Planejamento de implementação do Power BI: Aplicativos do Defender para Nuvem para Power BI
Observação
Este artigo faz parte da série de artigos sobre o Planejamento de implantação do Power BI. Esta série se concentra principalmente na experiência do Power BI no Microsoft Fabric. Para ter uma introdução a essa série, confira Planejamento de implementação do Power BI.
Este artigo descreve as atividades de planejamento relacionadas à implementação do Microsoft Defender para Aplicativos de Nuvem no que diz respeito ao monitoramento do Power BI. Ele destina-se a:
- Administradores do Power BI: os administradores responsáveis por supervisionar o Power BI na organização. Os administradores do Power BI precisam de colaborar com equipes de segurança da informação e outras equipes relevantes.
- Equipe do Centro de Excelência, de TI e do BI: Outros que também são responsáveis por supervisionar o Power BI na organização. Talvez seja necessário colaborar com administradores do Power BI, equipes de segurança da informação e outras equipes relevantes.
Importante
O monitoramento e a prevenção contra perda de dados (DLP) são um empreendimento significativo em toda a organização. Seu escopo e impacto são muito maiores do que o Power BI sozinho. Esses tipos de iniciativas requerem financiamento, priorização e planejamento. Esteja preparado para envolver várias equipes multifuncionais em esforços de planejamento, uso e supervisão.
Recomendamos que você siga uma abordagem gradual e em fases para implantar o Microsoft Defender para Aplicativos de Nuvem para monitoramento do Power BI. Para obter uma descrição dos tipos de fases de distribuição que você deve considerar, consulte Proteção de informações para o Power BI (Fases de distribuição).
Propósito do monitoramento
O Microsoft Defender para Aplicativos de Nuvem (conhecido anteriormente como Microsoft Cloud App Security) é um Agente de Segurança de Acesso à Nuvem (CASB) que dá suporte a vários modos de implantação. Ele tem um amplo conjunto de funcionalidades que vão muito além do escopo deste artigo. Algumas funcionalidades são em tempo real, outras não.
A seguir, alguns exemplos de monitoramento em tempo real que você pode implementar.
- Bloquear downloads do serviço do Power BI: Você pode criar uma política de sessão para bloquear determinados tipos de atividades do usuário. Por exemplo, quando um usuário tenta fazer o download de um relatório do serviço do Power BI que recebeu um rótulo de confidencialidade Altamente Restrito, a ação de download pode ser bloqueada em tempo real.
- Bloquear o acesso ao serviço do Power BI por um dispositivo não gerenciado: Você pode criar uma política de acesso para impedir que os usuários acessem determinados aplicativos, a menos que estejam usando um dispositivo gerenciado. Por exemplo, quando um usuário tenta acessar o serviço do Power BI de seu telefone celular pessoal, essa ação pode ser bloqueada.
Aqui estão alguns exemplos de outras funcionalidades que não são em tempo real.
- Detectar e alertar determinadas atividades no serviço do Power BI: Você pode criar uma política de atividade para gerar um alerta quando ocorrem determinados tipos de atividades. Por exemplo, quando ocorre uma atividade administrativa no serviço do Power BI (indicando que uma configuração de locatário foi alterada), você pode receber um alerta por email.
- Monitorar atividades de segurança avançadas: Você pode visualizar e monitorar as entradas e as atividades de segurança, anomalias e violações. Os alertas podem ser acionados para situações como atividade suspeita, locais inesperados ou um novo local.
- Monitorar as atividades do usuário: Você pode visualizar e monitorar as atividades do usuário. Por exemplo, um administrador do Power BI poderia receber permissão para visualizar o log de atividades do Power BI, além da frequência de entradas do usuário no Microsoft Defender para Aplicativos de Nuvem.
- Detectar e alertar comportamentos incomuns no serviço do Power BI: Há políticas internas para detecção de anomalias. Por exemplo, quando um usuário faz download ou exporta conteúdo do serviço do Power BI com frequência significativamente maior do que os padrões normais, você pode receber um alerta por email.
- Localizar aplicativos não autorizados: Você pode encontrar aplicativos não autorizados em uso na organização. Por exemplo, você pode se preocupar com os usuários compartilhando arquivos (como arquivos do Power BI Desktop ou arquivos do Excel) em um sistema de compartilhamento de arquivos de terceiros. Você pode bloquear o uso de um aplicativo não autorizado e, em seguida, entrar em contato com os usuários para instruí-los sobre as formas adequadas de compartilhar e colaborar com outras pessoas.
Dica
O portal no Microsoft Defender para Aplicativos de Nuvem é um local conveniente para visualizar atividades e alertas sem criar um script para extrair e baixar os dados. Esta vantagem inclui a visualização de dados do log de atividades do Power BI.
O Power BI é um dos muitos aplicativos e serviços que podem ser integrados ao Microsoft Defender para Aplicativos de Nuvem. Se você já estiver usando o Microsoft Defender para Aplicativos de Nuvem para outros fins,ele também poderá ser usado para monitorar o Power BI.
As políticas criadas no Microsoft Defender para Aplicativos de Nuvem são uma forma de DLP. O artigo Prevenção contra perda de dados para o Power BI aborda as políticas de DLP para o Power BI que são configuradas no portal de conformidade do Microsoft Purview. Recomendamos que você use políticas de DLP para o Power BI com os recursos descritos neste artigo. Embora haja alguma sobreposição conceitual, as funcionalidades são diferentes.
Cuidado
Este artigo se concentra nas funcionalidades do Microsoft Defender para Aplicativos de Nuvem que podem ser usados para monitorar e proteger o conteúdo do Power BI. Há muitas outras funcionalidades no Microsoft Defender para Aplicativos de Nuvem que não foram abordados neste artigo. Certifique-se de trabalhar com outras partes interessadas e administradores de sistema para tomar decisões que funcionem bem para todos os aplicativos e casos de uso.
Pré-requisitos do Microsoft Defender para Aplicativos de Nuvem para Power BI
Até agora, você deve ter concluído as etapas de planejamento no nível da organização descritas no artigo Prevenção contra perda de dados para o Power BI. Antes de continuar, você deve ter clareza sobre:
- Estado atual: o estado atual da DLP em sua organização. Você deve entender até que ponto a DLP já está em uso e quem é responsável por gerenciá-la.
- Metas e requisitos: as metas estratégicas para implementar a DLP em sua organização. Reconhecer as metas e os requisitos servirá de guia para seus esforços de implementação.
Normalmente, a proteção de informações já está implementada antes da implementação da DLP. Se os rótulos de confidencialidade forem publicados (descritos no artigo Proteção de informações para o Power BI), eles poderão ser usados em determinadas políticas no Microsoft Defender para Aplicativos de Nuvem.
Talvez você já tenha implementado a DLP para o Power BI (descrito no artigo Prevenção contra perda de dados para o Power BI). Essas funcionalidades de DLP são diferentes das funcionalidades que são gerenciadas no portal de conformidade do Microsoft Purview. Todas as funcionalidades de DLP descritas neste artigo são gerenciadas no portal do Microsoft Defender para Aplicativos de Nuvem.
Principais decisões e ações
Você precisará tomar algumas decisões importantes antes de estar pronto para configurar políticas no Microsoft Defender para Aplicativos de Nuvem.
As decisões relacionadas às políticas do Microsoft Defender para Aplicativos de Nuvem devem dar suporte diretamente as metas e os requisitos de proteção dos dados que você identificou anteriormente.
Tipo de políticas e atividades
Será necessário considerar quais atividades do usuário você tem interesse em monitorar, bloquear ou controlar. O tipo de política no Microsoft Defender para Aplicativos de Nuvem influencia:
- O que você consegue realizar.
- Quais atividades podem ser incluídas na configuração.
- Se os controles ocorrerão em tempo real ou não.
Políticas em tempo real
As políticas de acesso e as políticas de sessão criadas no Microsoft Defender para Aplicativos de Nuvem permitem monitorar, bloquear ou controlar as sessões de usuário em tempo real.
As políticas de acesso e as políticas de sessão permitem que você:
- Responder programaticamente em tempo real: Detectar, informar e bloquear o compartilhamento arriscado, inadvertido ou inadequado de dados confidenciais. Essas ações permitem a você:
- Melhorem a configuração geral de segurança do seu locatário do Power BI, com automação e informações.
- Habilitar casos de uso analítico que envolvam dados confidenciais de uma forma que possa ser auditada.
- Forneça aos usuários notificações contextuais: Essa funcionalidade permite você a:
- Ajudar os usuários a tomar as decisões corretas durante o fluxo de trabalho normal.
- Orientar os usuários a seguir sua política de proteção e classificação de dados sem afetar a produtividade deles.
Para fornecer controles em tempo real, as políticas de acesso e as políticas de sessão funcionam com a ID do Microsoft Entra, contando com os recursos de proxy reverso do Controle de Aplicativos de Acesso Condicional. Em vez de as solicitações e respostas do usuário passarem pelo aplicativo (o serviço do Power BI, neste caso), elas passam por um proxy reverso (Microsoft Defender para Aplicativos de Nuvem).
O redirecionamento não afeta a experiência do usuário. No entanto, a URL do serviço do Power BI será alterada para https://app.powerbi.com.mcas.ms depois que você configurar o Microsoft Entra ID para Controle de Aplicativos de Acesso Condicional com o Power BI. Além disso, os usuários receberão uma notificação quando entrarem no serviço do Power BI que anuncia que o aplicativo é monitorado pelo Microsoft Defender para Aplicativos de Nuvem.
Importante
As políticas de acesso e as políticas de sessão operam em tempo real. Outros tipos de política no Microsoft Defender para Aplicativos de Nuvem envolvem um pequeno atraso na emissão de alertas. A maioria dos outros tipos de DLP e auditoria também apresenta latência, incluindo a DLP para Power BI e o log de atividades do Power BI.
Políticas de acesso
Uma política de acesso criada no Microsoft Defender para Aplicativos de Nuvem controla se um usuário tem permissão para entrar em um aplicativo de nuvem, como o serviço do Power BI. As organizações que atuam em setores altamente regulamentados se preocuparão com as políticas de acesso.
Aqui estão alguns exemplos de como você pode usar as políticas de acesso para bloquear o acesso ao serviço do Power BI.
- Usuário inesperado: Você pode bloquear o acesso de um usuário que não seja membro de um grupo de segurança específico. Por exemplo, essa política pode ser útil quando você tem um processo interno importante que rastreia usuários autorizados do Power BI por meio de um grupo específico.
- Dispositivo não gerenciado: Você pode bloquear o acesso de um dispositivo pessoal que não seja gerenciado pela organização.
- Atualizações necessário: Você pode bloquear o acesso de um usuário que esteja usando um navegador ou sistema operacional desatualizado.
- Localização: Você pode bloquear o acesso de um local onde não há escritórios ou usuários, ou de um endereço IP desconhecido.
Dica
Se você tiver usuários externos que acessam seu locatário do Power BI ou funcionários que viajam com frequência, isso pode afetar a forma como você define suas políticas de controle de acesso. Esses tipos de políticas são geralmente gerenciados pela TI.
Políticas de sessão
Uma política de sessão é útil quando você não deseja permitir ou bloquear completamente o acesso (o que pode ser feito com uma política de acesso, conforme descrito anteriormente). Especificamente, ele permite o acesso do usuário enquanto monitora ou limita o que ocorre ativamente durante a sessão.
Aqui estão alguns exemplos de como você pode usar as políticas de sessão para monitorar, bloquear ou controlar sessões de usuário no serviço do Power BI.
- Bloquear downloads: Bloquear downloads e exportações quando um rótulo de confidencialidade específico, como Altamente Restrito, for atribuído ao item no serviço do Power BI.
- Monitorar entradas: Monitorar quando um usuário, que atende a determinadas condições, faz logon. Por exemplo, o usuário pode ser membro de um grupo de segurança específico ou está usando um dispositivo pessoal que não é gerenciado pela organização.
Dica
A criação de uma política de sessão (por exemplo, para impedir downloads) para conteúdo atribuído a um rótulo de confidencialidade específico, como Altamente Restrito, é um dos casos de uso mais eficazes para controles de sessão em tempo real com o Power BI.
Também é possível controlar os uploads de arquivos com políticas de sessão. No entanto, normalmente, você deseja incentivar os usuários de BI de autoatendimento a fazer upload de conteúdo para o serviço do Power BI (em vez de compartilhar arquivos do Power BI Desktop). Portanto, pense cuidadosamente sobre o bloqueio de uploads de arquivos.
Lista de verificação - Ao planejar suas políticas em tempo real no Microsoft Defender para Aplicativos de Nuvem, as principais decisões e ações incluem:
- Identificar casos de uso para bloquear o acesso: Compilar uma lista de cenários para quando for apropriado bloquear o acesso ao serviço do Power BI.
- Identificar casos de uso para monitorar entradas: Compile uma lista de cenários para quando for apropriado monitorar as entradas no serviço do Power BI.
- Identificar casos de uso para bloquear downloads: Determinar quando os downloads do serviço do Power BI devem ser bloqueados. Determinar quais rótulos de confidencialidade devem ser incluídos.
Políticas de atividade
As políticas de atividade no Microsoft Defender para Aplicativos de Nuvem não operam em tempo real.
Você pode configurar uma política de atividade para verificar os eventos registrados no Log de atividades do Power BI. A política pode atuar em uma única atividade ou em atividades repetidas de um único usuário (quando uma atividade específica ocorre mais de um número definido de vezes em um número definido de minutos).
Você pode usar políticas de atividade para monitorar a atividade no serviço do Power BI de diferentes maneiras. Aqui estão alguns exemplos do que você pode conseguir.
- Usuário não autorizado ou inesperado visualiza conteúdo privilegiado: Um usuário que não é membro de um grupo de segurança específico (ou um usuário externo) visualizou um relatório altamente privilegiado fornecido ao conselho administrativo.
- Um usuário não autorizado ou inesperado atualiza as configurações do locatário: Um usuário que não é membro de um grupo de segurança específico, como o grupo Administradores do Power BI, atualizou as configurações do locatário no serviço do Power BI. Você também pode optar por ser notificado sempre que uma configuração de locatário for atualizada.
- Grande número de exclusões: Um usuário excluiu mais de 20 espaços de trabalho ou relatórios em um período inferior a 10 minutos.
- Grande número de downloads: Um usuário fez download de mais de 30 relatórios em um período inferior a cinco minutos.
Os tipos de alertas de política de atividade descritos nesta seção são normalmente tratados pelos administradores do Power BI como parte de sua supervisão do Power BI. Ao configurar alertas no Microsoft Defender para Aplicativos de Nuvem, recomendamos que você se concentre em situações que representem um risco significativo para a organização. Isso ocorre porque cada alerta precisará ser revisado e fechado por um administrador.
Aviso
Como os eventos do log de atividades do Power BI não estão disponíveis em tempo real, eles não podem ser usados para monitoramento ou bloqueio em tempo real. No entanto, é possível usar operações do log de atividades em políticas de atividades. Certifique-se de trabalhar com sua equipe de segurança da informação para verificar o que é tecnicamente viável antes de avançar demais no processo de planejamento.
Lista de verificação - Ao planejar suas políticas de atividades, as principais decisões e ações incluem:
- Identificar casos de uso para o monitoramento de atividades: Compilar uma lista de atividades específicas do log de atividades do Power BI que representam um risco significativo para a organização. Determine se o risco está relacionado a uma única atividade ou a atividades repetidas.
- Coordenar os esforços com os administradores do Power BI: Discutir as atividades do Power BI que serão monitoradas no Microsoft Defender para Aplicativos de Nuvem. Assegure-se de que não haja uma duplicação de esforços entre diferentes administradores.
Usuários afetados
Um dos motivos convincentes para integrar o Power BI ao Microsoft Defender para Aplicativos de Nuvem é se beneficiar dos controles em tempo real quando os usuários interagem com o serviço do Power BI. Esse tipo de integração requer o Controle de Aplicativos de Acesso Condicional no Microsoft Entra ID.
Antes de configurar o Controle de Aplicativos de Acesso Condicional no Microsoft Entra ID, você precisará considerar quais usuários serão incluídos. Normalmente, todos os usuários são incluídos. No entanto, pode haver motivos para excluir usuários específicos.
Dica
Ao configurar a política de acesso condicional, é provável que o administrador do Microsoft Entra exclua contas de administrador específicas. Essa abordagem evitará o bloqueio de administradores. Recomendamos que as contas excluídas sejam administradores do Microsoft Entra em vez de usuários padrão do Power BI.
Certos tipos de políticas no Microsoft Defender para Aplicativos de Nuvem podem ser aplicados a determinados usuários e grupos. Na maioria das vezes, esses tipos de políticas são aplicáveis a todos os usuários. No entanto, é possível que você se depare com uma situação em que precise excluir propositalmente determinados usuários.
Lista de verificação - Ao considerar quais usuários são afetados, as principais decisões e ações incluem:
- Considere quais usuários estão incluídos: confirme se todos os usuários serão incluídos na política de Controle de Aplicativos de Acesso Condicional do Microsoft Entra.
- Identifique quais contas de administrador devem ser excluídas: determine quais contas de administrador específicas devem ser excluídas propositalmente da política de Controle de Aplicativos de Acesso Condicional do Microsoft Entra.
- Determinar se certas políticas do Defender se aplicam a subconjuntos de usuários: Para casos de uso válidos, considere se eles devem ser aplicáveis a todos ou a alguns usuários (quando possível).
Mensagens ao usuário
Depois de identificar os casos de uso, você precisará considerar o que deve acontecer quando houver atividade do usuário que corresponda à política.
Quando uma atividade é bloqueada em tempo real, é importante fornecer ao usuário uma mensagem personalizada. A mensagem é útil quando se deseja fornecer mais orientação e conscientização aos usuários durante o fluxo de trabalho normal. É mais provável que os usuários leiam e absorvam as notificações do usuário quando elas forem:
- Específicas: Correlacionar a mensagem à política facilita a compreensão.
- Acionáveis: Oferecer uma sugestão sobre o que eles precisam fazer ou como encontrar mais informações.
Alguns tipos de políticas no Microsoft Defender para Aplicativos de Nuvem podem ter uma mensagem personalizada. Aqui estão dois exemplos de notificações de usuário.
Exemplo 1: Você pode definir uma política de controle de sessão em tempo real que impeça todas as exportações e downloads quando o rótulo de confidencialidade do item do Power BI (como um relatório ou conjunto de dados) estiver definido como Altamente Restrito. A mensagem de bloqueio personalizada no Microsoft Defender para Aplicativos de Nuvem diz: Arquivos com um rótulo Altamente Restrito não podem ser baixados do serviço do Power BI. Visualize o conteúdo online no serviço do Power BI. Entre em contato com a equipe de suporte do Power BI se tiver alguma dúvida.
Exemplo 2: Você pode definir uma política de acesso em tempo real que impeça um usuário de entrar no serviço do Power BI quando ele não estiver usando um computador gerenciado pela organização. A mensagem de bloco personalizada no Aplicativos do Microsoft Defender para Nuvem diz: o serviço do Power BI pode não ser acessado em um dispositivo pessoal. Use o dispositivo fornecido pela organização. Entre em contato com a equipe de suporte do Power BI com perguntas.
Lista de verificação - Ao considerar as mensagens de usuário no Microsoft Defender para Aplicativos de Nuvem, as principais decisões e ações incluem:
- Decidir quando uma mensagem de bloqueio personalizada é necessária: Para cada política que você pretende criar, determine se será necessária uma mensagem de bloqueio personalizada.
- Criar mensagens de bloqueio personalizadas: Para cada política, definir qual mensagem deve ser exibida aos usuários. Planejar a relacionar cada mensagem à política para que ela seja específica e acionável.
Alertas ao administrador
Os alertas são úteis quando você deseja informar aos administradores de segurança e conformidade que ocorreu uma violação de política. Quando você definir políticas no Microsoft Defender para Aplicativos de Nuvem, considere se os alertas devem ser gerados. Para obter mais informações, consulte tipos de alerta no Microsoft Defender para Aplicativos de Nuvem.
Opcionalmente, você pode configurar um alerta para enviar um email a vários administradores. Quando um alerta de email é necessário, recomendamos que você use um grupo de segurança habilitado para email. Por exemplo, você pode usar um grupo chamado Alertas para Administradores de Segurança e Conformidade.
Para situações de alta prioridade, é possível enviar alertas por mensagem de texto. Também é possível criar fluxos de trabalho e automação de alertas personalizados por meio da integração com o Power Automate.
Você pode configurar cada alerta com uma gravidade baixa, média ou alta. O nível de gravidade é útil ao priorizar a revisão de alertas abertos. Um administrador precisará examinar e agir em relação a cada alerta. Um alerta pode ser fechado como verdadeiro positivo, falso positivo ou benigno.
Aqui estão dois exemplos de alertas de administrador.
Exemplo 1: Você pode definir uma política de controle de sessão em tempo real que impeça todas as exportações e downloads quando o rótulo de confidencialidade do item do Power BI (como um relatório ou conjunto de dados) estiver definido como Altamente Restrito. Ela tem uma mensagem de bloqueio personalizada e útil para o usuário. No entanto, nessa situação, não há necessidade de gerar um alerta.
Exemplo 2: Você pode definir uma política de atividade que rastreia se um usuário externo visualizou um relatório altamente privilegiado fornecido ao conselho de administração. Um alerta de alta gravidade pode ser configurado para garantir que a atividade seja prontamente investigada.
Dica
O Exemplo 2 destaca as diferenças entre proteção e segurança de informações. Sua política de atividade pode ajudar a identificar cenários em que os usuários de BI de autoatendimento têm permissão para gerenciar a segurança do conteúdo. No entanto, esses usuários podem executar ações que são desencorajadas pela política organizacional. Recomendamos que você configure esses tipos de políticas somente em circunstâncias específicas, quando as informações forem especialmente confidenciais.
Lista de verificação - Ao considerar a emissão de alertas para administradores no Microsoft Defender para Aplicativos de Nuvem, as principais decisões e ações incluem:
- Decidir quando os alertas são necessários: Para cada política que você pretende criar, decida quais situações justificam o uso de alertas.
- Esclarecer funções e responsabilidades: Determine as expectativas e a ação que deve ser tomada quando um alerta é gerado.
- Determinar quem receberá os alertas: Decida quais administradores de segurança e conformidade revisarão e tomarão providências com relação aos alertas abertos. Confirme se as permissões e os requisitos de licenciamento foram atendidos para cada administrador que usará o Microsoft Defender para Aplicativos de Nuvem.
- Criar um novo grupo: Quando necessário, crie um novo grupo de segurança habilitado para correio eletrônico a ser usado para notificações por email.
Convenção de nomenclatura de política
Antes de criar políticas no Microsoft Defender para Aplicativos de Nuvem, é uma boa ideia criar primeiro uma convenção de nomenclatura. Uma convenção de nomenclatura é útil quando há muitos tipos de políticas para muitos tipos de aplicativos. Também é útil quando os administradores do Power BI se envolvem no monitoramento.
Dica
Considere conceder acesso ao Microsoft Defender para Aplicativos de Nuvem aos seus administradores do Power BI. Use a função de administrador, que permite visualizar o log de atividades, os eventos de entrada e os eventos relacionados ao serviço do Power BI.
Considere um modelo de convenção de nomenclatura que inclua espaços reservados para componentes: <Aplicativo> - <Descrição> - <Ação> - <Tipo de Política>
Aqui estão alguns exemplos de convenção de nomenclatura.
Tipo de política | Tempo real | Nome da política |
---|---|---|
Política de sessão | Sim | Power BI - Rótulo altamente restrito - Bloquear downloads - RT |
Política de acesso | Sim | Todos - Dispositivo não gerenciado - Bloquear acesso - RT |
Política de atividade | Não | Power BI - Atividade administrativa |
Política de atividade | Não | Power BI - Visualizações de usuário externo de relatório executivo |
Os componentes da convenção de nomenclatura incluem:
- Aplicativo: O nome do aplicativo. O prefixo do Power BI ajuda a agrupar todas as políticas específicas do Power BI quando classificadas. No entanto, algumas políticas se aplicarão a todos os aplicativos de nuvem, e não apenas ao serviço do Power BI.
- Descrição: A parte da descrição do nome é a que mais varia. Isso pode incluir rótulos de confidencialidade afetados ou o tipo de atividade que está sendo rastreada.
- Ação: (opcional) Nos exemplos, uma política de sessão tem uma ação de Bloquear downloads. Normalmente, uma ação só é necessária quando se trata de uma política em tempo real.
- Tipo de política: (Opcional) No exemplo, o sufixo RT indica que se trata de uma política em tempo real. Indicar se é em tempo real ou não ajuda a gerenciar as expectativas.
Há outros atributos que não precisam ser incluídos no nome da política. Esses atributos incluem o nível de gravidade (baixo, médio ou alto) e a categoria (como detecção de ameaças ou DLP). Ambos os atributos podem ser filtrados na página de alertas.
Dica
Você pode renomear uma política no Microsoft Defender para Aplicativos de Nuvem. No entanto, não é possível renomear as políticas integradas de detecção de anomalias. Por exemplo, o Compartilhamento de relatório suspeito do Power BI é uma política integrada que não pode ser renomeada.
Lista de verificação - Ao considerar a convenção de nomenclatura de políticas, as principais decisões e ações incluem:
- Escolher uma convenção de nomenclatura: Use suas primeiras políticas para estabelecer uma convenção de nomenclatura consistente que seja fácil de interpretar. Concentre-se em usar um prefixo e sufixo consistentes.
- Documentar a convenção de nomenclatura: Forneça documentação de referência sobre a convenção de nomenclatura da política. Certifique-se de que os administradores do sistema estejam cientes da convenção de nomenclatura.
- Atualizar as políticas existentes: Atualize todas as políticas existentes do Defender para que estejam em conformidade com a nova convenção de nomenclatura.
Requisitos de licenciamento
Licenças específicas devem estar em vigor para monitorar um locatário do Power BI. Os administradores devem ter uma das seguintes licenças.
- Microsoft Defender para Aplicativos de Nuvem: Fornece funcionalidades do Microsoft Defender para Aplicativos de Nuvem para todos os aplicativos com suporte (incluindo o serviço do Power BI).
- Office 365 Cloud App Security: Fornece funcionalidades do Microsoft Defender para Aplicativos de Nuvem para aplicativos do Office 365 que fazem parte do pacote Office 365 E5 (incluindo o serviço do Power BI).
Além disso, se os usuários precisarem usar políticas de acesso em tempo real ou políticas de sessão no Defender para Aplicativos de Nuvem, eles precisarão de uma licença do Microsoft Entra ID P1.
Dica
Se você precisar de esclarecimentos sobre os requisitos de licenciamento, fale com sua equipe de contas Microsoft.
Lista de verificação - Ao avaliar os requisitos de licenciamento, as principais decisões e ações incluem:
- Revisar os requisitos de licenciamento do produto: Certifique-se de que você analisou todos os requisitos de licenciamento para trabalhar com o Microsoft Defender para Aplicativos de Nuvem.
- Obter licenças adicionais: se aplicável, adquira mais licenças para desbloquear a funcionalidade que você pretende usar.
- Atribuir licenças: Atribua uma licença a cada um dos administradores de segurança e conformidade que usarão o Microsoft Defender para Aplicativos de Nuvem.
Documentação e treinamento do usuário
Antes de implementar o Microsoft Defender para Aplicativos de Nuvem, recomendamos que você crie e publique a documentação do usuário. Uma página do SharePoint ou uma página wiki em seu portal centralizado pode funcionar bem porque será fácil de manter. Um documento carregado em uma biblioteca compartilhada ou site do Teams também é uma boa solução.
O objetivo da documentação é alcançar uma experiência de usuário perfeita. Preparar a documentação do usuário também ajudará você a ter certeza de que considerou tudo.
Inclua informações sobre quem contatar quando os usuários tiverem dúvidas ou problemas técnicos.
Perguntas frequentes e exemplos são especialmente úteis para a documentação do usuário.
Lista de verificação - Ao preparar a documentação e o treinamento do usuário, as principais decisões e ações incluem:
- Atualizar a documentação para criadores e consumidores de conteúdo: Atualize as perguntas frequentes e exemplos para incluir informações relevantes sobre as políticas que os usuários podem encontrar.
- Publicar como obter ajuda: Certifique-se de que os usuários sabem como obter ajuda quando estiverem enfrentando algo inesperado ou que não entendam.
- Determinar se é necessário treinamento específico: crie ou atualize o treinamento do usuário para incluir informações úteis, especialmente se houver um requisito regulatório para fazer isso.
Suporte ao usuário
É importante verificar quem será responsável pelo suporte do usuário. É comum que o uso do Microsoft Defender para Aplicativos de Nuvem para monitorar o Power BI seja feito por um suporte técnico de TI centralizado.
Talvez seja necessário criar documentação para o suporte técnico e realizar algumas sessões de transferência de conhecimento para garantir que o suporte técnico esteja pronto para responder às solicitações de suporte.
Lista de verificação: ao se preparar para a função de suporte ao usuário, as principais decisões e ações incluem:
- Identificar quem fornecerá suporte ao usuário: Quando você estiver definindo funções e responsabilidades, verifique como os usuários receberão ajuda com problemas que possam encontrar.
- Certificar-se de que a equipe de suporte do usuário está pronta: Crie documentação e realize sessões de transferência de conhecimento para garantir que o suporte técnico esteja pronto para dar suporte a esses processos.
- Comunicar-se entre equipes: Discuta as mensagens que os usuários podem ver e o processo para resolve alertas abertos com os administradores do Power BI e do Centro de Excelência. Certifique-se de que todos os envolvidos estão preparados para possíveis perguntas de usuários do Power BI.
Resumo da implementação
Depois que as decisões forem tomadas e um plano de implementação for preparado, é hora de iniciar a implementação.
Se você pretende usar políticas em tempo real (políticas de sessão ou políticas de acesso), sua primeira tarefa é configurar o Controle de Aplicativos de Acesso Condicional do Microsoft Entra. Você precisará configurar o serviço do Power BI como um aplicativo de catálogo que será controlado pelo Microsoft Defender para Aplicativos de Nuvem.
Quando o Controle de Aplicativos de Acesso Condicional do Microsoft Entra estiver configurado e testado, você poderá criar políticas no Defender para Aplicativos de Nuvem.
Importante
Recomendamos que você apresente essa funcionalidade a um pequeno número de usuários de teste primeiro. Há também um modo somente monitor que você pode achar útil para introduzir essa funcionalidade de maneira ordenada.
A lista de verificação a seguir inclui uma lista resumida das etapas de implementação do começo ao fim. Muitas das etapas têm outros detalhes que foram abordados nas seções anteriores deste artigo.
Lista de verificação - Ao implementar o Microsoft Defender para Aplicativos de Nuvem com o Power BI, as principais decisões e ações incluem:
- Verificar o estado e as metas atuais: Verifique se você tem clareza sobre o estado atual da DLP para uso com o Power BI. Todas as metas e requisitos para implementar a DLP devem ser claros e usados ativamente para impulsionar o processo de tomada de decisão.
- Realize o processo de tomada de decisão: Revisar e discutir todas as decisões necessárias. Essa tarefa deve ocorrer antes de configurar qualquer coisa em produção.
- Examinar os requisitos de licenciamento: certifique-se de entender os requisitos de licenciamento de produtos e licenciamento de usuário. Se necessário, obtenha e atribua mais licenças.
- Publicar documentação do usuário: publique informações de que os usuários precisarão responder a perguntas e esclarecer as expectativas. Forneça diretrizes, comunicações e treinamento aos usuários para que eles estejam preparados.
- Criar uma política de Acesso Condicional do Microsoft Entra: crie uma política de acesso condicional no Microsoft Entra ID para habilitar controles em tempo real para monitorar o serviço do Power BI. A princípio, habilite a política de Acesso Condicional do Microsoft Entra para alguns usuários de teste.
- Definir o Power BI como um aplicativo conectado no Microsoft Defender para Aplicativos de Nuvem: Adicione ou verifique se o Power BI aparece como um aplicativo conectado no Microsoft Defender para Aplicativos de Nuvem para controle de aplicativos de acesso condicional.
- Realizar testes iniciais: Entre no serviço do Power BI como um dos usuários de teste. Verifique se o acesso funciona. Verifique também se a mensagem exibida informa que o serviço do Power BI é monitorado pelo Microsoft Defender para Aplicativos de Nuvem.
- Criar e testar uma política em tempo real: Usando os casos de uso já compilados, crie uma política de acesso ou uma política de sessão no Microsoft Defender para Aplicativos de Nuvem.
- Realizar testes iniciais: Como um usuário de teste, realize uma ação que disparará a política em tempo real. Verifique se a ação está bloqueada (se for o caso) e se as mensagens de alerta esperadas são exibidas.
- Coletar comentários do usuário: Obtenha comentários sobre o processo e a experiência do usuário. Identifique áreas de confusão, resultados inesperados com tipos de informações confidenciais e outros problemas técnicos.
- Continuar com as versões iterativas: Adicione gradualmente mais políticas no Microsoft Defender para Aplicativos de Nuvem até que todos os casos de uso sejam abordados.
- Revisar as políticas integradas: Localize as políticas integradas de detecção de anomalias no Microsoft Defender para Aplicativos de Nuvem (que tenham o Power BI em seu nome). Atualize as configurações de alerta para as políticas integradas, quando necessário.
- Prosseguir com uma implantação mais ampla: Continue a trabalhar em seu plano de implantação iterativa. Atualize a política de Acesso Condicional do Microsoft Entra para aplicar a um conjunto mais amplo de usuários, conforme apropriado. Atualize as políticas individuais no Microsoft Defender para Aplicativos de Nuvem para que se apliquem a um conjunto mais amplo de usuários, conforme apropriado.
- Monitorar, regular e ajustar: Invista recursos para analisar alertas de correspondência de política e logs de auditoria com frequência. Investigue todos os falsos positivos e ajuste as políticas quando necessário.
Dica
Os itens desta lista de verificação estão resumidos para fins de planejamento. Para obter mais detalhes sobre esses itens da lista de verificação, consulte as seções anteriores deste artigo.
Para obter informações mais específicas sobre a implantação do Power BI como um aplicativo de catálogo no Microsoft Defender para Aplicativos de Nuvem, consulte as etapas para implantar aplicativos de catálogo.
Monitoramento contínuo
Depois de concluir a implementação, você deve direcionar sua atenção para o monitoramento, a imposição e o ajuste das políticas do Microsoft Defender para Aplicativos de Nuvem com base em seu uso.
Os administradores do Power BI e os administradores de segurança e conformidade precisarão colaborar de tempos em tempos. Para conteúdo do Power BI, há dois públicos-alvo para monitoramento.
- Administradores do Power BI: Além dos alertas gerados pelo Microsoft Defender para Aplicativos de Nuvem, as atividades do log de atividades do Power BI também são exibidas no portal do Microsoft Defender para Aplicativos de Nuvem.
- Administradores de segurança e conformidade: Os administradores de segurança e conformidade da organização normalmente usarão os alertas do Microsoft Defender para Aplicativos de Nuvem.
É possível fornecer aos seus administradores do Power BI uma exibição limitada no Microsoft Defender para Aplicativos de Nuvem. Ele usa uma função com escopo para exibir o log de atividades, eventos de entrada e eventos relacionados ao serviço do Power BI. Essa funcionalidade é uma conveniência para os administradores do Power BI.
Lista de verificação - Ao monitorar o Microsoft Defender para Aplicativos de Nuvem, as principais decisões e ações incluem:
- Verificar funções e responsabilidades: Certifique-se de que você tenha clareza sobre quem é responsável por quais ações. Eduque e comunique-se com seus administradores do Power BI se eles forem responsáveis por qualquer aspecto do monitoramento.
- Gerenciar o acesso para os administradores do Power BI: Adicione seus administradores do Power BI à função de administrador com escopo no Microsoft Defender para Aplicativos de Nuvem. Comunique-se com eles para que estejam cientes do que podem fazer com essas informações adicionais.
- Criar ou validar seu processo de revisão de atividades: Certifique-se de que seus administradores de segurança e conformidade estejam cientes das expectativas de revisão regular do gerenciador de atividades.
- Criar ou validar seu processo de resolução de alertas: Certifique-se de que seus administradores de segurança e conformidade tenham um processo em vigor para investigar e resolver alertas abertos.
Conteúdo relacionado
No próximo artigo desta série, saiba mais sobre auditoria para proteção de informações e prevenção de perda de dados para o Power BI.