通过

常用的Microsoft Defender for Cloud Apps信息保护策略

  • 项目

Defender for Cloud Apps文件策略允许强制实施各种自动化进程。 可以设置策略以提供信息保护,包括持续合规性扫描、法律电子数据展示任务和公开共享敏感内容的 DLP。

Defender for Cloud Apps可以根据 20 多个元数据筛选器(例如访问级别和文件类型)监视任何文件类型。 有关详细信息,请参阅 文件策略

检测并阻止敏感数据的外部共享

检测何时将包含个人身份信息或其他敏感数据的文件存储在云服务中,并与组织外部违反公司安全策略并造成潜在合规性违规的用户共享。

先决条件

必须使用应用连接器连接至少一个 应用

步骤

  1. 在Microsoft Defender门户中的“云应用”下,转到“策略->策略管理”。 创建新的 文件策略

  2. 将筛选器 访问级别 设置为 公共 (Internet) /公共/外部

  3. 在“ 检查方法”下,选择“ 数据分类服务 (DCS) ”,并在“ 选择类型” 下选择希望 DCS 检查的敏感信息类型。

  4. 配置触发警报时要采取的 治理 操作。 例如,可以创建一个治理操作,该操作针对 Google Workspace 中检测到的文件冲突运行,在其中选择 “删除外部用户 ”和“ 删除公共访问权限”选项。

  5. 创建文件策略。

检测外部共享的机密数据

检测何时与外部用户共享标记为 “机密” 且存储在云服务中的文件违反了公司策略。

先决条件

步骤

  1. 在Microsoft Defender门户中的“云应用”下,转到“策略->策略管理”。 创建新的 文件策略

  2. 将筛选器敏感度标签设置为Microsoft Purview 信息保护等于机密标签或公司的等效标签。

  3. 将筛选器 访问级别 设置为 公共 (Internet) /公共/外部

  4. 可选:设置检测到冲突时要对文件采取的 治理 操作。 可用的治理操作因服务而异。

  5. 创建文件策略。

检测和加密静态敏感数据

检测包含个人身份信息的文件以及云应用中共享的其他敏感数据,并应用敏感度标签来限制公司员工的访问权限。

先决条件

步骤

  1. 在Microsoft Defender门户中的“云应用”下,转到“策略->策略管理”。 创建新的 文件策略

  2. 在“ 检查方法”下,选择“ 数据分类服务 (DCS) ”,在“ 选择类型” 下,选择希望 DCS 检查的敏感信息类型。

  3. “治理操作”下,检查“应用敏感度标签”并选择公司用来限制对公司员工的访问的敏感度标签。

  4. 创建文件策略。

注意

目前仅 Box、Google Workspace、SharePoint online 和 OneDrive for Business 支持在 Defender for Cloud Apps 中直接应用敏感度标签的功能。

