Criteri di protezione delle informazioni

Defender per il cloud i criteri dei file delle app consentono di applicare un'ampia gamma di processi automatizzati. I criteri possono essere impostati per fornire protezione delle informazioni, tra cui analisi di conformità continue, attività legali di eDiscovery e prevenzione della perdita dei dati per contenuti sensibili condivisi pubblicamente.

Defender per il cloud Le app possono monitorare qualsiasi tipo di file in base a più di 20 filtri di metadati, ad esempio livello di accesso e tipo di file. Per altre informazioni, vedere Criteri file.

Rilevare e impedire la condivisione esterna dei dati sensibili

Rilevare quando i file con informazioni personali o altri dati sensibili vengono archiviati in un servizio cloud e condivisi con utenti esterni all'organizzazione che violano i criteri di sicurezza dell'azienda e creano una potenziale violazione della conformità.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori app.

Passaggi

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio file.

2. Impostare il livello di accesso del filtro è uguale a Public (Internet) / Public / External.

3. In Metodo di ispezione selezionare Servizio di classificazione dati (DCS) e in Seleziona tipo selezionare il tipo di informazioni riservate da controllare da DCS.

4. Configurare le azioni di governance da eseguire quando viene attivato un avviso. Ad esempio, è possibile creare un'azione di governance eseguita in caso di violazioni di file rilevate in Google Workspace in cui si seleziona l'opzione Rimuovi utenti esterni e Rimuovi accesso pubblico.

5. Creare i criteri dei file.

Rilevare i dati riservati condivisi esternamente

Rilevare quando i file con etichetta Confidential e vengono archiviati in un servizio cloud vengono condivisi con utenti esterni, violando i criteri aziendali.

Prerequisiti

• È necessario avere almeno un'app connessa usando i connettori app.

• Abilitare l'integrazione di Microsoft Purview Information Protection.

Passaggi

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio file.

2. Impostare l'etichetta di riservatezza del filtro su Microsoft Purview Information Protection è uguale all'etichetta Riservato o all'equivalente dell'azienda.

3. Impostare il livello di accesso del filtro è uguale a Public (Internet) / Public / External.

4. Facoltativo: impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano tra i servizi.

5. Creare i criteri dei file.

Rilevare e crittografare i dati sensibili inattivi

Rilevare i file contenenti informazioni di identificazione personale e altri dati sensibili condivisi in un'app cloud e applicare etichette di riservatezza per limitare l'accesso solo ai dipendenti dell'azienda.

Prerequisiti

• È necessario avere almeno un'app connessa usando i connettori app.

• Abilitare l'integrazione di Microsoft Purview Information Protection.

Passaggi

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio file.

2. In Metodo di ispezione selezionare Servizio di classificazione dati (DCS) e in Seleziona tipo selezionare il tipo di informazioni riservate che si vuole controllare da DCS.

3. In Azioni di governance selezionare Applica etichetta di riservatezza e selezionare l'etichetta di riservatezza usata dall'azienda per limitare l'accesso ai dipendenti aziendali.

4. Creare i criteri dei file.

Nota

La possibilità di applicare un'etichetta di riservatezza direttamente in Defender per il cloud Apps è attualmente supportata solo per Box, Google Workspace, SharePoint online e OneDrive for Business.

Rilevare dati non aggiornati condivisi esternamente

Rilevare file inutilizzati e non aggiornati, file che non sono stati aggiornati di recente, accessibili pubblicamente tramite collegamento pubblico diretto, ricerca Web o per utenti esterni specifici.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori app.

Passaggi

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio file.

2. Selezionare e applicare il modello di criteri File condivisi esternamente non aggiornati.

3. Personalizzare il filtro Ultima modifica in modo che corrisponda ai criteri dell'organizzazione.

4. Facoltativo: impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano tra i servizi. Ad esempio:

   • Google Workspace: rendere il file privato e inviare una notifica all'ultimo editor di file

   • Casella: notificare l'ultimo editor di file

   • SharePoint Online: rendere il file privato e inviare un digest di corrispondenza dei criteri al proprietario del file

5. Creare i criteri dei file.

Rilevare l'accesso ai dati da una posizione non autorizzata

Rilevare quando si accede ai file da una posizione non autorizzata, in base alle posizioni comuni dell'organizzazione, per identificare una potenziale perdita di dati o un accesso dannoso.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori app.

Passaggi

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio attività.

2. Impostare il tipo di attività di filtro sulle attività di file e cartelle che interessano, ad esempio Visualizza, Download, Accesso e Modifica.

3. Impostare il filtro Località non uguale e quindi immettere i paesi/aree geografiche da cui l'organizzazione prevede l'attività.

