Självstudie: identifiera och skydda känslig information i din organisationTutorial: Discover and protect sensitive information in your organization

Gäller för: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Viktigt

Hot skydds produkt namn från Microsoft ändras.Threat protection product names from Microsoft are changing. Läs mer om det här och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

I en perfekt värld förstår alla anställda hur viktig informations skydd och arbetar i dina principer.In a perfect world, all your employees understand the importance of information protection and work within your policies. I den verkliga världen är det troligt att en partner som ofta arbetar med redovisningsinformation överför ett känsligt dokument till din box-lagringsplats med felaktiga behörigheter.In the real world, it's likely that a busy partner who frequently works with accounting information will inadvertently upload a sensitive document to your Box repository with incorrect permissions. En vecka som senare inser att företagets konfidentiella information har läckts ut till din tävling.A week later you realize your enterprise's confidential information was leaked to your competition.

För att hjälpa dig att förhindra detta kan Microsoft Cloud App Security förse dig med en mycket-Svit med DLP-funktioner som omfattar de olika data läckor som finns i organisationer.To help you prevent this from happening, Microsoft Cloud App Security provides you with an expansive suite of DLP capabilities that cover the various data leak points that exist in organizations.

I den här självstudien får du en översikt och anvisningar om hur du använder Cloud App Security för att identifiera potentiellt utsatta känsliga data och tillämpa kontroller för att förhindra deras exponering.This tutorial provides you with an overview and instructions for using Cloud App Security to discover potentially exposed sensitive data and apply controls to prevent their exposure.

  • Identifiera dina dataDiscover your data
  • Klassificera känslig informationClassify sensitive information
  • Skydda dina dataProtect your data
  • Övervaka och rapportera dataMonitor and report on your data

Så här identifierar och skyddar du känslig information i din organisationHow to discover and protect sensitive information in your organization

Vår metod för informations skydd kan delas upp i följande faser som gör att du kan skydda dina data genom hela livs cykeln, över flera platser och enheter.Our approach to information protection can be split into the following phases that allow you to protect your data through its full lifecycle, across multiple locations and devices.

skugg IT-livscykel

Fas 1: identifiera dina dataPhase 1: Discover your data

  1. Anslut appar: det första steget i att identifiera vilka data som används i din organisation är att ansluta molnappar som används i din organisation för att Cloud App Security.Connect apps: The first step in discovering which data is being used in your organization, is to connect cloud apps used in your organization to Cloud App Security. När du har anslutit Cloud App Security söka efter data, lägga till klassificeringar och tillämpa principer och kontroller.Once connected, Cloud App Security can scan data, add classifications, and enforce policies and controls. Beroende på hur appar är anslutna påverkar det hur och när Genomsök och kontroller tillämpas.Depending on how apps are connected affects how, and when, scans and controls are applied. Du kan ansluta dina appar på något av följande sätt:You can connect your apps in one of the following ways:

    • Använd en app Connector: våra app-kopplingar använder de API: er som tillhandahålls av app-providers.Use an app connector: Our app connectors use the APIs supplied by app providers. De ger bättre insyn i och kontroll över de appar som används i din organisation.They provide greater visibility into and control over the apps used in your organization. Genomsökningar utförs regelbundet (var 12: e timme) och i real tid (utlöses varje gång en ändring identifieras).Scans are performed periodically (every 12 hours) and in real time (triggered each time a change is detected). Mer information och anvisningar om hur du lägger till appar finns i ansluta appar.For more information and instructions on how to add apps, see Connecting apps.
    • Använd appkontroll för villkorsstyrd åtkomst: vår appkontroll för villkorsstyrd åtkomst-lösning använder en arkitektur för omvänd proxy som är unikt integrerad med Azure Active Directory (AD) villkorlig åtkomst.Use Conditional Access App Control: Our Conditional Access App Control solution uses a reverse proxy architecture that is uniquely integrated with Azure Active Directory (AD) Conditional Access. När de har kon figurer ATS i Azure AD kommer användarna att dirigeras till Cloud App Security där åtkomst-och sessionstillstånd tillämpas för att skydda dataapparna som försöker använda.Once configured in Azure AD, users will be routed to Cloud App Security where access and session policies are enforced to protect the data apps attempt to use. Med den här anslutnings metoden kan du tillämpa kontroller på alla appar.This connection method allows you to apply controls to any app. Mer information finns i Skydda appar med Cloud App Security appkontroll för villkorsstyrd åtkomst.For more information, see Protect apps with Cloud App Security Conditional Access App Control.
  2. Undersök: när du har anslutit en app till Cloud App Security med dess API-anslutning Cloud App Security genomsöker alla filer som används.Investigate: After you connect an app to Cloud App Security using its API connector, Cloud App Security scans all the files it uses. Sedan kan du gå till sidan för fil granskning (Undersök > filer) för att få en översikt över de filer som delas av dina molnappar, deras tillgänglighet och deras status.You can then go to the file investigation page (Investigate > Files) to get an overview of the files shared by your cloud apps, their accessibility, and their status. Mer information finns i Undersök filer.For more information, see Investigate files.

Fas 2: klassificera känslig informationPhase 2: Classify sensitive information

  1. Definiera vilken information som är känslig: innan du söker efter känslig information i dina filer måste du först definiera vilka räknare som är känsliga för din organisation.Define which information is sensitive: Before looking for sensitive information in your files, you first need to define what counts as sensitive for your organization. Som en del av vår data klassificerings tjänsterbjuder vi över 100 färdiga känsliga informations typer, eller så kan du skapa egna som passar företagets policy.As part of our data classification service, we offer over 100 out-of-the-box sensitive information types, or you can create your own to suit to your company policy. Cloud App Security är inbyggt integrerat med Microsoft Information Protection och samma känsliga typer och etiketter är tillgängliga i båda tjänsterna.Cloud App Security is natively integrated with Microsoft Information Protection and the same sensitive types and labels are available throughout both services. Så när du vill definiera känslig information går du till Microsoft Information Protection-portalen för att skapa dem, och när de har definierats blir de tillgängliga i Cloud App Security.So when you want to define sensitive information, head over to the Microsoft Information Protection portal to create them, and once defined they will be available in Cloud App Security. Du kan också använda avancerade klassificerings typer som finger avtryck eller exakt data matchning (EDM).You can also use advanced classifications types such as fingerprint or Exact Data Match (EDM).

    För de som redan har gjort det hårda arbetet med att identifiera känslig information och tillämpar lämpliga känslighets etiketter kan du använda dessa etiketter i dina principer utan att behöva söka igenom innehållet igen.For those of you that have already done the hard work of identifying sensitive information and applying the appropriate sensitivity labels, you can use those labels in your policies without having to scan the contents again.

  2. Aktivera Azure Information Protection-integreringEnable Azure Information Protection integration

    1. I Cloud App Security, under Inställningar kugg hjuls, väljer du sidan Inställningar under system rubriken.In Cloud App Security, under the settings cog, select the Settings page under the System heading.
    2. Under Azure information Protection väljer du Genomsök automatiskt nya filer efter Azure information Protection klassificerings etiketter.Under Azure Information Protection, select Automatically scan new files for Azure Information Protection classification labels.

    Mer information finns i Azure information Protection-integrering.For more information, see Azure Information Protection integration.

  3. Skapa principer för att identifiera känslig information i filer: när du vet vilka typer av information som du vill skydda är det dags att skapa principer för att identifiera dem.Create policies to identify sensitive information in files: Once you know the kinds of information you want to protect, it's time to create policies to detect them. Börja med att skapa följande principer:Start by creating the following policies:

    FilprincipFile policy
    Använd den här typen av princip om du vill genomsöka innehållet i filer som lagras i dina API-anslutna molnappar i nära real tid och vilande data.Use this type of policy to scan the content of files stored in your API connected cloud apps in near real-time and data at rest. Filer genomsöks med hjälp av en av våra inkompatibla gransknings metoder, inklusive Azure information Protection krypterat innehåll tack vare sin inbyggda integration med Cloud App Security.Files are scanned using one of our supported inspection methods including Azure Information Protection encrypted content thanks to its native integration with Cloud App Security.

    1. Gå till kontroll > principer, klicka på Skapa princip och välj sedan fil princip.Go to Control > Policies, click Create Policy, and then select File policy.

    2. Under inspektions metod väljer du och konfigurerar någon av följande klassificerings tjänster:Under Inspection method, choose and configure one of the following classification services:

      • Data klassificerings tjänster: använder klassificerings beslut som du har gjort i Office 365, Azure Information Protection och Cloud App Security för att ge en enhetlig etikett upplevelse.Data Classification Services: Uses classification decisions you've made across Office 365, Azure Information Protection, and Cloud App Security to provide a unified labeling experience. Detta är den önskade innehålls gransknings metoden eftersom den ger en enhetlig och enhetlig upplevelse av Microsoft-produkter.This is the preferred content inspection method as it provides a consistent and unified experience across Microsoft products.
      • Inbyggd DLP: inspecar filer för känslig information med hjälp av vår inbyggda motor för kontroll av DLP-innehåll.Built-in DLP: Inspects files for sensitive information using our built-in DLP content inspection engine.
      • Extern DLP-integrering: för företag som vill använda sina egna DLP-lösningar från tredje part kan Cloud App Security fil principer på ett säkert sätt dirigera filer för att kontrol lera din externa DLP-lösning via en ICAP-Server.External DLP integration: For enterprises wishing to use their own third-party DLP solutions, Cloud App Security file policies can securely direct files for inspection to your external DLP solution via an ICAP server.
    3. För mycket känsliga filer väljer du skapa en avisering och väljer de aviseringar som du behöver, så att du informeras när det finns filer med oskyddad känslig information i din organisation.For highly sensitive files, select Create an alert and choose the alerts you require, so that you are informed when there are files with unprotected sensitive information in your organization.

    4. Klicka på Skapa.Click Create.

    SessionspolicySession policy
    Använd den här typen av princip för att genomsöka och skydda filer i real tid för åtkomst till:Use this type of policy to scan and protect files in real time on access to:

    • Förhindra data exfiltrering: blockera nedladdning, klipp ut, kopiera och skriva ut känsliga dokument på, till exempel ohanterade enheter.Prevent data exfiltration: Block the download, cut, copy, and print of sensitive documents on, for example, unmanaged devices.
    • Skydda filer vid nedladdning: Kräv att dokument märks och skyddas med Azure information Protection.Protect files on download: Require documents to be labeled and protected with Azure Information Protection. Den här åtgärden säkerställer att dokumentet är skyddat och att användar åtkomsten är begränsad i en potentiellt riskfylld session.This action ensures the document is protected and user access is restricted in a potentially risky session.
    • Förhindra uppladdning av omärkta filer: Kräv att en fil har rätt etikett och skydd innan en känslig fil överförs, distribueras och används av andra.Prevent the upload of unlabeled files: Require a file to have the right label and protection before a sensitive file is uploaded, distributed, and used by others. Med den här åtgärden kan du se till att omärkta filer med känsligt innehåll blockeras från att överföras tills användaren klassificerar innehållet.With this action, you can ensure that unlabeled files with sensitive content are blocked from being uploaded until the user classifies the content.
    1. Gå till kontroll > principer, klicka på Skapa princip och välj sedan frågeprincip.Go to Control > Policies, click Create Policy, and then select Session policy.

    2. Under kontroll typ för session väljer du något av alternativen med DLP.Under Session control type, choose one of the options with DLP.

    3. Under inspektions metod väljer du och konfigurerar någon av följande klassificerings tjänster:Under Inspection method, choose and configure one of the following classification services:

      • Data klassificerings tjänster: använder klassificerings beslut som du har gjort i Office 365, Azure Information Protection och Cloud App Security för att ge en enhetlig etikett upplevelse.Data Classification Services: Uses classification decisions you've made across Office 365, Azure Information Protection, and Cloud App Security to provide a unified labeling experience. Detta är den önskade innehålls gransknings metoden eftersom den ger en enhetlig och enhetlig upplevelse av Microsoft-produkter.This is the preferred content inspection method as it provides a consistent and unified experience across Microsoft products.
      • Inbyggd DLP: inspecar filer för känslig information med hjälp av vår inbyggda motor för kontroll av DLP-innehåll.Built-in DLP: Inspects files for sensitive information using our built-in DLP content inspection engine.
    4. För mycket känsliga filer väljer du skapa en avisering och väljer de aviseringar som du behöver, så att du informeras när det finns filer med oskyddad känslig information i din organisation.For highly sensitive files, select Create an alert and choose the alerts you require, so that you are informed when there are files with unprotected sensitive information in your organization.

    5. Klicka på Skapa.Click Create.

Du bör skapa så många principer som krävs för att identifiera känsliga data i enlighet med företagets policy.You should create as many policies as required to detect sensitive data in compliance with your company policy.

