Principer för informationsskyddInformation protection policies

Gäller för: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Viktigt

Hot skydds produkt namn från Microsoft ändras.Threat protection product names from Microsoft are changing. Läs mer om det här och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

Med Cloud App Security fil principer kan du använda en rad olika automatiserade processer.Cloud App Security file policies allow you to enforce a wide range of automated processes. Principer kan ställas in för att tillhandahålla informations skydd, inklusive kontinuerliga genomsökningar, juridiska eDiscovery-uppgifter och DLP för känsligt innehåll som delas offentligt.Policies can be set to provide information protection, including continuous compliance scans, legal eDiscovery tasks, and DLP for sensitive content shared publicly.

Cloud App Security kan övervaka alla filtyper som baseras på fler än 20 metadata-filter, till exempel åtkomst nivå och filtyp.Cloud App Security can monitor any file type based on more than 20 metadata filters, for example, access level, and file type. Mer information finns i fil principer.For more information, see File policies.

Identifiera och förhindra extern delning av känsliga dataDetect and prevent external sharing of sensitive data

Identifiera när filer med personligt identifierande information eller andra känsliga data lagras i en moln tjänst och delas med användare som är externa för din organisation och som strider mot ditt företags säkerhets policy och skapar potentiella krav på efterlevnad.Detect when files with personally identifying information or other sensitive data are stored in a Cloud service and shared with users who are external to your organization that violates your company's security policy and creates a potential compliance breach.

FörutsättningarPrerequisites

Du måste ha minst en app ansluten med app Connectors.You must have at least one app connected using app connectors.

StegSteps

  1. Skapa en ny fil princip på sidan principer .On the Policies page, create a new File policy.

  2. Ange filter åtkomst nivån är lika med offentlig (Internet)/offentlig/extern.Set the filter Access Level equals Public (Internet) / Public / External.

  3. Under inspektions metod väljer du data klassificerings tjänst (DCS) och under Välj typ väljer du den typ av känslig information som du vill att DCS ska inspektera.Under Inspection method, select Data Classification Service (DCS), and under Select type select the type of sensitive information you want DCS to inspect.

  4. Konfigurera de styrnings åtgärder som ska vidtas när en avisering utlöses.Configure the Governance actions to be take when an alert is triggered. Du kan till exempel skapa en styrnings åtgärd som körs på identifierade fil överträdelser i Google-arbetsytan där du väljer alternativet för att ta bort externa användare och ta bort offentlig åtkomst.For example, you can create a governance action that runs on detected file violations in Google Workspace in which you select the option to Remove external users and Remove public access.

  5. Skapa fil principen.Create the file policy.

Identifiera externt delade konfidentiella dataDetect externally shared confidential data

Identifiera när filer som är märkta konfidentiella och lagras i en moln tjänst delas med externa användare, vilket bryter mot företagets principer.Detect when files that are labeled Confidential and are stored in a cloud service are shared with external users, violating company policies.

FörutsättningarPrerequisites

StegSteps

  1. Skapa en ny fil princip på sidan principer .On the Policies page, create a new File policy.

  2. Ange filter klassificerings etiketten till Azure information Protection lika med den konfidentiella etiketten eller ditt företags motsvarighet.Set the filter Classification label to Azure Information Protection equals the Confidential label, or your company's equivalent.

  3. Ange filter åtkomst nivån är lika med offentlig (Internet)/offentlig/extern.Set the filter Access Level equals Public (Internet) / Public / External.

  4. Valfritt: Ange de styrnings åtgärder som ska vidtas på filer när en överträdelse identifieras.Optional: Set the Governance actions to be taken on files when a violation is detected. De styrnings åtgärder som är tillgängliga varierar mellan olika tjänster.The governance actions available vary between services.

  5. Skapa fil principen.Create the file policy.

Identifiera och kryptera känsliga data i vilaDetect and encrypt sensitive data at rest

Identifiera filer som innehåller personligt identifierande information och andra känsliga data som delas i en molnbaserad app och tillämpa klassificerings etiketter för att begränsa åtkomsten enbart till anställda i företaget.Detect files containing personally identifying information and other sensitive data that is share in a cloud app and apply classification labels to limit access only to employees in your company.

FörutsättningarPrerequisites

StegSteps

  1. Skapa en ny fil princip på sidan principer .On the Policies page, create a new File policy.

  2. Under inspektions metod väljer du data klassificerings tjänst (DCS) och under Välj typ väljer du den typ av känslig information som du vill att domänkontrollanten ska inspektera.Under Inspection method, select Data Classification Service (DCS) and under Select type select the type of sensitive information you want DCS to inspect.

  3. Under avisering, markera Använd klassificering etikett styrning och välj den klassificerings etikett som företaget använder för att begränsa åtkomsten till företagets anställda.Under Alert, check Apply classification label governance and select the classification label that your company uses to restrict access to company employees.

  4. Skapa fil principen.Create the file policy.

Anteckning

Möjligheten att tillämpa en klassificerings etikett direkt i Cloud App Security stöds för närvarande bara för Box, Google-arbetsytan, SharePoint Online och OneDrive för företag.The ability to apply a classification label directly in Cloud App Security is currently only supported for Box, Google Workspace, SharePoint online and OneDrive for business.

Identifiera inaktuella externt delade dataDetect stale externally shared data

Identifiera oanvända och inaktuella filer, filer som inte har uppdaterats nyligen, som är tillgängliga offentligt via direkt offentlig länk, Webbs ökning eller till vissa externa användare.Detect unused and stale files, files that were not updated recently, that are accessible publicly via direct public link, web search, or to specific external users.

FörutsättningarPrerequisites

Du måste ha minst en app ansluten med app Connectors.You must have at least one app connected using app connectors.

StegSteps

  1. Skapa en ny fil princip på sidan principer .On the Policies page, create a new File policy.

  2. Markera och tillämpa princip mal len inaktuella externt delade filer.Select and apply the policy template Stale externally shared files.

  3. Anpassa filtret som senast ändrades för att matcha organisationens princip.Customize the filter Last modified to match your organization's policy.

  4. Valfritt: ange styrnings åtgärder som ska vidtas på filer när en överträdelse identifieras.Optional: Set Governance actions to be taken on files when a violation is detected. De styrnings åtgärder som är tillgängliga varierar mellan olika tjänster.The governance actions available vary between services. Exempel:For example:

    • Google-arbetsyta: gör filen privat och meddela den senaste fil redigerarenGoogle Workspace: Make the file private and notify the last file editor

    • Box: meddela den senaste fil redigerarenBox: Notify the last file editor

    • SharePoint Online: gör filen privat och skicka en princip matchnings sammandrag till fil ägarenSharePoint online: Make the file private and send a policy-match digest to the file owner

  5. Skapa fil principen.Create the file policy.

Identifiera data åtkomst från en obehörig platsDetect data access from an unauthorized location

Identifiera när filer kan nås från en obehörig plats, baserat på organisationens vanliga platser, för att identifiera en potentiell data läcka eller skadlig åtkomst.Detect when files are accessed from an unauthorized location, based on your organization's common locations, to identify a potential data leak or malicious access.

FörutsättningarPrerequisites

Du måste ha minst en app ansluten med app Connectors.You must have at least one app connected using app connectors.

StegSteps

  1. Skapa en ny aktivitets princip på sidan principer .On the Policies page, create a new Activity policy.

  2. Ange typ av filter aktivitet till de fil-och mappaktiviteter som intresserar dig, till exempel Visa, Hämta, komma åt och ändra.Set the filter Activity type to the file and folder activities that interest you, such as View, Download, Access, and Modify.

  3. Ange att filter platsen inte är lika med och ange sedan de länder/regioner som organisationen förväntar sig aktivitet från.Set the filter Location does not equal, and then enter the countries/regions from which your organization expects activity.

    1. Valfritt: du kan använda motsatt metod och ange filtret till location är lika med om organisationen blockerar åtkomst från vissa länder/regioner.Optional: You can use the opposite approach and set the filter to Location equals if your organization blocks access from specific countries/regions.
  4. Valfritt: skapa styrnings åtgärder som ska tillämpas på identifierad överträdelse (tillgänglighet varierar mellan tjänster), till exempel inaktivera användare.Optional: Create Governance actions to be applied to detected violation (availability varies between services), such as Suspend user.

  5. Skapa aktivitets principen.Create the Activity policy.

Identifiera och skydda konfidentiellt data lager på en icke-kompatibel SP-platsDetect and protect confidential data store in a non-compliant SP site

Identifiera filer som är märkta som konfidentiella och lagras på en icke-kompatibel SharePoint-webbplats.Detect files that are labeled as confidential and are stored in a non-compliant SharePoint site.

FörutsättningarPrerequisites

Azure Information Protection etiketter konfigureras och används i organisationen.Azure Information Protection labels are configured and used inside the organization.

StegSteps

  1. Skapa en ny fil princip på sidan principer .On the Policies page, create a new File policy.

  2. Ange filter klassificerings etiketten till Azure information Protection lika med den konfidentiella etiketten eller ditt företags motsvarighet.Set the filter Classification label to Azure Information Protection equals the Confidential label, or your company's equivalent.

  3. Ange den överordnade filter- mappen är inte lika med och välj sedan alla kompatibla mappar i din organisation under Välj en mapp .Set the filter Parent folder does not equal, and then under Select a folder choose all the compliant folders in your organization.

  4. Under aviseringar väljer du skapa en avisering för varje matchande fil.Under Alerts select Create an alert for each matching file.

  5. Valfritt: Ange de styrnings åtgärder som ska vidtas på filer när en överträdelse identifieras.Optional: Set the Governance actions to be taken on files when a violation is detected. De styrnings åtgärder som är tillgängliga varierar mellan olika tjänster.The governance actions available vary between services. Ställ till exempel in Box för att Skicka princip matchnings sammandrag till fil ägare och Placera i administratörs karantän.For example, Set Box to Send policy-match digest to file owner and Put in admin quarantine.

  6. Skapa fil principen.Create the file policy.

Identifiera externt delad käll kodDetect externally shared source code

Identifiera när filer som innehåller innehåll som kan vara käll kod delas offentligt eller delas med användare utanför organisationen.Detect when files that contain content that might be source code are shared publicly or are shared with users outside of your organization.

FörutsättningarPrerequisites

Du måste ha minst en app ansluten med app Connectors.You must have at least one app connected using app connectors.

StegSteps

  1. Skapa en ny fil princip på sidan principer .On the Policies page, create a new File policy.

  2. Markera och tillämpa princip mal len externt delad käll kodSelect and apply the policy template Externally shared source code

  3. Valfritt: anpassa listan över fil namns tillägg som matchar organisationens fil namns tillägg för käll koden.Optional: Customize the list of file Extensions to match your organization's source code file extensions.

  4. Valfritt: Ange de styrnings åtgärder som ska vidtas på filer när en överträdelse identifieras.Optional: Set the Governance actions to be taken on files when a violation is detected. De styrnings åtgärder som är tillgängliga varierar mellan olika tjänster.The governance actions available vary between services. I Box skickar du till exempel princip matchnings sammandrag till fil ägaren och placerar i administratörs karantän.For example, in Box, Send policy-match digest to file owner and Put in admin quarantine.

  5. Markera och tillämpa princip mal lenSelect and apply the policy template

Identifiera obehörig åtkomst till grupp dataDetect unauthorized access to group data

Identifiera när vissa filer som tillhör en viss användar grupp har åtkomst till stora av en användare som inte ingår i gruppen, vilket kan vara ett potentiellt Insider hot.Detect when certain files that belong to a specific user group are being accessed excessively by a user who is not part of the group, which could be a potential insider threat.

FörutsättningarPrerequisites

Du måste ha minst en app ansluten med app Connectors.You must have at least one app connected using app connectors.

StegSteps

  1. Skapa en ny aktivitets princip på sidan principer .On the Policies page, create a new Activity policy.

  2. Under agera på Välj upprepad aktivitet och anpassa minsta upprepade aktiviteter och ange en tidsram som överensstämmer med organisationens princip.Under Act on select Repeated activity and customize the Minimum repeated activities and set a Timeframe to comply with your organization's policy.

  3. Ange typ av filter aktivitet till de fil-och mappaktiviteter som intresserar dig, till exempel Visa, Hämta, komma åt och ändra.Set the filter Activity type to the file and folder activities that interest you, such as View, Download, Access, and Modify.

  4. Ställ in filter användarenfrån gruppen är lika med och välj sedan de relevanta användar grupperna.Set the filter User to From group equals and then select the relevant user groups.

    Anteckning

    Användar grupper kan importeras manuellt från appar som stöds.User groups can be imported manually from supported apps.

  5. Ange filter filerna och mapparna till vissa filer eller mappar som är lika med och välj sedan de filer och mappar som hör till gruppen granskad användare.Set the filter Files and folders to Specific files or folders equals and then choose the files and folders that belong to the audited user group.

  6. Ange de styrnings åtgärder som ska vidtas på filer när en överträdelse upptäcks.Set the Governance actions to be taken on files when a violation is detected. De styrnings åtgärder som är tillgängliga varierar mellan olika tjänster.The governance actions available vary between services. Du kan till exempel välja att inaktivera användaren.For example, you can choose to Suspend user.

