Esercitazione: Individuare e proteggere le informazioni riservate nell'organizzazione

  • Articolo
  • 9 minuti per la lettura

Nota

  • Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

In una situazione aziendale ideale, tutti i dipendenti riconoscono l'importanza della protezione dei dati e osservano i criteri di protezione. Tuttavia, nel mondo reale è possibile che un partner molto occupato, che lavora spesso con informazioni di contabilità, carichi inavvertitamente un documento riservato nel repository Box con autorizzazioni non corrette. Una settimana dopo si potrebbe rendersi conto che informazioni riservate dell'azienda sono trapelate alla concorrenza.

Per evitare che ciò accada, Microsoft Defender for Cloud Apps offre una vasta gamma di funzionalità DLP che coprono i vari punti di perdita di dati esistenti nelle organizzazioni.

In questa esercitazione si apprenderà come usare app Defender per il cloud per individuare i dati sensibili potenzialmente esposti e applicare controlli per evitare la loro esposizione:

Come individuare e proteggere le informazioni riservate nell'organizzazione

L'approccio alla protezione delle informazioni può essere suddiviso nelle fasi seguenti, che consentono di proteggere i dati nell'intero ciclo di vita, in più posizioni e dispositivi.

shadow IT lifecycle.

Fase 1: individuare i dati

  1. Connessione app: il primo passaggio nell'individuazione dei dati usati nell'organizzazione consiste nel connettere le app cloud usate nell'organizzazione a Defender per il cloud App. Dopo la connessione, Defender per il cloud App può analizzare i dati, aggiungere classificazioni e applicare criteri e controlli. La modalità di connessione delle app influisce su come e quando vengono applicati i controlli e le analisi. È possibile connettere le app in uno dei modi seguenti:

    • Usare un connettore app: i connettori app usano le API rese disponibili dai provider di app. Offrono maggiore visibilità e controllo sulle app usate nell'organizzazione. Le analisi vengono eseguite periodicamente (ogni 12 ore) e in tempo reale (attivate ogni volta che viene rilevata una modifica). Per altre informazioni e istruzioni su come aggiungere app, vedere Connettere le app.
    • Usare Controllo app per l'accesso condizionale: la soluzione Controllo app per l'accesso condizionale usa un'architettura con proxy inverso, integrata in modo unico con l'accesso condizionale di Azure Active Directory (AD). Una volta configurata in Azure AD, gli utenti verranno indirizzati alle app Defender per il cloud in cui vengono applicati i criteri di accesso e sessione per proteggere le app dati che tentano di usare. Questo metodo di connessione consente di applicare i controlli a qualsiasi app. Per altre informazioni, vedere Proteggere le app con Defender per il cloud Controllo app di accesso condizionale.

  2. Analisi: dopo aver connesso un'app a app Defender per il cloud usando il connettore API, Defender per il cloud App analizza tutti i file usati. È quindi possibile passare alla pagina di analisi dei file (Analizza>File) per ottenere una panoramica dei file condivisi dalle app cloud, della loro accessibilità e del loro stato. Per altre informazioni, vedere Analizzare i file.

Fase 2: classificare le informazioni riservate

  1. Definire quali sono le informazioni riservate: Prima di cercare informazioni riservate nei file, è necessario definire gli elementi che risultano riservati per l'organizzazione. Nel servizio di classificazione dei dati, Microsoft offre oltre 100 tipi di informazioni riservate, oppure è possibile creare informazioni riservate personalizzate in base ai criteri aziendali. Defender per il cloud App è integrata in modo nativo con Microsoft Purview Information Protection e gli stessi tipi e etichette sensibili sono disponibili in entrambi i servizi. Quindi, quando si vogliono definire informazioni riservate, passare al portale di Microsoft Purview Information Protection per crearli e una volta definiti saranno disponibili in app Defender per il cloud. È anche possibile usare tipi di classificazioni avanzate, ad esempio l'impronta digitale o la corrispondenza esatta dei dati (EDM).

