Strategia doD Zero Trust dla filaru danych

Strategia doD Zero Trust i harmonogram działania przedstawia ścieżkę dla składników Departamentu Obrony i partnerów bazy przemysłowej obrony (DIB), aby przyjąć nową strukturę cyberbezpieczeństwa opartą na zasadach Zero Trust. Zero Trust eliminuje tradycyjne założenia dotyczące obwodów i zaufania, umożliwiając bardziej wydajną architekturę, która zwiększa bezpieczeństwo, środowiska użytkownika i wydajność misji.

Ten przewodnik zawiera zalecenia dotyczące działań 152 Zero Trust w harmonogramie wykonywania możliwości bez zaufania doD. Sekcje odpowiadają siedmiu filarom modelu DoD Zero Trust.

Skorzystaj z poniższych linków, aby przejść do sekcji przewodnika.

4 Dane

Ta sekcja zawiera wskazówki i zalecenia firmy Microsoft dotyczące działań DoD Zero Trust w filarze danych. Aby dowiedzieć się więcej, zobacz Zabezpieczanie danych za pomocą rozwiązania Zero Trust , aby uzyskać więcej informacji.

4.1 Dostosowanie ryzyka wykazu danych

Rozwiązania Microsoft Purview pomagają wykrywać, identyfikować, zarządzać, chronić i zarządzać danymi, w których się znajdują. Usługa Microsoft Purview udostępnia trzy elementy do identyfikowania elementów, aby można je było sklasyfikować. Elementy mogą być klasyfikowane ręcznie, przez użytkowników za pośrednictwem zautomatyzowanego rozpoznawania wzorców, tak jak w przypadku typów informacji poufnych i za pośrednictwem uczenia maszynowego.

Opis i wynik działania dod Wskazówki i zalecenia firmy Microsoft

Target 4.1.1 Analiza
danychOrganizacje doD aktualizują usługi i wykazy aplikacji za pomocą klasyfikacji danych. Tagi danych są również dodawane do każdej usługi i aplikacji.

Wynik:
— wykaz usług jest aktualizowany przy użyciu typów danych dla każdej aplikacji i usługi na podstawie poziomów klasyfikacji danych Microsoft Purview
Przejrzyj typy informacji poufnych w portal zgodności Microsoft Purview i zdefiniuj niestandardowe, poufne typy informacji.
- Niestandardowe typy informacji poufnych w portalu

zgodności usługi Purview używają Eksploratora zawartości usługi Purview lub Eksploratora działań do wyświetlania migawki oznaczonej zawartości platformy Microsoft 365 i wyświetlania skojarzonych działań użytkownika.
- Eksplorator działań w Eksploratorze
-

zawartości Microsoft Defender dla Chmury Aplikacje
integrują usługę Microsoft Purview Information Protection, aby zastosować etykiety poufności do danych pasujących do zasad. Badanie potencjalnego ujawnienia poufnych danych w aplikacjach w chmurze.
- Zintegruj usługę Information Protection
Przegląd usługi Purview Data Catalog, aby eksplorować dane w infrastrukturze danych.
- Purview Data Catalog

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 4.1.1 Analiza danychOrganizacje doD aktualizują usługi i wykazy aplikacji za pomocą klasyfikacji danych. Tagi danych są również dodawane do każdej usługi i aplikacji. Wynik: — wykaz usług jest aktualizowany przy użyciu typów danych dla każdej aplikacji i usługi na podstawie poziomów klasyfikacji danych	Microsoft Purview Przejrzyj typy informacji poufnych w portal zgodności Microsoft Purview i zdefiniuj niestandardowe, poufne typy informacji. - Niestandardowe typy informacji poufnych w portalu zgodności usługi Purview używają Eksploratora zawartości usługi Purview lub Eksploratora działań do wyświetlania migawki oznaczonej zawartości platformy Microsoft 365 i wyświetlania skojarzonych działań użytkownika. - Eksplorator działań w Eksploratorze - zawartości Microsoft Defender dla Chmury Aplikacje integrują usługę Microsoft Purview Information Protection, aby zastosować etykiety poufności do danych pasujących do zasad. Badanie potencjalnego ujawnienia poufnych danych w aplikacjach w chmurze. - Zintegruj usługę Information Protection Przegląd usługi Purview Data Catalog, aby eksplorować dane w infrastrukturze danych. - Purview Data Catalog

4.2 Zarządzanie danymi przedsiębiorstwa w usłudze DoD

Usługa Microsoft Purview Information Protection używa etykiet poufności. Możesz tworzyć etykiety poufności odpowiednie dla organizacji, kontrolować, które etykiety są widoczne dla użytkowników, i definiować zakres etykiet. Określanie zakresu etykiet plików, wiadomości e-mail, spotkań, aplikacji Microsoft Teams, witryn programu SharePoint i nie tylko. Etykiety chronią zawartość za pomocą szyfrowania, ograniczają udostępnianie zewnętrzne i zapobiegają utracie danych.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 4.2.1 Definiowanie standardów tagowania danychDoD Enterprise współpracuje z organizacjami w celu ustanowienia standardów tagowania i klasyfikacji danych na podstawie najlepszych rozwiązań branżowych. Klasyfikacje są uzgadniane i implementowane w procesach. Tagi są identyfikowane jako ręczne i zautomatyzowane dla przyszłych działań. klasyfikacji i tagowania danych przedsiębiorstwa są opracowywane — organizacje są zgodne ze standardami przedsiębiorstwa i rozpocząć wdrażanie	Microsoft Purview — tworzenie i publikowanie etykiet poufności w usłudze Microsoft Purview zgodnie z zdefiniowanymi standardami tagowania danych. - Etykiety poufności i etykiety poufności zasad - w usłudze Microsoft 365
`Target` 4.2.2 Standardy współdziałaniaFirma DoD Enterprise współpracująca z organizacjami opracowuje standardy współdziałania integrujące obowiązkowe rozwiązania Do Rights Management (DRM) i Rozwiązania ochrony z niezbędnymi technologiami, aby umożliwić funkcjonalność docelową ZT. Wynik: — standardy formalne obowiązują w przedsiębiorstwie zgodnie z odpowiednimi standardami danych	Usługa Azure Rights Managementużywa usługi Azure RMS do zarządzania prawami do danych (DRM) i współdziałania ochrony między jednostkami DoD współpracującymi z usługami Platformy Microsoft 365. - Aplikacje usługi Azure RMS - , które obsługują etykiety poufności
`Target` 4.2.3 Opracowywanie zasad magazynu zdefiniowanego programowo (SDS)Firma DoD współpracująca z organizacjami ustanawia zasady i standardy dotyczące magazynu definiowanego przez oprogramowanie (SDS) oparte na najlepszych rozwiązaniach branżowych. Organizacje doD oceniają bieżącą strategię magazynowania danych i technologię implementacji sdS. W stosownych przypadkach technologia magazynowania jest identyfikowana na potrzeby implementacji sdS. Wyniki: — określanie potrzeby implementacji narzędzia SDS — zasady dla sdS są tworzone na poziomie przedsiębiorstwa i organizacji	Usługa SharePoint Online używa usługi SharePoint Online i OneDrive dla Firm jako standardowego rozwiązania do projektowania oprogramowania (SDS, interoperable software design storage). Ogranicz dostęp do poufnych witryn usługi SharePoint Online i zawartości przy użyciu zasad ograniczeń dostępu do witryny. Zapobiegaj dostępowi gościa do plików, gdy są stosowane reguły ochrony przed utratą danych (DLP). - Ogranicz dostęp do witryn do członków - , aby zablokować dostęp do nieautoryzowanych usług magazynu w chmurze. - Zarządzanie odnalezionymi aplikacjami

4.3 Etykietowanie i tagowanie danych

Usługa Microsoft Purview Information Protection automatycznie klasyfikuje dane na podstawie zdefiniowanych typów informacji poufnych. Zasady dotyczące etykietowania po stronie usługi i klienta zapewniają, że zawartość platformy Microsoft 365 utworzona przez użytkowników jest oznaczona i chroniona.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 4.3.1 Implementowanie narzędzi do tagowania i klasyfikacji danychOrganizacje doD korzystają ze standardu przedsiębiorstwa i wymagań w celu zaimplementowania rozwiązań do tagowania i klasyfikacji danych. Organizacje zapewniają, że przyszłe integracje uczenia maszynowego i sztucznej inteligencji są obsługiwane przez rozwiązania za pomocą wymagań firmy DoD. Wyniki: — Wymaganie narzędzi klasyfikacji i tagowania danych musi obejmować integrację i/lub obsługę uczenia maszynowego (ML) — narzędzia klasyfikacji i tagowania danych są implementowane na poziomie organizacji i przedsiębiorstwa	Usługa Microsoft Purview Information Protection używa usługi Microsoft Purview Information Protectiondo klasyfikowania danych na podstawie typów informacji poufnych i klasyfikatorów wyszkolonych przez uczenie maszynowe (ML). - Poufne dane i zasady etykiet usługi Purview -
`Target` 4.3.2 Ręczne tagowanie danych pt1 Korzystając z zasad i standardów tagowania danych przedsiębiorstwa doD, ręczne tagowanie zaczyna korzystać z podstawowych atrybutów poziomu danych w celu spełnienia funkcji docelowej ZT. Wynik: - Ręczne tagowanie danych rozpoczyna się na poziomie przedsiębiorstwa z podstawowymi atrybutami	Microsoft Purview — tworzenie i publikowanie etykiet poufności w usłudze Microsoft Purview zgodnie z zdefiniowanymi standardami tagowania danych. Zobacz Wskazówki firmy Microsoft w wersji 4.2.1. Skonfiguruj zasady etykietowania, aby wymagać od użytkowników zastosowania etykiet poufności do wiadomości e-mail i dokumentów. - Użytkownicy stosują etykiety do wiadomości e-mail i dokumentów
`Advanced` 4.3.3 Ręczne tagowanie danych pt2 Atrybuty poziomu danych specyficznych dla organizacji doD są zintegrowane z procesem ręcznego tagowania danych. Firma DoD i organizacje współpracują, aby zdecydować, które atrybuty są wymagane do spełnienia zaawansowanych funkcji usługi ZTA. Atrybuty poziomu danych dla zaawansowanych funkcji ZTA są ustandaryzowane w całym przedsiębiorstwie i włączone. Wynik: - Ręczne tagowanie danych jest rozszerzane na poziomy programu/organizacji z określonymi atrybutami	Microsoft Purview Przejrzyj typy informacji poufnych w portal zgodności Microsoft Purview. Zdefiniuj niestandardowe typy informacji poufnych zgodnie z potrzebami. Zobacz Wskazówki firmy Microsoft w wersji 4.1.1.
`Advanced` 4.3.4 Automatyczne tagowanie danych i obsługa pkt 1 Organizacje doD używają rozwiązań do ochrony przed utratą danych, zarządzania prawami i/lub ochrony do przeprowadzania skanowania repozytoriów danych. Standardowe tagi są stosowane do obsługiwanych repozytoriów danych i typów danych. Zidentyfikowano nieobsługiwane repozytoria danych i typy. Wynik: - Podstawowa automatyzacja rozpoczyna się od skanowania repozytoriów danych i stosowania tagów	Microsoft Purview Information ProtectionSkonfiguruj etykietowanie po stronie klienta dla plików i wiadomości e-mail utworzonych w aplikacja pakietu Office lication firmy Microsoft. - Automatyczne etykietowanie dla aplikacja pakietu Office Konfigurowanie etykietowania po stronie usługi dla zawartości przechowywanej w usłudze Office 365. - Zasady automatycznego etykietowania dla programów SharePoint, OneDrive i Exchange Zastosuj etykiety poufności do kontenerów: witryn usługi Microsoft Teams, Grupy Microsoft 365 i witryn programu SharePoint. - Etykiety poufności dla aplikacji Teams, Platformy Microsoft 365, grup i witryn programu SharePoint Aby znaleźć dokumenty i wiadomości e-mail w danym środowisku, przeskanuj je pod kątem pasujących danych w zdefiniowanych typach informacji poufnych. - Typy informacji poufnych pasujących do danych Używają odcisków palców dokumentów do znajdowania i etykietowania zawartości zgodnej z szablonami dokumentów i formularzami standardowymi. - Dokument odciskiem Rejestrowanie źródeł danych, skanowanie, pozyskiwanie i klasyfikowanie danych w portalu ładu usługi Microsoft Purview. - Źródła danych w usłudze Purview - Skanuje i klasyfikacja Microsoft Defender dla Chmury Aplikacje integrują usługę Purview Information Protection z aplikacjami Defender dla Chmury w celu automatycznego stosowania etykiet poufności, wymuszania zasad szyfrowania i zapobiegania utracie danych. - Integrowanie usługi Information Protection - Stosowanie inspekcji zawartości DLP etykiet - poufności
`Advanced` 4.3.5 Automatyczne tagowanie danych i obsługa pt2 Pozostałe obsługiwane repozytoria danych mają podstawowe i rozszerzone tagi danych, które są stosowane przy użyciu uczenia maszynowego i sztucznej inteligencji. Rozszerzone tagi danych są stosowane do istniejących repozytoriów. Nieobsługiwane repozytoria danych i typy danych są oceniane pod kątem likwidacji przy użyciu metodycznego podejścia opartego na ryzyku. Zatwierdzone wyjątki wykorzystują metody ręcznego tagowania danych z właścicielami danych i/lub opiekunami do zarządzania tagowaniem. Wyniki: - Ukończono pełną automatyzację tagowania danych — wyniki tagowania danych są przekazywane do algorytmów uczenia maszynowego.	Klasyfikatory usługi Microsoft Purview Information Protection Trainable w usłudze Purview ułatwiają rozpoznawanie zawartości przy użyciu uczenia maszynowego (ML). Tworzenie i trenowanie klasyfikatorów przy użyciu wybranych i pozytywnie dopasowanych próbek. - Klasyfikatory do trenowania