   • Facoltativo: è possibile usare l'approccio opposto e impostare il filtro su Posizione uguale se l'organizzazione blocca l'accesso da paesi/aree geografiche specifiche.

4. Facoltativo: creare azioni di governance da applicare alla violazione rilevata (la disponibilità varia tra i servizi), ad esempio Sospendi l'utente.

5. Creare i criteri attività.

Rilevare e proteggere l'archivio dati riservato in un sito SP non conforme

Rilevare i file etichettati come riservati e archiviati in un sito di SharePoint non conforme.

Prerequisiti

Le etichette di riservatezza vengono configurate e usate all'interno dell'organizzazione.

Passaggi

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio file.

2. Impostare l'etichetta di riservatezza del filtro su Microsoft Purview Information Protection è uguale all'etichetta Riservato o all'equivalente dell'azienda.

3. Impostare il filtro Cartella padre non uguale e quindi in Selezionare una cartella scegliere tutte le cartelle conformi nell'organizzazione.

4. In Avvisi selezionare Crea un avviso per ogni file corrispondente.

5. Facoltativo: impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano tra i servizi. Ad esempio, Impostare Box su Send policy-match digest to file owner (Imposta Box su Invia digest di corrispondenza dei criteri al proprietario del file) e Put in admin quarantine (Inserisci in quarantena amministratore).

6. Creare i criteri dei file.

Rilevare il codice sorgente condiviso esternamente

Rilevare quando i file che contengono contenuto che potrebbero essere codice sorgente vengono condivisi pubblicamente o vengono condivisi con utenti esterni all'organizzazione.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori app.

Passaggi

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio file.

2. Selezionare e applicare il modello di criterio Codice sorgente condiviso esternamente

3. Facoltativo: personalizzare l'elenco delle estensioni di file in modo che corrispondano alle estensioni di file del codice sorgente dell'organizzazione.

4. Facoltativo: impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano tra i servizi. Ad esempio, in Box inviare il digest di corrispondenza dei criteri al proprietario del file e Mettere in quarantena amministratore.

5. Selezionare e applicare il modello di criteri.

Rilevare l'accesso non autorizzato ai dati del gruppo

Rilevare quando determinati file appartenenti a un gruppo di utenti specifico sono accessibili in modo eccessivo da un utente che non fa parte del gruppo, che potrebbe essere una potenziale minaccia insider.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori app.

Passaggi

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio attività.

2. In Attiva selezionare Attività ripetutee personalizzare le attività ripetute minime e impostare un intervallo di tempo per rispettare i criteri dell'organizzazione.

3. Impostare il tipo di attività di filtro sulle attività di file e cartelle che interessano, ad esempio Visualizza, Download, Accesso e Modifica.

4. Impostare il filtro Utente su Da gruppo uguale a e quindi selezionare i gruppi di utenti pertinenti.

   Nota

   I gruppi di utenti possono essere importati manualmente dalle app supportate.

5. Impostare il filtro File e cartelle su File o cartelle specifici uguale a e quindi scegliere i file e le cartelle che appartengono al gruppo di utenti controllati.

6. Impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano tra i servizi. Ad esempio, è possibile scegliere Sospendi utente.

7. Creare i criteri dei file.

Rilevare bucket S3 accessibili pubblicamente

Rilevare e proteggere da potenziali perdite di dati dai bucket DI AWS S3.

Prerequisiti

È necessario che un'istanza di AWS sia connessa usando i connettori dell'app.

Passaggi

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio file.

2. Selezionare e applicare il modello di criteri Bucket S3 accessibili pubblicamente (AWS).

3. Impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano tra i servizi. Ad esempio, impostare AWS su Rendi privato per rendere privati i bucket S3.

4. Creare i criteri dei file.

Rilevare e proteggere i dati correlati al GDPR tra app di archiviazione file

Rilevare i file condivisi nelle app di archiviazione cloud e contenere informazioni di identificazione personale e altri dati sensibili associati a criteri di conformità gdpr. Applicare quindi automaticamente le etichette di riservatezza per limitare l'accesso solo al personale autorizzato.

Prerequisiti

• È necessario avere almeno un'app connessa usando i connettori app.

• L'integrazione di Microsoft Purview Information Protection (AIP) è abilitata e l'etichetta GDPR è configurata in AIP.

Passaggi

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio file.

2. In Metodo di ispezione selezionare Servizio di classificazione dati (DCS) e in Seleziona tipo selezionare uno o più tipi di informazioni conformi alla conformità al GDPR, ad esempio: numero di carta di debito DELL'UE, numero di patente dell'UE, numero di identificazione nazionale/regionale dell'UE, numero di passaporto UE, SSN UE, numero di identificazione fiscale SU.

3. Impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione selezionando Applica etichetta di riservatezza per ogni app supportata.

