教程:自动应用来自 Microsoft Purview 信息保护的敏感度标签
理想情况下,所有员工都了解信息保护的重要性并按策略工作。 但在实际情况中,从事会计的合作伙伴可能会使用不当权限将文档上传到 OneDrive for Business 存储库。 一周后,你会发现企业机密信息已经泄露给了竞争对手。 Microsoft Defender for Cloud Apps 可帮助防止这种灾难发生。 此功能可用于 Box、SharePoint 和 OneDrive for Business。 应用敏感度标签是众多可用治理操作中的一种。
在本教程中,你将学习如何识别对保存在云存储中的文档设置的公共权限,以便在出现安全违规时收到警报。 此外,你还可以自动应用 Microsoft Purview 信息保护机密敏感度标签,为文件提供额外加密。
增强型数据级别的加密保护
Defender for Cloud Apps 与 Microsoft Purview 信息保护集成,通过自动加密文件,实现更高水平的保护。 当 Microsoft Purview 信息保护加密文件时,支持 Microsoft Purview 信息保护的应用程序(例如 Microsoft 365)就会知道如何打开文件,并遵守敏感度标签中设置的权限。 可使用标签来应用特定的保护规则。 例如,可以设置一个文件,使其能够被打开但无法共享、打印、转发或编辑。
这种高强度的保护会一直伴随该文件。 在发送文件、复制文件或将其存储在联机存储应用中时,文件仍然受到保护。 如果某位员工丢失了存有该文件的 U 盘,该文件将被锁定。 如果有人尝试打开该文件,文件所有者会收到警报。 使用 Defender for Cloud Apps,可自动应用保护。 例如,所有含信用卡号码或由财务部门上传以及在外部共享的文件,都设置为使用敏感度标签自动保护。
威胁
组织中的用户将机密客户信息文件保存到 Box 中,并将其设置为与组织中的所有人共享。 用户没有意识到,除自己的直属团队以外,所有支持人员也能访问该 OneDrive for Business 帐户。 此访问包括供应商、合作伙伴和偶尔进入办公室的访客。 有权访问组织的 OneDrive for Business 帐户的任何人现在均有权访问该信息。 这样的访问不仅会对组织造成危险,还可能违反许多国家/地区的个人信息管理规定,导致潜在的法律问题。
解决方案
配合使用 Defender for Cloud Apps 和 Microsoft Purview 信息保护,嵌入分类和保护信息以获得永久保护,这样可确保数据一直受到保护,而无论数据存储在何处或与谁共享。 这种保护还让你可以与同事、客户和合作伙伴安全地共享数据。 定义可以访问信息的人以及他们可以对数据执行的操作。 例如,允许用户查看和编辑文件,但不能打印或转发文件。 还可为文件添加受 Defender for Cloud Apps 支持的其他治理操作,例如删除协作者和删除共享功能。
先决条件
设置数据保护
我们来设置一个策略,该策略查找存储在 OneDrive for Business 帐户的文件中的信用卡号码。 找到文件后,自动应用敏感度标签,然后控制具有该标签的所有文件的各个方面。
通过设置策略对存储在 OneDrive for Business 中的所有敏感数据进行加密来开始保护存储在 OneDrive for Business 中的数据:
在 Microsoft Defender 门户的“云应用”下,选择“策略”->“策略管理”。
选择“创建策略”>“文件策略”。
在 Microsoft Defender 门户的“云应用”下,“策略”-“策略管理”。
在与以下所有区域匹配的文件中,创建一个筛选器以面向专有和敏感数据。 例如:
- 选择“添加筛选器”,然后选择“选择筛选器”选项>“父文件夹>等于>”选择文件夹”。
- 在 “选择文件夹 ”对话框中,选择要监视的文件夹,例如 Sales West,然后选择“ 完成”。
- 再次选择“添加筛选器”,然后选择“协作者>组>包含财务”>
定义检查方法以查找包含信用卡信息的文件:
- 在“检查方法”下拉菜单中,选择“数据分类服务”。
- 选择“选择检查类型>敏感信息类型>”信用卡号>完成”。 选择敏感信息类型时,在“搜索”框中输入信用额度,然后按 Enter 筛选列出的类型。
在 “治理操作 ”区域中,展开 “Microsoft OneDrive for Business ”下拉列表,然后选择“ 应用敏感度标签”。 选择要应用的标签,例如 机密 - 财务。
Defender for Cloud Apps 与 Microsoft Purview 信息保护集成,使你可以从现有敏感度标签列表中选择,以保护数据。
选择创建。
调查匹配项
设置策略以监视所选文件夹中的信用卡信息后,执行以下操作以调查找到的任何匹配项:
- 在 Microsoft Defender XDR 云应用导航菜单中,选择“策略>策略管理”。
- 选择之前创建的策略,然后选择“查看策略匹配”。
- 查看策略触发的匹配项。 选择要展开的任何特定文件以获取更多详细信息,包括所选文件匹配的任何其他策略。
验证策略
- 要模拟警报,请在策略中定义的 OneDrive for Business 文件夹中创建包含模拟信用额度卡编号的文件。
- 转到策略报告,其中应很快显示新的匹配项。
- 可以选择该匹配项,以查看哪些文件受到保护。 匹配项本身将被屏蔽以保护敏感数据。
注意
- Defender for Cloud Apps 当前支持在 Box、GSuite、SharePoint 和 OneDrive for Business 上自动应用敏感度标签。
- 当 Defender for Cloud Apps 标记文档时,不会应用视觉标记(如页眉、页脚或水印)。 有关详细信息,请参阅了解敏感度标签。
后续步骤
如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。