Sdílet prostřednictvím

Plánování implementace Power BI: Defender for Cloud Apps for Power BI

  • Článek

Poznámka:

Tento článek je součástí řady článků o plánování implementace Power BI. Tato série se zaměřuje především na prostředí Power BI v Rámci Microsoft Fabric. Úvod do série najdete v tématu Plánování implementace Power BI.

Tento článek popisuje plánování aktivit souvisejících s implementací Defenderu for Cloud Apps, protože souvisí s monitorováním Power BI. Cílí na:

  • Správci Power BI: Správci, kteří jsou zodpovědní za dohled nad Power BI v organizaci. Správci Power BI musí spolupracovat se zabezpečením informací a dalšími relevantními týmy.
  • Týmy Center of Excellence, IT a BI: Ostatní, kteří zodpovídají za dohled nad Power BI v organizaci. Možná budou muset spolupracovat se správci Power BI, týmy zabezpečení informací a dalšími relevantními týmy.

Důležité

Monitorování a ochrana před únikem informací (DLP) je významným podnikem v celé organizaci. Jeho rozsah a dopad jsou mnohem větší než samotné Power BI. Tyto typy iniciativ vyžadují financování, stanovení priorit a plánování. Očekáváme, že se do plánování, využití a dohledu zapojí několik týmů napříč funkcemi.

Doporučujeme postupovat podle postupného postupného přístupu k zavádění Defenderu pro Cloud Apps pro monitorování Power BI. Popis typůfázích

Účel monitorování

Microsoft Defender for Cloud Apps (dříve Označovaný jako Microsoft Cloud App Security) je agent CASB (Cloud Access Security Broker), který podporuje různé režimy nasazení. Má širokou škálu funkcí, které se dobře rozšiřují nad rámec tohoto článku. Některé funkce jsou v reálném čase, zatímco jiné nejsou v reálném čase.

Tady je několik příkladů monitorování v reálném čase, které můžete implementovat.

  • Blokovat stahování z služba Power BI: Můžete vytvořit zásadu relace, která blokuje určité typy uživatelských aktivit. Když se například uživatel pokusí stáhnout sestavu z služba Power BI, která má přiřazený popisek citlivosti s vysokou přesností, může být akce stahování blokovaná v reálném čase.
  • Blokovat přístup k služba Power BI nespravovaným zařízením: Můžete vytvořit zásadu přístupu, která uživatelům zabrání v přístupu k určitým aplikacím, pokud nepoužívají spravované zařízení. Když se například uživatel pokusí o přístup k služba Power BI ze svého osobního mobilního telefonu, může být tato akce blokovaná.

Tady je několik příkladů dalších funkcí, které nejsou v reálném čase.

  • Detekce a upozorňování určitých aktivit v služba Power BI: Můžete vytvořit zásadu aktivity, která vygeneruje výstrahu, když dojde k určitým typům aktivit. Například když v služba Power BI dojde k aktivitě správy (označující, že se změnilo nastavení tenanta), můžete obdržet e-mailové upozornění.
  • Monitorování pokročilých aktivit zabezpečení: Můžete zobrazit a monitorovat přihlášení a aktivity zabezpečení, anomálie a porušení. Výstrahy můžou být vyvolány v situacích, jako je podezřelá aktivita, neočekávaná umístění nebo nové umístění.
  • Monitorování aktivit uživatelů: Můžete zobrazit a monitorovat aktivity uživatelů. Správce Power BI může mít například přiřazené oprávnění k zobrazení protokolu aktivit Power BI, a to kromě frekvence přihlašování uživatelů v programu Defender for Cloud Apps.
  • Detekce a upozorňování na neobvyklé chování v služba Power BI: Existují integrované zásady pro detekci anomálií. Když například uživatel stáhne nebo exportuje obsah z služba Power BI výrazně častěji než běžné vzory, můžete obdržet e-mailové upozornění.
  • Najít neschválené aplikace: Neschválené aplikace můžete najít v rámci organizace. Můžete se například zajímat o uživatele, kteří sdílejí soubory (například soubory Power BI Desktopu nebo excelové soubory) v systému pro sdílení souborů třetích stran. Můžete zablokovat použití neschválené aplikace a pak kontaktovat uživatele, aby je poučili o vhodných způsobech sdílení a spolupráce s ostatními.

Tip

Portál v Defenderu for Cloud Apps je vhodným místem pro zobrazení aktivit a upozornění bez vytvoření skriptu pro extrakci a stažení dat. Tato výhoda zahrnuje zobrazení dat z protokolu aktivit Power BI.

Power BI je jednou z mnoha aplikací a služeb, které je možné integrovat s programem Defender for Cloud Apps. Pokud už používáte Defender for Cloud Apps pro jiné účely, můžete ho použít i k monitorování Power BI.

