Часто используемые политики Microsoft Defender for Cloud Apps защиты информации

Defender for Cloud Apps политики файлов позволяют применять широкий спектр автоматизированных процессов. Политики можно настроить для защиты информации, включая непрерывные проверки соответствия требованиям, юридические задачи обнаружения электронных данных и защиту от потери данных для конфиденциального содержимого, к которым предоставлен общий доступ.

Defender for Cloud Apps может отслеживать любой тип файла на основе более чем 20 фильтров метаданных, например уровня доступа и типа файла. Дополнительные сведения см. в разделе Политики файлов.

Обнаружение и предотвращение внешнего общего доступа к конфиденциальным данным

Обнаруживайте, когда файлы с персональными данными или другими конфиденциальными данными хранятся в облачной службе и передаются пользователям, которые являются внешними для вашей организации, что нарушает политику безопасности вашей компании и создает потенциальное нарушение соответствия требованиям.

Предварительные условия

Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте новую политику файлов.

2. Установите фильтр Уровень доступа : Общедоступный (Интернет) / Общедоступный / Внешний.

3. В разделе Метод проверки выберите Служба классификации данных (DCS) и в разделе Выбор типа выберите тип конфиденциальной информации, которую требуется проверить.

4. Настройте действия системы управления , которые будут выполняться при срабатывании оповещения. Например, можно создать действие управления, которое выполняется при обнаруженных нарушениях файлов в Google Workspace, в котором выбраны варианты Удалить внешних пользователей и Удалить общий доступ.

5. Создайте политику файлов.

Обнаружение внешних общих конфиденциальных данных

Обнаруживайте, когда файлы, помеченные как Конфиденциальные и хранящиеся в облачной службе, передаются внешним пользователям, нарушая политики компании.

Предварительные условия

• Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

• Включите интеграцию Защита информации Microsoft Purview.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте новую политику файлов.

2. Установите для фильтра метку конфиденциальностизначение Защита информации Microsoft Purview равно метку Конфиденциально или эквивалент вашей компании.

3. Установите фильтр Уровень доступа : Общедоступный (Интернет) / Общедоступный / Внешний.

4. Необязательно. Задайте действия управления , которые будут выполняться с файлами при обнаружении нарушения. Доступные действия по управлению зависят от служб.

5. Создайте политику файлов.

Обнаружение и шифрование неактивных конфиденциальных данных

Обнаруживайте файлы, содержащие персональные данные и другие конфиденциальные данные, которые совместно используются в облачном приложении, и применяйте метки конфиденциальности, чтобы ограничить доступ только сотрудникам вашей компании.

Предварительные условия

• Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

• Включите интеграцию Защита информации Microsoft Purview.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте новую политику файлов.

2. В разделе Метод проверки выберите Служба классификации данных (DCS) и в разделе Тип выбора выберите тип конфиденциальной информации, которую требуется проверить.

3. В разделе Действия по управлению проверка Применить метку конфиденциальности и выберите метку конфиденциальности, которую ваша компания использует для ограничения доступа сотрудников компании.

4. Создайте политику файлов.

Примечание.

Возможность применения метки конфиденциальности непосредственно в Defender for Cloud Apps в настоящее время поддерживается только для Box, Google Workspace, SharePoint Online и OneDrive для бизнеса.

Обнаружение доступа к данным из несанкционированного расположения

Определите, когда доступ к файлам происходит из несанкционированного расположения на основе общих расположений вашей организации, чтобы определить потенциальную утечку данных или вредоносный доступ.

Предварительные условия

Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте политику действий.

2. Задайте тип действия фильтра для интересующих вас действий в файлах и папках, таких как Просмотр, Скачивание, Доступ и Изменение.

3. Установите фильтр Расположение не равно, а затем введите страны или регионы, от которых ваша организация ожидает действий.

   • Необязательно. Вы можете использовать противоположный подход и задать для фильтра значение Расположение равно, если ваша организация блокирует доступ из определенных стран или регионов.

4. Необязательно. Создайте действия управления , которые будут применяться к обнаружению нарушения (доступность зависит от служб), например Приостановка пользователя.

5. Создайте политику действий.

Обнаружение и защита хранилища конфиденциальных данных на несоответствующем сайте sp

Обнаружение файлов, помеченных как конфиденциальные и хранящихся на сайте SharePoint, не соответствующего требованиям.

Предварительные условия

Метки конфиденциальности настраиваются и используются в организации.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте новую политику файлов.

