Zasady ochrony informacji

Defender dla Chmury Zasady plików aplikacji umożliwiają wymuszanie szerokiego zakresu zautomatyzowanych procesów. Zasady można ustawić tak, aby zapewnić ochronę informacji, w tym ciągłe skanowanie zgodności, zadania zbierania elektronicznych materiałów dowodowych i DLP dla poufnej zawartości udostępnianej publicznie.

Defender dla Chmury Aplikacje mogą monitorować dowolny typ pliku na podstawie ponad 20 filtrów metadanych, na przykład poziomu dostępu i typu pliku. Aby uzyskać więcej informacji, zobacz Zasady dotyczące plików.

Wykrywanie i zapobieganie zewnętrznemu udostępnianiu poufnych danych

Wykryj, kiedy pliki z danymi osobowymi identyfikującymi lub inne poufne dane są przechowywane w usłudze w chmurze i udostępniane użytkownikom spoza organizacji, które naruszają zasady zabezpieczeń firmy, i tworzą potencjalne naruszenie zgodności.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady dotyczące plików.

2. Ustaw poziom dostępu filtru równy Publiczne (Internet) / Publiczny / Zewnętrzny.

3. W obszarze Metoda inspekcji wybierz pozycję Usługa klasyfikacji danych (DCS) i w obszarze Wybierz typ wybierz typ poufnych informacji, które mają być sprawdzane przez usługę DCS.

4. Skonfiguruj akcje ładu do wykonania po wyzwoleniu alertu. Na przykład możesz utworzyć akcję nadzoru uruchamianą w przypadku wykrytych naruszeń plików w obszarze roboczym Google, w którym wybierzesz opcję Usuń użytkowników zewnętrznych i Usuń dostęp publiczny.

5. Utwórz zasady dotyczące plików.

Wykrywanie danych poufnych udostępnianych zewnętrznie

Wykryj, kiedy pliki oznaczone etykietą Poufne i są przechowywane w usłudze w chmurze są udostępniane użytkownikom zewnętrznym, naruszając zasady firmy.

Wymagania wstępne

• Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

• Włącz integrację usługi Microsoft Purview Information Protection.

Kroki

1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady dotyczące plików.

2. Ustaw etykietę poufności filtru na Wartość Microsoft Purview Information Protection równą etykiecie Poufne lub równoważnej firmie.

3. Ustaw poziom dostępu filtru równy Publiczne (Internet) / Publiczny / Zewnętrzny.

4. Opcjonalnie: ustaw akcje nadzoru , które mają być wykonywane dla plików po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług.

5. Utwórz zasady dotyczące plików.

Wykrywanie i szyfrowanie poufnych danych magazynowanych

Wykrywanie plików zawierających dane osobowe i inne poufne dane, które są udostępniane w aplikacji w chmurze, i stosowanie etykiet poufności w celu ograniczenia dostępu tylko do pracowników w firmie.

Wymagania wstępne

• Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

• Włącz integrację usługi Microsoft Purview Information Protection.

Kroki

1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady dotyczące plików.

2. W obszarze Metoda inspekcji wybierz pozycję Usługa klasyfikacji danych (DCS) i w obszarze Wybierz typ wybierz typ poufnych informacji, które mają być sprawdzane przez usługę DCS.

3. W obszarze Akcje ładu zaznacz pole Zastosuj etykietę poufności i wybierz etykietę poufności używaną przez firmę w celu ograniczenia dostępu do pracowników firmy.

4. Utwórz zasady dotyczące plików.

Uwaga

Możliwość stosowania etykiety poufności bezpośrednio w aplikacjach Defender dla Chmury jest obecnie obsługiwana tylko w przypadku usług Box, Google Workspace, SharePoint Online i OneDrive dla Firm.

Wykrywanie nieaktualnych danych udostępnionych zewnętrznie

Wykrywanie nieużywanych i nieaktualnych plików, plików, które nie zostały ostatnio zaktualizowane, które są dostępne publicznie za pośrednictwem bezpośredniego linku publicznego, wyszukiwania w Internecie lub określonych użytkowników zewnętrznych.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady dotyczące plików.

