Partilhar via


Planejamento de implementação do Power BI: Defender for Cloud Apps for Power BI

Nota

Este artigo faz parte da série de artigos de planejamento de implementação do Power BI. Esta série se concentra principalmente na experiência do Power BI no Microsoft Fabric. Para obter uma introdução à série, consulte Planejamento de implementação do Power BI.

Este artigo descreve as atividades de planejamento relacionadas à implementação do Defender for Cloud Apps em relação ao monitoramento do Power BI. Destina-se a:

  • Administradores do Power BI: os administradores responsáveis por supervisionar o Power BI na organização. Os administradores do Power BI precisam colaborar com a segurança das informações e outras equipes relevantes.
  • Equipes do Centro de Excelência, TI e BI: outras responsáveis pela supervisão do Power BI na organização. Eles podem precisar colaborar com administradores do Power BI, equipes de segurança da informação e outras equipes relevantes.

Importante

O monitoramento e a prevenção de perda de dados (DLP) são um empreendimento significativo em toda a organização. Seu escopo e impacto são muito maiores do que o Power BI sozinho. Esses tipos de iniciativa exigem financiamento, priorização e planejamento. Espere envolver várias equipes multifuncionais nos esforços de planejamento, uso e supervisão.

Recomendamos que você siga uma abordagem gradual e faseada para implantar o Defender for Cloud Apps para monitorar o Power BI. Para obter uma descrição dos tipos de fases de distribuição que você deve considerar, consulte Proteção de informações para o Power BI (fases de implantação).

Objetivo da monitorização

O Microsoft Defender for Cloud Apps (anteriormente conhecido como Microsoft Cloud App Security) é um Cloud Access Security Broker (CASB) que suporta vários modos de implantação. Ele tem um amplo conjunto de recursos que vão muito além do escopo deste artigo. Alguns recursos são em tempo real, enquanto outros não são em tempo real.

Aqui estão alguns exemplos de monitoramento em tempo real que você pode implementar.

  • Bloquear downloads do serviço Power BI: você pode criar uma política de sessão para bloquear certos tipos de atividades do usuário. Por exemplo, quando um usuário tenta baixar um relatório do serviço do Power BI ao qual foi atribuído um rótulo de sensibilidade Altamente Restrita , a ação de download pode ser bloqueada em tempo real.
  • Bloquear o acesso ao serviço do Power BI por um dispositivo não gerenciado: você pode criar uma política de acesso para impedir que os usuários acessem determinados aplicativos, a menos que estejam usando um dispositivo gerenciado. Por exemplo, quando um usuário tenta acessar o serviço do Power BI de seu telefone celular pessoal, essa ação pode ser bloqueada.

Aqui estão alguns exemplos de outros recursos que não são em tempo real.

  • Detetar e alertar determinadas atividades no serviço do Power BI: você pode criar uma política de atividade para gerar um alerta quando determinados tipos de atividades ocorrerem. Por exemplo, quando ocorre uma atividade administrativa no serviço do Power BI (indicando que uma configuração de locatário foi alterada), você pode receber um alerta por email.
  • Monitorizar atividades de segurança avançadas: pode ver e monitorizar inícios de sessão e atividades de segurança, anomalias e violações. Os alertas podem ser disparados para situações como atividades suspeitas, locais inesperados ou um novo local.
  • Monitorar atividades do usuário: você pode visualizar e monitorar as atividades do usuário. Por exemplo, um administrador do Power BI pode receber permissão para exibir o log de atividades do Power BI, além da frequência de entrada do usuário no Defender for Cloud Apps.
  • Detetar e alertar comportamentos incomuns no serviço do Power BI: existem políticas internas para deteção de anomalias. Por exemplo, quando um usuário baixa ou exporta conteúdo do serviço do Power BI com muito mais frequência do que os padrões normais, você pode receber um alerta de email.
  • Encontrar aplicativos não sancionados: você pode encontrar aplicativos não sancionados em uso dentro da organização. Por exemplo, você pode ficar preocupado com usuários compartilhando arquivos (como arquivos do Power BI Desktop ou arquivos do Excel) em um sistema de compartilhamento de arquivos de terceiros. Você pode bloquear o uso de um aplicativo não autorizado e, em seguida, entrar em contato com os usuários para educá-los sobre maneiras apropriadas de compartilhar e colaborar com outras pessoas.

Gorjeta

O portal no Defender for Cloud Apps é um lugar conveniente para visualizar atividades e alertas sem criar um script para extrair e baixar os dados. Essa vantagem inclui a exibição de dados do log de atividades do Power BI.

