Udostępnij za pośrednictwem


Planowanie implementacji usługi Power BI: Defender dla Chmury Apps for Power BI

Uwaga

Ten artykuł stanowi część serii artykułów dotyczących planowania implementacji usługi Power BI. Ta seria koncentruje się głównie na środowisku usługi Power BI w usłudze Microsoft Fabric. Aby zapoznać się z wprowadzeniem do serii, zobacz Planowanie implementacji usługi Power BI.

W tym artykule opisano działania związane z planowaniem związane z wdrażaniem aplikacji Defender dla Chmury w odniesieniu do monitorowania usługi Power BI. Jest ona przeznaczona dla:

  • Administratorzy usługi Power BI: administratorzy, którzy są odpowiedzialni za nadzorowanie usługi Power BI w organizacji. Administratorzy usługi Power BI muszą współpracować z zabezpieczeniami informacji i innymi odpowiednimi zespołami.
  • Centrum doskonałości, IT i zespołów analizy biznesowej: inni, którzy są odpowiedzialni za nadzorowanie usługi Power BI w organizacji. Może być konieczne współpraca z administratorami usługi Power BI, zespołami ds. zabezpieczeń informacji i innymi odpowiednimi zespołami.

Ważne

Monitorowanie i zapobieganie utracie danych (DLP) to znaczące przedsięwzięcie w całej organizacji. Jego zakres i wpływ są znacznie większe niż sama usługa Power BI. Tego typu inicjatywy wymagają finansowania, priorytetyzacji i planowania. Spodziewaj się, że w planowaniu, użyciu i wysiłkach nadzoru związanych z planowaniem, użyciem i nadzorem należy zaangażować kilka zespołów obejmujących wiele funkcji.

Zalecamy stosowanie stopniowego, etapowego podejścia do wdrażania Defender dla Chmury Apps na potrzeby monitorowania usługi Power BI. Opis typów faz wdrażania, które należy wziąć pod uwagę, zobacz Ochrona informacji dla usługi Power BI (fazy wdrażania).

Cel monitorowania

Microsoft Defender dla Chmury Apps (wcześniej znane jako Microsoft Cloud App Security) to broker zabezpieczeń dostępu do chmury (CASB), który obsługuje różne tryby wdrażania. Ma on szeroki zestaw możliwości, które wykraczają daleko poza zakres tego artykułu. Niektóre funkcje są w czasie rzeczywistym, podczas gdy inne nie są w czasie rzeczywistym.

Oto kilka przykładów monitorowania w czasie rzeczywistym, które można zaimplementować.

  • Blokuj pobieranie z usługa Power BI: możesz utworzyć zasady sesji, aby zablokować niektóre typy działań użytkownika. Na przykład gdy użytkownik próbuje pobrać raport z usługa Power BI, do którego przypisano etykietę poufności o wysokim stopniu ograniczonym, akcję pobierania można zablokować w czasie rzeczywistym.
  • Blokuj dostęp do usługa Power BI przez urządzenie niezarządzane: możesz utworzyć zasady dostępu, aby uniemożliwić użytkownikom dostęp do niektórych aplikacji, chyba że korzystają z urządzenia zarządzanego. Na przykład gdy użytkownik próbuje uzyskać dostęp do usługa Power BI z osobistego telefonu komórkowego, można zablokować akcję.

Oto kilka przykładów innych możliwości, które nie są w czasie rzeczywistym.

  • Wykrywanie i zgłaszanie alertów o niektórych działaniach w usługa Power BI: możesz utworzyć zasady działań w celu wygenerowania alertu w przypadku wystąpienia określonych typów działań. Na przykład gdy w usługa Power BI wystąpi aktywność administracyjna (wskazująca, że ustawienie dzierżawy zostało zmienione), możesz otrzymać alert e-mail.
  • Monitorowanie zaawansowanych działań zabezpieczeń: możesz wyświetlać i monitorować logowania oraz działania zabezpieczeń, anomalie i naruszenia. Alerty można zgłaszać w sytuacjach, takich jak podejrzane działanie, nieoczekiwane lokalizacje lub nowa lokalizacja.
  • Monitorowanie działań użytkowników: możesz wyświetlać i monitorować działania użytkowników. Na przykład administrator usługi Power BI może mieć przypisane uprawnienia do wyświetlania dziennika aktywności usługi Power BI, oprócz częstotliwości logowania użytkowników w aplikacjach Defender dla Chmury.
  • Wykrywanie i zgłaszanie nietypowych zachowań w usługa Power BI: istnieją wbudowane zasady wykrywania anomalii. Na przykład gdy użytkownik pobiera lub eksportuje zawartość z usługa Power BI znacznie częściej niż zwykle, może zostać wyświetlony alert e-mail.
  • Znajdź niezaakceptowane aplikacje: aplikacje niezatwierdzone można znaleźć w organizacji. Na przykład możesz obawiać się, że użytkownicy udostępniają pliki (takie jak pliki programu Power BI Desktop lub pliki programu Excel) w systemie udostępniania plików innej firmy. Możesz zablokować korzystanie z niezaakceptowanej aplikacji, a następnie skontaktować się z użytkownikami w celu informowania ich o odpowiednich sposobach udostępniania i współpracy z innymi osobami.

Napiwek

Portal w usłudze Defender dla Chmury Apps to wygodne miejsce do wyświetlania działań i alertów bez tworzenia skryptu w celu wyodrębnienia i pobrania danych. Ta zaleta obejmuje wyświetlanie danych z dziennika aktywności usługi Power BI.

