你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
自定义数据敏感度设置
本文介绍如何在 Microsoft Defender for Cloud 中自定义数据敏感度设置。
数据敏感度设置用于识别组织中的关键敏感数据并让用户专注于管理这些数据。
- Microsoft Purview 合规门户中提供的和可在 Defender for Cloud 中选择的敏感信息类型和敏感度标签。 默认情况下,Defender for Cloud 使用 Microsoft Purview 合规门户提供的内置敏感信息类型。 某些信息类型和标签默认启用;在这些内置敏感信息类型中,一部分类型受到敏感数据发现功能的支持。 可查看此子集的参考列表,其中还列出了默认支持的信息类型。 可通过敏感度设置页修改默认设置。
- 可以选择性地允许导入自定义敏感信息类型,并允许导入已在 Microsoft Purview 中定义的敏感度标签。
- 如果导入标签,则可以设置敏感度阈值,以确定在 Defender for Cloud 中将标签标记为敏感的阈值敏感度级别下限。
此配置可帮助你专注于关键敏感资源,并提高敏感度见解的准确性。
准备工作
- 请确保查看自定义数据敏感度设置的先决条件和要求。
- 在 Defender for Cloud 中,在 Defender CSPM 和/或 Defender for Storage 计划中启用敏感数据发现功能。
敏感度设置中的更改在下次发现资源时生效。
导入自定义敏感度信息类型/标签
若要导入自定义敏感度信息类型和标签,需要获得企业移动性和安全性 E5/A5/G5 许可。 详细了解 敏感度标记许可。
Defender for Cloud 使用内置的敏感信息类型。 可以选择从 Microsoft Purview 合规门户导入自己的自定义敏感信息类型和标签,以满足组织的需求。
按以下方式导入(仅导入一次):
- 登录 Microsoft Purview 合规门户。
- 导航到“信息保护”>“标签”。
- 在同意通知消息中,选择“启用”,然后选择“是”以与 Defender for Cloud 共享自定义信息类型和敏感度标签。
注意
- 导入的标签以 Microsoft Purview 中设置的顺序显示在 Defender for Cloud 中。
- 在 Microsoft Purview 中设置为最高优先级的两个敏感度标签在 Defender for Cloud 中默认处于启用状态。
自定义敏感数据类别/类型
若要自定义 Defender for Cloud 中显示的数据敏感度设置,请查看先决条件,然后执行以下操作。
登录 Azure 门户。
导航到“Microsoft Defender for Cloud”“环境设置”。
选择“数据敏感度”。
选择要自定义的信息类型类别:
- “财务”、“PII”和“凭据”类别包含攻击者通常会竭力找出的默认信息类型数据。
- “自定义”类别包含 Microsoft Purview 合规门户配置中的自定义信息类型。
- “其他”类别包含所有其余内置可用信息类型。
选择要标记为敏感的信息类型。
选择“应用”和“保存” 。
设置敏感数据标签的阈值
可以设置阈值,以确定在 Defender for Cloud 中将标签标记为敏感的敏感度级别下限。
如果使用 Microsoft Purview 敏感度标签,请确保:
- 标签范围设置为“项”;在“项”下应为文件和电子邮件配置自动标记
- 必须使用生效的标签策略发布标签。
登录 Azure 门户。
导航到“Microsoft Defender for Cloud”“环境设置”。
选择“数据敏感度”。 显示当前敏感度阈值下限。
选择“更改”以查看敏感度标签列表,并选择要标记为敏感的最低敏感度标签。
选择“应用”和“保存” 。
注意
- 启用阈值时,选择一个标签,并采用在组织中应设为敏感的最低设置。
- 任何标签达到下限或以上的资源都认定为包含敏感数据。
- 例如,如果选择“机密”作为下限,则“高度机密”也被视为敏感。 “常规”、“公共”和“非业务”则不是。
- 不能在阈值中选择子标签。 但如果父标签是阈值的一部分(所选敏感标签的一部分),则可以将子标签视为攻击路径/云安全资源管理器中资源上受影响的标签。
- 将对所有支持的资源(对象存储和数据库)应用与所述相同的设置。