源管理器 PowerShell 导出有关敏感内容的清单信息。 使用安全信息和事件管理 (SIEM) 应用或其他分析工具创建有关要保护的数据类型的报告。 内容资源管理器 PowerShell Microsoft Purview 信息保护 为在 Microsoft Office 应用程序中创建的文件和电子邮件配置客户端标签。 Office 应用的自动标记 为存储在 Microsoft 365 中的内容配置服务端标签。 SharePoint、OneDrive 和 Exchange 中的自动标记 若要在环境中查找包含敏感数据(例如员工个人标识信息 (PII))的文档和电子邮件,请扫描以查找与已知数据源匹配的数据。 精确数据匹配 使用文档指纹查找和标记与高度敏感的文档、模板和表单匹配的内容。 文档指纹 Microsoft Purview 数据管理 在 Purview 治理门户中注册数据源、扫描、引入和分类数据。 - 数据源 - 扫描和引入 - 数据分类 - 支持的源 - 应用分类 - Azure 保护策略 - Microsoft Fabric 中的保护策略 Microsoft Purview 数据丢失防护 控制数据的共享方式,并启用防止滥用的操作。 在部署之前从设备收集证据并模拟策略。 - 保护性操作 - 本地存储库 - 在设备中收集证据 - 部署前进行模拟 Microsoft Purview 终结点数据丢失防护 监视对敏感项目执行的操作,并帮助防止意外共享。 设备列表、设备状态 Microsoft Purview Insider Risk Management 创建数据丢失防护(DLP)策略,并利用内部风险管理进行自适应保护的风险用户检测。 - 自适应保护 - Microsoft Entra 条件访问 Microsoft Defender for Cloud Apps 启用 Defender for Cloud Apps 中的应用治理,以监视应用连接和对企业数据的访问。 应用治理 条件访问应用控制 使用应用控件的反向代理体系结构根据用户定义的条件(如用户组、云应用和网络位置)强制实施应用访问。 定义的用户将路由到 Microsoft Defender for Cloud Apps 以应用访问和会话控制。 - 会话控件 - 应用控件 |
5.2 函数:数据分类
| CISA ZTMM 阶段说明 | Microsoft指南和建议 |
|---|---|
|
初始成熟度状态 企业开始实施具有已定义标签和手动强制机制的数据分类策略。 |
Microsoft Purview 信息保护 基于敏感信息类型对数据进行分类。 - 敏感数据 - 标签策略 - 了解数据 Microsoft Purview 数据管理 注册数据源、扫描、引入和分类 Purview 治理门户中的数据。 探索和了解你的数据。 - 数据目录 - 数据源 - 扫描和引入 - 数据分类 - 支持的数据源 - 应用数据分类 |
|
高级成熟度状态 Enterprise 以一致、分层、有针对性的方式自动执行某些数据分类和标记过程,并采用简单、结构化的格式和定期评审。 |
Microsoft Purview 信息保护 通过基于机器学习 (ML) 训练的敏感信息类型和分类器,自动化执行数据分类。 - 敏感数据 - 标签策略 为在 Microsoft Office 应用程序中创建的文件和电子邮件配置客户端标签。 Office 应用的自动标记 为存储在 Microsoft 365 中的内容配置服务端标签。 SharePoint、OneDrive 和 Exchange 中的自动标记 根据企业数据标签标准在 Purview 中创建和发布敏感度标签。 配置策略,要求用户对电子邮件和文档应用所需的敏感度标签。 应用标签 Microsoft Purview 数据管理 在 Purview 治理门户中注册数据源、扫描、引入和分类数据。 探索和了解你的数据。 - 数据目录 - 数据源 - 扫描和引入 - 数据分类 - 支持的数据源 - 应用数据分类 |
|
最佳成熟度状态 Enterprise 企业使用可靠的技术,在整个企业范围内自动对数据进行分类和标记,采用细粒度、结构化格式,并配备处理所有数据类型的机制。 |
Microsoft Purview 信息保护 在 Purview 合规性门户中查看敏感信息类型。 定义自定义敏感信息类型。 若要检测已知数据源中的数据匹配,请创建完全匹配的敏感信息类型。 - 敏感信息类型 - 精确数据匹配 使用 Purview 中的可训练分类器识别机器学习(ML)的内容。 使用人工选取和正面匹配的样本创建和训练分类器。 可训练分类器 Microsoft Purview 内容资源管理器 使用内容资源管理器 PowerShell commandlet 导出敏感资产列表。 使用安全信息和事件管理(SIEM)应用或其他报告工具进行分析。 确定保护级别和位置访问是否与检测到的敏感数据保持一致。 在内容浏览器中查看敏感信息类型匹配,以查找相关分类器。 识别误报和漏报。 若要最大程度地减少错误分类,请定期调整自定义分类器和可训练的分类器定义。 内容资源管理器 PowerShell Microsoft Purview 数据管理 在 Purview 治理门户中注册数据源、扫描、引入和分类数据。 探索和了解你的数据。 - 数据目录 - 数据源 - 扫描和引入 - 数据分类 - 支持的数据源 - 应用数据分类 |
