教學課程:探索和保護組織中的敏感性資訊
在完美的情況下,所有員工都了解資訊保護的重要性,並遵守原則來工作。 在現實生活中,忙碌的夥伴經常接觸會計資訊,可能以不正確的權限,不慎將敏感性文件上傳至您的 Box 存放庫。 一週後您意識到貴企業的機密資訊已外洩給您的競爭對手。
為了協助您防止這種情況發生,適用於雲端的 Microsoft Defender Apps 提供廣泛的 DLP 功能套件,涵蓋組織中存在的各種數據外泄點。
在本教學課程中,您將瞭解如何使用 適用於雲端的 Defender Apps 來探索可能公開的敏感數據,並套用控件以防止其暴露:
如何探索和保護組織中的敏感性資訊
我們的資訊保護方法可分成下列階段,讓您在多個位置和裝置的整個生命週期中保護數據。
階段 1:探索您的數據
線上應用程式:探索組織中所使用的數據的第一個步驟,是將組織中所使用的雲端應用程式連線到 適用於雲端的 Defender Apps。 Defender for Cloud Apps 連線之後,即可掃描資料、新增分類,以及實施原則和控制。 視應用程式連線方式影響套用掃描和控制項的方式和時機而定。 您可以使用下列其中一種方式來連線應用程式:
使用應用程式連接器:我們的應用程式連接器會使用應用程式提供者提供的 API。 可讓您更深入了解和控制組織中使用的應用程式。 可定期 (每 12 小時) 和即時 (每次偵測到變更時觸發) 執行掃描。 如需如何新增應用程式的詳細資訊和指示,請參閱 連接應用程式。
使用條件式存取應用程控:我們的條件式存取應用程控解決方案會使用與 Microsoft Entra 條件式存取唯一整合的反向 Proxy 架構,並可讓您將控件套用至任何應用程式。
Microsoft Edge 使用者受益於直接的瀏覽器內保護。 條件式存取應用程控會使用反向 Proxy 架構在其他瀏覽器中套用。 如需詳細資訊,請參閱使用 適用於雲端的 Microsoft Defender Apps 條件式存取應用程控來保護應用程式,以及使用 Microsoft Edge for Business 的瀏覽器內保護 (預覽版) 。
調查:使用 API 連接器將應用程式連線至 Defender for Cloud Apps 之後,Defender for Cloud Apps 會掃描該應用程式使用的所有檔案。 在 Microsoft Defender 入口網站的 Cloud Apps 下,移至 [檔案] 以取得雲端應用程式共用的檔案概觀、其存取範圍及其狀態。 如需詳細資訊,請參閱調查檔案。
階段 2:分類敏感性資訊
定義哪些資訊是敏感性的:在檔案中尋找敏感性資訊之前,您必須先定義哪些專案計入貴組織。 作為數據分類服務的一部分,我們提供超過 100 種現成的敏感性資訊類型,或者您可以自行建立,以符合公司原則。 適用於雲端的 Defender Apps 原生整合 Microsoft Purview 資訊保護,而且在這兩項服務中都有相同的敏感性類型和標籤。 因此,當您想要定義敏感性資訊時,請前往 Microsoft Purview 資訊保護 入口網站來建立它們,並在定義之後,即可在 適用於雲端的 Defender Apps 中使用它們。 您也可以使用進階分類類型,例如指紋或精確數據比對(EDM)。
對於已經完成識別敏感性資訊並套用適當敏感度標籤的辛勤工作的人,您可以在原則中使用這些標籤,而不需要再次掃描內容。
啟用Microsoft 資訊保護整合
- 在 Microsoft Defender 入口網站中,選取 [ 設定]。 然後選擇 [ 雲端應用程式]。
- 在 [資訊保護] 底下,移至 [Microsoft 資訊保護]。 選取 [自動掃描新檔案] 以取得Microsoft 資訊保護敏感度標籤和內容檢查警告。
如需詳細資訊,請參閱 Microsoft Purview 資訊保護 整合。
建立原則以識別檔案中的敏感性資訊:一旦知道您想要保護的資訊種類,就可以建立原則來偵測它們。 從建立下列原則開始:
檔案原則
使用這種類型的原則,以近乎即時的方式掃描 API 連線雲端應用程式中所儲存檔案的內容,以及待用數據。 使用我們支援的其中一種檢查方法掃描檔案,包括 Microsoft Purview 資訊保護 加密的內容,這要歸功於其與 適用於雲端的 Defender Apps 的原生整合。在 Microsoft Defender 入口網站的 [Cloud Apps] 下,選取 [原則 -> 原則管理]。
