Zásady ochrany informací

Zásady souborů Defender for Cloud Apps umožňují vynutit širokou škálu automatizovaných procesů. Zásady je možné nastavit tak, aby poskytovaly ochranu informací, včetně průběžných kontrol dodržování předpisů, úloh právních eDiscovery a ochrany před únikem informací pro citlivý obsah sdílený veřejně.

Defender for Cloud Apps může monitorovat jakýkoli typ souboru na základě více než 20 filtrů metadat, například úrovně přístupu a typu souboru. Další informace najdete v tématu Zásady souborů.

Detekce a zabránění externímu sdílení citlivých dat

Zjistěte, kdy se soubory s osobními identifikací nebo jinými citlivými daty ukládají v cloudové službě a sdílí se s uživateli, kteří jsou mimo vaši organizaci, které porušují zásady zabezpečení vaší společnosti, a vytvářejí potenciální porušení předpisů.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu souborů.

2. Nastavte filtr Úroveň přístupu se rovná veřejné (internet) / veřejné / externí.

3. V části Metoda kontroly vyberte Službu klasifikace dat (DCS) a v části Vybrat typ vyberte typ citlivých informací, které má DCS zkontrolovat.

4. Nakonfigurujte akce zásad správného řízení, které se mají provést při aktivaci výstrahy. Můžete například vytvořit akci zásad správného řízení, která se spustí na zjištěných porušeních souborů v pracovním prostoru Google, ve kterém vyberete možnost Odebrat externí uživatele a Odebrat veřejný přístup.

5. Vytvořte zásadu souborů.

Zjišťování externě sdílených důvěrných dat

Zjistěte, kdy se soubory, které jsou označené jako Důvěrné , a jsou uložené v cloudové službě, sdílí s externími uživateli a porušení zásad společnosti.

Požadavky

• Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

• Povolte integraci služby Microsoft Purview Information Protection.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu souborů.

2. Nastavte popisek citlivosti filtru na Microsoft Purview Information Protection se rovná popisku Důvěrné nebo ekvivalent vaší společnosti.

3. Nastavte filtr Úroveň přístupu se rovná veřejné (internet) / veřejné / externí.

4. Volitelné: Nastavte akce zásad správného řízení , které se mají provést u souborů při zjištění porušení. Dostupné akce zásad správného řízení se mezi službami liší.

5. Vytvořte zásadu souborů.

Detekce a šifrování neaktivních uložených dat

Detekujte soubory obsahující osobní identifikační údaje a další citlivá data, která jsou sdílená v cloudové aplikaci, a použijte popisky citlivosti, abyste omezili přístup jenom zaměstnancům ve vaší společnosti.

Požadavky

• Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

• Povolte integraci služby Microsoft Purview Information Protection.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu souborů.

2. V části Metoda kontroly vyberte Službu klasifikace dat (DCS) a v části Vybrat typ vyberte typ citlivých informací, které má DCS zkontrolovat.

3. V části Akce zásad správného řízení zaškrtněte políčko Použít popisek citlivosti a vyberte popisek citlivosti, který vaše společnost používá k omezení přístupu zaměstnancům společnosti.

4. Vytvořte zásadu souborů.

Poznámka:

Možnost použít popisek citlivosti přímo v Defenderu pro Cloud Apps se v současné době podporuje jenom pro Box, Google Workspace, SharePoint Online a OneDrive pro firmy.

Detekce zastaralých externě sdílených dat

Detekujte nepoužívané a zastaralé soubory, soubory, které se nedávno neaktualizovaly, které jsou veřejně přístupné prostřednictvím přímého veřejného odkazu, webového vyhledávání nebo konkrétních externích uživatelů.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu souborů.

2. Vyberte a použijte šablonu zásad Zastaralé externě sdílené soubory.

3. Upravte filtr Naposledy upraven tak, aby odpovídal zásadám vaší organizace.

4. Volitelné: Nastavte akce zásad správného řízení, které se mají provést u souborů při zjištění porušení zásad správného řízení . Dostupné akce zásad správného řízení se mezi službami liší. Příklad:

   • Google Workspace: Nastavení souboru jako soukromé a oznámení posledního editoru souborů

   • Pole: Oznámit poslednímu editoru souborů

   • SharePoint Online: Nastavení souboru jako soukromé a odeslání hodnoty hash shody zásad vlastníkovi souboru

5. Vytvořte zásadu souborů.

Zjištění přístupu k datům z neoprávněného umístění

Zjistěte, kdy se k souborům přistupuje z neoprávněného umístění na základě společných umístění vaší organizace, a identifikujte potenciální únik dat nebo škodlivý přístup.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu aktivity.

2. Nastavte typ aktivity filtru na aktivity souborů a složek, které vás zajímají, například Zobrazení, Stažení, Access a Úpravy.

3. Nastavte filtr Umístění se nerovná a zadejte země nebo oblasti, ze kterých vaše organizace očekává aktivitu.

   • Volitelné: Můžete použít opačný přístup a nastavit filtr na Umístění se rovná, pokud vaše organizace blokuje přístup z konkrétních zemí nebo oblastí.

