教程:从Microsoft Purview 信息保护自动应用敏感度标签

  • 项目

注意

  • 我们重命名了Microsoft Cloud App Security。 现在称为Microsoft Defender for Cloud Apps。 在接下来的几周内,我们将更新此处和相关页面中的屏幕截图和说明。 有关更改的详细信息,请参阅 此公告。 若要了解有关 Microsoft 安全服务最近重命名的详细信息,请参阅 Microsoft Ignite Security 博客

  • Microsoft Defender for Cloud Apps现在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender门户允许安全管理员在一个位置执行其安全任务。 这将简化工作流,并添加其他Microsoft 365 Defender服务的功能。 Microsoft 365 Defender是监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的主场。 有关这些更改的详细信息,请参阅Microsoft 365 Defender中的Microsoft Defender for Cloud Apps

在理想情况下,你的所有员工都了解信息保护的重要性,并在策略中工作。 但在实际情况下,使用记帐的合作伙伴可能会使用错误的权限将文档上传到 Box 存储库。 一周后,你会发现你企业的机密信息已泄露给你的竞争对手。 Microsoft Defender for Cloud Apps有助于防止发生此类灾难。 此功能适用于 Box、SharePoint 和 OneDrive for Business。 应用敏感度标签是可用 治理操作的长列表之一。

在本教程中,你将了解如何确定在云存储中保存的文档上设置了哪些公共权限,以便在发生违规时收到警报。 此外,还可以自动应用Microsoft Purview 信息保护机密敏感度标签,为文件提供添加的加密。

增强的数据级加密保护

Defender for Cloud应用与Microsoft Purview 信息保护的集成可以通过自动加密文件来增加保护级别。 Microsoft Purview 信息保护加密文件时,支持Microsoft Purview 信息保护的应用程序(如Office 365)知道如何打开文件并遵守敏感度标签中设置的权限。 使用标签来应用特定的保护规则。 例如,设置可以打开但无法共享、打印、转发或编辑的文件。

此强大的保护级别将始终伴随该文件。 如果发送该文件、复制该文件或将其存储在联机存储应用中,该文件仍会受到保护。 如果你的一名员工丢失了包含该文件的拇指驱动器,该文件将被锁定。 如果有人尝试打开该文件,文件所有者会收到警报。 使用 Defender for Cloud 应用,可以自动应用保护。 例如,设置所有具有信用卡号的文件,或由财务部门上传,并在外部共享,以使用敏感度标签自动保护。

威胁

你组织中的用户将机密客户信息文件保存到 Box,并将其设置为可与组织中的所有人共享。 用户并不会意识到不仅仅是直接团队,所有支持人员都有权访问此 Box 帐户。 此访问包括偶尔进入办公室的供应商、合作伙伴和访问者。 有权访问组织的 Box 帐户的任何人现在都有权访问该信息。 该访问不仅可能对你的组织造成威胁,而且可能会在许多国家/地区违反个人信息法规,导致潜在的法律问题。

解决方案

使用具有Microsoft Purview 信息保护Defender for Cloud应用来嵌入分类和保护信息,以便持续保护数据,因此无论数据存储在何处或与其共享谁,它都保持受保护。 通过此保护,你可以与同事、客户和合作伙伴安全共享数据。 定义谁可以访问数据以及他们可以对数据执行哪些操作。 例如,允许用户查看和编辑文件,但不允许打印或转发。 还可以将Defender for Cloud应用支持的其他治理操作添加到文件,例如删除协作者和删除共享功能。

先决条件

设置数据保护

让我们来设置将在存储在 Box 帐户中的文件中查找信用卡号码的策略。 找到文件时,自动应用敏感度标签并控制使用该标签的所有文件会发生什么情况。

  1. 通过设置将加密存储在 Box 中的所有敏感数据的策略,开始保护存储在 Box 中的数据:

    1. “控制 ”选项卡上,选择“ 策略”。

    2. 选择 “创建策略 ”,然后选择“ 文件”策略

    3. 调用策略“Box 数据保护” 。

    4. 在“创建一个筛选器,筛选出即将应用此策略的文件” 下,以你的专有数据和敏感数据为目标。

      • 例如,选择 “父”文件夹 等于 Box 中的 “客户数据 ”,然后选择 “协作者 ”等于 财务 & 会计

    5. 在该文件夹中,查找包含信用卡信息的文件。 在“内容检查方法”下,依次选择“内置 DLP”、“包括与预设表达式匹配的文件”和“所有国家/地区: 财务: 信用卡号码” 。

    6. “治理”下,打开 Box 部分,然后选择“ 应用敏感度标签”。 选择要应用的标签。

    7. 由于Defender for Cloud应用与Microsoft Purview 信息保护集成,因此可以从现有敏感度标签列表中选择用于保护数据的敏感度标签。

    8. 选择“创建”。

    Add sensitivity label to policy - screen 1.Add sensitivity label to policy - screen 2.

  2. 调查匹配项

    1. “策略 ”页中,选择要转到 “策略”报表的策略名称。 查看为策略触发的匹配项。

    2. 可以通过选择特定匹配项来打开文件抽屉来调查匹配项。 在抽屉中,可以看到与此文件匹配的其他策略。

验证策略

  1. 若要模拟警报,请转到 Box 帐户并尝试访问文件夹“客户数据”中的文件 。
  2. 转到策略报表。 应很快显示文件策略匹配项。
  3. 可以选择匹配项以查看哪些文件受到保护。 将屏蔽匹配本身以保护敏感数据。

注意

  • Defender for Cloud应用目前支持在 Box、GSuite、SharePoint 和 OneDrive 上自动应用敏感度标签。
  • 当使用 Defender for Cloud Apps 标记文档时,视觉标记不会立即应用,但当文档在Office 应用中打开并且首先保存该文档时应用。 有关详细信息,请参阅了解敏感度标签

后续步骤

保护云环境的日常活动

若遇到任何问题,可随时向我们寻求帮助。 若要获取帮助或支持以解决产品问题,请打开支持票证