Fas 3: skydda dina dataPhase 3: Protect your data

Nu kan du identifiera filer med känslig information, men det du verkligen vill göra är att skydda informationen från potentiella hot.So now you can detect files with sensitive information, but what you really want to do is protect that information from potential threats. När du är medveten om en incident kan du manuellt reparera situationen eller så kan du använda en av de automatiska styrnings åtgärder som tillhandahålls av Cloud App Security för att skydda dina filer.Once you are aware of an incident, you can manually remediate the situation or you can use one of the automatic governance actions provided by Cloud App Security for securing your files. Åtgärderna inkluderar, men är inte begränsade till, Azure Information Protection inbyggda kontroller, API-tillhandahållna åtgärder och övervakning i real tid.Actions include, but are not limited to, Azure Information Protection native controls, API provided actions, and real-time monitoring. Vilken typ av styrning du kan använda beror på vilken typ av princip du konfigurerar, enligt följande:The kind of governance you can apply depends on the type of policy you are configuring, as follows:

  1. Styrnings åtgärder för fil princip: använder Cloud App providers API och inbyggda integreringar för att skydda filer, inklusive:File policy governance actions: Uses the cloud app provider's API and our native integrations to secure files, including:

    • Utlös aviseringar och skicka e-postaviseringar om incidentenTrigger alerts and send email notifications about the incident
    • Hantera etiketter som tillämpas på en fil för att genomdriva interna Azure Information Protection kontrollerManage labels applied to a file to enforce native Azure Information Protection controls
    • Ändra delnings åtkomst till en filChange sharing access to a file
    • Placera en fil i karantänQuarantine a file
    • Ta bort vissa fil-eller mappbehörigheter i Office 365Remove specific file or folder permissions in Office 365
    • Flytta en fil till mappen pappers korgenMove a file to the trash folder
  2. Kontroller av frågeprincip: använder funktioner för omvänd proxy för att skydda filer, inklusive:Session policy controls: Uses reverse proxy capabilities to protect files, including:

    • Utlös aviseringar och skicka e-postaviseringar om incidentenTrigger alerts and send email notifications about the incident
    • Övervaka alla aktiviteter: tillåter uttryckligen nedladdning eller uppladdning av filer och övervakar alla relaterade aktiviteter.Monitor all activities: Explicitly allows the download or upload of files and monitors all related activities.
    • Blockera: blockerar explicit nedladdning eller uppladdning av filer.Block: Explicitly blocks the download or upload of files. Använd det här alternativet för att skydda din organisations känsliga filer från exfiltrering eller intrånget från valfri enhet, inklusive ohanterade enheter.Use this option to protect your organization's sensitive files from exfiltration or infiltration from any device, including unmanaged devices.
    • Skydda: använder automatiskt en klassificerings etikett för filer som matchar principens fil filter.Protect: Automatically applies a classification label to files that match the policy's file filters. Använd det här alternativet för att skydda nedladdningen av känsliga filer.Use this option to protect the download of sensitive files.

Fas 4: övervaka och rapportera dataPhase 4: Monitor and report on your data

Dina principer är alla på plats för att granska och skydda dina data.Your policies are all in place to inspect and protect your data. Nu ska du kontrol lera din instrument panel dagligen för att se vilka nya aviseringar som har utlösts.Now, you'll want to check your dashboard daily to see what new alerts have been triggered. Det är en bra plats att hålla koll på moln miljöns hälsa.It's a good place to keep an eye on the health of your cloud environment. Din instrument panel hjälper dig att få en uppfattning om vad som händer och, vid behov, att starta en undersökning.Your dashboard helps you get a sense of what's happening and, if necessary, launch an investigation.

Ett av de mest effektiva sätten att övervaka känsliga fil incidenter är att gå till sidan principer och granska matchningarna för principer som du har konfigurerat.One of the most effective ways of monitoring sensitive file incidents, is to head over to the Policies page, and review the matches for policies you have configured. Om du har konfigurerat aviseringarna bör du också regelbundet överväga att regelbundet övervaka fil aviseringar via rubrik på sidan aviseringar , ange kategorin som DLP och granska vilka filrelaterade principer som aktive ras.Additionally, if you configured alerts, you should also consider regularly monitoring file alerts by heading over to the Alerts page, specifying the category as DLP, and reviewing which file-related policies are being triggered. Genom att granska dessa incidenter kan du finjustera dina principer och fokusera på hot som är av intresse för din organisation.Reviewing these incidents can help you fine-tune your policies to focus on threats that are of interest to your organization.

Genom att hantera känslig information på det här sättet säkerställer du att data som sparas i molnet har maximalt skydd mot skadlig exfiltrering och intrånget.In conclusion, managing sensitive information in this way ensures that data saved to the cloud has maximal protection from malicious exfiltration and infiltration. Även om en fil delas eller går förlorad, kan den endast nås av behöriga användare.Also, if a file is shared or lost, it can only be accessed by authorized users.

Se ävenSee Also

Om du stöter på problem är vi här för att hjälpa dig.If you run into any problems, we're here to help. Öppna ett support ärendeom du vill ha hjälp eller support för produkt problemet.To get assistance or support for your product issue, please open a support ticket.