4.4 Monitorowanie i wykrywanie danych

Ochrona przed utratą danych w Microsoft Purview (DLP) zasady uniemożliwiają opuszczenie organizacji danych. Zasady DLP można stosować do danych magazynowanych, używanych i w ruchu. Zasady DLP są wymuszane, gdy dane znajdują się w usługach w chmurze, lokalnych udziałach plików, również na urządzeniach z systemem Windows i macOS.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 4.4.1 Rejestrowanie i analiza punktów wymuszania DLPOrganizacje doD identyfikują punkty wymuszania ochrony przed utratą danych (DLP), takie jak określone usługi i punkty końcowe użytkownika. Korzystając z ustalonego standardu reagowania na zdarzenia cyberbezpieczeństwa w usłudze DoD Enterprise, organizacje DoD zapewniają przechwycenie odpowiednich szczegółów danych. Ponadto opracowano przypadki użycia ochrony, wykrywania i reagowania, aby lepiej określić zakres rozwiązań. Wyniki: - Punkty wymuszania są identyfikowane — schemat rejestrowania ustandaryzowanego jest wymuszany na poziomie przedsiębiorstwa i organizacji	Ochrona przed utratą danych w Microsoft Purview Utwórz zasady DLP w zgodności usługi Purview. Wymuszanie DLP dla aplikacji platformy Microsoft 365, punktów końcowych systemu Windows i macOS, a także aplikacji w chmurze innych niż microsoft. - Planowanie schematu interfejsu Microsoft Defender dla Chmury Aplikacje integrują usługę Purview Information Protection z usługą Defender dla Chmury Aplikacje do automatycznego stosowania etykiet poufności, wymuszania zasad szyfrowania i zapobiegania utracie danych. Zobacz Wskazówki firmy Microsoft w wersji 4.3.4.
`Target` 4.4.2 Rejestrowanie i analiza punktów wymuszania drMOrganizacje doD identyfikują punkty wymuszania zarządzania prawami do danych (DRM), takie jak określone usługi i punkty końcowe użytkownika. Korzystając z ustalonego standardu reagowania na zdarzenia cyberbezpieczeństwa w usłudze DoD Enterprise, organizacje DoD zapewniają przechwycenie odpowiednich szczegółów danych. Ponadto opracowano przypadki użycia ochrony, wykrywania i reagowania, aby lepiej określić zakres rozwiązań. Wyniki: - Punkty wymuszania są identyfikowane — schemat rejestrowania ustandaryzowanego jest wymuszany na poziomie przedsiębiorstwa i organizacji	Punkty wymuszania usługi Microsoft Purview Information ProtectionPurview data rights management (DRM) obejmują aplikacje i usługi innych firm zintegrowane z zestawem MICROSOFT Information Protection (MIP), aplikacjami online i zaawansowanymi klientami. - Ochrona poufnych danych - Ograniczanie dostępu do zawartości przy użyciu etykiet - poufności szyfrowania ZESTAWU MIP SDK - w usłudze Microsoft 365 Microsoft Defender dla Chmury Aplikacje integrują usługę Purview Information Protection z usługą Defender dla Chmury Aplikacje do automatycznego stosowania etykiet poufności, wymuszania zasad szyfrowania i zapobiegania utracie danych. Zobacz Wskazówki firmy Microsoft w wersji 4.3.4.
`Target` 4.4.3 Monitorowanie aktywności plików pt1 Organizacje doD wykorzystują narzędzia do monitorowania plików do monitorowania najbardziej krytycznych poziomów klasyfikacji danych w aplikacjach, usługach i repozytoriach. Analiza z monitorowania jest wprowadzana do rozwiązania SIEM z podstawowymi atrybutami danych w celu osiągnięcia funkcji usługi ZT Target. Wyniki: - Dane i pliki klasyfikacji krytycznej są aktywnie monitorowane — podstawowa integracja odbywa się z systemem monitorowania, takim jak SIEM	alerty Ochrona przed utratą danych w Microsoft Purview DLP są wyświetlane w usłudze Microsoft Defender XDR. Działanie dotyczące tworzenia, etykietowania, drukowania i udostępniania plików znajduje się w ujednoliconym dzienniku inspekcji oraz w Eksploratorze działań w portal zgodności Microsoft Purview. - Alerty Integrowanie usługi Microsoft Defender XDR z usługą Sentinel w celu wyświetlania i badania alertów ochrony przed utratą danych (DLP) w systemie zarządzania zdarzeniami i zdarzeniami zabezpieczeń przedsiębiorstwa (SIEM). - Integrowanie łącznika usługi Information Protection narzędzi - SIEM dla danych XDR usługi Defender w usłudze Sentinel z badaniami DLP usługi Sentinel - -
