Tutorial: Descubra e proteja informações sensíveis na sua organização

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Num mundo perfeito, todos os seus colaboradores compreendem a importância da proteção da informação e do trabalho dentro das suas políticas. No mundo real, é provável que um parceiro ocupado que frequentemente trabalha com informações contabilísticas envie inadvertidamente um documento sensível para o seu repositório box com permissões incorretas. Uma semana depois, percebe que as informações confidenciais da sua empresa foram divulgadas à sua concorrência.

Para o ajudar a evitar que isso aconteça, o Microsoft Cloud App Security fornece-lhe um conjunto expansivo de capacidades DLP que cobrem os vários pontos de fuga de dados existentes nas organizações.

Neste tutorial, você vai aprender a usar a Cloud App Security para descobrir dados sensíveis potencialmente expostos e aplicar controlos para evitar a sua exposição:

Como descobrir e proteger informações sensíveis na sua organização

A nossa abordagem à proteção da informação pode ser dividida nas fases seguintes que lhe permitem proteger os seus dados através do seu ciclo de vida completo, em vários locais e dispositivos.

sombra it ciclo de vida.

Fase 1: Descubra os seus dados

  1. Conecte aplicações: O primeiro passo para descobrir quais os dados que estão a ser usados na sua organização é ligar as aplicações em nuvem utilizadas na sua organização à Cloud App Security. Uma vez conectado, a Cloud App Security pode digitalizar dados, adicionar classificações e impor políticas e controlos. Dependendo da forma como as aplicações são conectadas afeta como, e quando, digitaliza e controla. Pode ligar as suas aplicações de uma das seguintes formas:

    • Utilize um conector de aplicações: Os nossos conectores de aplicação utilizam as APIs fornecidas pelos fornecedores de aplicações. Proporcionam uma maior visibilidade e controlo sobre as aplicações utilizadas na sua organização. As varreduras são efetuadas periodicamente (a cada 12 horas) e em tempo real (desencadeadas cada vez que é detetada uma alteração). Para obter mais informações e instruções sobre como adicionar aplicações, consulte aplicações de ligação.
    • Utilizar o Controlo de Aplicações de Acesso Condicional: A nossa solução de Controlo de Aplicações de Acesso Condicional utiliza uma arquitetura de procuração inversa que está exclusivamente integrada com o Acesso Condicional do Azure Ative Directy (AD). Uma vez configurados no AZure AD, os utilizadores serão encaminhados para a Cloud App Security, onde as políticas de acesso e sessão são aplicadas para proteger as aplicações de dados que tentam usar. Este método de ligação permite aplicar controlos a qualquer aplicação. Para obter mais informações, consulte aplicações Protect com Cloud App Security Conditional Access App Control.
  2. Investigar: Depois de ligar uma aplicação à Cloud App Security utilizando o seu conector API, a Cloud App Security verifica todos os ficheiros que utiliza. Em seguida, pode ir à página de investigação de ficheiros (Arquivos de Investigação) > para obter uma visão geral dos ficheiros partilhados pelas suas aplicações na nuvem, a sua acessibilidade e o seu estado. Para obter mais informações, consulte os ficheiros Investigar.

Fase 2: Classificar informações sensíveis

  1. Defina quais as informações sensíveis: Antes de procurar informações confidenciais nos seus ficheiros, primeiro tem de definir o que conta como sensível para a sua organização. Como parte do nosso serviço de classificação de dados,oferecemos mais de 100 tipos de informação sensível fora da caixa, ou pode criar o seu próprio para se adequar à política da sua empresa. A Cloud App Security está integrada nativamente com a Microsoft Information Protection e os mesmos tipos e etiquetas sensíveis estão disponíveis em ambos os serviços. Assim, quando quiser definir informações sensíveis, dirija-se ao portal microsoft Information Protection para as criar e, uma vez definidas, estarão disponíveis na Cloud App Security. Também pode utilizar tipos de classificações avançadas, tais como impressão digital ou Exact Data Match (EDM).

    Para aqueles que já fizeram o trabalho árduo de identificar informações sensíveis e aplicar os rótulos de sensibilidade apropriados, podem utilizar esses rótulos nas suas políticas sem terem de voltar a digitalizar o conteúdo.

  2. Permitir a integração da Proteção de Informação Azure

    1. Na Cloud App Security, sob as definições engrenagem, selecione a página Definições no título Sistema.
    2. Sob proteção de informação Azure, selecione automaticamente novos ficheiros para etiquetas de classificação de proteção de informação Azure.

    Para mais informações, consulte a integração da Azure Information Protection.

  3. Criar políticas para identificar informações sensíveis em ficheiros: Assim que souber o tipo de informação que pretende proteger, é hora de criar políticas para as detetar. Comece por criar as seguintes políticas:

    Política de ficheiro
    Utilize este tipo de política para digitalizar o conteúdo dos ficheiros armazenados nas suas aplicações de nuvem conectadas com API em quase tempo real e dados em repouso. Os ficheiros são digitalizados usando um dos nossos métodos de inspeção suportados, incluindo conteúdo encriptado Azure Information Protection graças à sua integração nativa com a Cloud App Security.

    1. Vá para políticas de controlo, > clique em Criar Política e, em seguida, selecione a política de ficheiros.

    2. De acordo com o método de inspeção, escolha e configuure um dos seguintes serviços de classificação:

      • Serviços de Classificação de Dados: Utiliza as decisões de classificação que tomou em todo o Office 365, Azure Information Protection e Cloud App Security para proporcionar uma experiência de rotulagem unificada. Este é o método de inspeção de conteúdo preferido, uma vez que proporciona uma experiência consistente e unificada em todos os produtos da Microsoft.
      • DLP incorporado: Inspeciona ficheiros para obter informações sensíveis utilizando o nosso motor de inspeção de conteúdo DLP incorporado.
      • Integração externa do DLP: Para empresas que desejem utilizar as suas próprias soluções DLP de terceiros, as políticas de ficheiros Cloud App Security podem direcionar de forma segura ficheiros para inspeção à sua solução DLP externa através de um servidor ICAP.
    3. Para ficheiros altamente sensíveis, selecione Criar um alerta e escolha os alertas necessários, para que seja informado quando houver ficheiros com informações sensíveis desprotegidas na sua organização.