2. Wybierz szablon zasad Nieaktualne zewnętrznie udostępnione pliki i zastosuj go.

3. Dostosuj filtr Ostatnio zmodyfikowany , aby był zgodny z zasadami organizacji.

4. Opcjonalnie: ustaw akcje nadzoru , które mają być wykonywane na plikach po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług. Na przykład:

   • Obszar roboczy Google: ustaw plik jako prywatny i powiadom ostatni edytor plików

   • Pole: Powiadamianie ostatniego edytora plików

   • SharePoint Online: ustaw plik jako prywatny i wyślij skrót dopasowania zasad do właściciela pliku

5. Utwórz zasady dotyczące plików.

Wykrywanie dostępu do danych z nieautoryzowanej lokalizacji

Wykryj, kiedy pliki są dostępne z nieautoryzowanej lokalizacji na podstawie typowych lokalizacji organizacji, aby zidentyfikować potencjalny wyciek danych lub złośliwy dostęp.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady działania.

2. Ustaw typ działania filtru na działania dotyczące plików i folderów, takie jak Widok, Pobieranie, Dostęp i Modyfikowanie.

3. Ustaw filtr Lokalizacja nie równa się, a następnie wprowadź kraje/regiony, z których organizacja oczekuje aktywności.

   • Opcjonalnie: możesz użyć przeciwnego podejścia i ustawić filtr Na wartość Lokalizacja jest równa, jeśli organizacja blokuje dostęp z określonych krajów/regionów.

4. Opcjonalnie: Utwórz akcje ładu , które mają być stosowane w przypadku wykrytego naruszenia (dostępność różni się między usługami), takich jak Wstrzymaj użytkownika.

5. Utwórz zasady działania.

Wykrywanie i ochrona poufnego magazynu danych w niezgodnej witrynie sp

Wykrywanie plików, które są oznaczone jako poufne i są przechowywane w niezgodnej witrynie programu SharePoint.

Wymagania wstępne

Etykiety poufności są konfigurowane i używane w organizacji.

Kroki

1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady dotyczące plików.

2. Ustaw etykietę poufności filtru na Wartość Microsoft Purview Information Protection równą etykiecie Poufne lub równoważnej firmie.

3. Ustaw folder nadrzędny filtru nie jest równy, a następnie w obszarze Wybierz folder wybierz wszystkie zgodne foldery w organizacji.

4. W obszarze Alerty wybierz pozycję Utwórz alert dla każdego pasującego pliku.

5. Opcjonalnie: ustaw akcje nadzoru , które mają być wykonywane dla plików po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług. Na przykład ustaw pole na Wysyłanie skrótu dopasowania zasad do właściciela pliku i Umieść w kwarantannie administratora.

6. Utwórz zasady dotyczące plików.

Wykrywanie kodu źródłowego udostępnionego zewnętrznie

Wykryj, kiedy pliki zawierające zawartość, która może być kodem źródłowym, są udostępniane publicznie lub są udostępniane użytkownikom spoza organizacji.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady dotyczące plików.

2. Wybierz i zastosuj szablon zasad Zewnętrznie udostępniony kod źródłowy

3. Opcjonalnie: dostosuj listę rozszerzeń plików, aby dopasować je do rozszerzeń plików kodu źródłowego organizacji.

4. Opcjonalnie: ustaw akcje nadzoru , które mają być wykonywane dla plików po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług. Na przykład w polu Wyślij skrót dopasowania zasad do właściciela pliku i Umieść w kwarantannie administratora.

5. Wybierz i zastosuj szablon zasad.

Wykrywanie nieautoryzowanego dostępu do danych grupy

Wykryj, kiedy dostęp do niektórych plików należących do określonej grupy użytkowników jest nadmiernie uzyskiwany przez użytkownika, który nie jest częścią grupy, co może być potencjalnym zagrożeniem poufnym.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady działania.

2. W obszarze Działanie włączone wybierz pozycję Powtórzone działanie i dostosuj minimalne powtarzające się działania i ustaw przedział czasu , aby był zgodny z zasadami organizacji.

3. Ustaw typ działania filtru na działania dotyczące plików i folderów, takie jak Widok, Pobieranie, Dostęp i Modyfikowanie.

4. Ustaw filtr User na From group equals (Użytkownik ) na From group (Z grupy ), a następnie wybierz odpowiednie grupy użytkowników.

   Uwaga

   Grupy użytkowników można zaimportować ręcznie z obsługiwanych aplikacji.