Zásady vytvořené v Defenderu for Cloud Apps jsou formou ochrany před únikem informací. Článek o ochraně před únikem informací pro Power BI se zabývá zásadami ochrany před únikem informací pro Power BI, které jsou nastavené v Portál dodržování předpisů Microsoft Purview. Doporučujeme používat zásady ochrany před únikem informací pro Power BI s funkcemi popsanými v tomto článku. I když se některé konceptně překrývají, možnosti se liší.

Upozornění

Tento článek se zaměřuje na možnosti v Programu Microsoft Defender for Cloud Apps , které je možné použít k monitorování a ochraně obsahu Power BI. Defender for Cloud Apps nabízí mnoho dalších funkcí, které nejsou popsané v tomto článku. Nezapomeňte spolupracovat s dalšími zúčastněnými stranami a správci systému, abyste mohli rozhodovat, která dobře fungují pro všechny aplikace a případy použití.

Požadavky pro Defender for Cloud Apps pro Power BI

Teď byste měli mít dokončené kroky plánování na úrovni organizace popsané v článku o ochraně před únikem informací pro Power BI . Než budete pokračovat, měli byste mít přehled o:

  • Aktuální stav: Aktuální stav ochrany před únikem informací ve vaší organizaci. Měli byste vědět, do jaké míry se ochrana před únikem informací už používá a kdo je zodpovědný za jeho správu.
  • Cíle a požadavky: Strategické cíle pro implementaci ochrany před únikem informací ve vaší organizaci Pochopení cílů a požadavků bude sloužit jako průvodce pro vaše úsilí o implementaci.

Ochrana informací je obvykle již implementována před implementací ochrany před únikem informací. Pokud jsou popisky citlivosti publikované (popsané v článku Ochrana informací pro Power BI ), dají se použít v určitých zásadách v programu Defender for Cloud Apps.

Možná jste už implementovali ochranu před únikem informací pro Power BI (jak je popsáno v článku Ochrana před únikem informací pro Power BI ). Tyto možnosti ochrany před únikem informací se liší od možností spravovaných v Portál dodržování předpisů Microsoft Purview. Všechny možnosti ochrany před únikem informací popsané v tomto článku se spravují na portálu Defender for Cloud Apps.

Klíčová rozhodnutí a akce

Než budete připraveni nastavit zásady v Defenderu for Cloud Apps, musíte udělat několik klíčových rozhodnutí.

Rozhodnutí týkající se zásad Defenderu for Cloud Apps by měla přímo podporovat cíle a požadavky na ochranu dat, která jste dříve identifikovali.

Typ a aktivity zásad

Budete muset zvážit, které aktivity uživatelů vás zajímají o monitorování, blokování nebo řízení. Typ zásad v Defenderu for Cloud Apps ovlivňuje:

  • Co dokážete udělat.
  • Které aktivity je možné zahrnout do konfigurace.
  • Určuje, jestli se ovládací prvky budou vyskytovat v reálném čase nebo ne.

Zásady v reálném čase

Zásady přístupu a zásady relací vytvořené v programu Defender for Cloud Apps umožňují monitorovat, blokovat nebo řídit uživatelské relace v reálném čase.

Zásady přístupu a zásady relací umožňují:

  • Programově reagovat v reálném čase: Zjišťovat, informovat a blokovat rizikové, neúmyslné nebo nevhodné sdílení citlivých dat. Tyto akce umožňují:
    • Vylepšete celkové nastavení zabezpečení tenanta Power BI pomocí automatizace a informací.
    • Povolte případy analytického použití, které zahrnují citlivá data způsobem, který je možné auditovat.
  • Poskytněte uživatelům kontextová oznámení: Tato funkce umožňuje:
    • Pomozte uživatelům při provádění správných rozhodnutí během jejich normálního pracovního postupu.
    • Uživatele navedte na klasifikaci dat a zásady ochrany, aniž by to ovlivnilo jejich produktivitu.

Pokud chcete poskytovat řízení v reálném čase, zásady přístupu a zásady relací pracují s ID Microsoft Entra, spoléháte na možnosti reverzního proxy serveru řízení podmíněného přístupu k aplikacím. Místo uživatelských požadavků a odpovědí procházejících aplikací (v tomto případě služba Power BI) procházejí reverzním proxy serverem (Defender for Cloud Apps).

Přesměrování nemá vliv na uživatelské prostředí. Adresa URL služba Power BI se ale změní na https://app.powerbi.com.mcas.ms po nastavení ID Microsoft Entra pro řízení podmíněného přístupu k aplikacím pomocí Power BI. Uživatelům se také zobrazí oznámení, když se přihlásí k služba Power BI, které oznámí, že je aplikace monitorovaná programem Defender for Cloud Apps.