    4. Clique em Criar.

    Política de sessão
    Utilize este tipo de política para digitalizar e proteger ficheiros em tempo real no acesso a:

    • Evitar a exfiltração de dados: Bloqueie o descarregamento, corte, cópia e impressão de documentos sensíveis em, por exemplo, dispositivos não geridos.
    • Proteger ficheiros no download: Exija que os documentos sejam rotulados e protegidos com a Proteção de Informações Azure. Esta ação garante que o documento está protegido e o acesso ao utilizador é restringido numa sessão potencialmente arriscada.
    • Evitar o upload de ficheiros não rotulados: Exija que um ficheiro tenha a etiqueta e proteção certas antes de um ficheiro sensível ser carregado, distribuído e utilizado por outros. Com esta ação, pode garantir que os ficheiros não rotulados com conteúdo sensível estão bloqueados de serem carregados até que o utilizador classifique o conteúdo.
    1. Vá para políticas de controlo, > clique em Criar Política e, em seguida, selecione a política de sessão.

    2. No tipo de controlo de sessão, escolha uma das opções com DLP.

    3. De acordo com o método de inspeção, escolha e configuure um dos seguintes serviços de classificação:

      • Serviços de Classificação de Dados: Utiliza as decisões de classificação que tomou em todo o Office 365, Azure Information Protection e Cloud App Security para proporcionar uma experiência de rotulagem unificada. Este é o método de inspeção de conteúdo preferido, uma vez que proporciona uma experiência consistente e unificada em todos os produtos da Microsoft.
      • DLP incorporado: Inspeciona ficheiros para obter informações sensíveis utilizando o nosso motor de inspeção de conteúdo DLP incorporado.
    4. Para ficheiros altamente sensíveis, selecione Criar um alerta e escolha os alertas necessários, para que seja informado quando houver ficheiros com informações sensíveis desprotegidas na sua organização.

    5. Clique em Criar.

Deve criar todas as políticas necessárias para detetar dados sensíveis em conformidade com a política da sua empresa.

Fase 3: Proteger os seus dados

Agora pode detetar ficheiros com informações sensíveis, mas o que realmente quer fazer é proteger essa informação de potenciais ameaças. Assim que tiver conhecimento de um incidente, pode remediar manualmente a situação ou pode utilizar uma das ações automáticas de governação fornecidas pela Cloud App Security para proteger os seus ficheiros. As ações incluem, mas não se limitam a, controlos nativos da Azure Information Protection, API forneceu ações e monitorização em tempo real. O tipo de governação que pode aplicar depende do tipo de política que está a configurar, da seguinte forma:

  1. Ações de governança de políticas de ficheiros: Utiliza a API do fornecedor de aplicações em nuvem e as nossas integrações nativas para proteger ficheiros, incluindo:

    • Desencadeia alertas e envie notificações por e-mail sobre o incidente
    • Gerir rótulos aplicados a um ficheiro para impor controlos nativos da Proteção de Informação Azure
    • Alterar o acesso à partilha de um ficheiro
    • Quarentena um arquivo
    • Remova permissões específicas de ficheiros ou pastas no Office 365
    • Mova um ficheiro para a pasta do lixo
  2. Controlos de política de sessão: Utiliza capacidades de procuração inversas para proteger ficheiros, incluindo:

    • Desencadeia alertas e envie notificações por e-mail sobre o incidente
    • Monitorize todas as atividades: Permite explicitamente o descarregamento ou upload de ficheiros e monitoriza todas as atividades relacionadas.
    • Bloquear: Bloqueia explicitamente o descarregamento ou o upload de ficheiros. Utilize esta opção para proteger os ficheiros sensíveis da sua organização contra a exfiltração ou infiltração de qualquer dispositivo, incluindo dispositivos não geridos.
    • Proteger:Aplica automaticamente uma etiqueta de classificação a ficheiros que correspondam aos filtros de ficheiros da apólice. Utilize esta opção para proteger o descarregamento de ficheiros sensíveis.

Fase 4: Monitorar e informar os seus dados

As suas políticas estão todas em vigor para inspecionar e proteger os seus dados. Agora, vai querer verificar o seu painel diariamente para ver que novos alertas foram desencadeados. É um bom lugar para manter um olho na saúde do seu ambiente nublado. O seu painel ajuda-o a perceber o que está a acontecer e, se necessário, a iniciar uma investigação.

Uma das formas mais eficazes de monitorizar incidentes de ficheiros sensíveis é dirigir-se à página Políticas e rever os jogos para as políticas que configuraste. Além disso, se configurar alertas, também deve considerar monitorizar regularmente os alertas de ficheiros, dirigindo-se à página Alertas, especificando a categoria como DLP, e revendo quais as políticas relacionadas com ficheiros que estão a ser ativadas. Rever estes incidentes pode ajudá-lo a afinar as suas políticas para se concentrar em ameaças que são do interesse da sua organização.

Em conclusão, a gestão de informações sensíveis desta forma garante que os dados guardados na nuvem têm proteção máxima contra exfiltração e infiltração maliciosas. Além disso, se um ficheiro for partilhado ou perdido, este só pode ser acedido por utilizadores autorizados.

Ver também

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.