Usługa Power BI to jedna z wielu aplikacji i usług, które można zintegrować z aplikacjami Defender dla Chmury. Jeśli używasz już aplikacji Defender dla Chmury do innych celów, może służyć do monitorowania usługi Power BI.

Zasady utworzone w usłudze Defender dla Chmury Apps są formą DLP. Artykuł Ochrona przed utratą danych w usłudze Power BI obejmuje zasady DLP dla usługi Power BI skonfigurowane w portal zgodności Microsoft Purview. Zalecamy używanie zasad DLP dla usługi Power BI z funkcjami opisanymi w tym artykule. Chociaż istnieją pewne nakładające się koncepcje, możliwości są różne.

Uwaga

Ten artykuł koncentruje się na możliwościach Microsoft Defender dla Chmury Apps, które mogą służyć do monitorowania i ochrony zawartości usługi Power BI. W usłudze Defender dla Chmury Apps dostępnych jest wiele innych funkcji, które nie zostały omówione w tym artykule. Pamiętaj, aby współpracować z innymi osobami biorącymi udział w projekcie i administratorami systemu, aby podejmować decyzje, które działają dobrze dla wszystkich aplikacji i przypadków użycia.

Wymagania wstępne dotyczące aplikacji Defender dla Chmury dla usługi Power BI

Do tej pory należy wykonać kroki planowania na poziomie organizacji opisane w artykule Ochrona przed utratą danych w usłudze Power BI . Przed kontynuowaniem należy mieć jasność:

  • Bieżący stan: bieżący stan DLP w organizacji. Musisz mieć wiedzę, w jakim zakresie DLP jest już używany i kto jest odpowiedzialny za zarządzanie nim.
  • Cele i wymagania: strategiczne cele wdrażania DLP w organizacji. Zrozumienie celów i wymagań będzie służyć jako przewodnik po wysiłkach związanych z implementacją.

Zazwyczaj ochrona informacji jest już implementowana przed zaimplementowaniem funkcji DLP. Jeśli etykiety poufności są publikowane (opisane w artykule Ochrona informacji dla usługi Power BI), mogą być używane w niektórych zasadach w usłudze Defender dla Chmury Apps.

Być może zaimplementowano już zasady DLP dla usługi Power BI (opisane w artykule Ochrona przed utratą danych w usłudze Power BI ). Te funkcje DLP różnią się od możliwości zarządzanych w portal zgodności Microsoft Purview. Wszystkie funkcje DLP opisane w tym artykule są zarządzane w portalu Defender dla Chmury Apps.

Kluczowe decyzje i akcje

Zanim wszystko będzie gotowe do skonfigurowania zasad w usłudze Defender dla Chmury Apps, musisz podjąć pewne kluczowe decyzje.

Decyzje związane z zasadami Defender dla Chmury Apps powinny bezpośrednio obsługiwać cele i wymagania dotyczące ochrony wcześniej zidentyfikowanych danych.

Typ zasad i działania

Musisz wziąć pod uwagę działania użytkowników, które cię interesują, monitorowania, blokowania lub kontrolowania. Typ zasad w usłudze Defender dla Chmury Apps ma wpływ na:

  • To, co możesz osiągnąć.
  • Które działania można uwzględnić w konfiguracji.
  • Czy kontrolki będą wykonywane w czasie rzeczywistym, czy nie.

Zasady czasu rzeczywistego

Zasady dostępu i zasady sesji utworzone w usłudze Defender dla Chmury Apps umożliwiają monitorowanie, blokowanie lub kontrolowanie sesji użytkowników w czasie rzeczywistym.

Zasady dostępu i zasady sesji umożliwiają:

  • Programowe reagowanie w czasie rzeczywistym: wykrywanie, informowanie i blokowanie ryzykownych, nieumyślnych lub nieodpowiednich udostępniania poufnych danych. Te akcje umożliwiają:
    • Popraw ogólną konfigurację zabezpieczeń dzierżawy usługi Power BI dzięki automatyzacji i informacjom.
    • Włącz analityczne przypadki użycia, które obejmują poufne dane w sposób, który można przeprowadzić inspekcję.
  • Udostępnianie użytkownikom powiadomień kontekstowych: ta funkcja umożliwia:
    • Pomaganie użytkownikom w podejmowaniu odpowiednich decyzji podczas normalnego przepływu pracy.
    • Pokieruj użytkowników, aby postępowali zgodnie z zasadami klasyfikacji i ochrony danych bez wpływu na ich produktywność.

Aby zapewnić kontrolę w czasie rzeczywistym, zasady dostępu i zasady sesji działają z identyfikatorem Entra firmy Microsoft, opierając się na funkcjach zwrotnego serwera proxy kontroli dostępu warunkowego aplikacji. Zamiast żądań użytkowników i odpowiedzi przechodzących przez aplikację (w tym przypadku usługa Power BI), przechodzą przez zwrotny serwer proxy (Defender dla Chmury Apps).

Przekierowanie nie ma wpływu na środowisko użytkownika. Jednak adres URL usługa Power BI zmieni się na https://app.powerbi.com.mcas.ms po skonfigurowaniu identyfikatora Microsoft Entra na potrzeby kontroli aplikacji dostępu warunkowego za pomocą usługi Power BI. Ponadto użytkownicy otrzymają powiadomienie po zalogowaniu się do usługa Power BI, który informuje, że aplikacja jest monitorowana przez Defender dla Chmury Apps.

Ważne

Zasady dostępu i zasady sesji działają w czasie rzeczywistym. Inne typy zasad w usłudze Defender dla Chmury Apps obejmują krótkie opóźnienie w alertach. Większość innych typów DLP i inspekcji również występuje opóźnienie, w tym DLP dla usługi Power BI i dziennika aktywności usługi Power BI.

Zasady dostępu

Zasady dostępu utworzone w usłudze Defender dla Chmury Apps określają, czy użytkownik może zalogować się do aplikacji w chmurze, takiej jak usługa Power BI. Organizacje, które znajdują się w wysoce regulowanych branżach, będą dotyczyć zasad dostępu.

Poniżej przedstawiono kilka przykładów sposobu blokowania dostępu do usługa Power BI za pomocą zasad dostępu.

  • Nieoczekiwany użytkownik: możesz zablokować dostęp dla użytkownika, który nie jest członkiem określonej grupy zabezpieczeń. Na przykład te zasady mogą być przydatne w przypadku ważnego procesu wewnętrznego, który śledzi zatwierdzonych użytkowników usługi Power BI za pośrednictwem określonej grupy.
  • Urządzenie niezarządzane: możesz zablokować dostęp dla urządzenia osobistego, które nie jest zarządzane przez organizację.
  • Wymagane aktualizacje: możesz zablokować dostęp dla użytkownika, który korzysta z nieaktualnej przeglądarki lub systemu operacyjnego.
  • Lokalizacja: możesz zablokować dostęp do lokalizacji, w której nie masz biur ani użytkowników, albo z nieznanego adresu IP.

Napiwek

Jeśli masz użytkowników zewnętrznych, którzy uzyskują dostęp do dzierżawy usługi Power BI lub pracowników, którzy często podróżują, może to mieć wpływ na sposób definiowania zasad kontroli dostępu. Te typy zasad są zwykle zarządzane przez it.

Zasady sesji

Zasady sesji są przydatne, gdy nie chcesz całkowicie zezwalać na dostęp lub blokować go (co można zrobić za pomocą zasad dostępu zgodnie z wcześniejszym opisem). W szczególności umożliwia dostęp użytkownikowi podczas monitorowania lub ograniczania tego, co aktywnie występuje podczas sesji.

Poniżej przedstawiono kilka przykładów sposobów używania zasad sesji do monitorowania, blokowania lub kontrolowania sesji użytkowników w usługa Power BI.

  • Blokuj pobieranie: blokuj pobieranie i eksporty, gdy określona etykieta poufności, na przykład wysoce ograniczona, jest przypisywana do elementu w usługa Power BI.
  • Monitorowanie logowań: monitoruj, kiedy użytkownik, który spełnia określone warunki, loguje się. Na przykład użytkownik może być członkiem określonej grupy zabezpieczeń lub używa urządzenia osobistego, które nie jest zarządzane przez organizację.

Napiwek

Tworzenie zasad sesji (na przykład w celu zapobiegania pobieraniu) zawartości przypisanej do określonej etykiety poufności, takiej jak Wysoce ograniczona, jest jednym z najbardziej skutecznych przypadków użycia kontrolek sesji w czasie rzeczywistym w usłudze Power BI.

Istnieje również możliwość kontrolowania przekazywania plików za pomocą zasad sesji. Jednak zazwyczaj chcesz zachęcić użytkowników samoobsługowej analizy biznesowej do przekazania zawartości do usługa Power BI (zamiast udostępniania plików programu Power BI Desktop). W związku z tym należy uważnie zastanowić się nad blokowaniem przekazywania plików.

Lista kontrolna — podczas planowania zasad w czasie rzeczywistym w aplikacjach Defender dla Chmury kluczowe decyzje i akcje obejmują:

  • Zidentyfikuj przypadki użycia, aby zablokować dostęp: należy skompilować listę scenariuszy dotyczących blokowania dostępu do usługa Power BI.
  • Identyfikowanie przypadków użycia do monitorowania logowania: należy skompilować listę scenariuszy monitorowania logujących się do usługa Power BI.
  • Identyfikowanie przypadków użycia do blokowania pobierania: określ, kiedy pobieranie z usługa Power BI powinno zostać zablokowane. Określ, które etykiety poufności powinny być uwzględnione.

Zasady dotyczące działań

Zasady działań w aplikacjach Defender dla Chmury nie działają w czasie rzeczywistym.

Zasady aktywności można skonfigurować w celu sprawdzenia zdarzeń zarejestrowanych w dzienniku aktywności usługi Power BI. Zasady mogą działać na pojedynczym działaniu lub mogą działać na powtarzających się działaniach jednego użytkownika (gdy określone działanie występuje więcej niż określona liczba razy w ciągu określonej liczby minut).

Za pomocą zasad działań można monitorować aktywność w usługa Power BI na różne sposoby. Oto kilka przykładów tego, co można osiągnąć.

  • Nieautoryzowane lub nieoczekiwane widoki uprzywilejowanej zawartości: użytkownik, który nie jest członkiem konkretnej grupy zabezpieczeń (lub użytkownika zewnętrznego), wyświetlił wysoce uprzywilejowany raport udostępniony zarządowi.
  • Ustawienia dzierżawy nieautoryzowane lub nieoczekiwane aktualizacje użytkowników: użytkownik, który nie jest członkiem określonej grupy zabezpieczeń, takiej jak grupa Administratorzy usługi Power BI, zaktualizował ustawienia dzierżawy w usługa Power BI. Możesz również otrzymywać powiadomienia za każdym razem, gdy ustawienie dzierżawy zostanie zaktualizowane.
  • Duża liczba usuniętych plików: użytkownik usunął ponad 20 obszarów roboczych lub raportów w okresie krótszym niż 10 minut.
  • Duża liczba pobrań: użytkownik pobrał ponad 30 raportów w okresie krótszym niż pięć minut.