Důležité

Zásady přístupu a zásady relací fungují v reálném čase. Další typy zásad v Defenderu pro Cloud Apps zahrnují krátké zpoždění upozorňování. U většiny ostatních typů ochrany před únikem informací a auditování dochází také k latenci, včetně ochrany před únikem informací pro Power BI a protokolu aktivit Power BI.

Zásady přístupu

Zásady přístupu vytvořené v defenderu pro Cloud Apps řídí, jestli se uživatel může přihlásit ke cloudové aplikaci, jako je služba Power BI. Organizace, které jsou v vysoce regulovaných odvětvích, se budou zabývat zásadami přístupu.

Tady je několik příkladů, jak můžete pomocí zásad přístupu blokovat přístup k služba Power BI.

  • Neočekávaný uživatel: Můžete zablokovat přístup pro uživatele, který není členem konkrétní skupiny zabezpečení. Tato zásada může být užitečná například v případě, že máte důležitý interní proces, který sleduje schválené uživatele Power BI prostřednictvím konkrétní skupiny.
  • Nespravované zařízení: Můžete zablokovat přístup pro osobní zařízení, které nespravuje organizace.
  • Potřebné aktualizace: Můžete zablokovat přístup pro uživatele, který používá zastaralý prohlížeč nebo operační systém.
  • Umístění: Můžete zablokovat přístup k umístění, kde nemáte pobočky nebo uživatele nebo z neznámé IP adresy.

Tip

Pokud máte externí uživatele, kteří přistupují k vašemu tenantovi Power BI nebo zaměstnancům, kteří často cestují, můžou mít vliv na to, jak definujete zásady řízení přístupu. Tyto typy zásad obvykle spravuje IT.

Zásady relací

Zásady relace jsou užitečné, když nechcete povolit nebo blokovat přístup úplně (což je možné provést pomocí zásad přístupu, jak je popsáno výše). Konkrétně umožňuje uživateli přístup při monitorování nebo omezení toho, co se aktivně děje během relace.

Tady je několik příkladů způsobů, jak pomocí zásad relace monitorovat, blokovat nebo řídit uživatelské relace v služba Power BI.

  • Blokování stahování: Blokování stahování a exportů, pokud je k položce v služba Power BI přiřazen určitý popisek citlivosti, například s vysokou omezením.
  • Monitorování přihlášení: Monitorování, když se uživatel, který splňuje určité podmínky, přihlásí. Uživatel může být například členem konkrétní skupiny zabezpečení nebo používá osobní zařízení, které nespravuje organizace.

Tip

Vytvoření zásad relace (například pro zabránění stahování) pro obsah přiřazený k určitému popisku citlivosti, jako je například Vysoce omezený, je jedním z nejúčinnějších případů použití pro řízení relací v reálném čase pomocí Power BI.

Nahrávání souborů je také možné řídit pomocí zásad relace. Obvykle ale chcete, aby uživatelé samoobslužné služby BI nahráli obsah do služba Power BI (místo sdílení souborů Power BI Desktopu). Proto pečlivě zvažte blokování nahrávání souborů.

Kontrolní seznam – Při plánování zásad v reálném čase v Defenderu pro Cloud Apps zahrnují klíčová rozhodnutí a akce:

  • Identifikace případů použití k blokování přístupu: Zkompilujte seznam scénářů pro blokování přístupu k služba Power BI je vhodné.
  • Identifikace případů použití k monitorování přihlášení: Zkompilujte seznam scénářů pro monitorování přihlášení do služba Power BI je vhodné.
  • Identifikujte případy použití k blokování stahování: Určete, kdy se mají blokovat stahování z služba Power BI. Určete, které popisky citlivosti mají být zahrnuty.

Zásady aktivit

Zásady aktivit v Defenderu for Cloud Apps nefungují v reálném čase.

Můžete nastavit zásadu aktivity pro kontrolu událostí zaznamenaných v protokolu aktivit Power BI. Zásada může reagovat na jednu aktivitu nebo může jednat s opakovanými aktivitami jednoho uživatele (pokud konkrétní aktivita nastane více než nastavený počet v nastaveném počtu minut).

Zásady aktivit můžete použít k monitorování aktivit v služba Power BI různými způsoby. Tady je několik příkladů toho, čeho můžete dosáhnout.

  • Neautorizováno nebo neočekávané zobrazení privilegovaného obsahu uživatele: Uživatel, který není členem konkrétní skupiny zabezpečení (nebo externího uživatele), zobrazil vysoce privilegovanou sestavu, která je poskytována správní radě.
  • Neautorizováno nebo neočekávané aktualizace nastavení tenanta: Uživatel, který není členem konkrétní skupiny zabezpečení, jako je skupina Správci Power BI, aktualizoval nastavení tenanta v služba Power BI. Můžete se také rozhodnout, že budete upozorněni kdykoli se aktualizuje nastavení tenanta.
  • Velký počet odstranění: Uživatel odstranil více než 20 pracovních prostorů nebo sestav v časovém období kratším než 10 minut.
  • Velký počet stažení: Uživatel stáhl více než 30 sestav v časovém období, které je kratší než pět minut.