O Power BI é um dos muitos aplicativos e serviços que podem ser integrados ao Defender for Cloud Apps. Se você já estiver usando o Defender for Cloud Apps para outros fins, ele também poderá ser usado para monitorar o Power BI.

As políticas criadas no Defender for Cloud Apps são uma forma de DLP. O artigo Prevenção contra perda de dados para o Power BI aborda as políticas de DLP para o Power BI configuradas no portal de conformidade do Microsoft Purview. Recomendamos que você use políticas de DLP para o Power BI com os recursos descritos neste artigo. Embora haja alguma sobreposição conceitual, as capacidades são diferentes.

Atenção

Este artigo se concentra nos recursos do Microsoft Defender for Cloud Apps que podem ser usados para monitorar e proteger o conteúdo do Power BI. Há muitos outros recursos no Defender for Cloud Apps que não são abordados neste artigo. Certifique-se de trabalhar com outras partes interessadas e administradores de sistema para tomar decisões que funcionem bem para todos os aplicativos e casos de uso.

Pré-requisitos para o Defender for Cloud Apps for Power BI

Até agora, você deve ter concluído as etapas de planejamento no nível da organização descritas no artigo Prevenção contra perda de dados para o Power BI . Antes de prosseguir, deve ter clareza sobre:

  • Estado atual: o estado atual da DLP na sua organização. Você deve entender até que ponto o DLP já está em uso e quem é responsável por gerenciá-lo.
  • Objetivos e requisitos: Os objetivos estratégicos para a implementação da DLP na sua organização. Compreender os objetivos e requisitos servirá como um guia para seus esforços de implementação.

Normalmente, a proteção de informações já é implementada antes da DLP ser implementada. Se os rótulos de confidencialidade forem publicados (descritos no artigo Proteção de informações para o Power BI ), eles poderão ser usados em determinadas políticas no Defender for Cloud Apps.

Talvez você já tenha implementado o DLP para o Power BI (descrito no artigo Prevenção de perda de dados para o Power BI ). Esses recursos de DLP são diferentes dos recursos gerenciados no portal de conformidade do Microsoft Purview. Todos os recursos de DLP descritos neste artigo são gerenciados no portal do Defender for Cloud Apps.

Principais decisões e ações

Você precisará tomar algumas decisões importantes antes de estar pronto para configurar políticas no Defender for Cloud Apps.

As decisões relacionadas às políticas do Defender for Cloud Apps devem apoiar diretamente as metas e os requisitos para proteger os dados que você identificou anteriormente.

Tipo de política e atividades

Você precisará considerar quais atividades do usuário você está interessado em monitorar, bloquear ou controlar. O tipo de política no Defender for Cloud Apps influencia:

  • O que você é capaz de realizar.
  • Quais atividades podem ser incluídas na configuração.
  • Se os controles ocorrerão em tempo real ou não.

Políticas em tempo real

As políticas de acesso e as políticas de sessão criadas no Defender for Cloud Apps permitem-lhe monitorizar, bloquear ou controlar sessões de utilizador em tempo real.

As políticas de acesso e as políticas de sessão permitem-lhe:

  • Responda programaticamente em tempo real: detete, informe e bloqueie o compartilhamento arriscado, inadvertido ou inadequado de dados confidenciais. Estas ações permitem-lhe:
    • Melhore a configuração geral de segurança do seu locatário do Power BI, com automação e informações.
    • Habilite casos de uso analíticos que envolvam dados confidenciais de uma forma que possa ser auditada.
  • Fornecer notificações contextuais aos usuários: esse recurso permite:
    • Ajude os usuários a tomar as decisões certas durante seu fluxo de trabalho normal.
    • Oriente os utilizadores a seguirem a sua política de classificação e proteção de dados sem afetar a sua produtividade.

Para fornecer controles em tempo real, as políticas de acesso e as políticas de sessão funcionam com o Microsoft Entra ID, contando com os recursos de proxy reverso do Controle de Aplicativo de Acesso Condicional. Em vez de solicitações e respostas do usuário passarem pelo aplicativo (o serviço do Power BI neste caso), eles passam por um proxy reverso (Defender for Cloud Apps).

O redirecionamento não afeta a experiência do usuário. No entanto, a URL do serviço do Power BI mudará para https://app.powerbi.com.mcas.ms depois de configurar a ID do Microsoft Entra para controle de aplicativo de acesso condicional com o Power BI. Além disso, os usuários receberão uma notificação quando entrarem no serviço do Power BI que anuncia que o aplicativo é monitorado pelo Defender for Cloud Apps.

