Руководство. Обнаружение конфиденциального содержимого с помощью сканера Azure Information Protection (AIP)

Область применения: Azure Information Protection

К чему относится: Клиент унифицированных меток Azure Information Protection для Windows

Клиент Azure Information Protection предоставляет локальное средство проверки, позволяющее системным администраторам сканировать локальные репозитории файлов на наличие конфиденциального содержимого.

Из этого руководства вы узнаете, как выполнять следующие задачи:

  • Создание задания для сканирования сети и поиска репозиториев, которые могут находиться в зоне риска
  • Добавление найденных репозиториев, которые могут находиться в зоне риска, в задание для сканирования содержимого
  • Сканирование файловых ресурсов на наличие конфиденциального содержимого и анализ результатов поиска

Примечание

Служба обнаружения сетевых ресурсов доступна только в версии 2.8.85.0 клиента унифицированных меток и на данный момент находится на стадии ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Если у вас не установлена эта версия клиента и сканера, ознакомьтесь с предварительными требованиями для этого руководства, а затем перейдите к разделу Определение и запуск задания сканирования содержимого.

Затрачиваемое время. Вы можете создать такую конфигурацию за 15 минут.

Предварительные требования для учебника

Требование Описание
Поддерживаемая подписка Вам понадобится подписка Azure, которая поддерживает Azure Information Protection.

Если у вас нет подписки, в которую входит один из этих планов, вы можете создать бесплатную учетную запись для своей организации.
Доступ к порталу Azure с правами администратора Убедитесь, что у вас есть поддерживаемая учетная запись администратора для входа на портал Azure и включена защита. Поддерживаются следующие учетные записи администратора:

- администратор соответствия требованиям;
- администратор соответствия данных требованиям;
- администратор безопасности;
- глобальный администратор;
клиент и сканер AIP, а также служба обнаружения сетевых ресурсов. Для полного прохождения этого руководства вам потребуется установить клиент и средство проверки унифицированных меток Azure Information Protection, а также службу сетевого обнаружения (общедоступная предварительная версия).

Дополнительные сведения см. в разделе:

- Краткое руководство. Развертывание клиента унифицированных меток Azure Information Protection (AIP)
- Руководство. Установка сканера унифицированных меток Azure Information Protection (AIP)
Задание сканирования содержимого Убедитесь, что у вас есть базовое задание сканирования содержимого, которое можно использовать для тестирования. Вы могли создать его, когда устанавливали сканер.

Если вам необходимо создать его сейчас, воспользуйтесь инструкциями в разделе Настройка Azure Information Protection на портале Azure. После создания базового задания для сканирования содержимого продолжайте работу с этим руководством.
SQL Server На компьютере, на котором будет запускаться сканер, должен быть установлен SQL Server.

Чтобы его установить, перейдите на страницу скачивания SQL Server и выберите Скачать сейчас в соответствующем разделе. В программе установки выберите тип установки Базовый.

Примечание. Для рабочих сред рекомендуется устанавливать SQL Server Enterprise. Версию Express следует использовать только для тестирования.
Учетная запись Azure Active Directory При работе со стандартной подключенной к облаку средой учетная запись домена должна быть синхронизирована с Azure Active Directory. Если вы работаете в автономном режиме, это необязательно.

Если вы не уверены в состоянии своей учетной записи, обратитесь к одному из системных администраторов и уточните статус синхронизации. Дополнительные сведения см. в разделе Развертывание средства проверки с альтернативными конфигурациями.
Метки конфиденциальности и опубликованная политика Для учетной записи службы сканера необходимо создать метки конфиденциальности и опубликовать в Центре соответствия требованиям Microsoft 365 политику по крайней мере с одной меткой.

Настройте метки конфиденциальности в Центре соответствия требованиям Microsoft 365. Дополнительные сведения см. в документации по Microsoft 365.

Если все готово, вы можете продолжить создание задания сканирования сети.

Создание задания сканирования сети

Создайте задание сканирования сети, чтобы проверить указанный IP-адрес или диапазон IP-адресов на наличие репозиториев, находящихся в зоне риска.

Примечание

Эта функция доступна только начиная с версии 2.8.85.0 и на данный момент находится на стадии ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Чтобы создать задание сканирования сети, сделайте следующее:

  1. Войдите на портал Azure с использованием поддерживаемой учетной записи администратора и перейдите в область Azure Information Protection.

  2. В меню Сканер слева выберите Задания сканирования сети (предварительная версия) .

  3. Нажмите кнопку Добавить для добавления нового задания. В области Добавить новое задание сканирования сети введите следующие сведения:

    Параметр Описание
    Имя задания сканирования сети и его описание Введите понятное имя, например Quickstart, а также необязательное описание.
    Выберите кластер. Выберите имя кластера в раскрывающемся списке.

    Например, если вы завершили раздел Руководство. Установка сканера унифицированных меток Azure Information Protection (AIP) и еще не удалили этот кластер, выберите Краткое руководство.
    Настройка диапазонов IP-адресов для обнаружения Выберите строку, чтобы открыть область Выбор диапазонов IP-адресов. Введите IP-адрес или диапазон IP-адресов.