`Target` 4.4.4 Monitorowanie aktywności plików pt2 Organizacje DoD wykorzystują narzędzia do monitorowania plików do monitorowania wszystkich chronionych przez przepisy danych (np. CUI, PII, PHI itp.) w aplikacjach, usługach i repozytoriach. Rozszerzona integracja służy do wysyłania danych do odpowiednich rozwiązań między filarami, takich jak zapobieganie utracie danych, zarządzanie prawami do danych/ochrona i analiza zachowań użytkowników i jednostek. Wyniki: - Dane i pliki wszystkich klasyfikacji regulowanych są aktywnie monitorowane — rozszerzone integracje są wdrażane zgodnie z potrzebami w celu dalszego zarządzania ryzykiem	Microsoft Sentinel Określ wymagane etykiety poufności i skonfiguruj niestandardowe reguły analizy usługi Sentinel. Utwórz zdarzenie, gdy wyzwalacz alertów DLP dla krytycznych zdarzeń plików. Krytyczne zdarzenia plików obejmują wykrywanie poufnych informacji, naruszeń zasad i innych podejrzanych działań. - Niestandardowe reguły analizy w celu wykrywania zagrożeń reagowania na zagrożenia - za pomocą podręczników
`Advanced` 4.4.5 Monitorowanie aktywności bazy danychOrganizacje DoD nabywają, implementują i wykorzystują rozwiązania monitora bazy danych do monitorowania wszystkich baz danych zawierających regulowane typy danych (CUI, PII, PHI itp.). Dzienniki i analizy z rozwiązania do monitorowania bazy danych są przekazywane do rozwiązania SIEM na potrzeby monitorowania i reagowania. Analiza jest wprowadzana do działań obejmujących wiele filarów, takich jak "Profil zabezpieczeń przedsiębiorstwa" i "Dostęp w czasie rzeczywistym", aby lepiej podejmować bezpośrednie decyzje. Wyniki: - Odpowiednia baza danych jest aktywnie monitorowana — technologia monitorowania jest zintegrowana z rozwiązaniami, takimi jak rozwiązania SIEM, PDP i dynamiczne mechanizmy kontroli dostępu	Usługa Microsoft Defender dla usługi SQLDefender for SQL chroni bazy danych na platformie Azure i w innych chmurach. Connect Microsoft Defender dla Chmury i łączniki danych XDR usługi Microsoft Defender do usługi Sentinel. - Alerty połączone Defender dla Chmury z usługą Sentinel - Connect Defender XDR z dostępem wymagają kontekstu uwierzytelniania dla poufnych witryn programu SharePoint i ochrony logowania do bazy danych Azure SQL Database przy użyciu dostępu warunkowego. - Etykiety - poufności Dostęp warunkowy kontekstu - uwierzytelniania za pomocą usług Azure SQL Database i Azure Synapse Analytics
`Advanced` 4.4.6 Kompleksowe monitorowanie aktywności danychOrganizacje doD rozszerzają monitorowanie repozytoriów danych, w tym baz danych odpowiednio na podstawie metodycznego podejścia do ryzyka. Dodatkowe atrybuty danych spełniające funkcje zaawansowane ZT są zintegrowane z analizą w celu uzyskania dodatkowych integracji. Wyniki: - Mechanizmy monitorowania aktywności danych są zintegrowane, aby zapewnić ujednolicony widok monitorowania między repozytoriami danych — odpowiednie integracje istnieją z rozwiązaniami, takimi jak SIEM i PDP	Interfejs APIprogramu Microsoft Graph używa dzienników aktywności programu Microsoft Graph dla dziennika inspekcji żądań odebranych przez usługę Microsoft Graph i przetwarzanych przez dzierżawę. - Dzienniki Konfigurowanie mapy danych usługi Purview w celu skanowania pod kątem poufnych plików w infrastrukturze danych organizacji. - Zarządzanie źródłami dla Microsoft Defender dla Chmury, usługi Microsoft Defender XDR i usługi Purview. Zobacz Wskazówki firmy Microsoft w wersji 4.4.5. Wykrywanie dostępu warunkowego w przypadku nietypowego dostępu do plików wykrytego przez usługę Microsoft Defender XDR zwiększa poziom ryzyka użytkownika. Ryzyko użytkownika jest warunkiem w dostępie warunkowym, punkcie decyzyjnym zasad (PDP) dla identyfikatora Entra firmy Microsoft. Zdefiniuj kontekst uwierzytelniania dostępu warunkowego z warunkiem ryzyka użytkownika bez ryzyka. Ochrona witryn programu SharePoint oznaczonych etykietami; wymagaj kontekstu uwierzytelniania dostępu warunkowego. - Przykładowe wykrywanie - ryzyka Nietypowy kontekst uwierzytelniania dostępu do plików -