4. Volitelné: Vytvořte akce zásad správného řízení , které se použijí pro zjištěné porušení (dostupnost se liší mezi službami), jako je například Pozastavení uživatele.

5. Vytvořte zásadu aktivity.

Detekce a ochrana důvěrného úložiště dat v nekompatibilní lokalitě sp

Detekujte soubory, které jsou označené jako důvěrné, a jsou uložené na nekompatibilním sharepointovém webu.

Požadavky

Popisky citlivosti se konfigurují a používají uvnitř organizace.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu souborů.

2. Nastavte popisek citlivosti filtru na Microsoft Purview Information Protection se rovná popisku Důvěrné nebo ekvivalent vaší společnosti.

3. Nastavte nadřazenou složku filtru a potom v části Vybrat složku vyberte všechny kompatibilní složky ve vaší organizaci.

4. V části Výstrahy vyberte Vytvořit výstrahu pro každý odpovídající soubor.

5. Volitelné: Nastavte akce zásad správného řízení , které se mají provést u souborů při zjištění porušení. Dostupné akce zásad správného řízení se mezi službami liší. Například Nastavit box pro odeslání hodnoty hash shody zásad pro vlastníka souboru a umístit do karantény správce.

6. Vytvořte zásadu souborů.

Zjištění externě sdíleného zdrojového kódu

Zjistěte, kdy se veřejně sdílí soubory obsahující obsah, který může být zdrojovým kódem, nebo se sdílí s uživateli mimo vaši organizaci.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu souborů.

2. Výběr a použití šablony zásad externě sdílený zdrojový kód

3. Volitelné: Přizpůsobte si seznam přípon souborů tak, aby odpovídal příponě zdrojového kódu vaší organizace.

4. Volitelné: Nastavte akce zásad správného řízení , které se mají provést u souborů při zjištění porušení. Dostupné akce zásad správného řízení se mezi službami liší. Například v Boxu odešlete hodnotu hash odpovídající zásadám vlastníkovi souboru a vložte ji do karantény správce.

5. Vyberte a použijte šablonu zásad.

Zjištění neoprávněného přístupu k datům skupiny

Zjistěte, kdy se k určitým souborům patřícím do konkrétní skupiny uživatelů přistupuje nadměrně uživatel, který není součástí skupiny, což může být potenciální vnitřní hrozba.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu aktivity.

2. V části Akce vyberte Opakovaná aktivita a přizpůsobte minimální opakující se aktivity a nastavte časový rámec tak, aby vyhovoval zásadám vaší organizace.

3. Nastavte typ aktivity filtru na aktivity souborů a složek, které vás zajímají, například Zobrazení, Stažení, Access a Úpravy.

4. Nastavte filtr User to From group equals a pak vyberte příslušné skupiny uživatelů.

   Poznámka:

   Skupiny uživatelů je možné importovat ručně z podporovaných aplikací.

5. Nastavte filtr Soubory a složky na Konkrétní soubory nebo složky se rovná a pak zvolte soubory a složky, které patří do auditované skupiny uživatelů.

6. Nastavte akce zásad správného řízení, které se mají provést u souborů při zjištění porušení zásad správného řízení. Dostupné akce zásad správného řízení se mezi službami liší. Můžete se například rozhodnout pozastavit uživatele.

7. Vytvořte zásadu souborů.

Detekce veřejně přístupných kontejnerů S3

Detekujte a chraňte před potenciálním únikem dat z kontejnerů AWS S3.

Požadavky

Musíte mít připojenou instanci AWS pomocí konektorů aplikací.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu souborů.

2. Vyberte a použijte šablonu zásad s veřejně přístupnými kontejnery S3 (AWS).

3. Nastavte akce zásad správného řízení, které se mají provést u souborů při zjištění porušení zásad správného řízení. Dostupné akce zásad správného řízení se mezi službami liší. Například nastavte AWS na Nastavit jako soukromé , což by zpřístupnilo kontejnery S3 jako soukromé.

4. Vytvořte zásadu souborů.

Detekce a ochrana dat souvisejících s GDPR napříč aplikacemi úložiště souborů

Detekujte soubory sdílené v aplikacích cloudového úložiště a obsahují osobní identifikační údaje a další citlivá data, která jsou vázána zásadami dodržování předpisů GDPR. Potom automaticky použijete popisky citlivosti, abyste omezili přístup jenom na oprávněné pracovníky.

Požadavky

• Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

• Integrace AIP (Microsoft Purview Information Protection) je povolená a popisek GDPR je nakonfigurovaný v AIP.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu souborů.

2. V části Metoda kontroly vyberte Službu klasifikace dat (DCS) a v části Vybrat typ vyberte jeden nebo více typů informací, které splňují předpisy GDPR, například: číslo debetní karty EU, číslo řidičského průkazu EU, národní/regionální identifikační číslo EU, číslo pasu EU, SSN EU, identifikační číslo SU.

3. Nastavte akce zásad správného řízení, které se mají provést u souborů při zjištění narušení, výběrem možnosti Použít popisek citlivosti pro každou podporovanou aplikaci.