    Примечание. Убедитесь, что вводимые IP-адреса доступны с компьютера сканера.
    Установить расписание Оставьте значение по умолчанию Один раз.
    Установить время начала (UTC) Определите текущее время в формате UTC с учетом вашего часового пояса и задайте время начала выполнения в ближайшие 5 минут.

    Пример:

    Ввод сведений о задании сканирования сети

  4. Щелкните Сохранить в верхней части страницы.

  5. Вернитесь в сетку Задания сканирования сети (предварительная версия) и дождитесь, пока начнется выполнение задания.

После завершения сканирования данные сетки обновляются. Пример:

Обновленные задания сканирования сети

Совет

Если задание сканирования сети не выполняется, убедитесь, что служба обнаружения сетевых ресурсов правильно установлена на компьютере со сканером.

Перейдите к разделу Добавление репозиториев, которые могут находиться в зоне риска, в задание для сканирования содержимого.

Добавление репозиториев, которые могут находиться в зоне риска, в задание для сканирования содержимого

После завершения задания сканирования сети вы можете проверить найденные репозитории, которые могут находиться в зоне риска.

Например, если репозиторий находится в открытом доступе для чтения и записи, может потребоваться дополнительное сканирование на предмет отсутствия в нем конфиденциальных данных.

Примечание

Эта функция доступна только начиная с версии 2.8.85.0 и на данный момент находится на стадии ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Чтобы добавить репозитории, которые могут находиться в зоне риска, в задание для сканирования содержимого, выполните следующие действия.

  1. Войдите на портал Azure с использованием поддерживаемой учетной записи администратора и перейдите в область Azure Information Protection.

  2. В меню Сканер слева выберите Репозитории (предварительная версия) .

    Просмотр репозиториев, обнаруженных заданием сканирования сети

  3. В сетке под графиками выберите репозиторий, который еще не находится под управлением сканера. К неуправляемым относятся репозитории, которые не включены в задание сканирования содержимого и не проверялись на наличие конфиденциального содержимого.

    Совет

    Например, репозитории, которые находятся в общем доступе для чтения (R) или для чтения и записи (RW), могут иметь конфиденциальное содержимое и, таким образом, находиться в зоне риска.

  4. Выберите строку и затем щелкните Назначить выбранные элементы над сеткой.

  5. В области Назначить для задания сканирования содержимого, которая появится справа, выберите задание в раскрывающемся списке и нажмите кнопку Сохранить.

    Пример:

    Назначение репозиториев, которые могут находиться в зоне риска, заданию сканирования содержимого

При следующем запуске задание сканирования содержимого будет включать недавно обнаруженный репозиторий, а также определять, обозначать, классифицировать и защищать любое найденное конфиденциальное содержимое в соответствии с настройками политики.

Перейдите к разделу Определение и запуск задания сканирования содержимого.

Определение и запуск задания сканирования содержимого

Используйте задание, подготовленное в соответствии с предварительными требованиями для руководства, для сканирования содержимого.

Если вы еще не определили задание сканирования содержимого, выполните действия из раздела Настройка начальных параметров на портале Azure, а затем вернитесь сюда для продолжения работы.

  1. Войдите на портал Azure с использованием поддерживаемой учетной записи администратора и перейдите в область Azure Information Protection.

  2. В меню Сканер слева выберите Задания сканирования содержимого, а затем щелкните задание.

  3. Измените параметры задания сканирования содержимого, указав его понятное имя и необязательное описание.

    Оставьте значения по умолчанию для большинства параметров, за исключением следующих:

  4. Нажмите кнопку Сохранить, после чего вернитесь в сетку Задания сканирования содержимого.

  5. Чтобы сканировать содержимое, вернитесь в область Задания сканирования содержимого и выберите задание.

    На панели инструментов над сеткой выберите Сканировать сейчас, чтобы запустить сканирование.

    После завершения сканирования перейдите к разделу Просмотр результатов сканирования.

Просмотр результатов сканирования

После завершения сканирования просмотрите отчеты в разделе Azure Information Protection > Аналитика на портале Azure.

Пример:

Результаты работы сканера — отчет об обнаружении аналитических данных

Совет

Если результаты отсутствуют и вы хотите проверить правильность сканирования, создайте файл с именем Сведения об оплате в одном из репозиториев, включенных в задание сканирования содержимого. Сохраните в файле следующие данные:

Кредитная карта: 2384 2328 5436 3489

Снова запустите сканирование и просмотрите его результаты.

Дополнительные сведения см. в статье Центр отчетов Microsoft Azure Information Protection (общедоступная предварительная версия).

Локальные отчеты сканера

Журналы также сохраняются локально на компьютере со сканером в каталоге %localappdata%\Microsoft\MSIP\Scanner\Reports и включают в себя следующие файлы:

Тип Описание
TXT-файлы сводки Включают время, затраченное на выполнение проверки, число проверенных файлов и число файлов, сопоставленных с типами сведений.
CSV-файлы сведений Содержат подробное описание каждого сканированного файла. Каталог может содержать до 60 отчетов для каждого цикла сканирования.

Дальнейшие действия

Дополнительные руководства см. в следующих статьях:

См. также: