Richtlinie zum Schutz von SQL-Informationen in Microsoft Defender for Cloud

Der Mechanismus zur Datenermittlung und -klassifizierung von SQL Information Protection bietet erweiterte Funktionen für die Ermittlung, Klassifizierung, Bezeichnung und Berichterstellung vertraulicher Daten in Ihren Datenbanken. Dieser Mechanismus ist in Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics integriert.

Der Klassifizierungsmechanismus basiert auf den folgenden beiden Elementen:

• Bezeichnungen: Die wichtigsten Klassifizierungsattribute zum Definieren der Vertraulichkeitsstufe der in der Spalte gespeicherten Daten.
• Informationstypen: Bieten zusätzliche Granularität für den Typ der in der Spalte gespeicherten Daten.

Die Information Protection-Richtlinienoptionen in Defender für Cloud stellen einen vordefinierten Satz von Bezeichnungen und Informationstypen zur Verfügung, die als Standardwerte für die Klassifizierungs-Engine dienen. Sie können die Richtlinie wie unten beschrieben an die Anforderungen Ihrer Organisation anpassen.

Wie kann ich auf die SQL Information Protection-Richtlinie zugreifen?

Es gibt drei Möglichkeiten für den Zugriff auf die Information Protection-Richtlinie:

• (Empfohlen) : Über die Seite Umgebungseinstellungen von Defender für Cloud
• Über die Sicherheitsempfehlung Sensible Daten in Ihren SQL-Datenbanken müssen klassifiziert werden
• Über die Azure SQL-DB-Seite zur Datenermittlung

Jede dieser Möglichkeiten wird in der folgenden Abbildung auf der entsprechenden Registerkarte angezeigt.

Von Defender für die Cloud Einstellungen

Zugreifen auf die Richtlinie über die Seite „Umgebungseinstellungen“ von Defender für Cloud

Wählen Sie auf der Seite Umgebungseinstellungen von Defender für Cloud die Einstellung SQL Information Protection aus.

Hinweis

Diese Option wird nur Benutzern mit Berechtigungen auf Mandantenebene angezeigt. Erteilen von mandantenweiten Berechtigungen an sich selbst.

Von Defender für die Empfehlung der Cloud

Zugreifen auf die Richtlinie über die Defender für Cloud-Empfehlung

Verwenden Sie die Security Center-Empfehlung Sensible Daten in Ihren SQL-Datenbanken müssen klassifiziert werden, um die Seite zur Ermittlung und Klassifizierung von Daten für Ihre Datenbank anzuzeigen. Dort sehen Sie auch die Spalten, in denen Informationen entdeckt wurden, deren Klassifizierung empfohlen wird.

1. Suchen Sie auf der Seite Empfehlungen von Defender for Cloud nach der Empfehlung Sensitive Daten in Ihren SQL-Datenbanken sollten klassifiziert werden.

   

2. Wählen Sie auf der Seite mit den Empfehlungsdetails auf der Registerkarte Fehlerfrei oder Fehlerhaft eine Datenbank aus.

3. Die Seite Datenermittlung und -klassifizierung wird geöffnet. Wählen Sie Konfigurierenaus.

   

Über Azure SQL

Zugreifen auf die Richtlinie über Azure SQL

1. Öffnen Sie Azure SQL im Azure-Portal.

   

2. Wählen Sie eine beliebige Datenbank aus.

3. Öffnen Sie im Menübereich Sicherheit die Seite Datenermittlung und -klassifizierung (1), und wählen Sie Konfigurieren (2) aus.

   

Anpassen der Informationstypen

Gehen Sie zum Verwalten und Anpassen von Informationstypen folgendermaßen vor:

1. Wählen Sie Informationstypen verwalten aus.

   

2. Um einen neuen Typ hinzuzufügen, wählen Sie Informationstyp erstellen aus. Sie können einen Namen, eine Beschreibung und Suchmusterzeichenfolgen für den Informationstyp konfigurieren. Suchzeichenfolgenmuster können optional Schlüsselwörter mit Platzhalterzeichen (mit dem Zeichen „%“) enthalten, anhand derer die automatisierte Ermittlungs-Engine sensible Daten in Ihren Datenbanken basierend auf den Metadaten der Spalten ermittelt.

   

3. Sie können auch die integrierten Informationstypen ändern, indem Sie zusätzliche Suchmusterzeichenfolgen hinzufügen, einige der vorhandenen Zeichenfolgen deaktivieren oder die Beschreibung ändern.

   Tipp

   Sie können integrierte Typen jedoch weder löschen noch ihre Namen ändern.

4. Informationstypen werden in aufsteigender Reihenfolge der Ermittlung aufgeführt, was bedeutet, dass die Typen, die in der Liste weiter oben stehen, zuerst versuchen, eine Übereinstimmung zu erzielen. Um die Rangfolge zwischen den Informationstypen zu ändern, ziehen Sie die Typen an die entsprechende Position in der Tabelle oder verwenden die Schaltflächen Nach oben verschieben und Nach unten verschieben, um die Reihenfolge zu ändern.

5. Wählen Sie OK aus, wenn Sie fertig sind.

6. Nachdem die Verwaltung Ihrer Informationstypen abgeschlossen ist, ordnen Sie den relevanten Bezeichnungen die entsprechenden Typen zu, indem Sie für eine bestimmte Bezeichnung Konfigurieren auswählen und nach Bedarf Informationstypen hinzufügen oder löschen.

7. Um Ihre Änderungen anzuwenden, klicken Sie auf der Hauptseite Bezeichnungen auf Speichern.

Exportieren und Importieren einer Richtlinie

Sie können eine JSON-Datei mit Ihren definierten Bezeichnungen und Informationstypen herunterladen, in einem Editor Ihrer Wahl bearbeiten und die aktualisierte Datei dann importieren.

Hinweis

Sie benötigen Berechtigungen auf Mandantenebene, um eine Richtliniendatei zu importieren.

Berechtigungen

Um die Information Protection-Richtlinie für Ihren Azure-Mandanten anpassen zu können, benötigen Sie die folgenden Aktionen in der Stammverwaltungsgruppe des Mandanten:

• Microsoft.Security/informationProtectionPolicies/read
• Microsoft.Security/informationProtectionPolicies/write

Weitere Informationen finden Sie unter Erteilen und Anfordern der mandantenweiten Sichtbarkeit.

Verwalten von SQL Information Protection mit Azure PowerShell

• Get-AzSqlInformationProtectionPolicy: Ruft die effektive SQL Information Protection-Richtlinie für den Mandanten ab.
• Set-AzSqlInformationProtectionPolicy: Legt die effektive SQL Information Protection-Richtlinie für den Mandanten fest.

Verwandte Artikel

• Azure SQL-Datenbank – Datenermittlung und -klassifizierung

• Datensicherheit in Microsoft Defender for Cloud

Nächster Schritt

Festlegen von Sicherheitsrichtlinien in Microsoft Defender for Cloud