4. Vytvořte zásadu souborů.

Poznámka:

V současné době se popisek citlivosti používá jenom pro Box, Google Workspace, SharePoint Online a OneDrive pro firmy.

Blokování stahování externích uživatelů v reálném čase

Znemožnit externím uživatelům exfiltraci firemních dat tím, že blokují stahování souborů v reálném čase pomocí ovládacích prvků relace Defenderu for Cloud Apps.

Požadavky

• Nasaďte řízení podmíněného přístupu pro aplikace Microsoft Entra.

• Ujistěte se, že je vaše aplikace založená na SAML, která pro jednotné přihlašování využívá ID Microsoft Entra. Další informace o podporovaných aplikacích najdete v tématu Podporované aplikace a klienti.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu relace.

2. V části Typ ovládacího prvku Relace vyberte Možnost Stažení ovládacího souboru (s kontrolou).

3. V části Filtry aktivit vyberte Možnost Uživatel a nastavte ji na Možnost Ze skupiny se rovná externím uživatelům.

   Poznámka:

   Abyste mohli tuto zásadu použít pro všechny aplikace, nemusíte nastavovat žádné filtry aplikací.

4. K přizpůsobení typu souboru můžete použít filtr Soubor. Tím získáte podrobnější kontrolu nad typem souborů, které zásady relace řídí.

5. V části Akce vyberte Blokovat. Pokud chcete uživatelům nastavit vlastní zprávu pro odeslání, můžete vybrat možnost Přizpůsobit blokovou zprávu , aby pochopili důvod, proč je obsah blokovaný a jak ho můžou povolit použitím správného popisku citlivosti.

6. Vyberte Vytvořit.

Vynucení režimu jen pro čtení pro externí uživatele v reálném čase

Znemožněte externím uživatelům exfiltrovat firemní data tím, že blokují aktivity tisku a kopírování a vkládání v reálném čase pomocí ovládacích prvků relace Defenderu for Cloud Apps.

Požadavky

• Nasaďte řízení podmíněného přístupu pro aplikace Microsoft Entra.
• Ujistěte se, že je vaše aplikace založená na SAML, která pro jednotné přihlašování používá ID Microsoft Entra. Další informace o podporovaných aplikacích najdete v tématu Podporované aplikace a klienti.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu relace.

2. V části Typ řízení relace vyberte Blokovat aktivity.

3. Ve filtru zdroje aktivity:

   1. Vyberte možnost Uživatel a nastavte možnost Ze skupiny na externí uživatele.

   2. Vyberte Typ aktivity se rovná položce Tisk a Vyjmout/kopírovat.

   Poznámka:

   Abyste mohli tuto zásadu použít pro všechny aplikace, nemusíte nastavovat žádné filtry aplikací.

4. Volitelné: V části Metoda kontroly vyberte typ kontroly, kterou chcete použít, a nastavte nezbytné podmínky pro kontrolu ochrany před únikem informací.

5. V části Akce vyberte Blokovat. Pokud chcete uživatelům nastavit vlastní zprávu pro odeslání, můžete vybrat možnost Přizpůsobit blokovou zprávu , aby pochopili důvod, proč je obsah blokovaný a jak ho můžou povolit použitím správného popisku citlivosti.

6. Vyberte Vytvořit.

Blokování nahrávání neklasifikovaných dokumentů v reálném čase

Zabrání uživatelům v nahrávání nechráněných dat do cloudu pomocí ovládacích prvků relace Defenderu for Cloud Apps.

Požadavky

• Nasaďte řízení podmíněného přístupu pro aplikace Microsoft Entra.

• Ujistěte se, že je vaše aplikace založená na SAML, která pro jednotné přihlašování používá ID Microsoft Entra. Další informace o podporovaných aplikacích najdete v tématu Podporované aplikace a klienti.

• Popisky citlivosti z Microsoft Purview Information Protection musí být nakonfigurované a používané ve vaší organizaci.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu relace.

2. V části Typ řízení relace vyberte Nahrání řídicího souboru (s kontrolou) nebo Stažení řídicího souboru (s kontrolou).

   Poznámka:

   Abyste mohli tuto zásadu použít pro všechny uživatele a aplikace, nemusíte nastavovat žádné filtry.

3. Vyberte popisek citlivosti filtru souborů a pak vyberte popisky, které vaše společnost používá k označení klasifikovaných souborů.

4. Volitelné: V části Metoda kontroly vyberte typ kontroly, kterou chcete použít, a nastavte nezbytné podmínky pro kontrolu ochrany před únikem informací.

5. V části Akce vyberte Blokovat. Pokud chcete uživatelům nastavit vlastní zprávu pro odeslání, můžete vybrat možnost Přizpůsobit blokovou zprávu , aby pochopili důvod, proč je obsah blokovaný a jak ho můžou povolit použitím správného popisku citlivosti.

6. Vyberte Vytvořit.

Poznámka:

Seznam typů souborů, které Defender for Cloud Apps aktuálně podporuje pro popisky citlivosti z Microsoft Purview Information Protection, najdete v požadavcích integrace microsoft Purview Information Protection.

Další kroky

Osvědčené postupy pro ochranu vaší organizace

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.