Samouczek: odnajdywanie i ochrona poufnych informacji w organizacji

W idealnym świecie wszyscy pracownicy rozumieją znaczenie ochrony informacji i pracy w ramach twoich zasad. W świecie rzeczywistym prawdopodobnie zajęty partner, który często współpracuje z informacjami księgowymi, przypadkowo przekaże poufny dokument do repozytorium Box z nieprawidłowymi uprawnieniami. Tydzień później zdajesz sobie sprawę, że poufne informacje twojego przedsiębiorstwa wyciekły do Twojej konkurencji.

Aby zapobiec temu, Microsoft Defender for Cloud Apps udostępnia rozbudowany zestaw funkcji DLP, który obejmuje różne punkty wycieku danych, które istnieją w organizacjach.

W tym samouczku dowiesz się, jak za pomocą Defender for Cloud Apps odnajdywać potencjalnie uwidocznione dane poufne i stosować mechanizmy kontroli, aby zapobiec ich narażeniu:

• Odnajdywanie danych
• Klasyfikowanie informacji poufnych
• Chroń swoje dane
• Monitorowanie i raportowanie danych

Jak odnajdywać i chronić poufne informacje w organizacji

Nasze podejście do ochrony informacji można podzielić na następujące fazy, które umożliwiają ochronę danych przez cały cykl życia w wielu lokalizacjach i urządzeniach.

Faza 1. Odnajdywanie danych

1. Łączenie aplikacji: pierwszym krokiem do odnalezienia, które dane są używane w organizacji, jest połączenie aplikacji w chmurze używanych w organizacji z Defender for Cloud Apps. Po nawiązaniu połączenia Defender for Cloud Apps mogą skanować dane, dodawać klasyfikacje oraz wymuszać zasady i kontrolki. W zależności od sposobu, w jaki aplikacje są połączone, wpływa na sposób i czas stosowania skanów i kontrolek. Aplikacje można połączyć na jeden z następujących sposobów:

   • Użyj łącznika aplikacji: Nasze łączniki aplikacji używają interfejsów API dostarczonych przez dostawców aplikacji. Zapewniają one lepszy wgląd w aplikacje używane w organizacji i kontrolę nad nimi. Skany są wykonywane okresowo (co 12 godzin) i w czasie rzeczywistym (wyzwalane za każdym razem, gdy zostanie wykryta zmiana). Aby uzyskać więcej informacji i instrukcji dotyczących dodawania aplikacji, zobacz Łączenie aplikacji.

   • Użyj kontroli aplikacji dostępu warunkowego: Nasze rozwiązanie kontroli aplikacji dostępu warunkowego korzysta z architektury odwrotnego serwera proxy, która jest unikatowo zintegrowana z dostępem warunkowym Microsoft Entra i umożliwia stosowanie kontrolek do dowolnej aplikacji.

     Użytkownicy przeglądarki Microsoft Edge korzystają z bezpośredniej ochrony w przeglądarce. Kontrola aplikacji dostępu warunkowego jest stosowana w innych przeglądarkach przy użyciu architektury odwrotnego serwera proxy. Aby uzyskać więcej informacji, zobacz Protect apps with Microsoft Defender for Cloud Apps Conditional Access app control and In-browser protection with Microsoft Edge for Business (Wersja zapoznawcza).

2. Zbadaj: Po połączeniu aplikacji z Defender for Cloud Apps przy użyciu łącznika interfejsu API Defender for Cloud Apps skanuje wszystkie pliki, których używa. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Pliki, aby zapoznać się z omówieniem plików udostępnianych przez aplikacje w chmurze, ich ułatwień dostępu i stanu. Aby uzyskać więcej informacji, zobacz Badanie plików.

Faza 2. Klasyfikowanie informacji poufnych

1. Zdefiniuj, które informacje są poufne: przed wyszukaniem poufnych informacji w plikach musisz najpierw zdefiniować, jakie liczby są poufne dla organizacji. W ramach naszej usługi klasyfikacji danych oferujemy ponad 100 wbudowanych typów informacji poufnych lub możesz utworzyć własne , dostosowane do zasad firmy. Defender for Cloud Apps jest natywnie zintegrowana z Microsoft Purview Information Protection, a te same poufne typy i etykiety są dostępne w obu usługach. Dlatego jeśli chcesz zdefiniować poufne informacje, przejdź do portalu Microsoft Purview Information Protection, aby je utworzyć, a po ich zdefiniowaniu będą dostępne w Defender for Cloud Apps. Można również użyć zaawansowanych typów klasyfikacji, takich jak odcisk palca lub dokładne dopasowanie danych (EDM).