    Se è già stato svolto il lavoro necessario per identificare le informazioni riservate e applicare le etichette di riservatezza appropriate, è possibile usare queste etichette nei criteri senza dover analizzare di nuovo il contenuto.

  2. Abilitare l'integrazione di Microsoft Purview Information Protection

    1. In Defender per il cloud App selezionare la pagina Impostazioni sotto l'intestazione Sistema.
    2. In Microsoft Purview Information Protection selezionare Analizza automaticamente nuovi file per le etichette di riservatezza da Microsoft Purview Information Protection.

    Per altre informazioni, vedere integrazione Microsoft Purview Information Protection.

  3. Creare criteri per identificare le informazioni riservate nei file: dopo aver definito i tipi di informazioni che si vuole proteggere, è possibile creare criteri per rilevarli. Per iniziare, creare i criteri seguenti:

    Criteri file
    Usare questo tipo di criteri per analizzare il contenuto dei file archiviati nelle app cloud connesse all'API near real-time e dati inattivi. I file vengono analizzati usando uno dei metodi di ispezione supportati, tra cui Microsoft Purview Information Protection contenuto crittografato grazie all'integrazione nativa con le app di Defender per il cloud.

    1. Passare a Criteri di controllo>, selezionare Crea criteri e quindi selezionare Criteri di file.

    2. In Metodo di ispezione scegliere e configurare uno dei servizi di classificazione seguenti:

      • Servizi di classificazione dei dati: usa le decisioni di classificazione effettuate tra Office 365, Microsoft Purview Information Protection e app Defender per il cloud per offrire un'esperienza di etichettatura unificata. È il metodo preferito per l'ispezione dei contenuti, perché offre un'esperienza coerente e unificata tra i prodotti Microsoft.
      • Criteri DLP incorporati : esamina i file per trovare le informazioni riservate usando il motore di ispezione del contenuto DLP integrato.
      • Integrazione DLP esterna: per le aziende che desiderano usare le proprie soluzioni DLP di terze parti, Defender per il cloud i criteri di file delle app possono indirizzare in modo sicuro i file per l'ispezione alla soluzione DLP esterna tramite un server ICAP.

    3. Per i file particolarmente importanti, selezionare Crea un avviso e scegliere gli avvisi necessari, in modo da essere informati quando nell'organizzazione sono presenti file con informazioni riservate non protette.

    4. Selezionare Crea.

    Criteri della sessione
    Usare questo tipo di criteri per analizzare e proteggere i file in tempo reale al momento dell'accesso per:

    • Impedire l'esfiltrazione dei dati: bloccare il download, il taglio, la copia e la stampa di documenti riservati, ad esempio sui dispositivi non gestiti.
    • Proteggere i file nel download: richiedere che i documenti vengano etichettati e protetti con Microsoft Purview Information Protection. Questa azione garantisce che il documento sia protetto e che l'accesso utente sia limitato in una sessione potenzialmente rischiosa.
    • Evitare il caricamento di file senza etichetta: richiedere che un file riservato abbia l'etichetta e la protezione necessarie prima che venga caricato, distribuito e usato da altri. Con questa azione è possibile garantire il blocco del caricamento dei file riservati ma non provvisti di etichetta, fino a quando l'utente non classifica il contenuto.

    1. Passare a Criteri di controllo>, selezionare Crea criteri e quindi selezionare Criteri di sessione.

    2. In Tipo di controllo della sessione scegliere una delle opzioni con DLP.

    3. In Metodo di ispezione scegliere e configurare uno dei servizi di classificazione seguenti:

      • Servizi di classificazione dei dati: usa le decisioni di classificazione effettuate tra Office 365, Microsoft Purview Information Protection e app Defender per il cloud per offrire un'esperienza di etichettatura unificata. È il metodo preferito per l'ispezione dei contenuti, perché offre un'esperienza coerente e unificata tra i prodotti Microsoft.
      • Criteri DLP incorporati : esamina i file per trovare le informazioni riservate usando il motore di ispezione del contenuto DLP integrato.