5.3 函数:数据可用性
| CISA ZTMM 阶段说明 | Microsoft指南和建议 |
|---|---|
|
初始成熟度状态 企业使某些数据可从冗余、高度可用的数据存储(例如云)中获取,并维护本地数据的站点外备份。 |
Microsoft云服务 Microsoft Azure 确保通过异地区域冗余存储(GZRS)、区域冗余存储(ZRS)和 Azure Site Recovery 等功能实现高可用性和冗余。 这些功能跨区域和地区复制数据。 Microsoft 365 增强了数据安全性,并确保符合数据存储策略、数据保留计划和漏洞修正过程。 启用可靠且安全的数据存储解决方案,并帮助确保业务连续性和法规合规性。 - 复原能力和连续性 - Microsoft 365 中的数据复原能力 Microsoft Purview 数据生命周期管理 使用数据生命周期管理和 Purview 记录管理来管理数据合规性或法规要求。 数据生命周期管理 Microsoft OneDrive,Microsoft SharePoint 使用这些平台进行异地备份和数据共享。 设置 OneDrive Azure 备份 使用 Azure Blob 存储进行冗余和高度可用的数据存储。 将本地资源备份到云。 异地冗余选项可确保跨区域复制数据。 Azure 备份 Microsoft Purview 数据管理 在 Purview 治理门户中注册数据源、扫描、引入和分类数据。 探索和了解你的数据。 - 数据目录 - 数据源 - 支持的数据源 Microsoft Purview 信息保护 使用内容资源管理器和活动资源管理器查看标识Microsoft 365 内容和相关用户活动。 - 内容资源管理器 - 活动资源管理器 |
|
高级成熟度状态 企业主要提供冗余、高度可用的数据存储中的数据,并确保访问历史数据。 |
Microsoft Purview 数据管理 使用 AI 提供支持且统一的方法管理数据。 使用数据编录、世系和分类来确保组织并可访问数据(包括历史数据)。 - 数据生命周期管理 - 数据目录 - 数据源 - 扫描和引入 - 支持的数据源 Microsoft Purview 信息保护 使用内容资源管理器和活动资源管理器查看标识Microsoft 365 内容和相关用户活动。 - 内容资源管理器 - 活动资源管理器 Microsoft SharePoint Online 数据迁移到 SharePoint Online,它是默认数据位置,包括跨企业共享的历史数据。 保留策略扩展到 SharePoint Online 数据。Microsoft 365 |
|
最佳成熟度状态 企业使用动态方法来根据用户和实体需求优化数据可用性,包括历史数据。 |
Microsoft Purview 数据管理 使用 AI 提供支持且统一的方法管理数据。 使用数据编录、世系和分类来确保组织并可访问数据(包括历史数据)。 - 数据生命周期管理 - 数据目录 - 数据源 - 支持的数据源 Microsoft Purview 信息保护 使用内容资源管理器和活动资源管理器查看标识Microsoft 365 内容和相关用户活动。 - 内容资源管理器 - 活动资源管理器 Azure 文件存储 默认为企业数据的云托管位置;它包括使用 Power BI 服务和其他数据工具的文件共享、SQL 和数据分析。 - Azure 文件 - Azure SQL - Azure 和 Power BI |
5.4 函数:数据访问
| CISA ZTMM 阶段说明 | Microsoft指南和建议 |
|---|---|
|
初始成熟度状态 企业开始部署自动化数据访问控制,其中包含企业中最低特权元素。 |
Microsoft Purview 信息保护 定义数据分类标准和符合策略的标签分类。 部署敏感度标签并使用户能够将其应用于文档。 |
|
高级成熟度状态 公司自动化实施的数据访问控制措施会考虑各种属性,如身份、设备风险、应用程序、数据类别等,并在适用情况下具有时间限制。 |