2. Установите для фильтра метку конфиденциальностизначение Защита информации Microsoft Purview равно метку Конфиденциально или эквивалент вашей компании.

3. Установите фильтр Родительская папка не равно, а затем в разделе Выберите папку выберите все соответствующие папки в вашей организации.

4. В разделе Оповещения выберите Создать оповещение для каждого соответствующего файла.

5. Необязательно. Задайте действия управления , которые будут выполняться с файлами при обнаружении нарушения. Доступные действия по управлению зависят от служб. Например, установите поле для отправки дайджеста соответствия политик владельцу файла и поместите в карантин администратора.

6. Создайте политику файлов.

Обнаружение внешнего общего исходного кода

Определите, когда файлы, содержащие содержимое, которое может быть исходным кодом, становятся общедоступными или предоставляются пользователям за пределами вашей организации.

Предварительные условия

Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте новую политику файлов.

2. Выбор и применение шаблона политики Внешний общий исходный код

3. Необязательно. Настройте список расширений файлов в соответствии с расширениями исходного кода вашей организации.

4. Необязательно. Задайте действия управления , которые будут выполняться с файлами при обнаружении нарушения. Доступные действия по управлению зависят от служб. Например, в Box выполните отправку дайджеста соответствия политик владельцу файла и поместите в карантин администратора.

5. Выберите и примените шаблон политики.

Обнаружение несанкционированного доступа к данным группы

Обнаруживайте, когда некоторые файлы, принадлежащие определенной группе пользователей, получают чрезмерный доступ к определенным файлам, не входящим в группу, что может представлять потенциальную угрозу для внутренней оценки.

Предварительные условия

Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте политику действий.

2. В разделе Действовать в выберите Повторяющиеся действия и настройте минимальное количество повторяющегося действия и задайте период времени в соответствии с политикой вашей организации.

3. Задайте тип действия фильтра для интересующих вас действий в файлах и папках, таких как Просмотр, Скачивание, Доступ и Изменение.

4. Задайте для фильтра Значение Отгруппы равно, а затем выберите соответствующие группы пользователей.

   Примечание.

   Группы пользователей можно импортировать вручную из поддерживаемых приложений.

5. Задайте для фильтра Файлы и папкизначение Конкретные файлы или папки равны, а затем выберите файлы и папки, принадлежащие группе проверяемых пользователей.

6. Задайте действия по управлению , которые будут выполняться с файлами при обнаружении нарушения. Доступные действия по управлению зависят от служб. Например, можно выбрать приостановить пользователя.

7. Создайте политику файлов.

Обнаружение общедоступных контейнеров S3

Обнаружение и защита от потенциальных утечек данных из контейнеров AWS S3.

Предварительные условия

У вас должен быть экземпляр AWS, подключенный с помощью соединителей приложений.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте новую политику файлов.

2. Выберите и примените шаблон политики Общедоступные контейнеры S3 (AWS).

3. Задайте действия по управлению , которые будут выполняться с файлами при обнаружении нарушения. Доступные действия по управлению зависят от служб. Например, задайте для AWS значение Сделать частным , чтобы сделать контейнеры S3 частными.

4. Создайте политику файлов.

Обнаружение и защита данных, связанных с GDPR, в приложениях хранилища файлов

Обнаружение файлов, которые совместно используются в приложениях облачного хранилища и содержат персональные данные и другие конфиденциальные данные, связанные политикой соответствия GDPR. Затем автоматически примените метки конфиденциальности, чтобы ограничить доступ только для авторизованного персонала.

Предварительные условия

• Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

• Защита информации Microsoft Purview интеграция включена и метка GDPR настроена в Microsoft Purview

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте новую политику файлов.

2. В разделе Метод проверки выберите Служба классификации данных (DCS) и в разделе Тип выбора выберите один или несколько типов информации, которые соответствуют требованиям GDPR, например: номер дебетовой карта ЕС, номер водительского удостоверения ЕС, национальный или региональный идентификационный номер ЕС, номер паспорта ЕС, SSN ЕС, идентификационный номер налогоплательщика SU.

3. Задайте действия управления , которые будут выполняться с файлами при обнаружении нарушения, выбрав Применить метку конфиденциальности для каждого поддерживаемого приложения.

4. Создайте политику файлов.

Примечание.

В настоящее время метка конфиденциальности "Применить" поддерживается только для Box, Google Workspace, SharePoint Online и OneDrive для бизнеса.