Typy upozornění zásad aktivit popsané v této části obvykle zpracovávají správci Power BI jako součást dohledu nad Power BI. Při nastavování upozornění v programu Defender for Cloud Apps doporučujeme zaměřit se na situace, které představují významné riziko pro organizaci. Důvodem je to, že každé upozornění bude potřeba zkontrolovat a zavřít správcem.

Upozorňující

Vzhledem k tomu, že události protokolu aktivit Power BI nejsou v reálném čase dostupné, není možné je použít k monitorování nebo blokování v reálném čase. Můžete ale použít operace z protokolu aktivit v zásadách aktivit. Než se dostanete do procesu plánování, nezapomeňte s týmem zabezpečení informací ověřit, co je technicky proveditelné.

Kontrolní seznam – Při plánování zásad aktivit zahrnují klíčová rozhodnutí a akce:

  • Identifikace případů použití pro monitorování aktivit: Zkompilujte seznam konkrétních aktivit z protokolu aktivit Power BI, který představuje významné riziko pro organizaci. Určete, zda riziko souvisí s jednou aktivitou nebo opakovanými aktivitami.
  • Koordinaci úsilí se správci Power BI: Diskutujte o aktivitách Power BI, které se budou monitorovat v Programu Defender for Cloud Apps. Zajistěte, aby nedošlo k duplikaci úsilí mezi různými správci.

Uživatelé, kterých se to týká

Jedním z přesvědčivých důvodů integrace Power BI s Defenderem pro Cloud Apps je využít ovládací prvky v reálném čase, když uživatelé pracují s služba Power BI. Tento typ integrace vyžaduje řízení podmíněného přístupu aplikace v MICROSOFT Entra ID.

Před nastavením řízení podmíněného přístupu v Microsoft Entra ID budete muset zvážit, kteří uživatelé budou zahrnuti. Obvykle jsou zahrnuti všichni uživatelé. Existují však důvody, proč vyloučit konkrétní uživatele.

Tip

Při nastavování zásad podmíněného přístupu je pravděpodobné, že váš správce Microsoft Entra vyloučí konkrétní účty správců. Tento přístup zabrání uzamčení správců. Doporučujeme, aby vyloučené účty byly správci Microsoft Entra místo standardních uživatelů Power BI.

Některé typy zásad v Defenderu for Cloud Apps se můžou vztahovat na určité uživatele a skupiny. Nejčastěji se tyto typy zásad vztahují na všechny uživatele. Je ale možné, že narazíte na situaci, kdy budete muset záměrně vyloučit určité uživatele.

Kontrolní seznam – při zvažování ovlivněných uživatelů patří klíčová rozhodnutí a akce:

  • Zvažte, kteří uživatelé jsou zahrnuti: Ověřte, jestli budou všichni uživatelé zahrnuti do zásad řízení aplikací podmíněného přístupu Microsoft Entra.
  • Určení účtů správců, které mají být vyloučeny: Určete, které konkrétní účty správce by měly být účelně vyloučeny ze zásad řízení podmíněného přístupu Microsoft Entra.
  • Určete, jestli se některé zásady Defenderu vztahují na podmnožinu uživatelů: U platných případů použití zvažte, jestli se mají použít pro všechny nebo pro některé uživatele (pokud je to možné).

Zasílání zpráv uživatelů

Po identifikaci případů použití je potřeba zvážit, co se má stát, když dojde k aktivitě uživatele, která odpovídá zásadám.

Když je aktivita blokovaná v reálném čase, je důležité uživateli poskytnout přizpůsobenou zprávu. Tato zpráva je užitečná, když chcete uživatelům poskytnout další pokyny a povědomí během jejich normálního pracovního postupu. Je pravděpodobnější, že uživatelé budou číst a absorbovat oznámení uživatelů, když jsou:

  • Konkrétní: Korelace zprávy se zásadami usnadňuje pochopení.
  • Akce: Nabízí návrh na to, co potřebují udělat, nebo jak najít další informace.

Některé typy zásad v defenderu pro Cloud Apps můžou mít přizpůsobenou zprávu. Tady jsou dva příklady oznámení uživatelů.

Příklad 1: Můžete definovat zásady řízení relací v reálném čase, které brání všem exportům a stahování, když je popisek citlivosti pro položku Power BI (například sestava nebo sémantický model) nastaven na vysoce omezený. Přizpůsobená bloková zpráva v programu Defender for Cloud Apps čte: Soubory s popiskem s vysokou výjimkou nesmí být staženy z služba Power BI. Podívejte se na obsah online v služba Power BI. S případnými dotazy se obraťte na tým podpory Power BI.

Příklad 2: Můžete definovat zásady přístupu v reálném čase, které uživateli brání v přihlášení k služba Power BI, když nepoužívá počítač spravovaný organizací. Přizpůsobená bloková zpráva v Defenderu for Cloud Apps čte: služba Power BI nemusí být na osobním zařízení přístupné. Použijte zařízení poskytované organizací. S případnými dotazy se obraťte na tým podpory Power BI.

Kontrolní seznam – Při zvažování uživatelských zpráv v Defenderu pro Cloud Apps patří klíčová rozhodnutí a akce:

  • Rozhodněte se, kdy je potřeba vlastní bloková zpráva: Pro každou zásadu, kterou chcete vytvořit, určete, jestli se bude vyžadovat přizpůsobená bloková zpráva.
  • Vytváření přizpůsobených blokových zpráv: Pro každou zásadu definujte, která zpráva by se měla uživatelům zobrazovat. Naplánujte, aby každá zpráva souvisela se zásadami, aby byla specifická a použitelná.

Upozorňování správce

Výstrahy jsou užitečné, když chcete, aby správci zabezpečení a dodržování předpisů věděli, že došlo k porušení zásad. Při definování zásad v Defenderu for Cloud Apps zvažte, jestli se mají generovat upozornění. Další informace najdete v tématu Typy výstrah v defenderu pro Cloud Apps.

Volitelně můžete nastavit upozornění, které pošle e-mail více správcům. Pokud je vyžadováno e-mailové upozornění, doporučujeme použít skupinu zabezpečení s povoleným e-mailem. Můžete například použít skupinu s názvem Výstraha správce zabezpečení a dodržování předpisů.

V situacích s vysokou prioritou je možné odesílat upozornění textovou zprávou. Je také možné vytvořit vlastní automatizaci a pracovní postupy upozornění integrací s Power Automate.

Každou výstrahu můžete nastavit s nízkou, střední nebo vysokou závažností. Úroveň závažnosti je užitečná při určování priority kontroly otevřených výstrah. Správce bude muset zkontrolovat a provést každou výstrahu. Výstraha může být uzavřena jako pravdivě pozitivní, falešně pozitivní nebo neškodná.

Tady jsou dva příklady upozornění správce.

Příklad 1: Můžete definovat zásady řízení relací v reálném čase, které brání všem exportům a stahování, když je popisek citlivosti pro položku Power BI (například sestava nebo sémantický model) nastaven na vysoce omezený. Má pro uživatele užitečnou přizpůsobenou blokovou zprávu. V této situaci ale není potřeba vygenerovat upozornění.

Příklad 2: Můžete definovat zásadu aktivity, která sleduje, jestli externí uživatel zobrazil vysoce privilegovanou sestavu, která je poskytována správní radě. Upozornění s vysokou závažností je možné nastavit tak, aby se zajistilo, že se aktivita okamžitě prošetří.

Tip

Příklad 2 zdůrazňuje rozdíly mezi ochranou informací a zabezpečením. Zásady aktivit můžou pomoct identifikovat scénáře, ve kterých mají uživatelé samoobslužné služby BI oprávnění ke správě zabezpečení obsahu. Tito uživatelé ale můžou provádět akce, které zásady organizace nedoporučuje. Tyto typy zásad doporučujeme nastavit pouze za určitých okolností, pokud jsou informace obzvláště citlivé.

Kontrolní seznam – Při zvažování upozorňování pro správce v programu Defender for Cloud Apps patří klíčová rozhodnutí a akce:

  • Rozhodněte se, kdy se vyžadují výstrahy: Pro každou zásadu, kterou chcete vytvořit, rozhodněte, které situace vyžadují použití výstrah.
  • Objasnění rolí a zodpovědností: Určete očekávání a akci, která by se měla provést při generování výstrahy.
  • Určete, kdo bude dostávat výstrahy: Rozhodněte se, kteří správci zabezpečení a dodržování předpisů budou kontrolovat a provádět otevřené výstrahy. Ověřte splnění oprávnění a licenčních požadavků pro každého správce, který bude používat Defender for Cloud Apps.
  • Vytvořte novou skupinu: V případě potřeby vytvořte novou poštovní skupinu zabezpečení, která se použije pro e-mailová oznámení.

Zásady vytváření názvů

Před vytvořením zásad v Defenderu for Cloud Apps je vhodné nejprve vytvořit zásady vytváření názvů. Konvence vytváření názvů je užitečná v případě, že existuje mnoho typů zásad pro mnoho typů aplikací. Je také užitečné, když se správci Power BI zapojují do monitorování.