Typy alertów zasad aktywności opisanych w tej sekcji są często obsługiwane przez administratorów usługi Power BI w ramach nadzoru nad usługą Power BI. Podczas konfigurowania alertów w usłudze Defender dla Chmury Apps zalecamy skupienie się na sytuacjach, które stanowią znaczne ryzyko dla organizacji. Dzieje się tak, ponieważ każdy alert musi być przeglądany i zamykany przez administratora.

Ostrzeżenie

Ponieważ zdarzenia dziennika aktywności usługi Power BI nie są dostępne w czasie rzeczywistym, nie można ich używać do monitorowania ani blokowania w czasie rzeczywistym. Można jednak używać operacji z poziomu zasad aktywności dziennika aktywności. Pamiętaj, aby pracować z zespołem ds. zabezpieczeń informacji, aby sprawdzić, co jest technicznie możliwe, zanim przejdziesz zbyt daleko do procesu planowania.

Lista kontrolna — podczas planowania zasad działania kluczowe decyzje i akcje obejmują:

  • Identyfikowanie przypadków użycia monitorowania aktywności: skompiluj listę określonych działań z dziennika aktywności usługi Power BI, które reprezentują znaczne ryzyko dla organizacji. Ustal, czy ryzyko jest związane z pojedynczym działaniem, czy powtarzającymi się działaniami.
  • Koordynowanie pracy z administratorami usługi Power BI: Omówienie działań usługi Power BI, które będą monitorowane w aplikacjach Defender dla Chmury. Upewnij się, że nie ma duplikowania wysiłku między różnymi administratorami.

Użytkownicy dotknięci problemem

Jednym z istotnych powodów integracji usługi Power BI z aplikacjami Defender dla Chmury jest skorzystanie z kontrolek w czasie rzeczywistym w przypadku interakcji użytkowników z usługa Power BI. Ten typ integracji wymaga kontroli dostępu warunkowego aplikacji w usłudze Microsoft Entra ID.

Przed skonfigurowaniem kontroli dostępu warunkowego w usłudze Microsoft Entra ID należy rozważyć, którzy użytkownicy będą dołączani. Zazwyczaj wszyscy użytkownicy są dołączani. Jednak mogą istnieć powody wykluczania określonych użytkowników.

Napiwek

Podczas konfigurowania zasad dostępu warunkowego prawdopodobnie administrator firmy Microsoft Entra wykluczy określone konta administratora. Takie podejście uniemożliwi zablokowanie administratorów. Zalecamy, aby wykluczone konta to administratorzy firmy Microsoft, a nie standardowi użytkownicy usługi Power BI.

Niektóre typy zasad w usłudze Defender dla Chmury Apps mogą być stosowane do niektórych użytkowników i grup. Najczęściej te typy zasad mają zastosowanie do wszystkich użytkowników. Istnieje jednak możliwość, że wystąpi sytuacja, gdy konieczne będzie celowe wykluczenie niektórych użytkowników.

Lista kontrolna — podczas rozważania, których użytkowników dotyczy problem, kluczowe decyzje i akcje obejmują:

  • Rozważ, którzy użytkownicy są uwzględnieni: potwierdź, czy wszyscy użytkownicy zostaną uwzględnieni w zasadach kontroli dostępu warunkowego firmy Microsoft.
  • Zidentyfikuj konta administratora, które należy wykluczyć: określ, które określone konta administratora powinny być celowo wykluczone z zasad kontroli dostępu warunkowego firmy Microsoft.
  • Ustal, czy niektóre zasady usługi Defender mają zastosowanie do podzbiorów użytkowników: w przypadku prawidłowych przypadków użycia należy rozważyć, czy mają one zastosowanie do wszystkich lub niektórych użytkowników (jeśli to możliwe).

Obsługa komunikatów użytkownika

Po zidentyfikowaniu przypadków użycia należy rozważyć, co powinno się zdarzyć, gdy wystąpi aktywność użytkownika zgodna z zasadami.

Gdy działanie jest blokowane w czasie rzeczywistym, ważne jest, aby zapewnić użytkownikowi dostosowany komunikat. Komunikat jest przydatny, gdy chcesz zapewnić użytkownikom więcej wskazówek i świadomości podczas normalnego przepływu pracy. Jest bardziej prawdopodobne, że użytkownicy będą odczytywać i absorbować powiadomienia użytkowników, gdy są:

  • Specyficzne: Korelowanie komunikatu z zasadami ułatwia zrozumienie.
  • Możliwość działania: oferowanie sugestii dotyczących tego, co należy zrobić, lub jak znaleźć więcej informacji.

Niektóre typy zasad w usłudze Defender dla Chmury Apps mogą mieć dostosowany komunikat. Oto dwa przykłady powiadomień użytkowników.

