Beleidsregels voor gegevensbeveiliging

Notitie

  • De naam van Microsoft Cloud App Security is gewijzigd. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken werken we de schermafbeeldingen en instructies hier en op gerelateerde pagina's bij. Zie deze aankondiging voor meer informatie over de wijziging. Zie het Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

  • Microsoft Defender for Cloud Apps maakt nu deel uit van Microsoft 365 Defender. Met de Microsoft 365 Defender-portal kunnen beveiligingsbeheerders hun beveiligingstaken op één locatie uitvoeren. Dit vereenvoudigt werkstromen en voegt de functionaliteit van de andere Microsoft 365 Defender-services toe. Microsoft 365 Defender is de thuisbasis voor het bewaken en beheren van beveiliging in uw Microsoft-identiteiten, gegevens, apparaten, apps en infrastructuur. Zie Microsoft Defender for Cloud Apps in Microsoft 365 Defender voor meer informatie over deze wijzigingen.

met Defender voor Cloud apps-bestandsbeleid kunt u een breed scala aan geautomatiseerde processen afdwingen. Beleidsregels kunnen worden ingesteld om informatiebeveiliging te bieden, waaronder doorlopende nalevingsscans, juridische eDiscovery-taken en DLP voor gevoelige inhoud die openbaar wordt gedeeld.

Defender voor Cloud Apps kan elk bestandstype controleren op basis van meer dan 20 metagegevensfilters, bijvoorbeeld toegangsniveau en bestandstype. Zie Bestandsbeleid voor meer informatie.

Extern delen van gevoelige gegevens detecteren en voorkomen

Detecteren wanneer bestanden met persoonlijke identificatiegegevens of andere gevoelige gegevens worden opgeslagen in een cloudservice en worden gedeeld met gebruikers die zich buiten uw organisatie bevinden die het beveiligingsbeleid van uw bedrijf schenden en een mogelijke nalevingsschending tot gevolg hebben.

Vereisten

U moet ten minste één app hebben verbonden met behulp van app-connectors.

Stappen

  1. Maak op de pagina Beleid een nieuw bestandsbeleid.

  2. Het filtertoegangsniveau instellen is gelijk aan openbaar (internet) / openbaar /extern.

  3. Onder Inspectiemethode selecteert u Data Classification Service (DCS) en selecteert u onder Type selecteren het type gevoelige informatie dat dcS wilt inspecteren.

  4. Configureer de governance-acties die moeten worden uitgevoerd wanneer een waarschuwing wordt geactiveerd. U kunt bijvoorbeeld een beheeractie maken die wordt uitgevoerd op gedetecteerde bestandsschendingen in Google Workspace waarin u de optie selecteert om externe gebruikers te verwijderen en openbare toegang te verwijderen.

  5. Maak het bestandsbeleid.

Externe gedeelde vertrouwelijke gegevens detecteren

Detecteren wanneer bestanden met het label Vertrouwelijk worden gelabeld en worden opgeslagen in een cloudservice, worden gedeeld met externe gebruikers, waardoor het bedrijfsbeleid wordt overtreden.

Vereisten

Stappen

  1. Maak op de pagina Beleid een nieuw bestandsbeleid.

  2. Stel het filtergevoeligheidslabel in op Microsoft Purview Informatiebeveiliging gelijk is aan het label Vertrouwelijk of het equivalent van uw bedrijf.

  3. Het filtertoegangsniveau instellen is gelijk aan openbaar (internet) / openbaar /extern.

  4. Optioneel: stel de beheeracties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd. De beschikbare beheeracties variëren per service.

  5. Maak het bestandsbeleid.

Gevoelige data-at-rest detecteren en versleutelen

Detecteer bestanden met persoonlijke identificatiegegevens en andere gevoelige gegevens die worden gedeeld in een cloud-app en pas vertrouwelijkheidslabels toe om alleen de toegang tot werknemers in uw bedrijf te beperken.

Vereisten

Stappen

  1. Maak op de pagina Beleid een nieuw bestandsbeleid.

  2. Onder Inspectiemethode selecteert u Data Classification Service (DCS) en selecteert u onder Type Selecteren het type gevoelige informatie dat dcS wilt inspecteren.