Importante

As políticas de acesso e as políticas de sessão operam em tempo real. Outros tipos de política no Defender for Cloud Apps envolvem um pequeno atraso no alerta. A maioria dos outros tipos de DLP e auditoria também enfrenta latência, incluindo DLP para Power BI e o log de atividades do Power BI.

Políticas de acesso

Uma política de acesso criada no Defender for Cloud Apps controla se um usuário tem permissão para entrar em um aplicativo de nuvem como o serviço do Power BI. As organizações que estão em setores altamente regulamentados estarão preocupadas com as políticas de acesso.

Aqui estão alguns exemplos de como você pode usar políticas de acesso para bloquear o acesso ao serviço do Power BI.

  • Usuário inesperado: você pode bloquear o acesso de um usuário que não seja membro de um grupo de segurança específico. Por exemplo, essa política pode ser útil quando você tem um processo interno importante que rastreia usuários aprovados do Power BI por meio de um grupo específico.
  • Dispositivo não gerenciado: você pode bloquear o acesso a um dispositivo pessoal que não é gerenciado pela organização.
  • Atualizações necessárias: você pode bloquear o acesso de um usuário que esteja usando um navegador ou sistema operacional desatualizado.
  • Localização: pode bloquear o acesso a uma localização onde não tem escritórios ou utilizadores, ou a partir de um endereço IP desconhecido.

Gorjeta

Se você tiver usuários externos que acessam seu locatário do Power BI ou funcionários que viajam com frequência, isso pode afetar a forma como você define suas políticas de controle de acesso. Esses tipos de políticas geralmente são gerenciados pela TI.

Políticas de sessão

Uma política de sessão é útil quando você não deseja permitir ou bloquear completamente o acesso (o que pode ser feito com uma política de acesso conforme descrito anteriormente). Especificamente, ele permite o acesso para o usuário enquanto monitora ou limita o que ocorre ativamente durante sua sessão.

Eis alguns exemplos de formas de utilizar políticas de sessão para monitorizar, bloquear ou controlar sessões de utilizador no serviço Power BI.

  • Bloquear downloads: bloqueie downloads e exportações quando um rótulo de sensibilidade específico, como Altamente Restrito, for atribuído ao item no serviço do Power BI.
  • Monitorar entradas: monitore quando um usuário, que atende a determinadas condições, faz login. Por exemplo, o usuário pode ser membro de um grupo de segurança específico ou estar usando um dispositivo pessoal que não é gerenciado pela organização.

Gorjeta

Criar uma política de sessão (por exemplo, para impedir downloads) para conteúdo atribuído a um rótulo de sensibilidade específico, como Altamente Restrito, é um dos casos de uso mais eficazes para controles de sessão em tempo real com o Power BI.

Também é possível controlar o upload de arquivos com políticas de sessão. No entanto, normalmente você deseja incentivar os usuários de BI de autoatendimento a carregar conteúdo para o serviço do Power BI (em vez de compartilhar arquivos do Power BI Desktop). Portanto, pense cuidadosamente sobre o bloqueio de uploads de arquivos.

Lista de verificação - Ao planejar suas políticas em tempo real no Defender for Cloud Apps, as principais decisões e ações incluem:

  • Identificar casos de uso para bloquear o acesso: compile uma lista de cenários para quando o bloqueio do acesso ao serviço do Power BI for apropriado.
  • Identificar casos de uso para monitorar entradas: compile uma lista de cenários para quando o monitoramento de entradas no serviço do Power BI for apropriado.
  • Identificar casos de uso para bloquear downloads: determine quando os downloads do serviço do Power BI devem ser bloqueados. Determine quais rótulos de sensibilidade devem ser incluídos.

Políticas de atividade

As políticas de atividade no Defender for Cloud Apps não funcionam em tempo real.

Você pode configurar uma política de atividade para verificar eventos registrados no log de atividades do Power BI. A política pode agir em uma única atividade ou pode agir em atividades repetidas por um único usuário (quando uma atividade específica ocorre mais de um número definido de vezes dentro de um número definido de minutos).

Você pode usar políticas de atividade para monitorar a atividade no serviço do Power BI de maneiras diferentes. Aqui estão alguns exemplos do que você pode alcançar.