Przykład 1: Można zdefiniować zasady kontroli sesji w czasie rzeczywistym, które uniemożliwiają eksportowanie i pobieranie wszystkich eksportów, gdy etykieta poufności elementu usługi Power BI (na przykład raport lub model semantyczny) jest ustawiona na wartość Wysoce ograniczona. Dostosowany komunikat bloku w aplikacji Defender dla Chmury odczytuje: Pliki z etykietą o wysokim stopniu ograniczeniami nie mogą być pobierane z usługa Power BI. Wyświetl zawartość online w usługa Power BI. Skontaktuj się z zespołem pomocy technicznej usługi Power BI, aby uzyskać odpowiedzi na wszelkie pytania.

Przykład 2: Można zdefiniować zasady dostępu w czasie rzeczywistym, które uniemożliwiają użytkownikowi logowanie się do usługa Power BI, gdy nie korzystają z maszyny zarządzanej przez organizację. Dostosowany komunikat bloku w usłudze Defender dla Chmury Apps odczytuje: dostęp do usługa Power BI na urządzeniu osobistym może nie być dostępny. Użyj urządzenia dostarczonego przez organizację. Skontaktuj się z zespołem pomocy technicznej usługi Power BI, aby uzyskać odpowiedzi na wszelkie pytania.

Lista kontrolna — podczas rozważania komunikatów użytkowników w aplikacjach Defender dla Chmury kluczowe decyzje i akcje obejmują:

  • Zdecyduj, kiedy jest potrzebny dostosowany komunikat bloku: dla każdej zasady, którą chcesz utworzyć, określ, czy będzie wymagany dostosowany komunikat bloku.
  • Utwórz dostosowane komunikaty blokowe: dla każdej zasady zdefiniuj komunikat, który powinien być wyświetlany użytkownikom. Zaplanuj powiązanie każdego komunikatu z zasadami, aby był on specyficzny i możliwy do działania.

Alerty administratora

Alerty są przydatne, gdy chcesz, aby administratorzy zabezpieczeń i zgodności wiedzieli, że wystąpiło naruszenie zasad. Podczas definiowania zasad w usłudze Defender dla Chmury Apps należy rozważyć, czy alerty powinny być generowane. Aby uzyskać więcej informacji, zobacz Typy alertów w usłudze Defender dla Chmury Apps.

Opcjonalnie możesz skonfigurować alert w celu wysłania wiadomości e-mail do wielu administratorów. Jeśli alert e-mail jest wymagany, zalecamy użycie grupy zabezpieczeń z obsługą poczty. Możesz na przykład użyć grupy o nazwie Alerty administratora zabezpieczeń i zgodności.

W przypadku sytuacji o wysokim priorytcie można wysyłać alerty za pomocą wiadomości SMS. Istnieje również możliwość utworzenia niestandardowych automatyzacji alertów i przepływów pracy dzięki integracji z usługą Power Automate.

Każdy alert można skonfigurować z niską, średnią lub wysoką ważnością. Poziom ważności jest przydatny podczas określania priorytetów przeglądu otwartych alertów. Administrator będzie musiał przejrzeć i wykonać akcję każdego alertu. Alert można zamknąć jako prawdziwie dodatni, fałszywie dodatni lub łagodny.

Oto dwa przykłady alertów administratora.

Przykład 1: Można zdefiniować zasady kontroli sesji w czasie rzeczywistym, które uniemożliwiają eksportowanie i pobieranie wszystkich eksportów, gdy etykieta poufności elementu usługi Power BI (na przykład raport lub model semantyczny) jest ustawiona na wartość Wysoce ograniczona. Ma on pomocny dostosowany komunikat bloku dla użytkownika. Jednak w tej sytuacji nie ma potrzeby generowania alertu.

Przykład 2: Można zdefiniować zasady działania, które śledzą, czy użytkownik zewnętrzny wyświetlił wysoce uprzywilejowany raport udostępniony zarządowi. Można skonfigurować alert o wysokiej ważności, aby upewnić się, że działanie jest szybko badane.

Napiwek

W przykładzie 2 przedstawiono różnice między ochroną informacji a zabezpieczeniami. Jej zasady aktywności mogą pomóc w zidentyfikowaniu scenariuszy, w których użytkownicy samoobsługowej analizy biznesowej mają uprawnienia do zarządzania zabezpieczeniami zawartości. Jednak ci użytkownicy mogą podejmować działania, które są zniechęcane przez zasady organizacji. Zalecamy skonfigurowanie tych typów zasad tylko w określonych okolicznościach, gdy informacje są szczególnie poufne.

Lista kontrolna — podczas rozważania alertów dla administratorów w aplikacjach Defender dla Chmury kluczowe decyzje i akcje obejmują:

  • Zdecyduj, kiedy są wymagane alerty: dla każdej zasady, którą chcesz utworzyć, zdecyduj, które sytuacje uzasadniają użycie alertów.
  • Wyjaśnienie ról i obowiązków: określ oczekiwania i akcję, którą należy podjąć po wygenerowaniu alertu.
  • Określ, kto będzie otrzymywać alerty: zdecyduj, którzy administratorzy zabezpieczeń i zgodności będą przeglądać alerty i podejmować otwarte działania. Upewnij się, że wymagania dotyczące uprawnień i licencjonowania są spełnione dla każdego administratora, który będzie używał Defender dla Chmury Apps.
  • Utwórz nową grupę: w razie potrzeby utwórz nową grupę zabezpieczeń z obsługą poczty, która będzie używana na potrzeby powiadomień e-mail.

