適用於雲端的 Microsoft Defender 中的 SQL 資訊保護原則

SQL 資訊保護 的數據探索和分類機制 提供探索、分類、標記及報告資料庫中敏感數據的進階功能。 其內建於 Azure SQL 資料庫、Azure SQL 受控執行個體 和 Azure Synapse Analytics 中。

分類機制是以下列兩個元素為基礎：

• 標籤 – 主要分類屬性，用來定義儲存在數據行中的數據敏感度層級。
• 資訊類型 – 提供資料行中所儲存資料類型的其他數據粒度。

適用於雲端的 Defender 內的資訊保護原則選項會提供一組預先定義的標籤和資訊類型，做為分類引擎的預設值。 您可以根據組織的需求自定義原則，如下所示。

如何? 存取 SQL 資訊保護原則？

有三種方式可以存取資訊保護原則：

• （建議）從 適用於雲端的 Defender 的 [環境設定] 頁面
• 從安全性建議 中，應分類 SQL 資料庫中的敏感數據
• 從 Azure SQL DB 數據探索頁面

下列相關索引標籤會顯示上述各項。

從適用於雲端的 Defender的設定

從 適用於雲端的 Defender的環境設定頁面存取原則

從 適用於雲端的 Defender 的環境設定頁面，選取 [SQL 信息保護]。

注意

此選項只會針對具有租用戶層級許可權的用戶顯示。 將全租用戶的許可權授與自己。

從 適用於雲端的 Defender的建議

從 適用於雲端的 Defender 建議存取原則

使用 適用於雲端的 Defender 的建議，應分類 SQL 資料庫中的敏感數據，以檢視資料庫的數據探索和分類頁面。 在那裡，您也會看到探索到的數據行，以包含我們建議您分類的資訊。

1. 從 適用於雲端的 Defender 的 [建議] 頁面中，搜尋建議 SQL 資料庫中的敏感數據應分類。

   

2. 從 [建議詳細數據] 頁面中，從 狀況良好 或 狀況不良 的索引標籤中選取資料庫。

3. [ 數據探索與分類 ] 頁面隨即開啟。 選取設定。

   

從 Azure SQL

從 Azure SQL 存取原則

1. 從 Azure 入口網站 開啟 Azure SQL。

   

2. 選取任何資料庫。

3. 從功能表的 [ 安全性] 區域中，開啟 [數據探索與分類 ] 頁面 （1），然後選取 [ 設定 ] （2）。

   

自訂信息類型

若要管理和自訂資訊型態：

1. 選取 [ 管理資訊類型]。

   

2. 若要新增類型，請選取 [ 建立資訊類型]。 您可以設定資訊類型的名稱、描述和搜尋模式字串。 搜尋模式字串可以選擇性地搭配通配符使用關鍵詞（使用字元 』%'），自動化探索引擎會根據數據行的元數據來識別資料庫中的敏感數據。

   

3. 您也可以新增其他搜尋模式字串、停用某些現有的字串，或變更描述，來修改內建類型。

   提示

   您無法刪除內建類型或變更其名稱。

4. 信息類型 會依遞增的探索排名順序列出，這表示清單中的較高類型會先嘗試比對。 若要變更資訊類型之間的排名，請將類型拖曳到數據表中的右邊位置，或使用 [上 移] 和 [下 移] 按鈕來變更順序。

5. 當您完成時，選取 [確定]。

6. 完成管理資訊類型之後，請務必選取 [針對特定卷標進行設定]，並視需要新增或刪除資訊類型，將相關類型與相關標籤產生關聯。

7. 若要套用變更，請選取主標籤面中的 [儲存]。

匯出和匯入原則

您可以使用已定義的標籤和資訊類型下載 JSON 檔案、在您選擇的編輯器中編輯檔案，然後匯入更新的檔案。

注意

您需要租用戶層級許可權才能匯入原則檔案。

權限

若要自定義 Azure 租使用者的資訊保護原則，您需要租使用者根管理群組上的下列動作：

• Microsoft.Security/informationProtectionPolicies/read
• Microsoft.Security/informationProtectionPolicies/write

若要深入瞭解，請參閱 授與和要求全租用戶可見度。

使用 Azure PowerShell 管理 SQL 信息保護

• Get-AzSqlInformationProtectionPolicy：擷取有效的租使用者 SQL 資訊保護原則。
• Set-AzSqlInformationProtectionPolicy：設定有效的租使用者 SQL 資訊保護原則。

相關文章

• Azure SQL 資料庫 數據探索和分類

• 適用於雲端的 Microsoft Defender 數據安全性

後續步驟

在 適用於雲端的 Microsoft Defender 中設定安全策略