检测来自未经授权位置的数据访问

根据组织的常见位置检测何时从未经授权的位置访问文件,以识别潜在的数据泄漏或恶意访问。

先决条件

必须使用应用连接器连接至少一个 应用

步骤

  1. 在Microsoft Defender门户中的“云应用”下,转到“策略->策略管理”。 创建新的 活动策略

  2. 将筛选器“活动类型”设置为你感兴趣的文件和文件夹活动,例如“查看”、“下载”、“访问”“修改”。

  3. 设置筛选器 “位置 不等于”,然后输入组织期望的活动所在的国家/地区。

    • 可选:如果组织阻止来自特定国家/地区的访问,则可以使用相反的方法并将筛选器设置为 “位置 等于”。

  4. 可选:创建要应用于检测到的冲突的 治理 操作, (可用性因服务) (例如 挂起用户)而异。

  5. 创建活动策略。

检测和保护不合规 SP 站点中的机密数据存储

检测标记为机密并存储在不合规的 SharePoint 网站中的文件。

先决条件

敏感度标签在组织内配置和使用。

步骤

  1. 在Microsoft Defender门户中的“云应用”下,转到“策略->策略管理”。 创建新的 文件策略

  2. 将筛选器敏感度标签设置为Microsoft Purview 信息保护等于机密标签或公司的等效标签。

  3. 设置筛选器 “父文件夹 不等于”,然后在 “选择文件夹” 下选择组织中的所有合规文件夹。

  4. “警报 ”下, 选择“为每个匹配文件创建警报”。

  5. 可选:设置检测到冲突时要对文件采取的 治理 操作。 可用的治理操作因服务而异。 例如,将 Box 设置为 向文件所有者发送策略匹配摘要放入管理员隔离区。

  6. 创建文件策略。

检测外部共享源代码

检测包含可能为源代码的内容的文件何时公开共享或与组织外部的用户共享。

先决条件

必须使用应用连接器连接至少一个 应用

步骤

  1. 在Microsoft Defender门户中的“云应用”下,转到“策略->策略管理”。 创建新的 文件策略

  2. 选择并应用策略模板 外部共享源代码

  3. 可选:自定义 文件扩展名 列表以匹配组织的源代码文件扩展名。

  4. 可选:设置检测到冲突时要对文件采取的 治理 操作。 可用的治理操作因服务而异。 例如,在 Box 中, 将策略匹配摘要发送到文件所有者放入管理员隔离区

  5. 选择并应用策略模板。

检测对组数据的未经授权的访问

检测不属于该组的用户何时过度访问属于特定用户组的某些文件,这可能是潜在的内部威胁。

先决条件

必须使用应用连接器连接至少一个 应用

步骤

  1. 在Microsoft Defender门户中的“云应用”下,转到“策略->策略管理”。 创建新的 活动策略

  2. “操作依据”下,选择“ 重复活动 ”并自定义 “最小重复活动 ”,并设置 时间范围 以符合组织的策略。

  3. 将筛选器“活动类型”设置为你感兴趣的文件和文件夹活动,例如“查看”、“下载”、“访问”“修改”。

  4. 将筛选器 “用户 ”设置为 “从组 等于”,然后选择相关用户组。

    注意

    可以从支持的应用手动导入用户组

  5. 将筛选器 “文件和文件夹 ”设置为 “特定文件”或“文件夹 等于”,然后选择属于审核用户组的文件和文件夹。

  6. 设置检测到冲突时要对文件采取的 治理 操作。 可用的治理操作因服务而异。 例如,可以选择 暂停用户

  7. 创建文件策略。

检测可公开访问的 S3 存储桶

检测并防范 AWS S3 存储桶中的潜在数据泄漏。

先决条件

必须使用 应用连接器连接 AWS 实例。

步骤

  1. 在Microsoft Defender门户中的“云应用”下,转到“策略->策略管理”。 创建新的 文件策略

  2. 选择并应用策略模板 可公开访问的 S3 存储桶 (AWS)

  3. 设置检测到冲突时要对文件采取的 治理 操作。 可用的治理操作因服务而异。 例如,将 AWS 设置为 “专用 ”,这将使 S3 存储桶专用。

  4. 创建文件策略。

检测在云存储应用中共享的文件,并包含个人标识信息以及受 GDPR 合规性策略约束的其他敏感数据。 然后,自动应用敏感度标签,以限制仅对授权人员的访问权限。

先决条件

  • 必须使用应用连接器连接至少一个 应用

  • Microsoft Purview 中启用了集成并配置了 GDPR 标签Microsoft Purview 信息保护

步骤

  1. 在Microsoft Defender门户中的“云应用”下,转到“策略->策略管理”。 创建新的 文件策略

  2. 在“检查方法”下,选择“数据分类服务 (DCS) ”,并在“选择类型”下选择符合 GDPR 合规性的一个或多个信息类型,例如:欧盟借方卡号、欧盟驾照号、欧盟国家/地区标识号、欧盟护照号码、欧盟 SSN、SU 税务标识号。

  3. 通过为每个受支持的应用选择“应用敏感度标签”,设置检测到冲突时要对文件采取的治理操作。

  4. 创建文件策略。

注意

目前,仅 Box、Google Workspace、SharePoint online 和 OneDrive for Business 支持 应用敏感度标签

实时阻止外部用户的下载

使用Defender for Cloud Apps会话控制实时阻止文件下载,防止外部用户外泄公司数据。

先决条件

确保应用是基于 SAML 的应用,该应用使用 Microsoft Entra ID 进行单一登录,或者已载入到Defender for Cloud Apps以用于条件访问应用控制。