Microsoft Purview 信息保护 实现敏感文件的访问控制。 至少,在与非政府组织工人或外国个人共享和不共享的材料之间实施区分。 为企业外部共享的内容定义类别。 根据当前的机密性标准,考虑更精细的数据分类。 敏感度标签和访问 配置敏感度标签策略,以将标签应用于Microsoft Office 应用程序中创建的文件和电子邮件。 Office 应用的自动标记 为存储在 Microsoft 365 中的内容配置服务端标签。 SharePoint、OneDrive 和 Exchange 自动标记Microsoft Purview 数据丢失防护 监视用户活动、保护本地存储库以及从设备收集证据。 在部署之前模拟策略。 - 保护性操作 - 本地存储库 - 从设备收集证据, - 模拟部署前 |
|
最佳成熟度状态 企业通过持续审核权限,在整个企业范围内实现动态实时和足够的数据访问控制自动化。 |
Microsoft Purview 信息保护 标签限制对需要访问的组的访问。 例如,标记了具有敏感 HR 数据的文件并具有生成的访问控制。 敏感度标签和访问 Microsoft Purview 数据丢失防护 监视用户活动、保护本地存储库并从设备收集证据。 在部署之前模拟策略。 - 防护措施 - 本地存储库 - 从设备收集证据 - 部署前模拟 Microsoft Defender for Cloud Apps 访问策略使用条件访问应用控制来进行实时监视和云应用访问控制。 访问策略 使用会话策略,通过实时会话级别监视来细致地了解云应用。 会话策略 Microsoft Entra ID 治理 使用权利管理将资源捆绑到访问包中。 通过实时 (JIT) 访问方便用户分配资源。 通过访问评审自动化恰好足够的访问 (JEA) 控制。 - 权利管理方案 - Privileged Identity Management - 访问评审 |
5.5 函数:数据加密
| CISA ZTMM 阶段说明 | Microsoft指南和建议 |
|---|---|
|
初始成熟度状态 Enterprise 加密传输中的所有数据,并在可行的情况下加密静态数据和正在使用的数据(例如存储在外部环境中的任务关键数据和数据),并开始正式化密钥管理策略和安全加密密钥。 |
Microsoft 365 加密 使用 Windows 安全功能中的 BitLocker 和分布式密钥管理器(DKM)进行基线和卷级加密。 Microsoft 365 资产使用加密存储。 Microsoft 365 Microsoft Purview 敏感度标签 使用敏感度标签策略为 Microsoft 365 中的高风险数据在文档或电子邮件级别应用持久加密。 - 加密文档 - 电子邮件加密 Microsoft Purview 数据丢失防护 监视用户活动、保护本地存储库并从设备收集证据。 在部署之前模拟策略。 - 保护措施 - 本地资源库 - 从设备收集证据 - 部署前模拟 Microsoft Defender for Cloud Apps 使用会话策略,通过实时会话级监控,对云应用进行细粒度的可见性管理。 会话策略 |
|
高级成熟度状态 企业尽可能加密静态和传输中的所有数据,开始整合加密敏捷性,并保护加密密钥(即机密不是硬编码的,并定期轮换)。 |
Microsoft Purview 敏感度标签 企业根据 Microsoft Entra 组使用带有访问控制的标签策略。 访问控制涵盖环境中的用户、合作伙伴、供应商和外部用户。 敏感度标签和访问 Microsoft Purview 数据丢失防护 监视用户活动、保护本地存储库并从设备收集证据。 在部署之前模拟策略。 - 保护措施 - 本地资源库 - 从设备收集证据 - 部署前模拟 Microsoft Defender for Cloud Apps 使用会话策略,通过实时会话级监控,对云应用进行细粒度的可见性管理。 会话策略 |
|
最佳成熟度状态 企业在适当情况下加密使用的数据,强制实施安全密钥管理企业范围的最低特权原则,并尽可能使用 up-to日期标准和加密灵活性应用加密。 |
Microsoft Purview 敏感度标签 标签策略通过访问控制机制部署,以保护敏感数据。 访问受最低特权原则限制。 在 Microsoft Exchange、Microsoft OneDrive 和 Microsoft SharePoint 中强制使用标签和访问控制和内容检测。 - 敏感度标签和访问 - Microsoft 365 中的敏感度标签 Microsoft Purview 数据丢失防护 监视用户活动,保护本地存储库,并从设备中收集证据。 在部署之前模拟策略。 - 保护措施 - 本地资源库 - 从设备收集证据 - 部署前模拟 Microsoft Defender for Cloud Apps 使用会话策略,通过实时会话级监控,对云应用进行细粒度的可见性管理。 会话策略 |
5.6 函数:可见性和分析
| CISA ZTMM 阶段说明 | Microsoft指南和建议 |
|---|---|
|
初始成熟度状态 企业根据数据清单管理、分类、加密和访问尝试获取可见性,并进行一些自动化分析和关联。 |