4. Creare i criteri dei file.

Nota

Attualmente, l'etichetta applica di riservatezza è supportata solo per Box, Google Workspace, SharePoint online e OneDrive for business.

Bloccare i download per utenti esterni in tempo reale

Impedire l'esfiltrazione dei dati aziendali da parte di utenti esterni, bloccando i download di file in tempo reale, usando i controlli di sessione delle app Defender per il cloud.

Prerequisiti

• Distribuire il controllo delle app per l'accesso condizionale per le app Microsoft Entra.

• Assicurarsi che l'app sia un'app basata su SAML che usa l'ID Microsoft Entra per l'accesso Single Sign-On. Per altre informazioni sulle app supportate, vedere App e client supportati.

Passaggi

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio sessione.

2. In Tipo di controllo sessione selezionare Controlla il download dei file (con ispezione).

3. In Filtri attività selezionare Utente e impostarlo su Da gruppo è uguale a Utenti esterni.

   Nota

   Non è necessario impostare filtri per le app per consentire l'applicazione di questo criterio a tutte le app.

4. È possibile usare il filtro File per personalizzare il tipo di file. In questo modo è possibile controllare in modo più granulare il tipo di file che i controlli dei criteri di sessione.

5. In Azioni selezionare Blocca. È possibile selezionare Personalizza messaggio di blocco per impostare un messaggio personalizzato da inviare agli utenti in modo da comprendere il motivo per cui il contenuto è bloccato e come abilitarlo applicando l'etichetta di riservatezza corretta.

6. Seleziona Crea.

Applicare la modalità di sola lettura per gli utenti esterni in tempo reale

Impedire l'esfiltrazione dei dati aziendali da parte di utenti esterni, bloccando le attività di stampa e copia/incolla in tempo reale, usando i controlli sessione Defender per il cloud App.

Prerequisiti

• Distribuire il controllo delle app per l'accesso condizionale per le app Microsoft Entra.
• Assicurarsi che l'app sia un'app basata su SAML che usa l'ID Microsoft Entra per l'accesso Single Sign-On. Per altre informazioni sulle app supportate, vedere App e client supportati.

Passaggi

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio sessione.

2. In Tipo di controllo sessione selezionare Blocca attività.

3. Nel filtro origine attività:

   1. Selezionare Utente e impostare Da gruppo a Utenti esterni.

   2. Selezionare Tipo di attività uguale a Stampa e Taglia/Copia elemento.

   Nota

   Non è necessario impostare filtri per le app per consentire l'applicazione di questo criterio a tutte le app.

4. Facoltativo: in Metodo di ispezione selezionare il tipo di ispezione da applicare e impostare le condizioni necessarie per l'analisi DLP.

5. In Azioni selezionare Blocca. È possibile selezionare Personalizza messaggio di blocco per impostare un messaggio personalizzato da inviare agli utenti in modo da comprendere il motivo per cui il contenuto è bloccato e come abilitarlo applicando l'etichetta di riservatezza corretta.

6. Seleziona Crea.

Bloccare il caricamento di documenti non classificati in tempo reale

Impedire agli utenti di caricare dati non protetti nel cloud usando i controlli sessione delle app di Defender per il cloud.

Prerequisiti

• Distribuire il controllo delle app per l'accesso condizionale per le app Microsoft Entra.

• Assicurarsi che l'app sia un'app basata su SAML che usa l'ID Microsoft Entra per l'accesso Single Sign-On. Per altre informazioni sulle app supportate, vedere App e client supportati.

• le etichette di riservatezza di Microsoft Purview Information Protection devono essere configurate e usate all'interno dell'organizzazione.

Passaggi

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio sessione.

2. In Tipo di controllo sessione selezionare Controllo caricamento file (con ispezione) o Download di file di controllo (con ispezione).

   Nota

   Non è necessario impostare filtri per abilitare questo criterio da applicare a tutti gli utenti e le app.

3. Selezionare l'etichetta riservatezza filtro file non uguale e quindi selezionare le etichette usate dall'azienda per contrassegnare i file classificati.

4. Facoltativo: in Metodo di ispezione selezionare il tipo di ispezione da applicare e impostare le condizioni necessarie per l'analisi DLP.

5. In Azioni selezionare Blocca. È possibile selezionare Personalizza messaggio di blocco per impostare un messaggio personalizzato da inviare agli utenti in modo da comprendere il motivo per cui il contenuto è bloccato e come abilitarlo applicando l'etichetta di riservatezza corretta.

6. Seleziona Crea.

Nota

Per l'elenco dei tipi di file attualmente supportati da App Defender per il cloud per le etichette di riservatezza di Microsoft Purview Information Protection, vedere Prerequisiti di integrazione di Microsoft Purview Information Protection.

Passaggi successivi

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.