5. Ustaw filtr Pliki i foldery na Określone pliki lub foldery równe, a następnie wybierz pliki i foldery należące do poddanej inspekcji grupy użytkowników.

6. Ustaw akcje nadzoru, które mają być wykonywane na plikach po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług. Możesz na przykład wybrać opcję Wstrzymanie użytkownika.

7. Utwórz zasady dotyczące plików.

Wykrywanie publicznie dostępnych zasobników S3

Wykrywanie i ochrona przed potencjalnymi wyciekami danych z zasobników usługi AWS S3.

Wymagania wstępne

Musisz mieć wystąpienie platformy AWS połączone przy użyciu łączników aplikacji.

Kroki

1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady dotyczące plików.

2. Wybierz i zastosuj szablon zasad Publicznie dostępne zasobniki S3 (AWS).

3. Ustaw akcje nadzoru, które mają być wykonywane na plikach po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług. Na przykład ustaw usługę AWS na Ustaw jako prywatną, co spowoduje, że zasobniki S3 będą prywatne.

4. Utwórz zasady dotyczące plików.

Wykrywanie i ochrona danych związanych z RODO w aplikacjach magazynu plików

Wykrywanie plików udostępnianych w aplikacjach magazynu w chmurze i zawiera informacje osobowe oraz inne poufne dane powiązane z zasadami zgodności z RODO. Następnie automatycznie zastosuj etykiety poufności, aby ograniczyć dostęp tylko do autoryzowanych pracowników.

Wymagania wstępne

• Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

• Integracja usługi Microsoft Purview Information Protection (AIP) jest włączona, a etykieta RODO jest skonfigurowana w usłudze AIP.

Kroki

1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady dotyczące plików.

2. W obszarze Metoda inspekcji wybierz pozycję Data Classification Service (DCS) i w obszarze Wybierz typ wybierz jeden lub więcej typów informacji, które są zgodne ze zgodnością z RODO, na przykład: numer karty debetowej UE, numer licencji kierowców UE, numer identyfikacyjny ue/regionalny, numer paszportu UE, numer identyfikacyjny UE, numer SSN, numer identyfikacyjny jednostki SU.

3. Ustaw akcje nadzoru, które mają być wykonywane dla plików po wykryciu naruszenia, wybierając pozycję Zastosuj etykietę poufności dla każdej obsługiwanej aplikacji.

4. Utwórz zasady dotyczące plików.

Uwaga

Obecnie opcja Zastosuj etykietę poufności jest obsługiwana tylko w przypadku usług Box, Google Workspace, SharePoint Online i OneDrive dla firm.

Blokowanie pobierania dla użytkowników zewnętrznych w czasie rzeczywistym

Zapobiegaj eksfiltracji danych firmowych przez użytkowników zewnętrznych, blokując pobieranie plików w czasie rzeczywistym przy użyciu kontrolek sesji Defender dla Chmury Apps.

Wymagania wstępne

• Wdrażanie kontroli aplikacji dostępu warunkowego dla aplikacji Firmy Microsoft Entra.

• Upewnij się, że aplikacja jest aplikacją opartą na protokole SAML, która korzysta z identyfikatora Microsoft Entra ID na potrzeby logowania jednokrotnego. Aby uzyskać więcej informacji na temat obsługiwanych aplikacji, zobacz Obsługiwane aplikacje i klienci.

Kroki

1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady sesji.

2. W obszarze Typ kontrolki sesji wybierz pozycję Kontrola pobierania pliku (z inspekcją)..

3. W obszarze Filtry działań wybierz pozycję Użytkownik i ustaw ją na Wartość Z grupy równa się Użytkownicy zewnętrzni.

   Uwaga

   Nie musisz ustawiać żadnych filtrów aplikacji, aby umożliwić stosowanie tych zasad do wszystkich aplikacji.

4. Możesz użyć filtru Plik, aby dostosować typ pliku. Zapewnia to bardziej szczegółową kontrolę nad typem plików kontrolek zasad sesji.

5. W obszarze Akcje wybierz pozycję Blokuj. Możesz wybrać pozycję Dostosuj komunikat bloku, aby ustawić niestandardowy komunikat , który ma być wysyłany do użytkowników, aby zrozumieć przyczynę zablokowania zawartości i sposób jej włączania, stosując odpowiednią etykietę poufności.