4.5 Szyfrowanie danych i zarządzanie prawami

Usługi platformy Microsoft 365 szyfrują dane magazynowane i przesyłane. Usługa Microsoft Purview ogranicza dostęp do zawartości zgodnie z zasadami szyfrowania etykiet poufności. Usługa Purview osiąga cel z inną warstwą szyfrowania dla poczty e-mail i plików.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 4.5.1 Implementowanie narzędzi DRM i ochrony Pt1 Organizacje DoD nabywają i implementują rozwiązania DRM i Protection zgodnie z wymaganiami i standardem DoD Enterprise. Nowo zaimplementowane rozwiązania DRM i ochrony są implementowane z repozytoriami danych o wysokim ryzyku przy użyciu ochrony na poziomie docelowym ZTA. Wynik: - Narzędzia odzyskiwania po awarii i ochrony są włączone dla repozytoriów danych wysokiego ryzyka z podstawową ochroną	Szyfrowanieplatformy Microsoft 365 na platformie Microsoft 365 ma podstawowe szyfrowanie na poziomie woluminu z funkcją zabezpieczeń systemu Windows Funkcją BitLocker i rozproszonym menedżerem kluczy (DKM). - Omówienie szyfrowania Microsoft Purview Używanie zasad etykietowania w celu automatycznego stosowania większego szyfrowania dla danych o wysokim ryzyku na platformie Microsoft 365 na podstawie etykiety poufności. - Ogranicz dostęp do zawartości z etykietami - poufności Szyfrowanie wiadomości e-mail w usłudze Microsoft 365 Microsoft Defender dla Chmury Apps Integrowanie usługi Microsoft Purview Information Protection z aplikacjami Defender dla Chmury w celu automatycznego stosowania etykiet poufności, wymuszania zasad szyfrowania i zapobiegania utracie danych. Zobacz Wskazówki firmy Microsoft w wersji 4.3.4. Usługa Azure Policy korzysta z usługi Azure Policy, aby wymagać bezpiecznej wersji protokołu Transport Layer Security (TLS), zaimplementować funkcję Transparent Data Encryption (TDE) i wymagać jej za pomocą kluczy zarządzanych przez klienta w celu szyfrowania danych magazynowanych. - Definicje usługi Azure Policy dla usługi Azure SQL Database i wystąpienia zarządzanego SQL
`Target` 4.5.2 Implementowanie narzędzi DRM i Ochrony Pt2 Ochrona przed odzyskiwaniem po awarii i ochrona jest rozszerzona, aby obejmować wszystkie repozytoria danych zakresu. Klucze szyfrowania są automatycznie zarządzane w celu spełnienia najlepszych rozwiązań (np. FIPS). Rozszerzone atrybuty ochrony danych są implementowane na podstawie klasyfikacji środowiska. Wynik: - Narzędzia odzyskiwania po awarii i ochrony są włączone dla wszystkich możliwych repozytoriów	Usługa Azure Key Vault używa zarządzanego sprzętowego modułu zabezpieczeń usługi Azure Key Vault(Azure Key Vault HSM), aby chronić klucze kryptograficzne aplikacji przy użyciu modułów zabezpieczeń zweryfikowanych na poziomie 140–2 na poziomie 3. - Zarządzany moduł HSM Microsoft 365 oferuje warstwę szyfrowania zawartości przy użyciu klucza klienta. - Szyfrowanie usługi Azure Information Protection klucza - Klucz - dzierżawy — podwójne szyfrowanie - klucza BYOK
`Target` 4.5.3 Wymuszanie odzyskiwania po awarii za pośrednictwem tagów danych i analizy pt1 Rozwiązania do zarządzania prawami do danych (DRM) i ochrony są zintegrowane z podstawowymi tagami danych zdefiniowanymi w standardzie DoD Enterprise. Początkowe repozytoria danych są monitorowane i mają włączone akcje ochrony i odpowiedzi. Dane magazynowane są szyfrowane w repozytoriach. Wyniki: - Tagi danych są zintegrowane z drM, a monitorowane repozytoria są rozszerzane — na podstawie tagów danych dane są szyfrowane w spoczynku	Microsoft Purview Information ProtectionUżyj zasad etykietowania, aby automatycznie zastosować więcej szyfrowania dla danych wysokiego ryzyka na platformie Microsoft 365 na podstawie etykiety poufności. - Ograniczanie dostępu do zawartości przy użyciu etykiet platformy Microsoft 365 platformy Microsoft 365 ma podstawowe szyfrowanie na poziomie woluminu za pomocą funkcji BitLocker i menedżera kluczy rozproszonych (DKM). Zobacz Wskazówki firmy Microsoft w wersji 4.5.1.
`Advanced` 4.5.4 Wymuszanie odzyskiwania po awarii za pośrednictwem tagów danych i analizy pt2 Rozszerzone repozytoria danych są chronione za pomocą rozwiązań DRM i Protection. Organizacje DoD implementują rozszerzone tagi danych mające zastosowanie do organizacji, a nie w przedsiębiorstwie. Dane są szyfrowane w repozytoriach rozszerzonych przy użyciu dodatkowych tagów. Wyniki: - Wszystkie odpowiednie repozytoria danych są chronione przy użyciu funkcji DRM — dane są szyfrowane przy użyciu rozszerzonych tagów danych z poziomów organizacji	Usługa Azure Encryption azure używa szyfrowania danych magazynowanych i przesyłanych. - Usługa Azure Encryption Azure Policy umożliwia usłudze Azure Policy zabezpieczanie baz danych Azure SQL Database Zobacz Wskazówki firmy Microsoft 4.5.1. Dostęp warunkowy użyj zasad dostępu warunkowego dla użytkowników łączących się z usługą Azure SQL. Zobacz Wskazówki firmy Microsoft w wersji 4.4.5.
`Advanced` 4.5.5 Wymuszanie odzyskiwania po awarii za pośrednictwem tagów danych i analizy pt3 Rozwiązania DRM i Protection integrują się z narzędziami sztucznej inteligencji i uczenia maszynowego na potrzeby szyfrowania, zarządzania prawami i ochrony. Wyniki: - Analiza z uczenia maszynowego/sztucznej inteligencji jest zintegrowana z drM w celu lepszego zautomatyzowania ochrony — ochrona szyfrowania jest zintegrowana ze sztuczną inteligencją/uczeniem maszynowym, a zaktualizowane metody szyfrowania są używane zgodnie z potrzebami	Usługa Microsoft Purview Information Protection używa usługi Microsoft Purview Information Protection do klasyfikowania danych na podstawie typów informacji poufnych oraz przez klasyfikatory przeszkolone przez uczenie maszynowe (ML). Zobacz Wskazówki firmy Microsoft w wersji 4.3.5. Usługi Azure Machine Learning Azure Machine Learningi Azure OpenAI Service używają usług Azure Storage i Azure Compute, które szyfrują dane. - Szyfrowanie danych azure OpenAI szyfrowania - danych magazynowanych dostępu warunkowego Definiowanie kontekstu uwierzytelniania za pomocą sygnałów ryzyka usługi Identity Protection. Wymagaj kontekstu uwierzytelniania dla witryn programu SharePoint i aplikacji niestandardowych. - Kontekst uwierzytelniania Zobacz Wskazówki firmy Microsoft w wersji 4.4.5.