  7. Skapa fil principen.Create the file policy.

Identifiera offentliga tillgängliga S3-bucketsDetect publicly accessible S3 buckets

Identifiera och skydda mot potentiella data läckor från AWS S3-buckets.Detect and protect against potential data leaks from AWS S3 buckets.

FörutsättningarPrerequisites

Du måste ha en AWS-instans ansluten med hjälp av app-kopplingar.You must have an AWS instance connected using app connectors.

StegSteps

  1. Skapa en ny fil princip på sidan principer .On the Policies page, create a new File policy.

  2. Välj och Använd princip mal len offentligt tillgängliga S3-buckets (AWS).Select and apply the policy template Publicly accessible S3 buckets (AWS).

  3. Ange de styrnings åtgärder som ska vidtas på filer när en överträdelse upptäcks.Set the Governance actions to be taken on files when a violation is detected. De styrnings åtgärder som är tillgängliga varierar mellan olika tjänster.The governance actions available vary between services. Ange till exempel AWS för att göra privat vilket gör att S3-buckets är privata.For example, set AWS to Make private which would make the S3 buckets private.

  4. Skapa fil principen.Create the file policy.

Identifiera filer som delas i appar för moln lagring och som innehåller personligt identifierande information och andra känsliga data som är bunden av en GDPR-efterlevnadsprincip.Detect files that are shared in cloud storage apps and contain personally identifying information and other sensitive data that is bound by a GDPR compliance policy. Använd sedan klassificerings etiketter automatiskt för att begränsa åtkomsten enbart till auktoriserad personal.Then, automatically apply classification labels to limit access only to authorized personnel.

FörutsättningarPrerequisites

StegSteps

  1. Skapa en ny fil princip på sidan principer .On the Policies page, create a new File policy.

  2. Under inspektions metod väljer du data klassificerings tjänst (DCS) och under Välj typ väljer du en eller flera informations typer som stämmer överens med GDPR-kompatibiliteten, till exempel: EU betalkorts nummer, licens nummer för EU-drivrutiner, EU: s organisations nummer, EU Passport-nummer, EU-SSN, FN-nummer.Under Inspection method, select Data Classification Service (DCS), and under Select type select one or more information types that comply with the GDPR compliance, for example: EU debit card number, EU drivers license number, EU national identification number, EU passport number, EU SSN, SU tax identification number.

  3. Ange de styrnings åtgärder som ska vidtas på filer när en överträdelse identifieras, genom att välja tillämpa klassificerings etikett styrning för varje app som stöds.Set the Governance actions to be taken on files when a violation is detected, by selecting Apply Classification label governance for each supported app.

  4. Skapa fil principenCreate the file policy

Anteckning

Använd klassificerings etikett stöds för närvarande endast för Box, Google-arbetsytan, SharePoint Online och OneDrive för företag.Currently, Apply classification label is only supported for Box, Google Workspace, SharePoint online and OneDrive for business.

Blockera hämtningar för externa användare i real tidBlock downloads for external users in real time

Förhindra att företags data exfiltrated av externa användare, genom att blockera fil hämtningar i real tid, med hjälp av Cloud App Securitys sessions kontroller.Prevent company data from being exfiltrated by external users, by blocking file downloads in real time, utilizing Cloud App Security's session controls.

FörutsättningarPrerequisites

StegSteps

  1. Skapa en ny replikeringsprincip på sidan principer .On the Policies page, create a new Session policy.

  2. Under kontroll typ för session väljer du kontroll fil hämtning (med kontroll).Under Session control type, select Control file download (with inspection).

  3. Under aktivitets filter väljer du användare och anger den till från grupp är lika med externa användare.Under Activity filters, select User and set it to From group equals External users.

    Anteckning

    Du behöver inte ange några app-filter för att den här principen ska gälla för alla appar.You don't need to set any app filters to enable this policy to apply to all apps.

  4. Du kan använda fil filtret för att anpassa fil typen.You can use the File filter to customize the file type. Detta ger dig mer detaljerad kontroll över vilken typ av filer som styrs av sessionsläget.This gives you more granular control over what type of files the session policy controls.