   Dla tych z Was, którzy wykonali już ciężką pracę nad zidentyfikowaniem poufnych informacji i zastosowaniem odpowiednich etykiet poufności, możesz użyć tych etykiet w zasadach bez konieczności ponownego skanowania zawartości.

2. Włączanie integracji z usługą Microsoft Information Protection

   1. W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps.
   2. W obszarze Information Protection przejdź do witryny Microsoft Information Protection. Wybierz pozycję Automatycznie skanuj nowe pliki pod kątem etykiet poufności firmy Microsoft Information Protection i ostrzeżeń dotyczących inspekcji zawartości.

   Aby uzyskać więcej informacji, zobacz integrację Microsoft Purview Information Protection.

3. Tworzenie zasad w celu identyfikowania poufnych informacji w plikach: gdy znasz rodzaje informacji, które chcesz chronić, nadszedł czas, aby utworzyć zasady, aby je wykryć. Zacznij od utworzenia następujących zasad:

   Zasady plików
   Tego typu zasady umożliwiają skanowanie zawartości plików przechowywanych w połączonych z interfejsem API aplikacjach w chmurze niemal w czasie rzeczywistym i danych magazynowanych. Pliki są skanowane przy użyciu jednej z naszych obsługiwanych metod inspekcji, w tym Microsoft Purview Information Protection zaszyfrowanej zawartości dzięki natywnej integracji z Defender for Cloud Apps.

   1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Zasady —>Zarządzanie zasadami.

   2. Wybierz pozycję Utwórz zasady, a następnie wybierz pozycję Zasady plików.

   3. W obszarze Metoda inspekcji wybierz i skonfiguruj jedną z następujących usług klasyfikacji:

      • Usługi klasyfikacji danych: używa decyzji dotyczących klasyfikacji podjętych w ramach platformy Microsoft 365, Microsoft Purview Information Protection i Defender for Cloud Apps w celu zapewnienia ujednoliconego środowiska etykietowania. Jest to preferowana metoda inspekcji zawartości, ponieważ zapewnia spójne i ujednolicone środowisko w produktach firmy Microsoft.

   4. W przypadku plików wysoce poufnych wybierz pozycję Utwórz alert dla każdego pasującego pliku i wybierz wymagane alerty, aby otrzymywać informacje o plikach z niechronionymi poufnymi informacjami w organizacji.

   5. Wybierz pozycję Utwórz.

   Zasady sesji
   Użyj tego typu zasad, aby skanować i chronić pliki w czasie rzeczywistym przy dostępie do:

   • Zapobieganie eksfiltracji danych: blokuj pobieranie, wycinanie, kopiowanie i drukowanie poufnych dokumentów na przykład na urządzeniach niezarządzanych.
   • Ochrona plików podczas pobierania: wymagaj, aby dokumenty były oznaczone etykietami i chronione za pomocą Microsoft Purview Information Protection. Ta akcja zapewnia ochronę dokumentu, a dostęp użytkowników jest ograniczony w potencjalnie ryzykownej sesji.
   • Zapobiegaj przekazywaniu nieoznakowanych plików: wymagaj, aby plik miał odpowiednią etykietę i ochronę przed przekazaniem, dystrybucją i użyciem pliku poufnego przez inne osoby. Dzięki tej akcji można zagwarantować, że przekazywanie nieoznakowanych plików z poufną zawartością nie zostanie zablokowane, dopóki użytkownik nie zaklasyfikuje zawartości.

   1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Zasady —>Zarządzanie zasadami.

   2. Wybierz pozycję Utwórz zasady, a następnie wybierz pozycję Zasady sesji.

   3. W obszarze Typ kontrolki Sesja wybierz jedną z opcji z DLP.

   4. W obszarze Metoda inspekcji wybierz i skonfiguruj jedną z następujących usług klasyfikacji:

      • Usługi klasyfikacji danych: używa decyzji dotyczących klasyfikacji podjętych w ramach platformy Microsoft 365, Microsoft Purview Information Protection i Defender for Cloud Apps w celu zapewnienia ujednoliconego środowiska etykietowania. Jest to preferowana metoda inspekcji zawartości, ponieważ zapewnia spójne i ujednolicone środowisko w produktach firmy Microsoft.
      • Wbudowane narzędzie DLP: sprawdza pliki pod kątem poufnych informacji przy użyciu naszego wbudowanego aparatu inspekcji zawartości DLP.

