Directiva de protección de la información de SQL en Microsoft Defender for Cloud

El mecanismo de clasificación y detección de datos de SQL Information Protection proporciona funcionalidades avanzadas para detectar, clasificar, etiquetar e informar los datos confidenciales de las bases de datos. Se integra en Azure SQL Database, Azure SQL Managed Instance y Azure Synapse Analytics.

El mecanismo de clasificación se basa en los siguientes dos elementos:

• Etiquetas: Son los atributos principales de clasificación, que se usan para definir el nivel de confidencialidad de los datos almacenados en la columna.
• Tipos de información: Proporciona una granularidad adicional en el tipo de datos almacenados en la columna.

Las opciones de directiva de protección de la información de Defender for Cloud proporcionan un conjunto predefinido de etiquetas y tipos de información que sirven como valores predeterminados para el motor de clasificación. Puede personalizar la directiva según las necesidades de su organización, tal y como se describe a continuación.

¿Cómo acceso a la directiva de SQL Information Protection?

Hay tres maneras de acceder a la directiva de protección de la información:

• (Recomendado) Desde la página Configuración del entorno de Defender para la nube
• De la recomendación de seguridad Los datos confidenciales de las bases de datos SQL deben clasificarse
• Desde la página de detección de datos de Azure SQL Database

Cada una de ellas se muestra en la pestaña correspondiente a continuación.

Desde la configuración de Defender para la nube

Acceso a la directiva desde la página de configuración de Defender para la nube

En la página de Configuración del entorno de Defender para la nube, seleccione Protección de la información de SQL.

Nota

Esta opción solo aparece para los usuarios con permisos a nivel de inquilino. Concesión de permisos de todo el inquilino a uno mismo.

Desde la recomendación de Defender para la nube

Acceso a la directiva desde la recomendación Defender para la nube

Usa la recomendación de Defender for Cloud, Los datos confidenciales de las bases de datos SQL deben clasificarse, para ver la página de clasificación y detección de datos de la base de datos. Allí también verá las columnas detectadas que contienen información que le recomendamos clasificar.

1. En la página de Recomendaciones de Defender para la nube, busque la recomendación Los datos confidenciales en sus bases de datos SQL deben clasificarse.

   

2. Desde la página de detalles de la recomendación, seleccione una base de datos en las pestañas correcto o incorrecto.

3. Se abre la página Clasificación y detección de datos. Seleccione Configurar.

   

Desde Azure SQL

Acceso a la directiva desde Azure SQL

1. Desde Azure Portal, abra Azure SQL.

   

2. Seleccione cualquier base de datos.

3. En el área Seguridad del menú, abra la página Clasificación y de detección de datos (1) y seleccione Configurar (2).

   

Personalización de los tipos de información

Para administrar y personalizar los tipos de información:

1. Seleccione Administrar tipos de información.

   

2. Para agregar un nuevo tipo, seleccione Crear tipo de información. Puede configurar un nombre, una descripción y cadenas de patrón de búsqueda para el tipo de información. Las cadenas de patrón de búsqueda pueden usar opcionalmente palabras clave con caracteres comodín (con el carácter "%"), que el motor de detección automática usa para identificar datos confidenciales en las bases de datos, en función de los metadatos de las columnas.

   

3. También puede modificar los tipos integrados mediante la adición de cadenas de patrón de búsqueda adicionales, la deshabilitación de algunas de las cadenas existentes o el cambio de la descripción.

   Sugerencia

   No puede eliminar tipos integrados ni cambiar sus nombres.

4. Los tipos de información se enumeran en orden ascendente de detección, lo que significa que se intentará que los tipos que aparezcan más arriba en la lista coincidan antes. Para cambiar la clasificación entre los tipos de información, arrastre los tipos al lugar correcto para volver a ordenarlas en la tabla o usar los botones Subir y Bajar para cambiar el orden.

5. Seleccione Aceptar cuando termine.

6. Una vez completada la administración de los tipos de información, asegúrate de asociar los tipos pertinentes con las etiquetas pertinentes, seleccionando Configurar para una etiqueta determinada y agregando o eliminando tipos de información según corresponda.

7. Para aplicar los cambios, seleccione Guardar en la página principal Etiquetas.

Exportación e importación de una directiva

Puede descargar un archivo JSON con las etiquetas y los tipos de información definidos, editar el archivo en el editor de su elección y, a continuación, importar el archivo actualizado.

Nota

Necesitará permisos de nivel de inquilino para importar un archivo de directiva.

Permisos

Para personalizar la directiva de protección de la información de su inquilino de Azure, necesitas las siguientes acciones en el grupo de administración raíz del inquilino:

• Microsoft.Security/informationProtectionPolicies/read
• Microsoft.Security/informationProtectionPolicies/write

Obtenga más información en Concesión y solicitud de visibilidad para todos los inquilinos.

Administración de la protección de la información de SQL mediante Azure PowerShell

• Get-AzSqlInformationProtectionPolicy: Recupera la directiva de protección de la información de SQL del inquilino en vigor.
• Set-AzSqlInformationProtectionPolicy: Establece la directiva de protección de la información de SQL del inquilino en vigor.

Artículos relacionados

• Clasificación y detección de datos de Azure SQL Database

• Seguridad de datos de Microsoft Defender for Cloud

Paso siguiente

Establecimiento de directivas de seguridad en Microsoft Defender for Cloud