Блокировка загрузки для внешних пользователей в режиме реального времени

Предотвращение эксфильтрации корпоративных данных внешними пользователями путем блокирования загрузки файлов в режиме реального времени с помощью элементов управления сеансом Defender for Cloud Apps.

Предварительные условия

Убедитесь, что ваше приложение является приложением на основе SAML, которое использует Microsoft Entra ID для единого входа или подключено к Defender for Cloud Apps для управления условным доступом к приложениям.

Дополнительные сведения о поддерживаемых приложениях см. в разделе Поддерживаемые приложения и клиенты.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте политику сеанса.

2. В разделе Тип элемента управления сеансом выберите Управление скачиванием файла (с проверкой).

3. В разделе Фильтры действий выберите Пользователь и задайте для него значение Из группы равно Внешним пользователям.

   Примечание.

   Вам не нужно задавать фильтры приложений, чтобы включить эту политику для применения ко всем приложениям.

4. Для настройки типа файла можно использовать фильтр файлов . Это обеспечивает более детализированный контроль над типом файлов, которые контролирует политика сеанса.

5. В разделе Действия выберите Блокировать. Вы можете выбрать Настроить сообщение блока , чтобы настроить пользовательское сообщение для отправки пользователям, чтобы они понимали причину блокировки содержимого и как их можно включить, применяя правильную метку конфиденциальности.

6. Нажмите Создать.

Применение режима только для чтения для внешних пользователей в режиме реального времени

Предотвращение эксфильтрации корпоративных данных внешними пользователями путем блокирования операций печати и копирования и вставки в режиме реального времени с помощью элементов управления сеансом Defender for Cloud Apps.

Предварительные условия

Убедитесь, что ваше приложение является приложением на основе SAML, которое использует Microsoft Entra ID для единого входа или подключено к Defender for Cloud Apps для управления условным доступом к приложениям.

Дополнительные сведения о поддерживаемых приложениях см. в разделе Поддерживаемые приложения и клиенты.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте политику сеанса.

2. В разделе Тип элемента управления сеансом выберите Блокировать действия.

3. В фильтре источника действия :

   1. Выберите Пользователь и задайте для параметра Из группызначение Внешние пользователи.

   2. Выберите Тип действия : Печать и Вырезать или скопировать элемент.

   Примечание.

   Вам не нужно задавать фильтры приложений, чтобы включить эту политику для применения ко всем приложениям.

4. Необязательно. В разделе Метод проверки выберите тип проверки для применения и задайте необходимые условия для сканирования защиты от потери данных.

5. В разделе Действия выберите Блокировать. Вы можете выбрать Настроить сообщение блока , чтобы настроить пользовательское сообщение для отправки пользователям, чтобы они понимали причину блокировки содержимого и как их можно включить, применяя правильную метку конфиденциальности.

6. Нажмите Создать.

Блокировка отправки несекретных документов в режиме реального времени

Запретить пользователям отправлять незащищенные данные в облако с помощью элементов управления сеансом Defender for Cloud Apps.

Предварительные условия

• Убедитесь, что ваше приложение является приложением на основе SAML, которое использует Microsoft Entra ID для единого входа или подключено к Defender for Cloud Apps для управления условным доступом к приложениям.

Дополнительные сведения о поддерживаемых приложениях см. в разделе Поддерживаемые приложения и клиенты.

• Метки конфиденциальности из Защита информации Microsoft Purview необходимо настроить и использовать в организации.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте политику сеанса.

2. В разделе Тип элемента управления сеансом выберите Управление отправкой файла (с проверкой) или Управление скачиванием файла (с проверкой).

   Примечание.

   Вам не нужно задавать фильтры, чтобы включить эту политику для применения ко всем пользователям и приложениям.

3. Выберите фильтр файлов Метка конфиденциальности не равна, а затем выберите метки, которые ваша компания использует для добавления тегов к классифицированным файлам.

4. Необязательно. В разделе Метод проверки выберите тип проверки для применения и задайте необходимые условия для сканирования защиты от потери данных.

5. В разделе Действия выберите Блокировать. Вы можете выбрать Настроить сообщение блока , чтобы настроить пользовательское сообщение для отправки пользователям, чтобы они понимали причину блокировки содержимого и как их можно включить, применяя правильную метку конфиденциальности.

6. Нажмите Создать.

Примечание.

Список типов файлов, которые в настоящее время Defender for Cloud Apps поддерживают метки конфиденциальности из Защита информации Microsoft Purview, см. в разделе предварительные требования для интеграции Защита информации Microsoft Purview.

Дальнейшие действия

Рекомендации по защите организации

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.