4.6 Zapobieganie utracie danych (DLP)

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 4.6.1 Implementowanie punktów wymuszaniaRozwiązanie ochrony przed utratą danych (DLP) jest wdrażane w punktach wymuszania w zakresie. Rozwiązanie DLP jest ustawione na wartość "tylko do monitorowania" i/lub "wpływ ograniczania trybu uczenia". Wyniki rozwiązania DLP są analizowane, a zasady są dostosowane do zarządzania ryzykiem na akceptowalnym poziomie. Wynik: - Zidentyfikowane punkty wymuszania mają wdrożone narzędzie DLP i ustawione do monitorowania trybu za pomocą standardowego rejestrowania	Ochrona przed utratą danych w Microsoft Purview Aplikacje microsoft 365 i punkty końcowe systemu Windows wymuszają zasady DLP. Konfigurowanie zasad w trybie symulacji DLP. - Tworzenie zasad w DLP. Ustaw stan zasad, aby przetestować lub przetestować za pomocą wskazówek dotyczących zasad. Ustaw akcje zasad na Wartość Tylko inspekcja lub Blokuj za pomocą przesłonięcia. - Wdrażanie zasad DLP w systemie Windows 10, 11 i macOS do ochrony przed utratą danych punktu końcowego (Endpoint DLP) - Endpoint DLP Deploy Microsoft Purview Information Protection skaner. Etykietowanie i wymuszanie zasad DLP dla zawartości w lokalnych bazach danych SQL, udziałach plików, magazynie dołączonym do sieci (NAS) i bibliotekach dokumentów programu SharePoint Server. - Lokalne repozytoria - DLP — skaner usługi Information Protection Ochrona przed utratą danych w Microsoft Purview Integrate Microsoft Purview Information Protection z aplikacjami Defender dla Chmury w celu automatycznego stosowania etykiet poufności, wymuszania zasad szyfrowania i zapobieganie utracie danych. Zobacz Wskazówki firmy Microsoft w wersji 4.3.4. Dostęp warunkowy kontroli dostępu do usługi Office 365 i innych aplikacji zintegrowanych firmy Microsoft. Użyj trybu tylko do raportowania, aby monitorować wynik przed włączeniem zasad z blokowaniem kontroli udzielania dostępu. - Tworzenie zasad tylko w trybie- sesji: monitoruj wszystkie
`Target` 4.6.2 Wymuszanie DLP za pośrednictwem tagów danych i analizy pt1 Rozwiązanie ochrony przed utratą danych (DLP) jest aktualizowane z trybu monitorowania tylko do trybu zapobiegania. Podstawowe tagi danych są używane dla rozwiązania DLP i schemat rejestrowania jest zintegrowany. Wynik: - Punkty wymuszania ustawione w celu zapobiegania włączeniu trybu integrowania schematu rejestrowania i klasyfikacji środowiska tagów ręcznych.	Ochrona przed utratą danych w Microsoft Purview Utwórz zasady DLP w trybie testowym. Zmień stan na Włączone, aby włączyć tryb wymuszania. Jeśli ustawisz akcje zasad na Wartość Blokuj, aktywność użytkownika, która wyzwala zasady DLP, zostanie uniemożliwiona przez zasady. - Akcje w zasadach DLP Włącz ochronę just in time (JIT), aby wymusić ochronę DLP punktu końcowego dla plików utworzonych na urządzeniach w trybie offline. - Urządzenia w trybie offline Microsoft Defender dla Chmury Aplikacje Defender dla Chmury. - Inspekcja zawartości DLP Dostęp warunkowy po przetestowaniu, włącz zasady dostępu warunkowego, które stosują kontrolki sesji lub używają kontroli dostępu bloku. Aby uniknąć blokady dzierżawy, wyklucz konta dostępu awaryjnego. - Konta dostępu awaryjnego Zobacz Wskazówki dotyczące firmy Microsoft w wersji 4.6.1.
`Advanced` 4.6.3 Wymuszanie DLP za pośrednictwem tagów danych i analizy pt2 Rozwiązanie ochrony przed utratą danych (DLP) zostało zaktualizowane w celu uwzględnienia rozszerzonych tagów danych opartych na działaniach automatyzacji równoległej. Wynik: - Punkty wymuszania mają rozszerzone atrybuty tagów danych stosowane w celu dodatkowego zapobiegania	Microsoft Purview Information Protection Definiowanie niestandardowych typów informacji poufnych. Tworzenie etykiet i zasad ochrony przed utratą danych. Zobacz Wskazówki firmy Microsoft w wersji 4.1.1.
`Advanced` 4.6.4 Wymuszanie DLP za pośrednictwem tagów danych i analizy pt3 Rozwiązanie ochrony przed utratą danych (DLP) jest zintegrowane z zautomatyzowanymi technikami tagowania danych w celu uwzględnienia brakujących punktów wymuszania i tagów. Wynik: - Atrybuty zautomatyzowanego tagowania są zintegrowane z funkcją DLP, a wynikowe metryki są używane dla uczenia maszynowego	Microsoft Purview Information Protection używa usługi Microsoft Purview Information Protection do klasyfikowania danych na podstawie typów informacji poufnych i klasyfikatorów wyszkolonych przez uczenie maszynowe. Zobacz Wskazówki firmy Microsoft w wersji 4.3.5.