6. Wybierz pozycję Utwórz.

Wymuszanie trybu tylko do odczytu dla użytkowników zewnętrznych w czasie rzeczywistym

Uniemożliwianie eksfiltracji danych firmowych przez użytkowników zewnętrznych przez blokowanie działań drukowania i kopiowania/wklejania w czasie rzeczywistym przy użyciu kontrolek sesji Defender dla Chmury Apps.

Wymagania wstępne

• Wdrażanie kontroli aplikacji dostępu warunkowego dla aplikacji Firmy Microsoft Entra.
• Upewnij się, że aplikacja jest aplikacją opartą na protokole SAML, która używa identyfikatora Microsoft Entra ID na potrzeby logowania jednokrotnego. Aby uzyskać więcej informacji na temat obsługiwanych aplikacji, zobacz Obsługiwane aplikacje i klienci.

Kroki

1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady sesji.

2. W obszarze Typ kontrolki sesji wybierz pozycję Blokuj działania.

3. W filtrze Źródło działania:

   1. Wybierz pozycję Użytkownik i ustaw pozycję Z grupy na użytkowników zewnętrznych.

   2. Wybierz pozycję Typ działania równy Drukuj i Wycinaj/kopiuj element.

   Uwaga

   Nie musisz ustawiać żadnych filtrów aplikacji, aby umożliwić stosowanie tych zasad do wszystkich aplikacji.

4. Opcjonalnie: W obszarze Metoda inspekcji wybierz typ inspekcji, który ma być stosowany, i ustaw niezbędne warunki skanowania DLP.

5. W obszarze Akcje wybierz pozycję Blokuj. Możesz wybrać pozycję Dostosuj komunikat bloku, aby ustawić niestandardowy komunikat , który ma być wysyłany do użytkowników, aby zrozumieć przyczynę zablokowania zawartości i sposób jej włączania, stosując odpowiednią etykietę poufności.

6. Wybierz pozycję Utwórz.

Blokuj przekazywanie niesklasyfikowanych dokumentów w czasie rzeczywistym

Uniemożliwiaj użytkownikom przekazywanie niechronionych danych do chmury przy użyciu kontrolek sesji Defender dla Chmury Apps.

Wymagania wstępne

• Wdrażanie kontroli aplikacji dostępu warunkowego dla aplikacji Firmy Microsoft Entra.

• Upewnij się, że aplikacja jest aplikacją opartą na protokole SAML, która używa identyfikatora Microsoft Entra ID na potrzeby logowania jednokrotnego. Aby uzyskać więcej informacji na temat obsługiwanych aplikacji, zobacz Obsługiwane aplikacje i klienci.

• Etykiety poufności z usługi Microsoft Purview Information Protection muszą być skonfigurowane i używane w organizacji.

Kroki

1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady sesji.

2. W obszarze Typ kontroli sesji wybierz pozycję Kontrola przekazywania plików (z inspekcją) lub Kontrola pobierania pliku (z inspekcją)..

   Uwaga

   Nie musisz ustawiać żadnych filtrów, aby umożliwić stosowanie tych zasad do wszystkich użytkowników i aplikacji.

3. Wybierz etykietę poufności filtru pliku, a następnie wybierz etykiety używane przez firmę do tagowania plików sklasyfikowanych.

4. Opcjonalnie: W obszarze Metoda inspekcji wybierz typ inspekcji, który ma być stosowany, i ustaw niezbędne warunki skanowania DLP.

5. W obszarze Akcje wybierz pozycję Blokuj. Możesz wybrać pozycję Dostosuj komunikat bloku, aby ustawić niestandardowy komunikat , który ma być wysyłany do użytkowników, aby zrozumieć przyczynę zablokowania zawartości i sposób jej włączania, stosując odpowiednią etykietę poufności.

6. Wybierz pozycję Utwórz.

Uwaga

Aby uzyskać listę typów plików, które obecnie Defender dla Chmury Apps obsługuje etykiety poufności z usługi Microsoft Purview Information Protection, zobacz Wymagania wstępne dotyczące integracji usługi Microsoft Purview Information Protection.

Następne kroki

Najlepsze rozwiązania dotyczące ochrony organizacji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.