Управление данными пользователей в Microsoft Defender для облака
В этой статье приводятся сведения об управлении данными пользователя в Microsoft Defender для облака. Управление данными пользователя включает в себя возможность доступа, удаления и экспорта данных.
Примечание.
В этой статье приведены пошаговые инструкции по удалению персональных данных с устройства или из службы. Эти сведения можно использовать для соблюдения обязательств согласно Общему регламенту по защите данных (GDPR). Общие сведения о GDPR см. в разделе GDPR Центра управления безопасностью Майкрософт и в разделе GDPR на портале Service Trust Portal.
Пользователь Defender для облака, которому назначена роль читателя, владельца, участника или администратора учетной записи, может получить доступ к данным клиента в рамках этого средства. Дополнительные сведения о роли администратора учетной записи см. в статье Встроенные роли управления доступом на основе ролей в Azure, где рассказывается о ролях читателя, владельца и участника. См. статью Администраторы подписки Azure.
Поиск и идентификация личных данных
Пользователи Defender для облака могут просматривать свои персональные данные через портал Azure. В Defender для облака хранятся только сведения о контактных лицах по вопросам безопасности, такие как адреса электронной почты и номера телефонов. Дополнительные сведения см. в статье о предоставлении сведений о контактном лице по вопросам безопасности в Microsoft Defender для облака.
На портале Azure пользователь может просмотреть разрешенные IP-конфигурации с помощью функции JIT-доступа к виртуальным машинам в Defender для облака. Дополнительные сведения см. в статье Управление доступом к виртуальным машинам с помощью JIT.
На портале Azure пользователь может просмотреть оповещения безопасности, предоставляемые Defender для облака, включая сведения об IP-адресах и злоумышленниках. Узнайте больше об управлении оповещениями системы безопасности и реагировании на них в Microsoft Defender для облака.
Классификация персональных данных
Классифицировать персональные данные, сохраненные в средстве управления сведениями о контактных лицах по вопросам безопасности в Defender для облака, не требуется. Это адрес электронной почты (или несколько адресов) и номер телефона. Контактные данные проверяет Defender для облака.
Классифицировать IP-адреса и номера портов, сохраненные с помощью функции JIT в Defender для облака, не требуется.
Только пользователь, которому назначена роль администратора, может классифицировать персональные данные, перейдя в окно просмотра оповещений в Defender для облака.
Защита доступа к персональным данным и управлением им
Пользователь Defender для облака, которому назначена роль читателя, владельца, участника или администратора учетной записи, может получить доступ к данным контактных лиц по вопросам безопасности.
У пользователя Defender для облака, которому назначена роль читателя, владельца, участника или администратора учетной записи, есть доступ к его политикам JIT.
Пользователь Defender для облака, которому назначена роль читателя, владельца, участника или администратора учетной записи, может просматривать свои оповещения.
Обновление персональных данных
Пользователь Defender для облака, которому назначена роль читателя, владельца, участника или администратора учетной записи, может обновить данные контактных лиц по вопросам безопасности на портале Azure.
Пользователь Defender для облака, которому назначена роль читателя, владельца, участника или администратора учетной записи, может обновить свои политики JIT.
Администратор учетной записи не может вносить изменения в инциденты с оповещениями. Инцидент с оповещением относится к данным безопасности и предназначен только для чтения.
Удаление личных данных
Пользователь Defender для облака, которому назначена роль читателя, владельца, участника или администратора учетной записи, может удалить данные контактных лиц по вопросам безопасности на портале Azure.
Пользователь Defender для облака, которому назначена роль владельца, участника или администратора учетной записи, может удалить политики JIT на портале Azure.
Пользователь Defender для облака не может удалять инциденты оповещений. Из-за требований к безопасности любой инцидент с оповещением доступен только для чтения.
Экспорт личных данных
Пользователь Defender для облака, которому назначена роль читателя, владельца, участника или администратора учетной записи, может экспортировать данные контактных лиц по вопросам безопасности следующим образом:
скопировав данные с портала Azure;
вызвав Azure REST API и используя метод GET HTTP:
GET https://<endpoint>/subscriptions/{subscriptionId}/providers/Microsoft.Security/securityContacts?api-version={api-version}
Пользователь Defender для облака, которому назначена роль администратора учетной записи, может экспортировать политики JIT с IP-адресами следующим образом:
скопировав данные с портала Azure;
вызвав Azure REST API и используя метод GET HTTP:
GET https://<endpoint>/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Security/locations/{location}/jitNetworkAccessPolicies/default?api-version={api-version}
Администратор учетной записи может экспортировать сведения об оповещении следующим образом:
скопировав данные с портала Azure;
вызвав Azure REST API и используя метод GET HTTP:
GET https://<endpoint>/subscriptions/{subscriptionId}/providers/microsoft.Security/alerts?api-version={api-version}
Дополнительные сведения см. в статье о получении оповещений безопасности.
Ограничение использования персональных данных для профилирования или маркетинга без согласия
Пользователь Defender для облака может отказаться, удалив свои данные контактных лиц по вопросам безопасности.
JIT-данные считаются неидентифицируемыми и хранятся в течение 30 дней.
Данные оповещений считаются данными безопасности и хранятся в течение двух лет.
Аудит и создание отчетов
Журналы аудита контактного лица по вопросам безопасности, данные JIT и обновления оповещений хранятся в журналах действий Azure.
Реагирование на запросы экспорта субъекта данных для API Defender
Право на переносимость данных гарантирует субъектам данных возможность запросить копию своих персональных данных в структурированном общепринятом электронном формате, который может быть передан другому управляющему данными.
Управление запросами на экспорт и просмотр
Вы можете управлять запросами на экспорт данных клиента или пользователя.
Экспорт данных клиента (только администратор клиента)
Администратор клиента может экспортировать данные клиента.
Экспорт данных клиента:
- Отправьте сообщение электронной почты, указывающее адрес электронной
D4APIS_DSRRequests@microsoft.comпочты клиента в запросе. - Команда Defender для API-интерфейсов будет отвечать на сообщение электронной почты администратора зарегистрированного клиента, который попросит подтверждение экспорта данных.
- Подтвердите подтверждение экспорта данных для запрошенного клиента. Экспортированные данные будут отправлены на адрес электронной почты администратора клиента.