Tip

Zvažte udělení přístupu defenderu pro Cloud Apps správcům Power BI. Použijte roli správce, která umožňuje zobrazit protokol aktivit, události přihlášení a události související s služba Power BI.

Zvažte šablonu zásad vytváření názvů, která obsahuje zástupné symboly komponent: <Aplikace> – <Popis> – Akce> – <<Typ zásad>

Tady je několik příkladů zásad vytváření názvů.

Typ zásady Real-time Název zásady
Zásady relace Ano Power BI – Vysoce omezený popisek – Blokování stahování – RT
Zásady přístupu Ano Vše – Nespravované zařízení – Blokování přístupu – RT
Zásady aktivity No Power BI – Aktivita správy
Zásady aktivity No Power BI – Výkonná sestava zobrazení externích uživatelů

Součástí konvence vytváření názvů jsou:

  • Aplikace: Název aplikace. Předpona Power BI pomáhá seskupit všechny zásady specifické pro Power BI při řazení. Některé zásady se ale budou vztahovat na všechny cloudové aplikace, nikoli jenom na služba Power BI.
  • Popis: Část názvu popisu se bude lišit nejvíce. Může obsahovat popisky citlivosti ovlivněné nebo typ sledované aktivity.
  • Akce: (Volitelné) V příkladech má jedna zásada relace akci Blokování stahování. Akce je obvykle nutná jenom v případě, že se jedná o zásadu v reálném čase.
  • Typ zásady: (Volitelné) V příkladu přípona RT označuje, že se jedná o zásadu v reálném čase. Určení, jestli je to v reálném čase nebo ne, pomáhá spravovat očekávání.

V názvu zásady nemusí být zahrnuté další atributy. Mezi tyto atributy patří úroveň závažnosti (nízká, střední nebo vysoká) a kategorie (například detekce hrozeb nebo ochrana před únikem informací). Oba atributy lze filtrovat na stránce upozornění.

Tip

Zásady můžete přejmenovat v programu Defender for Cloud Apps. Předdefinované zásady detekce anomálií ale není možné přejmenovat. Například podezřelé sdílení sestav Power BI je předdefinovaná zásada, kterou nejde přejmenovat.

Kontrolní seznam – Při zvažování zásad vytváření názvů zahrnují klíčová rozhodnutí a akce:

  • Zvolte konvenci vytváření názvů: První zásady použijte k vytvoření konzistentní konvence vytváření názvů, která je přímočará pro interpretaci. Zaměřte se na používání konzistentní předpony a přípony.
  • Zdokumentujte zásady vytváření názvů: Uveďte referenční dokumentaci k zásadám vytváření názvů. Ujistěte se, že správci systému vědí o konvenci vytváření názvů.
  • Aktualizace existujících zásad: Aktualizujte všechny existující zásady Defenderu, aby byly v souladu s novou konvencí vytváření názvů.

Požadavky na licencování

Aby bylo možné monitorovat tenanta Power BI, musí být zavedeny konkrétní licence. Správci musí mít jednu z následujících licencí.

  • Microsoft Defender for Cloud Apps: Poskytuje možnosti Defenderu for Cloud Apps pro všechny podporované aplikace (včetně služba Power BI).
  • Office 365 Cloud App Security: Poskytuje možnosti Defenderu for Cloud Apps pro aplikace Office 365, které jsou součástí sady Office 365 E5 (včetně služba Power BI).

Pokud uživatelé potřebují v Programu Defender for Cloud Apps používat zásady přístupu v reálném čase nebo zásady relací, budou potřebovat licenci Microsoft Entra ID P1.

Tip

Pokud potřebujete objasnit licenční požadavky, obraťte se na svůj tým účtů Microsoft.

Kontrolní seznam – Při vyhodnocování licenčních požadavků patří klíčová rozhodnutí a akce:

  • Kontrola licenčních požadavků na produkty: Ujistěte se, že jste zkontrolovali všechny licenční požadavky pro práci s Defenderem pro Cloud Apps.
  • Kupte si další licence: Pokud je to možné, kupte si další licence, abyste mohli odemknout funkce, které chcete použít.
  • Přiřazení licencí: Přiřaďte licenci každému správci zabezpečení a dodržování předpisů, kteří budou používat Defender for Cloud Apps.

Uživatelská dokumentace a školení

Před zavedením programu Defender for Cloud Apps doporučujeme vytvořit a publikovat uživatelskou dokumentaci. Sharepointová stránka nebo wikistrána na centralizovaném portálu může dobře fungovat, protože bude snadno udržovatelná. Dobrým řešením je také dokument nahraný do sdílené knihovny nebo webu Teams.