有关支持的应用的详细信息,请参阅 支持的应用和客户端

步骤

  1. 在Microsoft Defender门户中的“云应用”下,转到“策略->策略管理”。 创建新的 会话策略

  2. “会话控件类型”下,选择“ 控制文件下载 (检查) ”。

  3. “活动筛选器”下,选择“ 用户 ”,并将其设置为 “源组 等于 外部用户”。

    注意

    无需设置任何应用筛选器,就可以将此策略应用到所有应用。

  4. 可以使用 “文件”筛选器 自定义文件类型。 这使你可以更精细地控制会话策略控制的文件类型。

  5. “操作”下,选择“ 阻止”。 可以选择“ 自定义阻止消息 ”以设置要发送给用户的自定义消息,以便他们了解内容被阻止的原因,以及他们如何通过应用正确的敏感度标签来启用该内容。

  6. 选择“创建”。

为外部用户实时强制实施只读模式

使用Defender for Cloud Apps会话控件实时阻止打印和复制/粘贴活动,防止外部用户泄露公司数据。

先决条件

确保应用是基于 SAML 的应用,该应用使用 Microsoft Entra ID 进行单一登录,或者已载入到Defender for Cloud Apps以用于条件访问应用控制。

有关支持的应用的详细信息,请参阅 支持的应用和客户端

步骤

  1. 在Microsoft Defender门户中的“云应用”下,转到“策略->策略管理”。 创建新的 会话策略

  2. “会话控件类型”下,选择“ 阻止活动”。

  3. “活动源 ”筛选器中:

    1. 选择“ 用户 ”,并将“ 从组 ”设置为 “外部用户”。

    2. 选择 “活动类型 ”等于 “打印 ”和 “剪切/复制项”。

    注意

    无需设置任何应用筛选器,就可以将此策略应用到所有应用。

  4. 可选:在“ 检查方法”下,选择要应用的检查类型,并为 DLP 扫描设置必要的条件。

  5. “操作”下,选择“ 阻止”。 可以选择“ 自定义阻止消息 ”以设置要发送给用户的自定义消息,以便他们了解内容被阻止的原因,以及他们如何通过应用正确的敏感度标签来启用该内容。

  6. 选择“创建”。

实时阻止上传未分类文档

通过使用Defender for Cloud Apps会话控件,防止用户将未受保护的数据上传到云。

先决条件

  • 确保应用是基于 SAML 的应用,该应用使用 Microsoft Entra ID 进行单一登录,或者已载入到Defender for Cloud Apps以用于条件访问应用控制。

有关支持的应用的详细信息,请参阅 支持的应用和客户端

  • 必须在组织内配置和使用Microsoft Purview 信息保护中的敏感度标签。

步骤

  1. 在Microsoft Defender门户中的“云应用”下,转到“策略->策略管理”。 创建新的 会话策略

  2. “会话控制类型”下,选择“ 使用检查) 控制文件上传 ( ”或“ 使用检查) 控制文件下载 (”。

    注意

    无需设置任何筛选器,就可以将此策略应用于所有用户和应用。

  3. 选择文件筛选器 “敏感度标签 不等于”,然后选择公司用于标记已分类文件的标签。

  4. 可选:在“ 检查方法”下,选择要应用的检查类型,并为 DLP 扫描设置必要的条件。

  5. “操作”下,选择“ 阻止”。 可以选择“ 自定义阻止消息 ”以设置要发送给用户的自定义消息,以便他们了解内容被阻止的原因,以及他们如何通过应用正确的敏感度标签来启用该内容。

  6. 选择“创建”。

注意

有关Defender for Cloud Apps当前支持的Microsoft Purview 信息保护敏感度标签的文件类型列表,请参阅Microsoft Purview 信息保护集成先决条件

后续步骤

保护组织的最佳做法

如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证