通过

步骤 3:为 SaaS 应用程序部署信息保护

  • 项目

虽然保护对应用和会话活动的访问权限很重要,但 SaaS 应用包含的数据可能是需要保护的最关键的资源之一。 为 SaaS 应用部署信息保护是防止敏感信息无意或恶意泄露的关键步骤。

Microsoft Purview 信息保护以原生方式集成在 Microsoft 365 应用和服务(例如 SharePoint、OneDrive、Teams 和 Exchange)中。 对于其他 SaaS 应用,你可能希望将它们与 Microsoft Purview 集成,以确保敏感数据无论位于何处都受到保护。 有多种方法可以将信息保护与你使用的其他应用集成。 你可以使用 Microsoft Defender for Cloud Apps 将标记与应用集成,或者让应用开发人员使用 SDK 直接进行集成。 有关详细信息,请参阅关于 Microsoft 信息保护 SDK

此步骤以使用 Microsoft Purview 部署信息保护解决方案指南为基础,指导你如何使用 Defender for Cloud Apps 将信息保护扩展到 SaaS 应用中的数据。 你可能需要查看指南以更好地了解整个工作流。

本文的重点是保护 SaaS 应用中的 Microsoft Office 和 PDF 文件以及文档存储库。

有关信息保护的关键概念涉及了解数据、保护数据以及防止数据丢失。 下图显示了如何使用 Purview 合规性门户和 Defender for Cloud Apps 门户执行这些关键功能。

此图显示了使用 Purview 合规性门户和 Defender for Cloud Apps 门户了解数据、保护数据和防止数据丢失的过程。

在此图中:

  • 若要保护 SaaS 应用中的数据,必须首先确定组织中的敏感信息。 执行此操作后,请查看是否有任何敏感信息类型 (SIT) 映射到确定的敏感信息。 如果没有一个 SIT 满足你的需求,则可修改它们或使用 Microsoft Purview 合规性门户创建自定义 SIT。

  • 使用定义的 SIT,可以发现 SaaS 应用中包含敏感数据的项。

    提示

    要了解支持 Microsoft Purview 信息保护的应用的完整列表,请参阅信息保护

  • 发现包含敏感数据的项后,可以将标签扩展到 SaaS 应用,然后应用它们。

  • 为了防止数据丢失,可以定义并扩展数据丢失防护 (DLP) 策略。 使用 DLP 策略,可以跨服务识别、监视和自动保护敏感项目。 对 DLP 策略的保护性操作的一个示例是,当用户尝试不恰当地共享敏感项时,向用户显示弹出策略提示。 另一个示例是阻止敏感项的共享。

请使用以下步骤为 SaaS 应用应用信息保护功能。

在 SaaS 应用程序中发现敏感信息

为了发现 SaaS 应用程序中包含的敏感信息,需要:

  • 启用 Microsoft Purview 信息保护与 Defender for Cloud Apps 的集成。
  • 创建策略来标识文件中的敏感信息。

Microsoft Purview 信息保护是包含 Defender for Cloud Apps 的框架。 在 Microsoft Purview 中集成 Defender for Cloud Apps 将有助于更好地保护组织中的敏感信息。 有关详细信息,请参阅如何将 Microsoft Purview 信息保护与 Defender for Cloud Apps 集成

一旦知道要保护的信息类型,就可以创建策略来检测它们。 可以为以下项创建策略:

  • 文件:文件策略通过 API 扫描存储在连接的云应用中的文件内容,以查找受支持的应用。
  • 会话:会话策略会在访问时实时扫描和保护文件,以防止数据外泄、保护下载的文件并防止上传未标记的文件。

有关详细信息,请参阅 Microsoft 数据分类服务集成

应用敏感度标签以保护数据

发现并排序敏感信息后,可以应用敏感度标签。 敏感度标签应用到文档后,为该标签配置的任何保护设置都会强制应用于内容。 例如,标记为“机密”的文件可能被加密,对其的访问会受到限制。 访问限制可能包括个人用户帐户或组。

Defender for Cloud Apps 以原生方式与 Microsoft Purview 信息保护集成,这两种服务都提供相同的敏感度类型和标签。 想要定义敏感信息时,请使用 Microsoft Purview 合规性门户来创建它们,它们将在 Defender for Cloud Apps 中可用。

Defender for Cloud Apps 允许从 Microsoft Purview 信息保护自动应用敏感度标签。 这些标签作为文件策略治理操作应用于文件,并且可以应用加密来提供另一层保护,具体取决于标签配置。

有关详细信息,请参阅自动应用 Microsoft Purview 信息保护标签

将 DLP 策略扩展到 SaaS 应用程序

根据环境中存在的 SaaS 应用程序,可以选择从中部署 DLP 解决方案的各种选项。 请使用下表来指导你的决策过程。

场景 工具
你的环境中有以下产品:

- Exchange Online 电子邮件
- SharePoint Online 网站
- OneDrive 帐户
- Teams 聊天和通道消息
- Microsoft Defender for Cloud Apps
- Windows 10、Windows 11 和 macOS(Catalina 10.15 及更高版本)设备
- 本地存储库
- Power BI 网站		 使用 Microsoft Purview。

有关详细信息,请参阅了解 DLP
贵组织使用 Microsoft Purview 中未包含、但可以通过 API 连接到 Microsoft Defender for Cloud Apps 的其他应用,例如:

- Atlassian
- Azure
- AWS
- Box
- DocuSign
- Egnyte
- GitHub
- Google Workspace
- GCP
- NetDocuments
- Office 365
- Okta
- OneLogin
- Salesforce
- ServiceNow
- Slack
- Smartsheet
- Webex
- Workday
- Zendesk		 使用 Defender for Cloud Apps。

要使用限定为特定非 Microsoft 云应用的 DLP 策略,该应用必须连接到 Defender for Cloud Apps。 有关详细信息,请参阅连接应用
Defender for Cloud Apps 尚不支持通过 API 来使用组织使用的应用,但支持通过应用连接器添加它们。你可以使用会话策略实时应用 DLP 策略。 使用 Defender for Cloud Apps。

有关详细信息,请参阅连接应用以及将数据丢失防护策略用于非 Microsoft 云应用

有关许可的指导,请参阅 Microsoft 365 安全性与合规性指导

监视数据

现在,你的策略已经就位,你需要查看 Microsoft Defender 门户来监视策略的效果,并对事件进行修正。 借助 Microsoft Defender XDR,可以在单个管理窗格中查看来自 Microsoft Purview 和 Defender for Cloud Apps 的 DLP 警报和事件。

安全分析师可以有效地确定警报的优先级,了解漏洞的全部范围,并采取响应措施来修复威胁。

有关详细信息,请参阅 Microsoft Defender 门户