  • Usuário não autorizado ou inesperado visualiza conteúdo privilegiado: um usuário que não é membro, um grupo de segurança específico (ou um usuário externo) visualizou um relatório altamente privilegiado fornecido ao conselho de administração.
  • Usuário não autorizado ou inesperado atualiza configurações de locatário: um usuário que não é membro de um grupo de segurança específico, como o grupo Administradores do Power BI, atualizou as configurações de locatário no serviço do Power BI. Você também pode optar por ser notificado sempre que uma configuração de locatário for atualizada.
  • Grande número de exclusões: um usuário excluiu mais de 20 espaços de trabalho ou relatórios em um período de tempo inferior a 10 minutos.
  • Grande número de downloads: um usuário baixou mais de 30 relatórios em um período de tempo inferior a cinco minutos.

Os tipos de alertas de política de atividade descritos nesta seção geralmente são manipulados por administradores do Power BI como parte de sua supervisão do Power BI. Ao configurar alertas no Defender for Cloud Apps, recomendamos que você se concentre em situações que representam um risco significativo para a organização. Isso porque cada alerta precisará ser revisado e fechado por um administrador.

Aviso

Como os eventos do log de atividades do Power BI não estão disponíveis em tempo real, eles não podem ser usados para monitoramento ou bloqueio em tempo real. No entanto, você pode usar operações do log de atividades em políticas de atividade. Certifique-se de trabalhar com sua equipe de segurança da informação para verificar o que é tecnicamente viável antes de ir muito longe no processo de planejamento.

Lista de verificação - Ao planear as suas políticas de atividade, as principais decisões e ações incluem:

  • Identificar casos de uso para monitoramento de atividades: compile uma lista de atividades específicas do log de atividades do Power BI que representam um risco significativo para a organização. Determine se o risco está relacionado a uma única atividade ou a atividades repetidas.
  • Coordenar esforços com administradores do Power BI: discuta as atividades do Power BI que serão monitoradas no Defender for Cloud Apps. Certifique-se de que não haja duplicação de esforços entre diferentes administradores.

Utilizadores afetados

Uma das principais razões para integrar o Power BI com o Defender for Cloud Apps é beneficiar de controlos em tempo real quando os utilizadores interagem com o serviço do Power BI. Esse tipo de integração requer controle de aplicativo de acesso condicional no Microsoft Entra ID.

Antes de configurar o controle de aplicativo de acesso condicional no Microsoft Entra ID, você precisará considerar quais usuários serão incluídos. Normalmente, todos os usuários estão incluídos. No entanto, pode haver razões para excluir utilizadores específicos.

Gorjeta

Ao configurar a política de acesso condicional, é provável que o administrador do Microsoft Entra exclua contas de administrador específicas. Essa abordagem evitará o bloqueio de administradores. Recomendamos que as contas excluídas sejam administradores do Microsoft Entra em vez de usuários padrão do Power BI.

Certos tipos de políticas no Defender for Cloud Apps podem ser aplicados a determinados usuários e grupos. Na maioria das vezes, esses tipos de políticas são aplicáveis a todos os usuários. No entanto, é possível que você se depare com uma situação em que precisará excluir propositalmente determinados usuários.

Lista de verificação - Ao considerar quais usuários são afetados, as principais decisões e ações incluem:

  • Considere quais usuários estão incluídos: confirme se todos os usuários serão incluídos em sua política de controle do aplicativo de Acesso Condicional Microsoft Entra.
  • Identificar quais contas de administrador devem ser excluídas: determine quais contas de administrador específicas devem ser excluídas propositalmente da política de controle do aplicativo de Acesso Condicional do Microsoft Entra.
  • Determine se determinadas políticas do Defender se aplicam a subconjuntos de usuários: para casos de uso válidos, considere se elas devem ser aplicáveis a todos ou alguns usuários (quando possível).

Mensagens do usuário

Depois de identificar os casos de uso, você precisará considerar o que deve acontecer quando houver atividade do usuário que corresponda à política.

Quando uma atividade é bloqueada em tempo real, é importante fornecer ao usuário uma mensagem personalizada. A mensagem é útil quando você deseja fornecer mais orientação e conscientização aos usuários durante o fluxo de trabalho normal. É mais provável que os usuários leiam e absorvam as notificações do usuário quando:

  • Específico: Correlacionar a mensagem com a política facilita a sua compreensão.
  • Acionável: Oferecer uma sugestão sobre o que eles precisam fazer ou como encontrar mais informações.

Alguns tipos de políticas no Defender for Cloud Apps podem ter uma mensagem personalizada. Aqui estão dois exemplos de notificações de usuário.