  5. Under åtgärder väljer du blockera.Under Actions, select Block. Du kan välja Anpassa block meddelande för att ange att ett anpassat meddelande ska skickas till användarna så att de förstår orsaken till att innehållet blockeras och hur de kan aktivera det genom att använda rätt klassificerings etikett.You can select Customize block message to set a custom message to be sent to your users so they understand the reason the content is blocked and how they can enable it by applying the right classification label.

  6. Klicka på Skapa.Click Create.

Använd skrivskyddat läge för externa användare i real tidEnforce read-only mode for external users in real time

Förhindra att företags data exfiltrated av externa användare, genom att blockera utskrifts-och kopierings-och Inklistrings aktiviteter i real tid, med hjälp av Cloud App Security sessions kontroller.Prevent company data from being exfiltrated by external users, by blocking print and copy/paste activities in real-time, utilizing Cloud App Security's session controls.

FörutsättningarPrerequisites

StegSteps

  1. Skapa en ny replikeringsprincip på sidan principer .On the Policies page, create a new Session policy.

  2. Under kontroll typ för session väljer du blockera aktiviteter.Under Session control type, select Block activities.

  3. I aktivitets käll filtret:In the Activity source filter:

    1. Välj användare och Ställ in från grupp till externa användare.Select User and set From group to External users.

    2. Välj aktivitets typ är lika med Skriv ut och Klipp ut/Kopiera objekt.Select Activity type equals Print and Cut/copy item.

    Anteckning

    Du behöver inte ange några app-filter för att den här principen ska gälla för alla appar.You don't need to set any app filters to enable this policy to apply to all apps.

  4. Valfritt: Välj den typ av kontroll som du vill använda under inspektions metod och ange nödvändiga villkor för DLP-genomsökningen.Optional: Under Inspection method, select the type of inspection to apply and set the necessary conditions for the DLP scan.

  5. Under åtgärder väljer du blockera.Under Actions, select Block. Du kan välja Anpassa block meddelande för att ange att ett anpassat meddelande ska skickas till användarna så att de förstår orsaken till att innehållet blockeras och hur de kan aktivera det genom att använda rätt klassificerings etikett.You can select Customize block message to set a custom message to be sent to your users so they understand the reason the content is blocked and how they can enable it by applying the right classification label.

  6. Klicka på Skapa.Click Create.

Blockera uppladdning av oklassificerade dokument i real tidBlock upload of unclassified documents in real time

Hindra användare från att överföra oskyddade data till molnet genom att använda Cloud App Securitys session kontroller.Prevent users from uploading unprotected data to the cloud, by utilizing Cloud App Security's session controls.

FörutsättningarPrerequisites

StegSteps

  1. Skapa en ny replikeringsprincip på sidan principer .On the Policies page, create a new Session policy.

  2. Under kontroll typ för session väljer du styr fil uppladdning (med inspektion) eller hämtning av kontroll fil (med kontroll).Under Session control type, select Control file upload (with inspection) or Control file download (with inspection).

    Anteckning

    Du behöver inte ange några filter om du vill att den här principen ska gälla för alla användare och appar.You don't need to set any filters to enable this policy to apply to all users and apps.

  3. Välj klassificerings etiketten fil filter är inte lika med och välj sedan de etiketter som företaget använder för att tagga klassificerade filer.Select the file filter Classification label does not equal and then select the labels your company uses to tag classified files.

  4. Valfritt: Välj den typ av kontroll som du vill använda under inspektions metod och ange nödvändiga villkor för DLP-genomsökningen.Optional: Under Inspection method, select the type of inspection to apply and set the necessary conditions for the DLP scan.

  5. Under åtgärder väljer du blockera.Under Actions, select Block. Du kan välja Anpassa block meddelande för att ange att ett anpassat meddelande ska skickas till användarna så att de förstår orsaken till att innehållet blockeras och hur de kan aktivera det genom att använda rätt klassificerings etikett.You can select Customize block message to set a custom message to be sent to your users so they understand the reason the content is blocked and how they can enable it by applying the right classification label.

  6. Klicka på Skapa.Click Create.

Anteckning

En lista över filtyper som Cloud App Security för närvarande har stöd för Azure Information Protection klassificerings etiketter finns i Azure information Protection integrations krav.For the list of file types that Cloud App Security currently supports for Azure Information Protection classification labels, see Azure Information Protection integration prerequisites.

Nästa stegNext steps

Om du stöter på problem är vi här för att hjälpa dig.If you run into any problems, we're here to help. Öppna ett support ärendeom du vill ha hjälp eller support för produkt problemet.To get assistance or support for your product issue, please open a support ticket.