Konwencja nazewnictwa zasad

Przed utworzeniem zasad w usłudze Defender dla Chmury Apps warto najpierw utworzyć konwencję nazewnictwa. Konwencja nazewnictwa jest przydatna, gdy istnieje wiele typów zasad dla wielu typów aplikacji. Jest to również przydatne, gdy administratorzy usługi Power BI zaangażowali się w monitorowanie.

Napiwek

Rozważ przyznanie Defender dla Chmury Apps dostępu do administratorów usługi Power BI. Użyj roli administratora, która umożliwia wyświetlanie dziennika aktywności, zdarzeń logowania i zdarzeń związanych z usługa Power BI.

Rozważ szablon konwencji nazewnictwa, który zawiera symbole zastępcze składników: <Aplikacja> — opis> — <akcja> — <<typ zasad>

Oto kilka przykładów konwencji nazewnictwa.

Typ zasad Czasu rzeczywistego Nazwa zasad
Zasady sesji Tak Power BI — etykieta o wysokim stopniu ograniczeniami — Blokowanie pobierania — RT
Zasady dostępu Tak Wszystkie — urządzenie niezarządzane — Blokuj dostęp — RT
Zasady dotyczące działań Nie. Power BI — aktywność administracyjna
Zasady dotyczące działań Nie. Power BI — raport wykonawczy widoków użytkowników zewnętrznych

Składniki konwencji nazewnictwa obejmują:

  • Aplikacja: nazwa aplikacji. Prefiks usługi Power BI ułatwia grupowanie wszystkich zasad specyficznych dla usługi Power BI podczas sortowania. Jednak niektóre zasady będą stosowane do wszystkich aplikacji w chmurze, a nie tylko usługa Power BI.
  • Opis: część opisu nazwy będzie różnić się najbardziej. Może zawierać etykiety poufności, których dotyczy problem, lub typ śledzonego działania.
  • Akcja: (Opcjonalnie) W przykładach jedna zasada sesji ma akcję Blokuj pobieranie. Zazwyczaj akcja jest niezbędna tylko wtedy, gdy jest to zasada w czasie rzeczywistym.
  • Typ zasad: (opcjonalnie) W przykładzie sufiks RT wskazuje, że są to zasady w czasie rzeczywistym. Określenie, czy jest to czas rzeczywisty, czy nie pomaga zarządzać oczekiwaniami.

Istnieją inne atrybuty, które nie muszą być uwzględnione w nazwie zasad. Te atrybuty obejmują poziom ważności (niski, średni lub wysoki) oraz kategorię (np. wykrywanie zagrożeń lub DLP). Oba atrybuty można filtrować na stronie alertów.

Napiwek

Możesz zmienić nazwę zasad w usłudze Defender dla Chmury Apps. Nie można jednak zmienić nazwy wbudowanych zasad wykrywania anomalii. Na przykład udostępnianie podejrzanych raportów usługi Power BI to wbudowane zasady, których nie można zmienić.

Lista kontrolna — podczas rozważania konwencji nazewnictwa zasad kluczowe decyzje i akcje obejmują:

  • Wybierz konwencję nazewnictwa: użyj pierwszych zasad, aby ustanowić spójną konwencję nazewnictwa prostą do zinterpretowania. Skoncentruj się na używaniu spójnego prefiksu i sufiksu.
  • Dokumentowanie konwencji nazewnictwa: podaj dokumentację referencyjną dotyczącą konwencji nazewnictwa zasad. Upewnij się, że administratorzy systemu wiedzą o konwencji nazewnictwa.
  • Aktualizowanie istniejących zasad: zaktualizuj wszystkie istniejące zasady usługi Defender, aby były zgodne z nową konwencją nazewnictwa.

Wymagania dotyczące licencji

Aby monitorować dzierżawę usługi Power BI, należy stosować określone licencje. Administratorzy muszą mieć jedną z następujących licencji.

  • aplikacje Microsoft Defender dla Chmury: Udostępnia funkcje Defender dla Chmury Apps dla wszystkich obsługiwanych aplikacji (w tym usługa Power BI).
  • Usługa Office 365 Cloud App Security: udostępnia funkcje aplikacji Defender dla Chmury dla aplikacji usługi Office 365, które są częścią pakietu Office 365 E5 (w tym usługa Power BI).

Ponadto jeśli użytkownicy muszą używać zasad dostępu w czasie rzeczywistym lub zasad sesji w aplikacjach Defender dla Chmury, będą potrzebować licencji Microsoft Entra ID P1.

Napiwek

Jeśli potrzebujesz wyjaśnień dotyczących wymagań dotyczących licencjonowania, porozmawiaj z zespołem ds. kont Microsoft.

Lista kontrolna — podczas oceniania wymagań dotyczących licencjonowania kluczowe decyzje i akcje obejmują:

  • Zapoznaj się z wymaganiami dotyczącymi licencjonowania produktów: upewnij się, że sprawdzono wszystkie wymagania licencyjne dotyczące pracy z aplikacjami Defender dla Chmury.
  • Uzyskiwanie dodatkowych licencji: jeśli ma to zastosowanie, kup więcej licencji, aby odblokować funkcje, które mają być używane.
  • Przypisywanie licencji: przypisz licencję do każdego z administratorów zabezpieczeń i zgodności, którzy będą używać aplikacji Defender dla Chmury.

Dokumentacja użytkownika i szkolenie

Przed wdrożeniem Defender dla Chmury Apps zalecamy utworzenie i opublikowanie dokumentacji użytkownika. Strona programu SharePoint lub strona typu wiki w scentralizowanym portalu może działać dobrze, ponieważ łatwo będzie ją zachować. Dokument przekazany do biblioteki udostępnionej lub witryny usługi Teams jest również dobrym rozwiązaniem.