Exemplo 1: Você pode definir uma política de controle de sessão em tempo real que impeça todas as exportações e downloads quando o rótulo de sensibilidade para o item do Power BI (como um relatório ou modelo semântico) estiver definido como Altamente Restrito. A mensagem de bloqueio personalizada no Defender for Cloud Apps diz: Arquivos com um rótulo Altamente Restrito não podem ser baixados do serviço do Power BI. Exiba o conteúdo online no serviço do Power BI. Entre em contato com a equipe de suporte do Power BI se tiver dúvidas.

Exemplo 2: Você pode definir uma política de acesso em tempo real que impede que um usuário entre no serviço do Power BI quando não estiver usando uma máquina gerenciada pela organização. A mensagem de bloqueio personalizada no Defender for Cloud Apps diz: O serviço do Power BI pode não ser acessado em um dispositivo pessoal. Por favor, use o dispositivo fornecido pela organização. Entre em contato com a equipe de suporte do Power BI se tiver dúvidas.

Lista de verificação - Ao considerar as mensagens do usuário no Defender for Cloud Apps, as principais decisões e ações incluem:

  • Decida quando uma mensagem de bloqueio personalizada é necessária: para cada política que você pretende criar, determine se uma mensagem de bloqueio personalizada será necessária.
  • Criar mensagens de bloqueio personalizadas: para cada política, defina qual mensagem deve ser exibida aos usuários. Planeje relacionar cada mensagem à política para que ela seja específica e acionável.

Alertas do administrador

Os alertas são úteis quando você deseja conscientizar os administradores de segurança e conformidade de que ocorreu uma violação de política. Ao definir políticas no Defender for Cloud Apps, considere se os alertas devem ser gerados. Para obter mais informações, consulte Tipos de alerta no Defender for Cloud Apps.

Opcionalmente, você pode configurar um alerta para enviar um e-mail para vários administradores. Quando um alerta de email é necessário, recomendamos que você use um grupo de segurança habilitado para email. Por exemplo, você pode usar um grupo chamado Alerta de administrador de segurança e conformidade.

Para situações de alta prioridade, é possível enviar alertas por mensagem de texto. Também é possível criar automação de alertas e fluxos de trabalho personalizados integrando-se ao Power Automate.

Você pode configurar cada alerta com uma gravidade baixa, média ou alta. O nível de gravidade é útil ao priorizar a revisão de alertas abertos. Um administrador terá de rever e agir em cada alerta. Um alerta pode ser fechado como verdadeiro positivo, falso positivo ou benigno.

Aqui estão dois exemplos de alertas de administrador.

Exemplo 1: Você pode definir uma política de controle de sessão em tempo real que impeça todas as exportações e downloads quando o rótulo de sensibilidade para o item do Power BI (como um relatório ou modelo semântico) estiver definido como Altamente Restrito. Tem uma mensagem de bloqueio personalizada útil para o usuário. No entanto, nesta situação não há necessidade de gerar um alerta.

Exemplo 2: Você pode definir uma política de atividade que rastreie se um usuário externo visualizou um relatório altamente privilegiado fornecido ao conselho de administração. Um alerta de alta gravidade pode ser configurado para garantir que a atividade seja prontamente investigada.

Gorjeta

O exemplo 2 destaca as diferenças entre proteção e segurança das informações. Sua política de atividades pode ajudar a identificar cenários em que os usuários de BI de autoatendimento têm permissão para gerenciar a segurança do conteúdo. No entanto, esses usuários podem tomar ações que são desencorajadas pela política organizacional. Recomendamos que você configure esses tipos de políticas somente em circunstâncias específicas, quando as informações forem especialmente confidenciais.

Lista de verificação - Ao considerar alertas para administradores no Defender for Cloud Apps, as principais decisões e ações incluem:

  • Decida quando os alertas são necessários: para cada política que você pretende criar, decida quais situações justificam o uso de alertas.
  • Esclarecer papéis e responsabilidades: Determine as expectativas e as ações que devem ser tomadas quando um alerta é gerado.
  • Determine quem receberá alertas: decida quais administradores de segurança e conformidade analisarão e executarão alertas abertos. Confirme se as permissões e os requisitos de licenciamento são atendidos para cada administrador que usará o Defender for Cloud Apps.
  • Criar um novo grupo: quando necessário, crie um novo grupo de segurança habilitado para email para usar para notificações por email.