  3. Schakel onder Beheeracties het selectievakje Vertrouwelijkheidslabel toepassen in en selecteer het vertrouwelijkheidslabel dat uw bedrijf gebruikt om de toegang tot werknemers van het bedrijf te beperken.

  4. Maak het bestandsbeleid.

Notitie

De mogelijkheid om een vertrouwelijkheidslabel rechtstreeks toe te passen in Defender voor Cloud Apps wordt momenteel alleen ondersteund voor Box, Google Workspace, SharePoint online en OneDrive voor Bedrijven.

Verouderde extern gedeelde gegevens detecteren

Detecteer ongebruikte en verouderde bestanden, bestanden die onlangs niet zijn bijgewerkt, die openbaar toegankelijk zijn via directe openbare koppeling, webzoekopdrachten of specifieke externe gebruikers.

Vereisten

U moet ten minste één app hebben verbonden met behulp van app-connectors.

Stappen

  1. Maak op de pagina Beleid een nieuw bestandsbeleid.

  2. Selecteer en pas de beleidssjabloon verlopen extern gedeelde bestanden toe.

  3. Pas het filter Laatst gewijzigd aan zodat dit overeenkomt met het beleid van uw organisatie.

  4. Optioneel: Stel beheeracties in die moeten worden uitgevoerd voor bestanden wanneer een schending wordt gedetecteerd. De beschikbare beheeracties variëren per service. Bijvoorbeeld:

    • Google Workspace: maak het bestand privé en stel de laatste bestandseditor op de hoogte

    • Vak: De laatste bestandseditor op de hoogte stellen

    • SharePoint online: het bestand privé maken en een samenvatting van beleidsovereenkomsten verzenden naar de eigenaar van het bestand

  5. Maak het bestandsbeleid.

Gegevenstoegang detecteren vanaf een niet-geautoriseerde locatie

Detecteren wanneer bestanden worden geopend vanaf een niet-geautoriseerde locatie, op basis van de algemene locaties van uw organisatie, om een mogelijk gegevenslek of schadelijke toegang te identificeren.

Vereisten

U moet ten minste één app hebben verbonden met behulp van app-connectors.

Stappen

  1. Maak op de pagina Beleid een nieuw activiteitsbeleid.

  2. Stel het filteractiviteitstype in op de activiteiten in het bestand en de map die u interesseren, zoals Weergeven, Downloaden, Access en Wijzigen.

  3. Stel de filterlocatie niet gelijk aan en voer vervolgens de landen/regio's in van waaruit uw organisatie activiteit verwacht.

    1. Optioneel: U kunt de tegenovergestelde benadering gebruiken en het filter instellen op Locatie is gelijk als uw organisatie de toegang vanuit specifieke landen/regio's blokkeert.
  4. Optioneel : Beheeracties maken die moeten worden toegepast op gedetecteerde schendingen (beschikbaarheid varieert tussen services), zoals Gebruiker onderbreken.

  5. Maak het activiteitsbeleid.

Vertrouwelijke gegevensopslag detecteren en beveiligen op een niet-compatibele SP-site

Bestanden detecteren die zijn gelabeld als vertrouwelijk en worden opgeslagen in een niet-conforme SharePoint site.

Vereisten

Vertrouwelijkheidslabels worden geconfigureerd en gebruikt binnen de organisatie.

Stappen

  1. Maak op de pagina Beleid een nieuw bestandsbeleid.

  2. Stel het filtergevoeligheidslabel in op Microsoft Purview Informatiebeveiliging gelijk is aan het label Vertrouwelijk of het equivalent van uw bedrijf.

  3. Stel de bovenliggende filtermap niet in en kies vervolgens onder Een map selecteren alle compatibele mappen in uw organisatie.

  4. Selecteer onder Waarschuwingeneen waarschuwing maken voor elk overeenkomend bestand.

  5. Optioneel: stel de beheeracties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd. De beschikbare beheeracties variëren per service. Stel Box bijvoorbeeld in op Beleidsmatch-samenvatting verzenden naar bestandseigenaar en In quarantaine plaatsen voor beheerders.

  6. Maak het bestandsbeleid.

Extern gedeelde broncode detecteren

Detecteren wanneer bestanden die inhoud bevatten die mogelijk openbaar worden gedeeld of worden gedeeld met gebruikers buiten uw organisatie.

Vereisten

U moet ten minste één app hebben verbonden met behulp van app-connectors.

Stappen

  1. Maak op de pagina Beleid een nieuw bestandsbeleid.

  2. De beleidssjabloon extern gedeelde broncode selecteren en toepassen

  3. Optioneel: Pas de lijst met bestandsextensies aan zodat deze overeenkomen met de broncodebestandsextensies van uw organisatie.

  4. Optioneel: stel de beheeracties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd. De beschikbare beheeracties variëren per service. In Box verzendt u bijvoorbeeld de samenvatting van beleidsovereenkomsten naar de eigenaar van het bestand en plaatst u in quarantaine voor beheerders.

  5. De beleidssjabloon selecteren en toepassen

Onbevoegde toegang tot groepsgegevens detecteren

Detecteer wanneer bepaalde bestanden die deel uitmaken van een specifieke gebruikersgroep, overmatig worden geopend door een gebruiker die geen deel uitmaakt van de groep, wat een potentiële bedreiging voor insiders kan zijn.

Vereisten

U moet ten minste één app hebben verbonden met behulp van app-connectors.

Stappen

  1. Maak op de pagina Beleid een nieuw activiteitsbeleid.

  2. Onder Act on selecteert u Herhaalde activiteit en past u de minimaal herhaalde activiteiten aan en stelt u een tijdsbestek in om te voldoen aan het beleid van uw organisatie.

  3. Stel het filteractiviteitstype in op de bestands- en mapactiviteiten die u interesseren, zoals Weergeven, Downloaden, Openen en Wijzigen.

  4. Stel de filtergebruiker in op Van groep en selecteer vervolgens de relevante gebruikersgroepen.

  5. Stel het filter Bestanden en mappen in op Specifieke bestanden of mappen is gelijk aan en kies vervolgens de bestanden en mappen die deel uitmaken van de gecontroleerde gebruikersgroep.

  6. Stel de beheeracties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd. De beschikbare beheeracties variëren per service. U kunt er bijvoorbeeld voor kiezen om de gebruiker te onderbreken.

  7. Maak het bestandsbeleid.

Openbaar toegankelijke S3-buckets detecteren

Detecteren en beschermen tegen mogelijke gegevenslekken van AWS S3-buckets.

Vereisten

U moet een AWS-exemplaar hebben verbonden met behulp van app-connectors.

Stappen

  1. Maak op de pagina Beleid een nieuw bestandsbeleid.

  2. Selecteer en pas de beleidssjabloon openbaar toegankelijke S3-buckets (AWS) toe.

  3. Stel de beheeracties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd. De beschikbare beheeracties variëren per service. Stel BIJVOORBEELD AWS in op Privé maken , waardoor de S3-buckets privé worden.

  4. Maak het bestandsbeleid.

Detecteer bestanden die worden gedeeld in cloudopslag-apps en bevatten persoonlijke identificatiegegevens en andere gevoelige gegevens die zijn gebonden aan een AVG-nalevingsbeleid. Pas vervolgens automatisch vertrouwelijkheidslabels toe om de toegang alleen te beperken tot geautoriseerd personeel.

Vereisten

Stappen

  1. Maak op de pagina Beleid een nieuw bestandsbeleid.

  2. Selecteer onder Inspectiemethodede optie Data Classification Service (DCS) en selecteer onder Type selecteren een of meer informatietypen die voldoen aan de AVG-naleving, bijvoorbeeld: EU-betaalkaartnummer, EU-rijbewijsnummer, EU-nationaal identificatienummer, EU-paspoortnummer, EU SSN, SU-btw-identificatienummer.

  3. Stel de beheeracties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd door het vertrouwelijkheidslabel toepassen voor elke ondersteunde app te selecteren.

  4. Maak het bestandsbeleid.

Notitie

Op dit moment wordt vertrouwelijkheidslabel alleen ondersteund voor Box, Google Workspace, SharePoint online en OneDrive voor bedrijven.

Downloads voor externe gebruikers in realtime blokkeren

Voorkomen dat bedrijfsgegevens worden geëxfiltratied door externe gebruikers, door bestandsdownloads in realtime te blokkeren met behulp van de sessiebesturingselementen Defender voor Cloud Apps.

Vereisten

Stappen

  1. Maak op de pagina Beleid een nieuw sessiebeleid.

  2. Selecteer onder Sessiebeheertype het downloaden van het besturingselementbestand (met inspectie).

  3. Onder Activiteitsfilters selecteert u Gebruiker en stelt u deze in op Van-groep gelijk aan externe gebruikers.

    Notitie

    U hoeft geen app-filters in te stellen om dit beleid toe te passen op alle apps.

  4. U kunt het bestandsfilter gebruiken om het bestandstype aan te passen. Hierdoor hebt u meer gedetailleerde controle over welk type bestanden het sessiebeleid beheert.

  5. Selecteer Onder Actiesde optie Blokkeren. U kunt blokbericht aanpassen selecteren om een aangepast bericht in te stellen dat naar uw gebruikers moet worden verzonden, zodat ze begrijpen waarom de inhoud wordt geblokkeerd en hoe ze deze kunnen inschakelen door het juiste vertrouwelijkheidslabel toe te passen.

  6. Selecteer Maken.

De modus Alleen-lezen afdwingen voor externe gebruikers in realtime

Voorkomen dat bedrijfsgegevens worden geëxfiltratied door externe gebruikers, door activiteiten voor afdrukken en kopiëren/plakken in realtime te blokkeren met behulp van de sessiebesturingselementen Defender voor Cloud Apps.

Vereisten

Stappen

  1. Maak op de pagina Beleid een nieuw sessiebeleid.

  2. Selecteer onder Sessiebeheertypede optie Activiteiten blokkeren.

  3. In het filter Activiteitsbron :

    1. Selecteer Gebruiker en stel Van groep in op Externe gebruikers.

    2. Selecteer Activiteitstype is gelijk aan afdrukken en knippen/kopiëren item.

    Notitie

    U hoeft geen app-filters in te stellen om dit beleid toe te passen op alle apps.

  4. Optioneel: Selecteer onder Inspectiemethode het type inspectie dat moet worden toegepast en stel de benodigde voorwaarden voor de DLP-scan in.

  5. Selecteer Onder Actiesde optie Blokkeren. U kunt blokbericht aanpassen selecteren om een aangepast bericht in te stellen dat naar uw gebruikers moet worden verzonden, zodat ze begrijpen waarom de inhoud wordt geblokkeerd en hoe ze deze kunnen inschakelen door het juiste vertrouwelijkheidslabel toe te passen.

  6. Selecteer Maken.

Uploaden van niet-geclassificeerde documenten in realtime blokkeren

Voorkom dat gebruikers onbeveiligde gegevens uploaden naar de cloud met behulp van de sessiebesturingselementen Defender voor Cloud Apps.

Vereisten

Stappen

  1. Maak op de pagina Beleid een nieuw sessiebeleid.

  2. Selecteer onder Sessiebeheer hetuploaden van besturingsbestanden (met inspectie) of het downloaden van besturingsbestanden (met inspectie).

    Notitie

    U hoeft geen filters in te stellen om dit beleid toe te passen op alle gebruikers en apps.

  3. Selecteer het vertrouwelijkheidslabel voor bestandsfilters is niet gelijk en selecteer vervolgens de labels die uw bedrijf gebruikt om geclassificeerde bestanden te taggen.

  4. Optioneel: Selecteer onder Inspectiemethode het type inspectie dat moet worden toegepast en stel de benodigde voorwaarden voor de DLP-scan in.

  5. Selecteer Onder Actiesde optie Blokkeren. U kunt blokbericht aanpassen selecteren om een aangepast bericht in te stellen dat naar uw gebruikers moet worden verzonden, zodat ze begrijpen waarom de inhoud wordt geblokkeerd en hoe ze deze kunnen inschakelen door het juiste vertrouwelijkheidslabel toe te passen.

  6. Selecteer Maken.

Notitie

Zie Microsoft Purview Informatiebeveiliging integratievereisten voor de lijst met bestandstypen die momenteel Defender voor Cloud Apps ondersteunt voor vertrouwelijkheidslabels van Microsoft Purview Informatiebeveiliging .

Volgende stappen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.