Běžně používané zásady ochrany informací Microsoft Defender for Cloud Apps

Defender for Cloud Apps zásady souborů umožňují vynucovat širokou škálu automatizovaných procesů. Zásady je možné nastavit tak, aby poskytovaly ochranu informací, včetně průběžných kontrol dodržování předpisů, právních úloh eDiscovery a ochrany před únikem informací pro veřejně sdílený citlivý obsah.

Defender for Cloud Apps může monitorovat jakýkoli typ souboru na základě více než 20 filtrů metadat, například úrovně přístupu a typu souboru. Další informace najdete v tématu Zásady souborů.

Zjištění a zabránění externímu sdílení citlivých dat

Zjistit, kdy jsou soubory s osobními identifikačními údaji nebo jinými citlivými daty uložené v cloudové službě a sdíleny s uživateli, kteří nejsou ve vaší organizaci, což porušuje zásady zabezpečení vaší společnosti a vytváří potenciální porušení předpisů.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu souborů.

2. Nastavte filtr Úroveň přístupu se rovná veřejné (internet) / veřejné / externí.

3. V části Metoda kontroly vyberte Služba klasifikace dat (DCS) a v části Vybrat typ vyberte typ citlivých informací, které má služba DCS kontrolovat.

4. Nakonfigurujte akce zásad správného řízení , které se mají provést při aktivaci upozornění. Můžete například vytvořit akci zásad správného řízení, která se spustí při zjištěných porušeních souborů v pracovním prostoru Google, ve které vyberete možnost Odebrat externí uživatele a Odebrat veřejný přístup.

5. Vytvořte zásady souborů.

Detekce externě sdílených důvěrných dat

Zjistit, kdy se soubory označené jako Důvěrné a uložené v cloudové službě sdílí s externími uživateli, což porušuje zásady společnosti.

Požadavky

• Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

• Povolte integraci Microsoft Purview Information Protection.

Kroky

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu souborů.

2. Nastavte popisek citlivosti filtru na Microsoft Purview Information Protection se rovná popisku Důvěrné nebo ekvivalentu vaší společnosti.

3. Nastavte filtr Úroveň přístupu se rovná veřejné (internet) / veřejné / externí.

4. Volitelné: Nastavte akce zásad správného řízení , které se mají u souborů provést, když se zjistí porušení. Dostupné akce zásad správného řízení se u jednotlivých služeb liší.

5. Vytvořte zásady souborů.

Detekce a šifrování citlivých neaktivních uložených dat

Detekujte soubory obsahující osobní identifikační údaje a další citlivá data, která jsou sdílená v cloudové aplikaci, a použitím popisků citlivosti omezte přístup jenom na zaměstnance ve vaší společnosti.

Požadavky

• Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

• Povolte integraci Microsoft Purview Information Protection.

Kroky

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu souborů.

2. V části Metoda kontroly vyberte Služba klasifikace dat (DCS) a v části Vybrat typ vyberte typ citlivých informací, které má služba DCS kontrolovat.

3. V části Akce zásad správného řízení zaškrtněte políčko Použít popisek citlivosti a vyberte popisek citlivosti, který vaše společnost používá k omezení přístupu na zaměstnance společnosti.

4. Vytvořte zásady souborů.

Poznámka

Možnost použít popisek citlivosti přímo v Defender for Cloud Apps je v současné době podporována pouze pro Box, Google Workspace, SharePoint Online a OneDrive pro firmy.

Zjištění přístupu k datům z neoprávněného umístění

Zjistěte, kdy se k souborům přistupuje z neautorizovaného umístění, na základě běžných umístění vaší organizace, a identifikujte potenciální únik dat nebo škodlivý přístup.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu aktivit.

2. Nastavte filtr Typ aktivity na aktivity souborů a složek, které vás zajímají, například Zobrazit, Stáhnout, Přístup a Upravit.

3. Nastavte filtr Umístění se nerovná a pak zadejte země nebo oblasti, od kterých vaše organizace očekává aktivitu.

   • Volitelné: Pokud vaše organizace blokuje přístup z konkrétních zemí nebo oblastí, můžete použít opačný přístup a nastavit filtr na hodnotu Location rovnose.

4. Volitelné: Vytvořte akce zásad správného řízení , které se použijí pro zjištěné porušení (dostupnost se liší mezi službami), například Pozastavit uživatele.

5. Vytvořte zásadu aktivity.

Detekce a ochrana důvěrného úložiště dat v lokalitě, která nedodržuje předpisy,

Zjistěte soubory, které jsou označené jako důvěrné a jsou uložené na webu služby SharePoint, který nedodržuje předpisy.

Požadavky

Popisky citlivosti se konfigurují a používají v rámci organizace.

Kroky

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu souborů.

2. Nastavte popisek citlivosti filtru na Microsoft Purview Information Protection se rovná popisku Důvěrné nebo ekvivalentu vaší společnosti.

3. Nastavit filtr Nadřazená složka se nerovná a pak v části Vybrat složku vyberte všechny vyhovující složky ve vaší organizaci.

4. V části Výstrahy vyberte Vytvořit upozornění pro každý odpovídající soubor.

5. Volitelné: Nastavte akce zásad správného řízení , které se mají u souborů provést, když se zjistí porušení. Dostupné akce zásad správného řízení se u jednotlivých služeb liší. Můžete například nastavit Pole pro odesílání hodnot hash odpovídajících zásadám vlastníkovi souboru a Umístit do karantény správce.

6. Vytvořte zásady souborů.

Zjištění externě sdíleného zdrojového kódu

Zjistěte, kdy jsou soubory obsahující obsah, který může být zdrojovým kódem, sdíleny veřejně nebo s uživateli mimo vaši organizaci.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu souborů.

2. Výběr a použití šablony zásad externě sdíleného zdrojového kódu

3. Volitelné: Upravte seznam přípon souborů tak, aby odpovídal příponě souborů zdrojového kódu vaší organizace.

4. Volitelné: Nastavte akce zásad správného řízení , které se mají u souborů provést, když se zjistí porušení. Dostupné akce zásad správného řízení se u jednotlivých služeb liší. V Boxu můžete například odeslat hodnotu hash odpovídající zásadám vlastníkovi souboru a Umístit do karantény správce.

5. Vyberte a použijte šablonu zásad.

Detekce neoprávněného přístupu k datům skupiny

Zjistit, kdy k určitým souborům, které patří do konkrétní skupiny uživatelů, přistupuje nadměrně uživatel, který není součástí skupiny, což může být potenciální vnitřní hrozba.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu aktivit.

2. V části Zareagovat vyberte Opakovaná aktivita a přizpůsobte minimum opakovaných aktivit a nastavte Časový rámec tak, aby vyhovoval zásadám vaší organizace.

3. Nastavte filtr Typ aktivity na aktivity souborů a složek, které vás zajímají, například Zobrazit, Stáhnout, Přístup a Upravit.

4. Nastavte filtr Uživatel na Od skupina rovná se a pak vyberte příslušné skupiny uživatelů.

   Poznámka

   Skupiny uživatelů je možné importovat ručně z podporovaných aplikací.

5. Nastavte filtr Soubory a složky na Konkrétní soubory nebo složky se rovná a pak zvolte soubory a složky, které patří do auditované skupiny uživatelů.

6. Nastavte akce zásad správného řízení , které se mají u souborů provádět, když se zjistí porušení. Dostupné akce zásad správného řízení se u jednotlivých služeb liší. Můžete například pozastavit uživatele.

7. Vytvořte zásady souborů.

Detekce veřejně přístupných kbelíků S3

Detekce a ochrana před potenciálními úniky dat z kontejnerů AWS S3

Požadavky

Musíte mít instanci AWS připojenou pomocí konektorů aplikací.

Kroky

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu souborů.

2. Vyberte a použijte šablonu zásad Veřejně přístupné kontejnery S3 (AWS).

3. Nastavte akce zásad správného řízení , které se mají u souborů provádět, když se zjistí porušení. Dostupné akce zásad správného řízení se u jednotlivých služeb liší. Například nastavte AWS na Nastavit jako soukromé , čímž se kbelíky S3 nastaví jako soukromé.

4. Vytvořte zásady souborů.

Detekce a ochrana dat souvisejících s GDPR napříč aplikacemi úložiště souborů

Detekujte soubory sdílené v aplikacích cloudového úložiště, které obsahují osobní identifikační údaje a další citlivá data, která jsou vázána zásadami dodržování předpisů GDPR. Pak automaticky použijte popisky citlivosti, abyste omezili přístup jenom na autorizované pracovníky.

Požadavky

• Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

• Microsoft Purview Information Protection je povolená integrace a v Microsoft Purview je nakonfigurovaný popisek GDPR

Kroky

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu souborů.

2. V části Metoda kontroly vyberte Data Classification Service (DCS) a v části Vybrat typ vyberte jeden nebo více typů informací, které jsou v souladu s nařízením GDPR, například číslo debetní karty EU, číslo řidičského průkazu EU, národní/regionální identifikační číslo EU, číslo pasu EU, číslo SSN EU, daňové identifikační číslo SU.

3. Výběrem možnosti Použít popisek citlivosti pro každou podporovanou aplikaci nastavte akce zásad správného řízení, které se mají u souborů provádět při zjištění porušení předpisů.

4. Vytvořte zásady souborů.

Poznámka

Použít popisek citlivosti se v současné době podporuje jenom pro Box, Google Workspace, SharePoint Online a OneDrive pro firmy.

Blokování stahování pro externí uživatele v reálném čase

Zabránit tomu, aby externí uživatelé exfiltrovali firemní data, blokováním stahování souborů v reálném čase pomocí ovládacích prvků Defender for Cloud Apps relací.