   5. W przypadku plików wysoce poufnych wybierz pozycję Utwórz alert i wybierz wymagane alerty, aby otrzymywać informacje o plikach z niechronionymi informacjami poufnymi w organizacji.

   6. Wybierz pozycję Utwórz.

Należy utworzyć tyle zasad, ile jest wymaganych do wykrywania poufnych danych zgodnie z zasadami firmy.

Faza 3. Ochrona danych

Teraz możesz więc wykrywać pliki z informacjami poufnymi, ale naprawdę chcesz chronić te informacje przed potencjalnymi zagrożeniami. Gdy już wiesz o zdarzeniu, możesz ręcznie skorygować sytuację lub użyć jednej z automatycznych akcji ładu udostępnianych przez Defender for Cloud Apps do zabezpieczania plików. Akcje obejmują między innymi Microsoft Purview Information Protection kontrolki natywne, akcje udostępniane przez interfejs API i monitorowanie w czasie rzeczywistym. Rodzaj ładu, który można zastosować, zależy od typu skonfigurowanych zasad w następujący sposób:

1. Akcje ładu zasad plików: używa interfejsu API dostawcy aplikacji w chmurze i naszych natywnych integracji do zabezpieczania plików, w tym:

   • Wyzwalanie alertów i wysyłanie powiadomień e-mail o zdarzeniu
   • Zarządzanie etykietami zastosowanymi do pliku w celu wymuszania natywnych kontrolek Microsoft Purview Information Protection
   • Zmienianie dostępu do udostępniania pliku
   • Kwarantanna pliku
   • Usuwanie określonych uprawnień do plików lub folderów na platformie Microsoft 365
   • Przenoszenie pliku do folderu kosza

2. Kontrolki zasad sesji: używa funkcji zwrotnego serwera proxy do ochrony plików, takich jak:

   • Wyzwalanie alertów i wysyłanie powiadomień e-mail o zdarzeniu
   • Jawnie zezwala na pobieranie lub przekazywanie plików oraz monitoruje wszystkie powiązane działania.
   • Jawnie blokuj pobieranie lub przekazywanie plików. Ta opcja umożliwia ochronę poufnych plików organizacji przed eksfiltracją lub infiltracją z dowolnego urządzenia, w tym urządzeń niezarządzanych.
   • Automatycznie zastosuj etykietę poufności do plików zgodnych z filtrami plików zasad. Użyj tej opcji, aby chronić pobieranie poufnych plików.

   Aby uzyskać więcej informacji, zobacz Tworzenie zasad sesji Microsoft Defender for Cloud Apps.

Faza 4. Monitorowanie i raportowanie danych

Wszystkie zasady umożliwiają inspekcję i ochronę danych. Teraz warto codziennie sprawdzać pulpit nawigacyjny , aby zobaczyć, jakie nowe alerty zostały wyzwolone. Jest to dobre miejsce, aby mieć oko na kondycję środowiska chmury. Pulpit nawigacyjny ułatwia zapoznanie się z tym, co się dzieje, i w razie potrzeby wszczyna badanie.

Jednym z najskuteczniejszych sposobów monitorowania zdarzeń poufnych plików jest przejdź do strony Zasady i przejrzyj dopasowania skonfigurowanych zasad. Ponadto jeśli skonfigurowano alerty, należy również rozważyć regularne monitorowanie alertów plików, przechodząc do strony Alerty , określając kategorię jako DLP i sprawdzając, które zasady związane z plikami są wyzwalane. Przejrzenie tych zdarzeń może pomóc w dostrojeniu zasad, aby skoncentrować się na zagrożeniach, które są interesujące dla Twojej organizacji.

Podsumowując, zarządzanie poufnymi informacjami w ten sposób zapewnia, że dane zapisane w chmurze mają maksymalną ochronę przed złośliwym eksfiltracją i infiltracją. Ponadto w przypadku udostępnienia lub utraty pliku dostęp do niego mogą uzyskać tylko autoryzowani użytkownicy.

Zobacz też

Omówienie danych i filtrów plików

Zasady plików

Inspekcja zawartości

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.