選取 [ 建立原則],然後選取 [ 檔案原則]。
在 [檢查方法] 底下,選擇並設定下列其中一項分類服務:
- 數據分類服務:使用您在 Microsoft 365、Microsoft Purview 資訊保護 和 適用於雲端的 Defender Apps 之間所做的分類決策,以提供統一的標籤體驗。 這是慣用的內容檢查方法,因為它可在Microsoft產品之間提供一致且統一的體驗。
針對高敏感性檔案,選取 [為每個相符檔案 建立警示],然後選擇您需要的警示,以便在組織中有未受保護的敏感性資訊檔案時收到通知。
選取 建立。
會話原則
使用此類型的原則,在存取時實時掃描及保護檔案:- 防止數據外流:封鎖下載、剪下、複製和印表機密檔,例如非受控裝置。
- 在下載時保護檔案:要求使用 Microsoft Purview 資訊保護 來標記及保護檔。 此動作可確保文件受到保護,並限制潛在風險工作階段中的使用者存取。
- 防止上傳未標記的檔案:要求檔案具有正確的標籤和保護,才能上傳、散發及供其他人使用敏感性檔案。 透過此動作,您可以確保具有敏感性內容的未標記檔案遭到封鎖,無法上傳,直到使用者分類內容為止。
在 Microsoft Defender 入口網站的 [Cloud Apps] 下,選取 [原則 -> 原則管理]。
選取 [ 建立原則],然後選取 [ 會話原則]。
在 [工作階段] 控制項類型底下,選擇其中一個選項搭配 DLP。
在 [檢查方法] 底下,選擇並設定下列其中一項分類服務:
- 數據分類服務:使用您在 Microsoft 365、Microsoft Purview 資訊保護 和 適用於雲端的 Defender Apps 之間所做的分類決策,以提供統一的標籤體驗。 這是慣用的內容檢查方法,因為它可在Microsoft產品之間提供一致且統一的體驗。
- 內建 DLP:使用內建 DLP 內容檢查引擎檢查檔案中是否有敏感性資訊。
針對高敏感性檔案,選取 [建立警示],然後選擇您需要的警示 ,以便在組織中有未受保護敏感性資訊的檔案時收到通知。
選取 建立。
您應該視需要建立多個原則,以偵測符合公司原則的敏感數據。
階段 3:保護您的數據
因此,現在您可以偵測具有敏感性資訊的檔案,但您真正想要做的就是保護該資訊免於潛在威脅。 一旦知道事件,您可以手動補救情況,或使用 適用於雲端的 Defender Apps 提供的其中一個自動治理動作來保護檔案。 動作包括但不限於原生控件、API 提供的動作,以及即時監視 Microsoft Purview 資訊保護。 您可以套用的治理類型取決於您正在設定的原則類型,如下所示:
檔案原則治理 動作:使用雲端應用程式提供者的 API 和原生整合來保護檔案,包括:
- 觸發警示並傳送有關事件的電子郵件通知
- 管理套用至檔案的標籤,以強制執行原生 Microsoft Purview 資訊保護 控件
- 變更檔案的共用存取權
- 隔離檔案
- 拿掉 Microsoft 365 中的特定檔案或資料夾許可權
- 將檔案移至垃圾桶資料夾
會話原則控制:使用反向 Proxy 功能來保護檔案,例如:
- 觸發警示並傳送有關事件的電子郵件通知
- 明確允許下載或上傳檔案,並監視所有相關活動。
- 明確封鎖下載或上傳檔案。 使用此選項可保護貴組織的敏感性檔案免於從任何裝置外泄或滲透,包括非受控裝置。
- 自動將敏感度標籤套用至符合原則檔案篩選條件的檔案。 使用此選項來保護敏感性檔案的下載。
如需詳細資訊,請參閱建立 適用於雲端的 Microsoft Defender 應用程式會話原則。
階段 4:監視和報告您的數據
原則全部就緒,可開始檢查和保護資料。 現在,您想要每天檢查儀表板,以查看已觸發哪些新警示。 建議在此處密切注意雲端環境的健康情況。 儀表板協助您了解情況,必要時展開調查。
監視敏感性檔案事件的最有效方式之一,就是前往 [原則] 頁面,並檢閱您已設定之原則的相符專案。 此外,如果您設定警示,則也應該前往 [警示] 頁面,指定 DLP 當作類別,然後檢閱已觸發檔案相關的哪些原則,以考慮定期監視檔案警示。 檢閱這些事件有助於微調原則,以專注於引起組織注意的威脅。
總之,這樣管理敏感性資訊可確保儲存至雲端的資料幾乎免於惡意外流和滲透。 此外,如果檔案已共用或遺失,則只能由授權的使用者存取。
另請參閱
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應