Celem dokumentacji jest osiągnięcie bezproblemowego środowiska użytkownika. Przygotowanie dokumentacji użytkownika ułatwi ci również upewnienie się, że wszystko zostało uwzględnione.

Dołącz informacje o tym, kto ma się skontaktować, gdy użytkownicy mają pytania lub problemy techniczne.

Często zadawane pytania i przykłady są szczególnie przydatne w przypadku dokumentacji użytkownika.

Lista kontrolna — podczas przygotowywania dokumentacji i szkolenia użytkownika kluczowe decyzje i akcje obejmują:

  • Aktualizacja dokumentacji dla twórców zawartości i użytkowników: zaktualizuj często zadawane pytania i przykłady, aby uwzględnić odpowiednie informacje o zasadach, które mogą napotkać użytkownicy.
  • Opublikuj, jak uzyskać pomoc: upewnij się, że użytkownicy wiedzą, jak uzyskać pomoc, gdy napotykają coś nieoczekiwanego lub że nie rozumieją.
  • Ustal, czy jest wymagane określone szkolenie: utwórz lub zaktualizuj szkolenie użytkownika, aby uwzględnić przydatne informacje, zwłaszcza jeśli wymagane jest wymaganie prawne.

Wsparcie użytkownika

Ważne jest, aby sprawdzić, kto będzie odpowiedzialny za pomoc techniczną użytkowników. Często zdarza się, że korzystanie z aplikacji Defender dla Chmury do monitorowania usługi Power BI odbywa się za pomocą scentralizowanego działu pomocy technicznej IT.

Może być konieczne utworzenie dokumentacji dla działu pomocy technicznej i przeprowadzenie sesji transferu wiedzy, aby zapewnić, że dział pomocy technicznej jest gotowy do odpowiadania na żądania pomocy technicznej.

Lista kontrolna — podczas przygotowywania do funkcji obsługi użytkownika kluczowe decyzje i akcje obejmują:

  • Zidentyfikuj, kto zapewni pomoc techniczną dla użytkowników: podczas definiowania ról i obowiązków należy uwzględnić sposób, w jaki użytkownicy uzyskają pomoc dotyczącą problemów, które mogą napotkać.
  • Upewnij się, że zespół pomocy technicznej użytkownika jest gotowy: utwórz dokumentację i przeprowadź sesje transferu wiedzy, aby upewnić się, że dział pomocy technicznej jest gotowy do obsługi tych procesów.
  • Komunikacja między zespołami: omówienie komunikatów, które użytkownicy mogą zobaczyć, oraz proces rozwiązywania otwartych alertów z administratorami usługi Power BI i Centrum doskonałości. Upewnij się, że wszyscy zaangażowani są przygotowani na potencjalne pytania od użytkowników usługi Power BI.

Podsumowanie implementacji

Po podjęciu decyzji i przygotowaniu planu wdrożenia nadszedł czas, aby rozpocząć implementację.

Jeśli zamierzasz używać zasad czasu rzeczywistego (zasad sesji lub zasad dostępu), pierwszym zadaniem jest skonfigurowanie kontroli aplikacji dostępu warunkowego firmy Microsoft Entra. Musisz skonfigurować usługa Power BI jako aplikację wykazu, która będzie kontrolowana przez aplikacje Defender dla Chmury.

Po skonfigurowaniu i przetestowaniu kontroli aplikacji dostępu warunkowego firmy Microsoft można utworzyć zasady w usłudze Defender dla Chmury Apps.

Ważne

Zalecamy wprowadzenie tej funkcji do niewielkiej liczby użytkowników testowych. Istnieje również tryb tylko do monitorowania, który może okazać się przydatny do wprowadzenia tej funkcji w uporządkowany sposób.

Poniższa lista kontrolna zawiera podsumowaną listę kompleksowej procedury implementacji. Wiele kroków zawiera inne szczegóły omówione w poprzednich sekcjach tego artykułu.

Lista kontrolna — podczas implementowania aplikacji Defender dla Chmury za pomocą usługi Power BI kluczowe decyzje i akcje obejmują:

  • Sprawdź bieżący stan i cele: Upewnij się, że masz jasność co do bieżącego stanu DLP do użycia z usługą Power BI. Wszystkie cele i wymagania dotyczące wdrażania DLP powinny być jasne i aktywnie wykorzystywane do podejmowania decyzji.
  • Wykonaj proces podejmowania decyzji: Przejrzyj i omówi wszystkie wymagane decyzje. To zadanie powinno wystąpić przed skonfigurowaniem niczego w środowisku produkcyjnym.
  • Zapoznaj się z wymaganiami dotyczącymi licencjonowania: Upewnij się, że rozumiesz wymagania dotyczące licencjonowania produktów i licencjonowania użytkowników. W razie potrzeby należy zakupić i przypisać więcej licencji.
  • Publikowanie dokumentacji użytkownika: publikowanie informacji, które użytkownicy będą musieli odpowiedzieć na pytania i wyjaśnić oczekiwania. Podaj wskazówki, komunikację i szkolenia dla użytkowników, aby byli przygotowani.
  • Utwórz zasady dostępu warunkowego firmy Microsoft Entra: utwórz zasady dostępu warunkowego w usłudze Microsoft Entra ID, aby włączyć mechanizmy kontroli w czasie rzeczywistym na potrzeby monitorowania usługa Power BI. Najpierw włącz zasady dostępu warunkowego firmy Microsoft dla kilku użytkowników testowych.
  • Ustaw usługę Power BI jako połączoną aplikację w aplikacjach Defender dla Chmury: Dodaj lub sprawdź, czy usługa Power BI jest wyświetlana jako połączona aplikacja w usłudze Defender dla Chmury Apps na potrzeby kontroli aplikacji dostępu warunkowego.
  • Wykonywanie testów początkowych: zaloguj się do usługa Power BI jako jeden z użytkowników testowych. Sprawdź, czy dostęp działa. Sprawdź również, czy wyświetlany komunikat informuje o monitorze usługa Power BI przez Defender dla Chmury Apps.
  • Tworzenie i testowanie zasad w czasie rzeczywistym: użycie już skompilowanych przypadków użycia, utworzenie zasad dostępu lub zasad sesji w usłudze Defender dla Chmury Apps.
  • Wykonywanie testów początkowych: jako użytkownik testowy wykonaj akcję, która wyzwoli zasady w czasie rzeczywistym. Sprawdź, czy akcja jest zablokowana (jeśli jest to konieczne) i czy są wyświetlane oczekiwane komunikaty o alertach.
  • Zbieraj opinie użytkowników: uzyskaj opinię na temat procesu i środowiska użytkownika. Zidentyfikuj obszary pomyłek, nieoczekiwane wyniki z typami informacji poufnych i inne problemy techniczne.
  • Kontynuuj wersje iteracyjne: stopniowo dodawaj więcej zasad w usłudze Defender dla Chmury Apps do momentu rozwiązania wszystkich przypadków użycia.
  • Przejrzyj wbudowane zasady: Znajdź wbudowane zasady wykrywania anomalii w usłudze Defender dla Chmury Apps (które mają nazwę usługi Power BI). W razie potrzeby zaktualizuj ustawienia alertów dla wbudowanych zasad.
  • Kontynuuj pracę z szerszym wdrożeniem: kontynuuj pracę z iteracyjnym planem wdrażania. Zaktualizuj zasady dostępu warunkowego firmy Microsoft w celu zastosowania ich do szerszego zestawu użytkowników zgodnie z potrzebami. Zaktualizuj poszczególne zasady w usłudze Defender dla Chmury Apps, aby zastosować je do szerszego zestawu użytkowników zgodnie z potrzebami.
  • Monitorowanie, dostrajanie i dostosowywanie: Zainwestuj zasoby w celu częstego przeglądania alertów i dzienników inspekcji zasad. W razie potrzeby zbadaj wszelkie wyniki fałszywie dodatnie i dostosuj zasady.

Napiwek

Te elementy listy kontrolnej są podsumowane do celów planowania. Aby uzyskać więcej informacji na temat tych elementów listy kontrolnej, zobacz poprzednie sekcje tego artykułu.

Aby uzyskać bardziej szczegółowe informacje na temat wdrażania usługi Power BI jako aplikacji katalogu w usłudze Defender dla Chmury Apps, zobacz kroki wdrażania aplikacji wykazu.

Ciągłe monitorowanie

Po zakończeniu implementacji należy zwrócić uwagę na monitorowanie, wymuszanie i dostosowywanie zasad Defender dla Chmury Apps na podstawie ich użycia.

Administratorzy usługi Power BI i administratorzy zabezpieczeń i zgodności będą musieli współpracować od czasu do czasu. W przypadku zawartości usługi Power BI istnieją dwie grupy odbiorców do monitorowania.

  • Administratorzy usługi Power BI: oprócz alertów generowanych przez aplikacje Defender dla Chmury działania z dziennika aktywności usługi Power BI są również wyświetlane w portalu Defender dla Chmury Apps.
  • Administratorzy zabezpieczeń i zgodności: administratorzy zabezpieczeń i zgodności organizacji zwykle używają alertów usługi Defender dla Chmury Apps.

Administratorom usługi Power BI można udostępnić ograniczony widok w usłudze Defender dla Chmury Apps. Używa ona roli o określonym zakresie do wyświetlania dziennika aktywności, zdarzeń logowania i zdarzeń związanych z usługa Power BI. Ta funkcja jest wygodą dla administratorów usługi Power BI.

Lista kontrolna — monitorowanie aplikacji Defender dla Chmury obejmuje kluczowe decyzje i akcje:

  • Weryfikowanie ról i obowiązków: Upewnij się, że masz pewność, kto jest odpowiedzialny za jakie działania. Edukuj i komunikują się z administratorami usługi Power BI, jeśli będą oni odpowiedzialni za dowolny aspekt monitorowania.
  • Zarządzanie dostępem dla administratorów usługi Power BI: dodaj administratorów usługi Power BI do roli administratora o określonym zakresie w aplikacjach Defender dla Chmury. Komunikować się z nimi, aby wiedzieć, co mogą zrobić z tym dodatkowymi informacjami.
  • Utwórz lub zweryfikuj proces przeglądania działań: upewnij się, że administratorzy zabezpieczeń i zgodności mają jasne oczekiwania dotyczące regularnego przeglądania Eksploratora działań.
  • Utwórz lub zweryfikuj proces rozwiązywania alertów: Upewnij się, że administratorzy zabezpieczeń i zgodności mają proces badania i rozwiązywania otwartych alertów.

W następnym artykule z tej serii dowiesz się więcej o inspekcji ochrony informacji i zapobiegania utracie danych w usłudze Power BI.