4.7 Kontrola dostępu do danych

Usługi Microsoft 365 i Azure Storage są zintegrowane z identyfikatorem Entra firmy Microsoft na potrzeby autoryzacji opartej na tożsamościach. Microsoft Entra ID obsługuje kontrolę dostępu opartą na rolach (RBAC) i kontrolę dostępu opartą na atrybutach (ABAC).

Role i grupy zabezpieczeń firmy Microsoft zapewniają organizacjom kontrolę dostępu opartą na rolach. Dynamiczne grupy zabezpieczeń używają atrybutów zdefiniowanych na obiektach użytkowników, grup i urządzeń do definiowania członkostwa na podstawie zaawansowanych wyrażeń i zestawów reguł.

Kontrola dostępu oparta na atrybucie Microsoft Entra ID wykorzystuje niestandardowe atrybuty zabezpieczeń, które są atrybutami specyficznymi dla firmy, które można definiować i przypisywać do obiektów Entra firmy Microsoft. Niestandardowe atrybuty zabezpieczeń przechowują poufne informacje. Dostęp do wyświetlania lub modyfikowania niestandardowych atrybutów zabezpieczeń jest ograniczony do ról administratorów atrybutów.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 4.7.1 Integrowanie dostępu DAAS w/ SDS Policy Pt1 Korzystając z zasad doD enterprise SDS, organizacyjne zasady DAAS są opracowywane z myślą o zamierzonej integracji. Przewodnik implementacji SDS jest opracowywany przez organizacje DoD ze względu na charakter specyficzny dla środowiska. Wyniki: - Szczegółowe zasady daAS oparte na atrybutach są opracowywane w/ w przedsiębiorstwie, a wsparcie na poziomie organizacji — plan integracji SDS został opracowany w celu obsługi zasad DAAS	Microsoft Entra IDImplementowanie danych opartych na atrybutach, zasobów, aplikacji i usług (DAAS) za pomocą identyfikatora Entra firmy Microsoft z mechanizmami, takimi jak kontrola dostępu oparta na atrybutach platformy Azure (Azure ABAC), niestandardowe filtrowanie atrybutów zabezpieczeń dla aplikacji i dynamiczne grupy zabezpieczeń. - Kontrolki oparte na atrybutach Niestandardowe atrybuty zabezpieczeń Definiowanie niestandardowych atrybutów zabezpieczeń i przypisywanie wartości do użytkowników. Konfigurowanie warunków przypisywania ról dla usługi Azure ABAC dla ról platformy Azure. Obecnie ta funkcja jest dostępna w wersji zapoznawczej dla uprawnień konta usługi Azure Storage. - Usługa Azure ABAC - zabezpieczeń do szczegółowej autoryzacji aplikacji dynamicznej. Przypisz niestandardowe atrybuty zabezpieczeń i użyj filtrów atrybutów (wersja zapoznawcza) dla aplikacji w zasadach dostępu warunkowego. - Zarządzanie niestandardowymi atrybutami zabezpieczeń aplikacji Dynamiczne grupy zabezpieczeń Użyj dynamicznych grup zabezpieczeń, aby przypisać dostęp do zasobów, które obsługują grupy identyfikatorów Entra firmy Microsoft w celu udzielenia uprawnień. Obejmuje to grupy ról platformy Microsoft 365, role aplikacji dla aplikacji Microsoft Entra ID, role platformy Azure i przypisania aplikacji. Zasady dostępu warunkowego używają grup dynamicznych i stosują poziomy autoryzacji dla użytkowników z różnymi wartościami atrybutów. - Reguły - członkostwa w grupach dynamicznych Emituj oświadczenia z warunków
`Advanced` 4.7.2 Integrowanie dostępu DAAS w/ SDS Policy Pt2 Organizacje DoD implementują zasady DAAS w zautomatyzowany sposób. Wynik: - Szczegółowe zasady DAAS oparte na atrybutach zaimplementowane w zautomatyzowany sposób	Interfejs API programu Microsoft GraphZautomatyzuj konfigurację zasad dostępu warunkowego, niestandardowe atrybuty zabezpieczeń, dynamiczne grupy zabezpieczeń i inne funkcje identyfikatora Entra firmy Microsoft przy użyciu interfejsu API programu Microsoft Graph.
`Advanced` 4.7.3 Integrowanie dostępu DAAS w/ SDS Policy Pt3 Nowo zaimplementowana technologia SDS i/lub funkcje są zintegrowane z zasadami DAAS w sposób oparty na ryzyku. Podejście etapowe należy podjąć podczas wdrażania w celu mierzenia wyników i odpowiedniego dostosowania. Wyniki: - SDS jest zintegrowany z funkcjami zasad DAAS — wszystkie dane we wszystkich aplikacjach są chronione za pomocą zasad DAAS opartych na atrybutach.	aplikacje Microsoft Defender dla ChmuryIntegrowanie usługi Microsoft Purview i aplikacji Defender dla Chmury. Tworzenie zasad dotyczących plików w celu wymuszania zautomatyzowanych procesów przy użyciu interfejsów API dostawcy usług w chmurze. - Integrowanie zasad plików usługi Information Protection -
`Target` 4.7.4 Integrowanie rozwiązań i zasad z dostawcą tożsamości przedsiębiorstwa pt1 Organizacje doD opracowują plan integracji przy użyciu zasad SDS i technologii/funkcjonalności rozwiązania enterprise Identity Provider (IdP). Wynik: - Plan integracji między zestawem SDS i autorytatywnym dostawcą tożsamości został opracowany w celu obsługi istniejącego dostępu daAS	Usługi magazynu microsoft Entra ID platformy Microsoft 365, takie jak SharePoint Online i OneDrive dla Firm, są zintegrowane z identyfikatorem Entra firmy Microsoft. Konfigurowanie usług Azure Storage na potrzeby integracji z usługą Microsoft Entra ID na potrzeby autoryzacji opartej na tożsamościach żądań do usług Blob, File, Queue i Table. - Microsoft Entra ID ) W galerii aplikacji zintegruj więcej rozwiązań magazynu zdefiniowanego programowo (SDS) z identyfikatorem Entra firmy Microsoft. - Galeria aplikacji
`Advanced` 4.7.5 Integrowanie rozwiązań i zasad z dostawcą tożsamości przedsiębiorstwa pt2 Nowo zaimplementowana technologia SDS i/lub funkcje są zintegrowane z dostawcą tożsamości przedsiębiorstwa zgodnie z planem integracji. Do integracji wymagane są atrybuty tożsamości wymagane do spełnienia funkcji usługi ZT Target. Wynik: - Pełna integracja z narzędziami przedsiębiorstwa IDP i SDS w celu obsługi wszystkich atrybutów opartych na precyzyjnym dostępie DAAS	Wykonaj działania 4.7.1 i 4.7.4.
`Advanced` 4.7.6 Implementowanie narzędzia SDS i/lub integracja z narzędziem DRM Pt1 W zależności od potrzeb narzędzia do magazynowania zdefiniowanego programowo nowe rozwiązanie jest implementowane lub istniejące rozwiązanie jest identyfikowane zgodnie z wymaganiami dotyczącymi funkcjonalności, które mają zostać zintegrowane z rozwiązaniami DLP, DRM/Protection i ML. Wynik: - Jeśli potrzebne jest narzędzia, upewnij się, że istnieją obsługiwane integracje z narzędziami DLP, DRM i ML	Microsoft Purview Microsoft Purview Information Protection digital rights management (DRM) i Ochrona przed utratą danych w Microsoft Purview (DLP) integrują się natywnie z klientami pakietu Office i usługami Microsoft 365. Integracje są wbudowane i nie wymagają większej liczby wdrożeń. - Omówienie usługi Purview Używanie zestawu SDK usługi Microsoft Information Protection (MIP SDK) do tworzenia niestandardowych narzędzi do stosowania etykiet i ochrony plików. Zobacz Wskazówki firmy Microsoft w wersji 4.4.2.
`Advanced` 4.7.7 Implementowanie narzędzia SDS i/lub integracja z narzędziem DRM Pt2 Organizacje doD konfigurują funkcje SDS i/lub rozwiązanie, które mają być zintegrowane z podstawową infrastrukturą DLP i DRM/Protection zgodnie z potrzebami. Integracje niższego poziomu umożliwiają bardziej efektywną ochronę i reagowanie. Wynik: - Integrowanie infrastruktury SDS z istniejącą infrastrukturą DLP i DRM	Rozwiązania Microsoft 365 i Microsoft Purview Microsoft Purview chronią zawartość platformy Microsoft 365 za pomocą ochrony przed utratą danych (DLP) i zarządzania prawami do danych (DRM) bez większej infrastruktury. - Ochrona poufnych danych

Następne kroki

Skonfiguruj usługi w chmurze firmy Microsoft dla strategii DoD Zero Trust:

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2024-04-13