Detectar ameaças contra dados confidenciais
A detecção de ameaças contra dados confidenciais permite que você priorize e examine alertas de segurança com eficiência ao levar em conta a confidencialidade dos dados que podem estar em risco, resultando em uma melhor detecção e prevenção de violações de dados. Ao identificar e abordar rapidamente os riscos mais significativos, essa funcionalidade ajuda as equipes de segurança a reduzirem a probabilidade de violações de dados e aprimora a proteção de dados confidenciais ao detectar eventos de exposição e atividades suspeitas nos recursos que contêm dados confidenciais.
Trata-se de um recurso configurável no novo plano Defender para Armazenamento. Você pode optar por habilitá-lo ou desabilitá-lo sem custo adicional.
Como funciona a descoberta de dados confidenciais?
A detecção de ameaças de dados confidenciais é alimentada pelo mecanismo de descoberta de dados confidenciais, um mecanismo sem agente que usa um método de amostragem inteligente para encontrar recursos com dados confidenciais.
O serviço é integrado aos tipos de informações confidenciais (SITs) e rótulos de classificação do Microsoft Purview, permitindo uma herança sem obstáculos das configurações de confidencialidade da sua organização. Isso garante que a detecção e a proteção de dados confidenciais estejam alinhadas às suas políticas e procedimentos estabelecidos.
Após a habilitação, o mecanismo inicia um processo de verificação automática em todas as contas de armazenamento com suporte. De modo geral os resultados são gerados dentro de 24 horas. Além disso, as contas de armazenamento recém-criadas em assinaturas protegidas são verificadas em até seis horas após sua criação. Verificações recorrentes são agendadas para ocorrerem semanalmente após a data de habilitação. Este é o mesmo mecanismo que o Defender CSPM utiliza para descobrir dados confidenciais.
Pré-requisitos
A detecção de ameaças de dados confidenciais está disponível nas contas de armazenamento de Blobs, incluindo: Standard de uso geral V1, Standard de uso geral V2, Azure Data Lake Storage Gen2 e blob de blocos Premium. Saiba mais sobre a disponibilidade dos recursos do Defender para Armazenamento.
Para permitir a detecção de ameaças de dados confidenciais nos níveis da assinatura e conta de armazenamento, você precisa ter as permissões relevantes relacionadas aos dados das funções Proprietário da assinatura ou Proprietário da conta de armazenamento.
Como habilitar a detecção de ameaças contra dados confidenciais
A detecção de ameaças contra dados confidenciais é habilitada por padrão quando você habilita o Defender para Armazenamento. Você pode habilitá-lo ou desabilitá-lo no portal do Azure ou com outros métodos em escala. Esse recurso está incluído no preço do Defender para Armazenamento.
Como usar o contexto de confidencialidade nos alertas de segurança
A capacidade de detecção de ameaças de dados confidenciais ajuda as equipes de segurança a identificar e priorizar incidentes de segurança de dados para tempos de resposta mais rápidos. Os alertas do Defender para Armazenamento incluem descobertas de verificações de confidencialidade e indicações de operações que foram realizadas em recursos que contêm dados confidenciais.
Nas propriedades estendidas do alerta, você pode encontrar conclusões de verificações de confidencialidade para um contêiner de blobs:
- Hora de verificação de confidencialidade em UTC: quando a última verificação foi executada
- Rótulo de confidencialidade máxima: o rótulo mais confidencial encontrado no contêiner de blob
- Tipos de informações confidenciais: tipos de informações que foram encontrados e se são baseados em regras personalizadas
- Tipos de arquivo confidenciais: os tipos de arquivo dos dados confidenciais
Integrar com as configurações de confidencialidade da organização no Microsoft Purview (opcional)
Quando você habilita a detecção de ameaças de dados confidenciais, as categorias de dados confidenciais incluem tipos de informações confidenciais (SITs) internos na lista padrão do Microsoft Purview. Isso afeta os alertas que você recebe do Defender para Armazenamento: o armazenamento ou os contêineres encontrados com esses SITs são marcados como contendo dados confidenciais.
Desses tipos de informações confidenciais incorporados na lista padrão do Microsoft Purview, há um subconjunto compatível com a descoberta de dados confidenciais. Você pode exibir uma lista de referência desse subconjunto, que também indica quais tipos de informações têm suporte por padrão. Você pode modificar essas configurações.
Para personalizar a Descoberta de Confidencialidade de Dados para a sua organização, você pode criar tipos de informações confidenciais (SITs) personalizados e conectá-los às configurações da sua organização com uma integração em uma única etapa. Saiba mais aqui.
Você também pode criar e publicar rótulos de confidencialidade para o seu locatário no Microsoft Purview com um escopo que inclua itens e ativos de dados esquematizados e regras de rotulagem automática (recomendado). Saiba mais sobre rótulos de confidencialidade no Microsoft Purview.