Convenção de nomenclatura de políticas

Antes de criar políticas no Defender for Cloud Apps, é uma boa ideia criar primeiro uma convenção de nomenclatura. Uma convenção de nomenclatura é útil quando há muitos tipos de políticas para muitos tipos de aplicativos. Também é útil quando os administradores do Power BI se envolvem no monitoramento.

Gorjeta

Considere conceder ao Defender for Cloud Apps acesso aos seus administradores do Power BI. Use a função de administrador, que permite exibir o log de atividades, eventos de entrada e eventos relacionados ao serviço do Power BI.

Considere um modelo de convenção de nomenclatura que inclua espaços reservados para componentes: <Aplicação> - <Descrição - <Ação>> - <Tipo de Política>

Aqui estão alguns exemplos de convenção de nomenclatura.

Tipo de apólice Em tempo real Nome da política
Política de sessão Sim Power BI - Rótulo altamente restrito - Bloquear downloads - RT
Política de acesso Sim Tudo - Dispositivo não gerenciado - Bloquear acesso - RT
Política de atividade Não Power BI - Atividade administrativa
Política de atividade Não Power BI - Relatório executivo de visualizações de usuários externos

Os componentes da convenção de nomenclatura incluem:

  • Aplicativo: O nome do aplicativo. O prefixo do Power BI ajuda a agrupar todas as políticas específicas do Power BI quando classificadas. No entanto, algumas políticas serão aplicadas a todos os aplicativos na nuvem em vez de apenas ao serviço do Power BI.
  • Descrição: A parte de descrição do nome irá variar mais. Pode incluir rótulos de sensibilidade afetados ou o tipo de atividade que está sendo rastreada.
  • Ação: (Opcional) Nos exemplos, uma política de sessão tem uma ação de Bloquear downloads. Normalmente, uma ação só é necessária quando é uma política em tempo real.
  • Tipo de política: (Opcional) No exemplo, o sufixo RT indica que é uma política em tempo real. Designar se é em tempo real ou não ajuda a gerir as expectativas.

Há outros atributos que não precisam ser incluídos no nome da política. Esses atributos incluem o nível de gravidade (baixo, médio ou alto) e a categoria (como deteção de ameaças ou DLP). Ambos os atributos podem ser filtrados na página de alertas.

Gorjeta

Você pode renomear uma política no Defender for Cloud Apps. No entanto, não é possível renomear as políticas internas de deteção de anomalias. Por exemplo, o compartilhamento de relatório suspeito do Power BI é uma política interna que não pode ser renomeada.

Lista de verificação - Ao considerar a convenção de nomenclatura de políticas, as principais decisões e ações incluem:

  • Escolha uma convenção de nomenclatura: use suas primeiras políticas para estabelecer uma convenção de nomenclatura consistente e fácil de interpretar. Concentre-se em usar um prefixo e sufixo consistentes.
  • Documente a convenção de nomenclatura: forneça documentação de referência sobre a convenção de nomenclatura da política. Verifique se os administradores do sistema estão cientes da convenção de nomenclatura.
  • Atualizar políticas existentes: atualize todas as políticas existentes do Defender para estar em conformidade com a nova convenção de nomenclatura.

Requisitos de licenciamento

Licenças específicas devem estar em vigor para monitorar um locatário do Power BI. Os administradores devem ter uma das seguintes licenças.

  • Microsoft Defender for Cloud Apps: fornece recursos do Defender for Cloud Apps para todos os aplicativos com suporte (incluindo o serviço Power BI).
  • Office 365 Cloud App Security: fornece recursos do Defender for Cloud Apps para aplicativos do Office 365 que fazem parte do pacote do Office 365 E5 (incluindo o serviço Power BI).

Além disso, se os usuários precisarem usar políticas de acesso em tempo real ou políticas de sessão no Defender for Cloud Apps, eles precisarão de uma licença Microsoft Entra ID P1.

Gorjeta

Se precisar de esclarecimentos sobre os requisitos de licenciamento, fale com a equipa da sua conta Microsoft.

Lista de verificação - Ao avaliar os requisitos de licenciamento, as principais decisões e ações incluem:

  • Revise os requisitos de licenciamento do produto: certifique-se de ter revisado todos os requisitos de licenciamento para trabalhar com o Defender for Cloud Apps.
  • Obter licenças adicionais: Se aplicável, adquira mais licenças para desbloquear a funcionalidade que pretende utilizar.
  • Atribuir licenças: atribua uma licença a cada um dos seus administradores de segurança e conformidade que usarão o Defender for Cloud Apps.