Požadavky

Ujistěte se, že je vaše aplikace založená na SAML, která používá Microsoft Entra ID pro jednotné přihlašování, nebo je nasazená na Defender for Cloud Apps pro řízení podmíněného přístupu k aplikacím.

Další informace o podporovaných aplikacích najdete v tématu Podporované aplikace a klienti.

Kroky

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu relace.

2. V části Typ ovládacího prvku relace vyberte Řídit stahování souborů (s kontrolou).

3. V části Filtry aktivit vyberte Uživatel a nastavte ji na Od skupiny rovná se Externí uživatelé.

   Poznámka

   Pokud chcete povolit, aby se tato zásada vztahovala na všechny aplikace, nemusíte nastavovat žádné filtry aplikací.

4. K přizpůsobení typu souboru můžete použít filtr Soubor . Získáte tak podrobnější kontrolu nad tím, jaký typ souborů zásady relace řídí.

5. V části Akce vyberte Blokovat. Výběrem možnosti Přizpůsobit zprávu blokování můžete nastavit vlastní zprávu, která se má uživatelům posílat, aby pochopili důvod blokování obsahu a jak ho můžou povolit použitím správného popisku citlivosti.

6. Vyberte Vytvořit.

Vynucení režimu jen pro čtení pro externí uživatele v reálném čase

Zabránit v exfiltraci firemních dat externími uživateli tím, že v reálném čase zablokuje aktivity tisku a kopírování a vkládání pomocí ovládacích prvků Defender for Cloud Apps relací.

Požadavky

Ujistěte se, že je vaše aplikace založená na SAML, která používá Microsoft Entra ID pro jednotné přihlašování, nebo je nasazená na Defender for Cloud Apps pro řízení podmíněného přístupu k aplikacím.

Další informace o podporovaných aplikacích najdete v tématu Podporované aplikace a klienti.

Kroky

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu relace.

2. V části Typ řízení relace vyberte Blokovat aktivity.

3. Ve filtru zdroje aktivity :

   1. Vyberte Uživatel a nastavte Od skupiny na Externí uživatelé.

   2. Vyberte Typ aktivity se rovná Tisk a Vyjmutí/kopírování položky.

   Poznámka

   Pokud chcete povolit, aby se tato zásada vztahovala na všechny aplikace, nemusíte nastavovat žádné filtry aplikací.

4. Volitelné: V části Metoda kontroly vyberte typ kontroly, který se má použít, a nastavte nezbytné podmínky pro kontrolu ochrany před únikem informací.

5. V části Akce vyberte Blokovat. Výběrem možnosti Přizpůsobit zprávu blokování můžete nastavit vlastní zprávu, která se má uživatelům posílat, aby pochopili důvod blokování obsahu a jak ho můžou povolit použitím správného popisku citlivosti.

6. Vyberte Vytvořit.

Blokování nahrávání neklasifikovaných dokumentů v reálném čase

Zabraňte uživatelům v nahrávání nechráněných dat do cloudu pomocí ovládacích prvků relace Defender for Cloud Apps.

Požadavky

• Ujistěte se, že je vaše aplikace založená na SAML, která používá Microsoft Entra ID pro jednotné přihlašování, nebo je nasazená na Defender for Cloud Apps pro řízení podmíněného přístupu k aplikacím.

Další informace o podporovaných aplikacích najdete v tématu Podporované aplikace a klienti.

• Popisky citlivosti z Microsoft Purview Information Protection musí být nakonfigurované a používané ve vaší organizaci.

Kroky

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu relace.

2. V části Typ řízení relace vyberte Control file upload (with inspection) (Control file upload (with inspection) (Control file upload) (with inspection) (Control file upload (with inspection) (Control file upload (with inspection) (Kontrolní nahrávání souboru s kontrolou) nebo Control file download (with inspection)).

   Poznámka

   Pokud chcete povolit, aby se tato zásada vztahovala na všechny uživatele a aplikace, nemusíte nastavovat žádné filtry.

3. Vyberte filtr souborů Popisek citlivosti se nerovná a pak vyberte popisky, které vaše společnost používá k označení klasifikovaných souborů.

4. Volitelné: V části Metoda kontroly vyberte typ kontroly, který se má použít, a nastavte nezbytné podmínky pro kontrolu ochrany před únikem informací.

5. V části Akce vyberte Blokovat. Výběrem možnosti Přizpůsobit zprávu blokování můžete nastavit vlastní zprávu, která se má uživatelům posílat, aby pochopili důvod blokování obsahu a jak ho můžou povolit použitím správného popisku citlivosti.

6. Vyberte Vytvořit.

Poznámka

Seznam typů souborů, které Defender for Cloud Apps aktuálně podporují popisky citlivosti z Microsoft Purview Information Protection, najdete v tématu integrace Microsoft Purview Information Protection. předpoklady.

Další kroky

Osvědčené postupy pro ochranu organizace

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.