適用於雲端的 Microsoft Defender 中的 SQL 資訊保護原則
SQL 資訊保護的資料探索和分類機制提供進階功能來探索、分類、標記和報告資料庫中的敏感性資料。 該功能已內建於 Azure SQL Database、Azure SQL 受控執行個體和 Azure Synapse Analytics。
分類機制是以下列兩個元素為基礎:
- 標籤 – 主分類屬性,用來定義資料行中所儲存資料的敏感度等級。
- 資訊類型 – 為儲存在資料行中的資料類型提供額外的細微性。
適用於雲端的 Defender 內的資訊保護原則選項,會提供一組預先定義的標籤和資訊類型,做為分類引擎的預設值。 您可以根據您的組織需求自訂原則,如下所示。
如何存取 SQL 資訊保護原則?
有三種方式可以存取資訊保護原則:
- 從適用於雲端的 Defender 的 [環境設定] 頁面 (建議) 存取
- 從「應分類 SQL 資料庫中的敏感性資料」的安全性建議存取
- 從 [Azure SQL 資料庫資料探索] 頁面存取
下列相關索引標籤會顯示上述各項。
從適用於雲端的 Defender 環境設定頁面存取原則
從適用於雲端的 Defender 的環境設定頁面,選取 [SQL 資訊保護]。
注意
此選項僅適用於具有租用戶層級權限的使用者。 自行授與全租用戶的權限。
自訂您的資訊類型
若要管理和自訂資訊類型:
選取 [管理資訊類型]。
若要新增新的類型,請選取 [建立資訊類型]。 您可以設定資訊類型的名稱、描述和搜尋模式字串。 搜尋模式字串可以選擇性地使用具有萬用字元 (使用 '%' 字元) 的關鍵字,而自動化探索引擎會使用它,以根據資料行的中繼資料來識別您資料庫中的敏感性資料。
您也可以新增其他搜尋模式字串、停用一些現有字串,或變更描述,以修改內建類型。
提示
您無法刪除內建類型或變更其名稱。
資訊類型會以遞增探索排名順序列出,這表示會先嘗試比對清單中較高的類型。 若要變更資訊類型之間的排名,請將類型拖曳至資料表中的正確位置,或使用 [Move up] \(上移\) 和 [Move down] \(下移\) 按鈕變更順序。
當您完成時,選取 [確定]。
在您完成資訊類型的管理之後,請務必選取特定標籤的 [設定],並視需要新增或刪除資訊類型,以建立相關類型與相關標籤的關聯。
若要套用您的變更,請選取主要 [標籤] 頁面中的 [儲存]。
匯出和匯入原則
您可以使用您定義的標籤和資訊類型下載 JSON 檔案、在您選擇的編輯器中編輯檔案,然後匯入更新的檔案。
注意
您將需要租用戶層級權限才能匯入原則檔案。
權限
若要為您的 Azure 租用戶自訂資訊保護原則,您需要在租用戶根管理群組上執行下列動作:
- Microsoft.Security/informationProtectionPolicies/read
- Microsoft.Security/informationProtectionPolicies/write
若要深入了解,請參閱授與和要求全租用戶可見度。
使用 Azure PowerShell 管理 SQL 資訊保護
- Get-AzSqlInformationProtectionPolicy:擷取有效的租用戶 SQL 資訊保護原則。
- Get-AzSqlInformationProtectionPolicy:設定有效的租用戶 SQL 資訊保護原則。