Richtlinie zum Schutz von SQL-Informationen in Microsoft Defender for Cloud
Der Mechanismus zur Datenermittlung und -klassifizierung von SQL Information Protection bietet erweiterte Funktionen für die Ermittlung, Klassifizierung, Bezeichnung und Berichterstellung vertraulicher Daten in Ihren Datenbanken. Dieser Mechanismus ist in Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics integriert.
Der Klassifizierungsmechanismus basiert auf den folgenden beiden Elementen:
- Bezeichnungen: Die wichtigsten Klassifizierungsattribute zum Definieren der Vertraulichkeitsstufe der in der Spalte gespeicherten Daten.
- Informationstypen: Bieten zusätzliche Granularität für den Typ der in der Spalte gespeicherten Daten.
Die Information Protection-Richtlinienoptionen in Defender für Cloud stellen einen vordefinierten Satz von Bezeichnungen und Informationstypen zur Verfügung, die als Standardwerte für die Klassifizierungs-Engine dienen. Sie können die Richtlinie wie unten beschrieben an die Anforderungen Ihrer Organisation anpassen.
Wie kann ich auf die SQL Information Protection-Richtlinie zugreifen?
Es gibt drei Möglichkeiten für den Zugriff auf die Information Protection-Richtlinie:
- (Empfohlen) : Über die Seite Umgebungseinstellungen von Defender für Cloud
- Über die Sicherheitsempfehlung Sensible Daten in Ihren SQL-Datenbanken müssen klassifiziert werden
- Über die Azure SQL-DB-Seite zur Datenermittlung
Jede dieser Möglichkeiten wird in der folgenden Abbildung auf der entsprechenden Registerkarte angezeigt.
Zugreifen auf die Richtlinie über die Seite „Umgebungseinstellungen“ von Defender für Cloud
Wählen Sie auf der Seite Umgebungseinstellungen von Defender für Cloud die Einstellung SQL Information Protection aus.
Hinweis
Diese Option wird nur Benutzern mit Berechtigungen auf Mandantenebene angezeigt. Erteilen von mandantenweiten Berechtigungen an sich selbst.
Anpassen der Informationstypen
Gehen Sie zum Verwalten und Anpassen von Informationstypen folgendermaßen vor:
Wählen Sie Informationstypen verwalten aus.
Um einen neuen Typ hinzuzufügen, wählen Sie Informationstyp erstellen aus. Sie können einen Namen, eine Beschreibung und Suchmusterzeichenfolgen für den Informationstyp konfigurieren. Suchzeichenfolgenmuster können optional Schlüsselwörter mit Platzhalterzeichen (mit dem Zeichen „%“) enthalten, anhand derer die automatisierte Ermittlungs-Engine sensible Daten in Ihren Datenbanken basierend auf den Metadaten der Spalten ermittelt.
Sie können auch die integrierten Informationstypen ändern, indem Sie zusätzliche Suchmusterzeichenfolgen hinzufügen, einige der vorhandenen Zeichenfolgen deaktivieren oder die Beschreibung ändern.
Tipp
Sie können integrierte Typen jedoch weder löschen noch ihre Namen ändern.
Informationstypen werden in aufsteigender Reihenfolge der Ermittlung aufgeführt, was bedeutet, dass die Typen, die in der Liste weiter oben stehen, zuerst versuchen, eine Übereinstimmung zu erzielen. Um die Rangfolge zwischen den Informationstypen zu ändern, ziehen Sie die Typen an die entsprechende Position in der Tabelle oder verwenden die Schaltflächen Nach oben verschieben und Nach unten verschieben, um die Reihenfolge zu ändern.
Wählen Sie OK aus, wenn Sie fertig sind.
Nachdem die Verwaltung Ihrer Informationstypen abgeschlossen ist, ordnen Sie den relevanten Bezeichnungen die entsprechenden Typen zu, indem Sie für eine bestimmte Bezeichnung Konfigurieren auswählen und nach Bedarf Informationstypen hinzufügen oder löschen.
Um Ihre Änderungen anzuwenden, klicken Sie auf der Hauptseite Bezeichnungen auf Speichern.
Exportieren und Importieren einer Richtlinie
Sie können eine JSON-Datei mit Ihren definierten Bezeichnungen und Informationstypen herunterladen, in einem Editor Ihrer Wahl bearbeiten und die aktualisierte Datei dann importieren.
Hinweis
Sie benötigen Berechtigungen auf Mandantenebene, um eine Richtliniendatei zu importieren.
Berechtigungen
Um die Information Protection-Richtlinie für Ihren Azure-Mandanten anpassen zu können, benötigen Sie die folgenden Aktionen in der Stammverwaltungsgruppe des Mandanten:
- Microsoft.Security/informationProtectionPolicies/read
- Microsoft.Security/informationProtectionPolicies/write
Weitere Informationen finden Sie unter Erteilen und Anfordern der mandantenweiten Sichtbarkeit.
Verwalten von SQL Information Protection mit Azure PowerShell
- Get-AzSqlInformationProtectionPolicy: Ruft die effektive SQL Information Protection-Richtlinie für den Mandanten ab.
- Set-AzSqlInformationProtectionPolicy: Legt die effektive SQL Information Protection-Richtlinie für den Mandanten fest.