有关详细信息,请参阅第 5.1 节:函数 :数据清单管理。 Microsoft Purview 数据目录 以便了解您的结构化数据资产、管理和分类清单。 数据目录 Microsoft Entra ID 监控 Microsoft Entra ID 登录日志,以根据初始访问尝试实现可见性。 - 监视和运行状况 - 登录日志 Microsoft Graph 活动日志 Microsoft Entra 中的 Microsoft Graph 日志可提供有关用户登录和资源访问的信息,以查看访问尝试的情况。 使用日志记录监视身份验证事件、识别潜在的安全威胁,并确保符合访问策略。 访问活动日志 Microsoft Purview 内容资源管理器 若要了解共享和访问模式,还需识别报告需求,使用内容资源管理器和活动资源管理器。 调查访问和敏感数据共享案例。 - 活动资源管理器 - 内容资源管理器 Microsoft Purview 数据丢失防护 实现 DLP 策略来监视和管理敏感数据共享。 数据丢失防护 |
|
高级成熟度状态 Enterprise 通过自动化分析和关联以更全面、更全面的企业方式维护数据可见性,并开始采用预测分析。 |
Microsoft Purview 数据映射 使用数据映射增强企业范围的结构化数据可见性。 集成元数据和分类。 数据地图 Microsoft Purview 见解 使用高级分析来关联和预测数据安全方面的洞察。 - 数据资产见解 - 资产见解 Microsoft Purview 内部风险管理 通过内部风险管理风险用户检测制定数据丢失防护 (DLP) 策略,以实现自适应保护。 - 自适应保护 - 条件访问和自适应保护 Microsoft Purview 内容资源管理器 使用内容资源管理器 PowerShell 导出有关敏感非结构化内容的清单信息,例如 Office 文件。 若要创建有关要保护的数据类型的报告,请使用安全信息和事件管理(SIEM)应用或其他分析工具。 - 内容浏览器 PowerShell - 高级监控 |
|
最佳成熟度状态 企业在整个数据生命周期中具备可见性,并通过可靠的分析(包括预测分析),支持对企业数据的综合视图和持续的安全态势评估。 |
Microsoft Purview 数据目录、数据分类 通过连续分类和编录实现生命周期可见性和数据管理。 使用 Purview 进行数据分类 Microsoft Entra 条件访问 与 Purview 集成以管理和评估访问控制。 确保与安全策略持续一致。 内部风险升高 Microsoft Purview 内部风险管理分析 在不配置内部风险策略的情况下评估预测内幕风险。 确定潜在的更高的用户风险。 确定内部风险管理策略类型和范围。 启用分析 Microsoft Sentinel 持续评估数据安全性。 集成来自 Purview 的见解,以了解您的安全状况。 使用 Sentinel 进行数据安全 ,Microsoft SharePoint,统一审核日志,Sentinel 监视敏感信息的共享和访问。 若要分析访问和共享模式,可将 Microsoft 365 统一审核日志与安全信息和事件管理(SIEM)应用集成。 - SharePoint 共享架构 - 数据丢失防护架构 - Microsoft Sentinel - SharePoint 高级管理 Microsoft Purview 信息保护 若要了解共享和访问模式,还需识别报告需求,使用内容资源管理器和活动资源管理器查看访问和敏感数据共享案例。 - 内容资源管理器 - 活动资源管理器 |
5.7 功能:自动化和编排
| CISA ZTMM 阶段说明 | Microsoft指南和建议 |
|---|---|
|
初始成熟度状态 企业使用一些自动化过程来实现数据生命周期和安全策略。 |
Microsoft Purview 数据目录 若要实施生命周期和安全策略,请使用自动数据分类和编录。 数据目录 Microsoft Defender for Cloud 实现自动化安全策略并监视数据资源。 Defender for Cloud Microsoft Purview 信息保护 若要了解共享和访问模式,还可以识别报告需求,使用内容资源管理器和活动资源管理器查看访问和敏感数据共享案例。 - 内容资源管理器 - 活动资源管理器 Microsoft Purview 数据管理 使用 AI 驱动的统一方法管理数据。 使用数据编录、世系和分类来确保组织并可访问数据(包括历史数据)。 探索和了解你的数据。 - 数据生命周期管理 - 数据目录 - 数据源 - 支持的数据源 |
|
高级成熟度状态 企业主要通过自动化方法,在整个企业中以一致、分层和有针对性的方式对大多数企业数据实施数据生命周期和安全策略。 |