Documentação e formação do utilizador

Antes de implementar o Defender for Cloud Apps, recomendamos que você crie e publique a documentação do usuário. Uma página do SharePoint ou uma página wiki no seu portal centralizado pode funcionar bem porque será fácil de manter. Um documento carregado para uma biblioteca compartilhada ou site do Teams também é uma boa solução.

O objetivo da documentação é alcançar uma experiência de usuário perfeita. Preparar a documentação do usuário também ajudará você a ter certeza de que considerou tudo.

Inclua informações sobre quem contatar quando os usuários tiverem dúvidas ou problemas técnicos.

Perguntas frequentes e exemplos são especialmente úteis para a documentação do usuário.

Lista de verificação - Ao preparar a documentação e o treinamento do usuário, as principais decisões e ações incluem:

  • Atualizar documentação para criadores de conteúdo e consumidores: atualize suas perguntas frequentes e exemplos para incluir informações relevantes sobre as políticas que os usuários podem encontrar.
  • Publique como obter ajuda: certifique-se de que seus usuários saibam como obter ajuda quando estiverem enfrentando algo inesperado ou que não entendam.
  • Determine se o treinamento específico é necessário: crie ou atualize seu treinamento de usuário para incluir informações úteis, especialmente se houver um requisito regulatório para fazê-lo.

Suporte de utilizador

É importante verificar quem será responsável pelo suporte ao usuário. É comum que o uso do Defender for Cloud Apps para monitorar o Power BI seja feito por um help desk de TI centralizado.

Talvez seja necessário criar documentação para o suporte técnico e conduzir algumas sessões de transferência de conhecimento para garantir que o suporte técnico esteja pronto para responder às solicitações de suporte.

Lista de verificação - Ao preparar-se para a função de apoio ao utilizador, as principais decisões e ações incluem:

  • Identificar quem fornecerá suporte ao usuário: ao definir funções e responsabilidades, certifique-se de levar em conta como os usuários receberão ajuda com problemas que possam encontrar.
  • Verifique se a equipe de suporte ao usuário está pronta: crie documentação e conduza sessões de transferência de conhecimento para garantir que o suporte técnico esteja pronto para dar suporte a esses processos.
  • Comunique-se entre equipes: discuta as mensagens que os usuários podem ver e o processo para resolver alertas abertos com seus administradores do Power BI e o Centro de Excelência. Certifique-se de que todos os envolvidos estão preparados para possíveis perguntas dos usuários do Power BI.

Resumo da execução

Depois que as decisões foram tomadas e um plano de implantação foi preparado, é hora de iniciar a implementação.

Se você pretende usar políticas em tempo real (políticas de sessão ou políticas de acesso), sua primeira tarefa é configurar o controle de aplicativo de acesso condicional do Microsoft Entra. Você precisará configurar o serviço do Power BI como um aplicativo de catálogo que será controlado pelo Defender for Cloud Apps.

Quando o controle de aplicativo de Acesso Condicional do Microsoft Entra é configurado e testado, você pode criar políticas no Defender for Cloud Apps.

Importante

Recomendamos que você apresente essa funcionalidade a um pequeno número de usuários de teste primeiro. Há também um modo somente monitor que você pode achar útil para introduzir essa funcionalidade de forma ordenada.

A lista de verificação a seguir inclui uma lista resumida das etapas de implementação de ponta a ponta. Muitas das etapas têm outros detalhes que foram abordados nas seções anteriores deste artigo.

Lista de verificação - Ao implementar o Defender for Cloud Apps com o Power BI, as principais decisões e ações incluem:

  • Verificar o estado atual e os objetivos: certifique-se de que tem clareza sobre o estado atual da DLP para utilização com o Power BI. Todos os objetivos e requisitos para a implementação da DLP devem ser claros e usados ativamente para conduzir o processo de tomada de decisão.
  • Realizar o processo de tomada de decisão: Rever e discutir todas as decisões que são necessárias. Esta tarefa deve ocorrer antes de configurar qualquer coisa na produção.
  • Revise os requisitos de licenciamento: certifique-se de entender os requisitos de licenciamento de produtos e de usuário. Se necessário, adquira e atribua mais licenças.
  • Publicar documentação do usuário: publique informações que os usuários precisarão para responder a perguntas e esclarecer expectativas. Forneça orientação, comunicações e treinamento aos seus usuários para que eles estejam preparados.
  • Criar uma política de Acesso Condicional do Microsoft Entra: crie uma política de acesso condicional no Microsoft Entra ID para habilitar controles em tempo real para monitorar o serviço do Power BI. Em primeiro lugar, habilite a política de Acesso Condicional do Microsoft Entra para alguns usuários de teste.
  • Definir o Power BI como um aplicativo conectado no Defender for Cloud Apps: adicione ou verifique se o Power BI aparece como um aplicativo conectado no Defender for Cloud Apps para controle de aplicativo de acesso condicional.
  • Executar testes iniciais: entre no serviço do Power BI como um dos usuários de teste. Verifique se o acesso funciona. Verifique também se a mensagem exibida informa que o serviço do Power BI é monitorado pelo Defender for Cloud Apps.
  • Criar e testar uma política em tempo real: usando os casos de uso já compilados, crie uma política de acesso ou uma política de sessão no Defender for Cloud Apps.
  • Executar testes iniciais: como um usuário de teste, execute uma ação que acionará a política em tempo real. Verifique se a ação está bloqueada (se apropriado) e se as mensagens de alerta esperadas são exibidas.
  • Coletar feedback do usuário: obtenha feedback sobre o processo e a experiência do usuário. Identifique áreas de confusão, resultados inesperados com tipos de informações confidenciais e outros problemas técnicos.
  • Continuar as versões iterativas: adicione gradualmente mais políticas no Defender for Cloud Apps até que todos os casos de uso sejam resolvidos.
  • Revise as políticas internas: localize as políticas internas de deteção de anomalias no Defender for Cloud Apps (que têm o Power BI em seu nome). Atualize as configurações de alerta para as políticas internas, quando necessário.
  • Prossiga com uma distribuição mais ampla: continue a trabalhar em seu plano de distribuição iterativa. Atualize a política de Acesso Condicional do Microsoft Entra para ser aplicada a um conjunto mais amplo de usuários, conforme apropriado. Atualize as políticas individuais no Defender for Cloud Apps para aplicar a um conjunto mais amplo de usuários, conforme apropriado.
  • Monitore, ajuste e ajuste: invista recursos para revisar alertas de correspondência de políticas e logs de auditoria com frequência. Investigue quaisquer falsos positivos e ajuste as políticas quando necessário.

Gorjeta

Esses itens da lista de verificação são resumidos para fins de planejamento. Para obter mais detalhes sobre esses itens da lista de verificação, consulte as seções anteriores deste artigo.

Para obter informações mais específicas sobre como implantar o Power BI como um aplicativo de catálogo no Defender for Cloud Apps, consulte as etapas para implantar aplicativos de catálogo.

Monitorização contínua

Depois de concluir a implementação, você deve direcionar sua atenção para monitorar, aplicar e ajustar as políticas do Defender for Cloud Apps com base em seu uso.

Os administradores do Power BI e os administradores de segurança e conformidade precisarão colaborar periodicamente. Para o conteúdo do Power BI, há dois públicos para monitoramento.

  • Administradores do Power BI: além dos alertas gerados pelo Defender for Cloud Apps, as atividades do log de atividades do Power BI também são exibidas no portal do Defender for Cloud Apps.
  • Administradores de segurança e conformidade: os administradores de segurança e conformidade da organização normalmente usam alertas do Defender for Cloud Apps.

É possível fornecer aos administradores do Power BI uma visão limitada no Defender for Cloud Apps. Ele usa uma função com escopo para exibir o log de atividades, eventos de entrada e eventos relacionados ao serviço do Power BI. Esse recurso é uma conveniência para os administradores do Power BI.

Lista de verificação - Ao monitorar o Defender for Cloud Apps, as principais decisões e ações incluem:

  • Verificar funções e responsabilidades: certifique-se de que tem clareza sobre quem é responsável por quais ações. Eduque e comunique com os administradores do Power BI se eles forem responsáveis por qualquer aspeto da monitorização.
  • Gerenciar acesso para administradores do Power BI: adicione seus administradores do Power BI à função de administrador com escopo no Defender for Cloud Apps. Comunique-se com eles para que eles saibam o que podem fazer com essas informações extras.
  • Crie ou valide seu processo de revisão de atividades: certifique-se de que seus administradores de segurança e conformidade estejam claros sobre as expectativas de revisão regular do explorador de atividades.
  • Crie ou valide seu processo para resolver alertas: certifique-se de que seus administradores de segurança e conformidade tenham um processo para investigar e resolver alertas abertos.

No próximo artigo desta série, saiba mais sobre auditoria para proteção de informações e prevenção de perda de dados para o Power BI.