    4. Per i file particolarmente importanti, selezionare Crea un avviso e scegliere gli avvisi necessari, in modo da essere informati quando nell'organizzazione sono presenti file con informazioni riservate non protette.

    5. Selezionare Crea.

Creare il numero di criteri necessario per rilevare i dati riservati in conformità con i criteri dell'azienda.

Fase 3: Proteggere i dati

Ora è possibile rilevare file con informazioni riservate, ma l'obiettivo reale è la protezione di tali informazioni da potenziali minacce. Dopo aver verificato un evento imprevisto, è possibile correggere manualmente la situazione oppure usare una delle azioni di governance automatiche fornite da Defender per il cloud App per proteggere i file. Le azioni includono, ma non sono limitate a, Microsoft Purview Information Protection controlli nativi, azioni fornite dall'API e monitoraggio in tempo reale. Il tipo di governance applicabile dipende dal tipo di criteri che si sta configurando, come indicato di seguito:

  1. Azioni di governance dei criteri file : usano l'API del provider di app cloud e le integrazioni native Microsoft per proteggere i file, con le seguenti operazioni:

    • Attivare avvisi e inviare notifiche di posta elettronica relative all'evento imprevisto
    • Gestire le etichette applicate a un file per applicare controlli di Microsoft Purview Information Protection nativi
    • Modificare la condivisione dell'accesso a un file
    • Mettere in quarantena un file
    • Rimuovere autorizzazioni specifiche per file o cartelle in Office 365
    • Spostare un file nella cartella Cestino

  2. Controlli dei criteri della sessione: proteggono i file usando le funzionalità del proxy inverso, tra cui:

    • Attivare avvisi e inviare notifiche di posta elettronica relative all'evento imprevisto
    • Monitora tutte le attività: consente in modo esplicito il download o il caricamento di file e il monitoraggio di tutte le attività correlate.
    • Blocca: blocca in modo esplicito il download o il caricamento di file. Usare questa opzione per proteggere i file sensibili dell'organizzazione da esfiltrazioni o infiltrazioni da qualsiasi dispositivo, inclusi i dispositivi non gestiti.
    • Protezione: applica automaticamente un'etichetta di riservatezza ai file che corrispondono ai filtri file del criterio. Usare questa opzione per proteggere il download dei file riservati.

Fase 4: monitorare e creare report sui dati

Tutti criteri sono disponibili per controllare e proteggere i dati. A questo punto, è possibile controllare il dashboard ogni giorno per individuare i nuovi avvisi generati. Il dashboard è uno strumento ideale per tenere sotto controllo l'integrità dell'ambiente cloud. Consente di ottenere un'idea di ciò che accade e, se necessario, di avviare un'analisi.

Uno dei metodi più efficaci per il monitoraggio degli eventi imprevisti per i file riservati consiste nel passare alla pagina Criteri ed esaminare le corrispondenze con i criteri configurati. Se sono stati configurati avvisi, è anche opportuno monitorare periodicamente gli avvisi di file: passare alla pagina Avvisi, specificare la categoria DLP ed esaminare i criteri associati ai file che vengono attivati. L'esame di questi eventi imprevisti facilita l'ottimizzazione dei criteri per rilevare minacce importanti per l'organizzazione.

In conclusione, questo approccio alla gestione delle informazioni riservate garantisce che i dati salvati nel cloud abbiano la massima protezione da esfiltrazioni e infiltrazioni dannose. Inoltre, se un file viene condiviso o smarrito, solo un utente autorizzato può accedere al file.

Vedi anche

Informazioni sui dati e sui filtri file

Criteri file

Ispezione del contenuto

Attività quotidiane per la protezione dell'ambiente cloud

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.