Cílem dokumentace je dosáhnout bezproblémového uživatelského prostředí. Příprava uživatelské dokumentace vám také pomůže zajistit, abyste všechno zvážili.

Uveďte informace o tom, kdo se má obrátit, když mají uživatelé dotazy nebo technické problémy.

Nejčastější dotazy a příklady jsou užitečné zejména pro uživatelskou dokumentaci.

Kontrolní seznam – Při přípravě uživatelské dokumentace a školení patří klíčová rozhodnutí a akce:

  • Dokumentace k aktualizaci pro tvůrce a uživatele obsahu: Aktualizujte nejčastější dotazy a příklady tak, aby obsahovaly relevantní informace o zásadách, se kterými se můžou uživatelé setkat.
  • Publikování, jak získat nápovědu: Ujistěte se, že vaši uživatelé vědí, jak získat pomoc, když mají něco neočekávaného nebo že nerozumí.
  • Určete, jestli je potřeba konkrétní školení: Vytvořte nebo aktualizujte školení uživatelů tak, aby obsahovalo užitečné informace, zejména pokud existuje zákonný požadavek.

Podpora uživatelů

Je důležité ověřit, kdo bude zodpovědný za uživatelskou podporu. Použití Defenderu pro Cloud Apps k monitorování Power BI se běžně provádí centralizovaným oddělením technické podpory IT.

Možná budete muset vytvořit dokumentaci pro helpdesk a provést některé relace přenosu znalostí, abyste zajistili, že je helpdesk připravený reagovat na žádosti o podporu.

Kontrolní seznam – Při přípravě na funkci podpory uživatelů zahrnují klíčová rozhodnutí a akce:

  • Určete, kdo bude poskytovat uživatelskou podporu: Při definování rolí a zodpovědností nezapomeňte určit, jak uživatelé získají pomoc s problémy, se kterými se můžou setkat.
  • Ujistěte se, že je tým podpory uživatelů připravený: Vytvořte dokumentaci a proveďte relace přenosu znalostí, abyste zajistili, že je helpdesk připravený k podpoře těchto procesů.
  • Komunikace mezi týmy: Diskuze o zprávách, které můžou uživatelé vidět, a proces řešení otevřených upozornění se správci Power BI a centrem excellence Ujistěte se, že jsou všichni zapojení připraveni na potenciální dotazy od uživatelů Power BI.

Souhrn implementace

Po provedení rozhodnutí a příprava plánu zavedení je čas zahájit implementaci.

Pokud máte v úmyslu používat zásady v reálném čase (zásady relací nebo zásady přístupu), je vaším prvním úkolem nastavit řízení podmíněného přístupu k aplikaci Microsoft Entra. Budete muset nastavit služba Power BI jako aplikaci katalogu, kterou bude řídit Defender for Cloud Apps.

Když je nastavení a otestování řízení aplikací podmíněného přístupu Microsoft Entra, můžete pak vytvořit zásady v programu Defender for Cloud Apps.

Důležité

Doporučujeme, abyste tuto funkci představili malému počtu testovacích uživatelů. K dispozici je také režim jen pro monitorování, který by mohl být užitečný k tomu, abyste tuto funkci zavedli seřazeným způsobem.

Následující kontrolní seznam obsahuje souhrnný seznam kompletních kroků implementace. Mnoho kroků obsahuje další podrobnosti, které byly popsány v předchozích částech tohoto článku.

Kontrolní seznam – Při implementaci Defenderu for Cloud Apps pomocí Power BI patří klíčová rozhodnutí a akce:

  • Ověřte aktuální stav a cíle: Ujistěte se, že máte přehled o aktuálním stavu ochrany před únikem informací pro použití s Power BI. Všechny cíle a požadavky na implementaci ochrany před únikem informací by měly být jasné a aktivně využívány k řízení rozhodovacího procesu.
  • Proveďte rozhodovací proces: Zkontrolujte a prodiskutujte všechna potřebná rozhodnutí. K této úloze by mělo dojít před nastavením čehokoli v produkčním prostředí.
  • Zkontrolujte licenční požadavky: Ujistěte se, že rozumíte licenčním požadavkům na produkty a licencování uživatelů. V případě potřeby si opatřte a přiřaďte další licence.
  • Dokumentace k publikování uživatelů: Publikujte informace, které budou uživatelé potřebovat k zodpovězení otázek a objasnění očekávání. Poskytněte uživatelům pokyny, komunikaci a školení, aby byli připravení.
  • Vytvořte zásadu podmíněného přístupu Microsoft Entra: Vytvořte zásadu podmíněného přístupu v MICROSOFT Entra ID, která povolí ovládací prvky v reálném čase pro monitorování služba Power BI. Nejprve povolte zásady podmíněného přístupu Microsoft Entra pro několik testovacích uživatelů.
  • Nastavení Power BI jako připojené aplikace v Programu Defender for Cloud Apps: Přidání nebo ověření zobrazení Power BI jako připojené aplikace v Defenderu pro Cloud Apps pro řízení podmíněného přístupu
  • Proveďte počáteční testování: Přihlaste se k služba Power BI jako jeden z testovacích uživatelů. Ověřte, že přístup funguje. Ověřte také, že zobrazená zpráva vás informuje, že služba Power BI monitoruje Defender for Cloud Apps.
  • Vytvoření a testování zásad v reálném čase: Použití už zkompilovaných případů použití, vytvoření zásad přístupu nebo zásad relace v Defenderu pro Cloud Apps
  • Proveďte počáteční testování: Jako testovací uživatel proveďte akci, která aktivuje zásady v reálném čase. Ověřte, že je akce blokovaná (pokud je to vhodné) a jestli se zobrazují očekávané zprávy upozornění.
  • Shromážděte zpětnou vazbu od uživatelů: Získejte zpětnou vazbu k procesu a uživatelskému prostředí. Identifikujte oblasti nejasnosti, neočekávané výsledky s typy citlivých informací a další technické problémy.
  • Pokračovat v iterativních verzích: Postupně přidávat další zásady v Programu Defender for Cloud Apps, dokud nebudou vyřešeny všechny případy použití.
  • Projděte si předdefinované zásady: Vyhledejte předdefinované zásady detekce anomálií v Defenderu pro Cloud Apps (které mají Power BI ve svém názvu). V případě potřeby aktualizujte nastavení upozornění pro předdefinované zásady.
  • Pokračujte v širším zavedení: Pokračujte v práci s iterativním plánem zavedení. Podle potřeby aktualizujte zásady podmíněného přístupu společnosti Microsoft entra tak, aby platily pro širší sadu uživatelů. Podle potřeby aktualizujte jednotlivé zásady v Programu Defender for Cloud Apps, aby se vztahovaly na širší sadu uživatelů.
  • Monitorování, ladění a úprava: Investujte prostředky, abyste mohli pravidelně kontrolovat výstrahy a protokoly auditu. Prozkoumejte všechny falešně pozitivní výsledky a v případě potřeby upravte zásady.

Tip

Tyto položky kontrolního seznamu jsou shrnuty pro účely plánování. Další podrobnosti o těchto položkách kontrolního seznamu najdete v předchozích částech tohoto článku.

Konkrétnější informace o nasazení Power BI jako aplikace katalogu v Defenderu pro Cloud Apps najdete v krocích nasazení aplikací katalogu.

Průběžné monitorování

Po dokončení implementace byste měli zaměřit pozornost na monitorování, vynucování a úpravu zásad Defenderu for Cloud Apps na základě jejich využití.

Správci Power BI a správci zabezpečení a dodržování předpisů budou muset čas od času spolupracovat. Pro obsah Power BI existují dvě cílové skupiny pro monitorování.

  • Správci Power BI: Kromě výstrah vygenerovaných defenderem for Cloud Apps se aktivity z protokolu aktivit Power BI zobrazují také na portálu Defender for Cloud Apps.
  • Správci zabezpečení a dodržování předpisů: Správci zabezpečení a dodržování předpisů organizace obvykle používají výstrahy Defenderu for Cloud Apps.

Správcům Power BI můžete poskytnout omezené zobrazení v Defenderu pro Cloud Apps. Používá vymezenou roli k zobrazení protokolu aktivit, událostí přihlášení a událostí souvisejících s služba Power BI. Tato funkce je pro správce Power BI pohodlná.

Kontrolní seznam – Při monitorování Defenderu pro Cloud Apps patří klíčová rozhodnutí a akce:

  • Ověření rolí a zodpovědností: Ujistěte se, že máte jasné, kdo je zodpovědný za jaké akce. Informujte a komunikujte se správci Power BI, pokud budou zodpovědní za jakékoli aspekty monitorování.
  • Správa přístupu pro správce Power BI: Přidejte správce Power BI do vymezené role správce v Programu Defender for Cloud Apps. Komunikujte s nimi, aby si byli vědomi toho, co s nimi můžou dělat.
  • Vytvoření nebo ověření procesu kontroly aktivity: Ujistěte se, že vaši správci zabezpečení a dodržování předpisů mají jasná očekávání pro pravidelnou kontrolu Průzkumníka aktivit.
  • Vytvořte nebo ověřte proces řešení výstrah: Zajistěte, aby správci zabezpečení a dodržování předpisů měli zavedený proces pro vyšetřování a řešení otevřených výstrah.

Související obsah

V dalším článku v této sérii se dozvíte o auditování ochrany informací a ochrany před únikem informací pro Power BI.