Stratégie de protection des informations SQL dans Microsoft defender pour le cloud

Le mécanisme de découverte et de classification des données de la protection des informations SQL offre des fonctionnalités avancées pour la découverte, la classification, l’étiquetage et la génération de rapports sur les données sensibles dans vos bases de données. Il est intégré à Azure SQL Database, Azure SQL Managed Instance et à Azure Synapse Analytics.

Le mécanisme de classification est basé sur les deux éléments suivants :

• Étiquettes : principaux attributs de classification utilisés pour définir le niveau de sensibilité des données stockées dans la colonne.
• Types d’informations : spécifie une granularité supplémentaire au niveau du type des données stockées dans la colonne.

Les options de la stratégie de protection des informations dans Defender pour le cloud fournissent un ensemble prédéfini d’étiquettes et de types d’informations qui servent de valeurs par défaut pour le moteur de classification. Vous pouvez personnaliser la stratégie en fonction des besoins de votre organisation, comme décrit ci-dessous.

Comment accéder à la stratégie de protection des informations SQL ?

Il existe trois façons d’accéder à la stratégie de protection des informations :

• (Recommandé) À partir de la page Paramètres d’environnement de Defender pour le cloud
• À partir de la recommandation de sécurité Les données sensibles de vos bases de données SQL doivent être classifiées
• À partir de la page de découverte des données Azure SQL DB

Chaque façon est affichée dans l’onglet correspondant, ci-dessous.

Depuis les paramètres de Defender pour le cloud

Accéder à la stratégie à partir de la page des paramètres de Defender pour le cloud

Dans la page des paramètres d’environnement de Defender pour le cloud, sélectionnez Protection des informations SQL.

Notes

Cette option s’affiche uniquement pour les utilisateurs disposant d’autorisations au niveau du locataire. Accordez-vous des autorisations à l’échelle du locataire.

Depuis la recommandation de Defender pour le cloud

Accéder à la stratégie à partir de la recommandation de Defender pour le cloud

Utilisez la recommandation de Defender pour le cloud, Les données sensibles de vos bases de données SQL doivent être classifiées, pour voir la page de découverte et de classification des données de votre base de données. Là, vous verrez également les colonnes découvertes qui contiennent des informations que nous vous recommandons de classifier.

1. Dans la page Recommendations de Defender pour le cloud, recherchez la recommandation Les données sensibles de vos bases de données SQL doivent être classifiées.

   

2. Dans la page des détails de la recommandation, sélectionnez une base de données dans les onglets les répertoriant comme saines ou non saines.

3. La page Découverte et classification des données s’ouvre. Sélectionnez Configurer.

   

À partir de SQL Azure

Accéder à la stratégie depuis SQL Azure

1. Dans le portail Azure, ouvrez SQL Azure.

   

2. Sélectionnez une base de données.

3. Dans la zone Sécurité du menu, ouvrez la page Découverte et classification des données (1) et sélectionnez Configurer (2).

   

Personnaliser vos types d’informations

Pour gérer et personnaliser les types d’informations :

1. Sélectionnez Gérer les types d’informations.

   

2. Pour ajouter un nouveau type, sélectionnez Créer un type d’informations. Vous pouvez définir un nom, une description et des chaînes de motif de recherche pour le type d’informations. Les chaînes de motif de recherche peuvent éventuellement utiliser des mots clés avec des caractères génériques (en utilisant le caractère « % »), que le moteur de découverte automatique utilise pour identifier les données sensibles dans vos bases de données, à partir des métadonnées de la colonne.

   

3. Vous pouvez également modifier les types intégrés en ajoutant des chaînes de motif de recherche supplémentaires, en désactivant certaines chaînes existantes ou en modifiant la description.

   Conseil

   Vous ne pouvez pas supprimer les types intégrés ni modifier leurs noms.

4. Les types d’informations sont classés par un ordre croissant du classement de découverte, ce qui signifie que les types en haut de la liste tentent de correspondre en premier lieu. Pour modifier le classement entre des types d’informations, faites-les glisser à l’emplacement correct dans la table, ou bien utilisez les boutons Monter et Descendre pour modifier l’ordre.

5. Sélectionnez OK lorsque vous avez terminé.

6. Une fois que vous avez terminé la gestion de vos types d’informations, veillez à associer les types pertinents avec les étiquettes appropriées, en sélectionnant Configurer pour une étiquette particulière et en ajoutant ou en supprimant les types d’informations qu’il faut.

7. Pour appliquer vos modifications, sélectionnez Enregistrer dans la page Étiquettes principale.

Exportation et importation d’une stratégie

Vous pouvez télécharger un fichier JSON avec vos étiquettes et types d’informations définis, modifier le fichier dans l’éditeur de votre choix, puis importer le fichier mis à jour.

Notes

Vous devez disposer d’autorisations au niveau du locataire pour importer un fichier de stratégie.

Autorisations

Pour personnaliser la stratégie de protection des informations de votre locataire Azure, vous avez besoin des actions suivantes sur le groupe d’administration racine du locataire :

• Microsoft.Security/informationProtectionPolicies/read
• Microsoft.Security/informationProtectionPolicies/write

Pour en savoir plus, consultez Accorder et demander une visibilité à l’échelle du locataire.

Gérer la protection des informations SQL à l’aide d’Azure PowerShell

• Get-AzSqlInformationProtectionPolicy : récupère la stratégie de protection des informations SQL du locataire effective.
• Set-AzSqlInformationProtectionPolicy : définit la stratégie de protection des informations SQL du locataire effective.

Articles connexes

• Découverte et classification des données Azure SQL Database

• Sécurité des données Microsoft Defender pour le cloud

Étape suivante

Définition de stratégies de sécurité dans Microsoft Defender pour le cloud