Microsoft Purview 数据映射、见解 跨数据层和分类实现数据分类、保留和安全策略的高级自动化。 数据映射 Microsoft Entra ID 治理 对一系列数据资源使用标识治理和自动策略强制实施。 Microsoft Entra ID 治理 Microsoft Defender for Cloud 启用跨数据资源的自动安全策略强制实施。 Defender for Cloud 中的数据安全性 Microsoft Purview 数据治理 使用 AI 驱动的统一方法管理数据。 使用数据编录、世系和分类来确保组织并可访问数据(包括历史数据)。 探索和了解你的数据。 - 数据生命周期管理 - 数据目录 - 数据源 - 支持的数据源 |
|
最佳成熟度状态 企业在整个企业范围内,最大程度地自动化管理所有企业数据的数据生命周期和安全策略。 |
Microsoft Purview 跨数据资产使用集成功能自动执行数据生命周期管理、分类和安全策略。 使用 Purview 进行数据管理 Microsoft Defender for Cloud 实现跨企业数据的自动化数据安全策略、威胁检测和响应。 使用 Defender for Cloud 实现自动化 Microsoft Sentinel 自动监视、响应和管理数据安全策略。 高级监视 适用于Microsoft Sentinel 的 Microsoft 365 连接器 若要分析访问和共享模式,可将 Microsoft 365 统一审核日志与安全信息和事件管理 (SIEM) 应用集成。 - SharePoint 共享架构 - 数据丢失防护架构 - Microsoft Sentinel - Microsoft 365 connector for Sentinel Microsoft Purview 信息保护 若要了解共享和访问模式,还用于识别报告需求,使用内容资源管理器和活动资源管理器查看访问和敏感数据共享案例。 - 内容资源管理器 - 活动资源管理器 Microsoft Purview 数据管理 使用 AI 提供支持且统一的方法管理数据。 使用数据编录、世系和分类来确保组织并可访问数据(包括历史数据)。 探索和了解你的数据。 - 数据生命周期管理 - 数据目录 - 数据源 - 支持的数据源 |
5.8 功能:治理
| CISA ZTMM 阶段说明 | Microsoft指南和建议 |
|---|---|
|
初始成熟度状态 企业定义高级数据管理策略,主要依赖于手动分段实现。 |
Microsoft Purview 数据管理 使用 AI 提供支持且统一的方法管理数据。 使用数据编录、世系和分类来确保组织并可访问数据(包括历史数据)。 - 数据生命周期管理 - 数据目录 - 数据源 - 支持的数据源 Microsoft Purview 数据生命周期管理 使用保留标签对文档实施保留和删除策略。 数据生命周期管理 |
|
高级成熟度状态 企业开始跨企业集成数据生命周期策略实施,从而为数据管理策略启用更统一的定义。 |
Microsoft Purview 数据管理 使用 AI 提供支持且统一的方法管理数据。 使用数据编录、世系和分类来确保组织并可访问数据(包括历史数据)。 探索和了解你的数据。 - 数据生命周期管理 - 数据目录 - 数据源 - 支持的数据源 Microsoft Purview 数据所有者策略 使用数据所有者策略来管理对在 Purview 中注册以执行数据策略的源中用户数据的访问权限。 数据所有者策略 Microsoft Defender for Cloud 要进行自动化和集成的强制实施,请在企业范围内实施数据安全和生命周期管理策略。 使用 Defender for Cloud 确保数据安全 Microsoft Sentinel 统一监视和数据治理策略执行。 高级监视 |
|
最佳成熟度状态 企业数据生命周期策略尽可能统一,并在整个企业中动态强制执行。 |
Microsoft Purview 数据管理 使用 AI 提供支持且统一的方法管理数据。 使用数据编录、世系和分类来确保组织并可访问数据(包括历史数据)。 - 数据生命周期管理 - 数据目录 - 数据源 - 支持的数据源 Microsoft Purview Insider Risk Management 自适应保护 自适应保护使用机器学习来识别关键风险并应用保护控制。 - 缓解风险 Microsoft Purview 内部风险管理 创建数据丢失防护(DLP)策略,利用内部风险管理检测风险用户以实现自适应保护。 - 数据丢失防护中的自适应保护 - 条件访问和自适应保护 - 缓解风险 Microsoft Defender for Cloud 实现企业数据的自动化和动态数据安全策略的强制执行。 使用 Defender for Cloud 实现自动化 |
后续步骤
为 CISA 零信任成熟度模型配置Microsoft云服务。