Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A Estratégia e roteiro de Confiança Zero do DoD delineia um caminho para os componentes do Departamento de Defesa e os parceiros da Base Industrial de Defesa (DIB) adotarem uma nova estrutura de segurança cibernética baseada nos princípios de Confiança Zero. A Confiança Zero elimina perímetros tradicionais e suposições de confiança, permitindo uma arquitetura mais eficiente que aprimora a segurança, as experiências do usuário e o desempenho da missão.
Este guia tem recomendações para as 152 atividades da Confiança Zero no Roteiro de execução da funcionalidade de Confiança Zero do DoD. As seções correspondem aos sete pilares do modelo de Confiança Zero do DoD.
Use os links a seguir para acessar as seções do guia.
- Introdução
- Usuário
- Dispositivo
- Aplicativos e cargas de trabalho
- Dados
- Rede
- Automação e orquestração
- Visibilidade e análise
4 Dados
Esta seção traz diretrizes e recomendações da Microsoft para atividades de Confiança Zero do DoD no pilar de dados. Para saber mais, confira Proteger dados com a Confiança Zero e obtenha mais informações.
4.1 Alinhamento de risco do catálogo de dados
As soluções do Microsoft Purview ajudam a descobrir, identificar, controlar, proteger e gerenciar os dados no local em que eles se encontram. O Microsoft Purview fornece três para identificar itens para que possam ser classificados. Os itens podem ser classificados manualmente, por usuários, por meio do reconhecimento automatizado de padrões, como com tipos de informações confidenciais e por meio do aprendizado de máquina.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target 4.1.1 Análise de dadosAs organizações DoD atualizam o(s) catálogo(s) de serviços e aplicativos com classificações de dados. Marcas de dados também são adicionadas a cada serviço e aplicativo. Resultado: – O catálogo de serviços é atualizado com tipos de dados para cada aplicativo e serviço com base nos níveis de classificação de dados |
Microsoft Purview Analise os tipos de informações confidenciais no portal de conformidade do Microsoft Purview e defina os tipos personalizados de informações confidenciais. - Tipos personalizados de informações confidenciais no portal de conformidade do Purview Use o gerenciador de conteúdo ou o gerenciador de atividades do Purview para ver um instantâneo do conteúdo rotulado do Microsoft 365 e ver as atividades de usuário associadas. - Gerenciador de conteúdo - Gerenciador de atividades Microsoft Defender para Aplicativos de Nuvem Integre a Proteção de Informações do Microsoft Purview para aplicar rótulos de confidencialidade aos dados que correspondem às políticas. Investigue a possível exposição de dados confidenciais em aplicativos de nuvem. - Integre a Proteção de Informações Catálogo de Dados do Microsoft Purview Pesquise o Catálogo de Dados do Purview para explorar os dados do seu patrimônio de dados. - Catálogo de Dados do Purview |
4.2 Governança de dados corporativos do DoD
A Proteção de Informações do Microsoft Purview usa rótulos de confidencialidade. Você pode criar rótulos de confidencialidade relevantes para sua organização, controlar quais rótulos são visíveis para os usuários e definir o escopo do rótulo. Define o escopo dos rótulos como arquivos, emails, reuniões, Microsoft Teams, sites do SharePoint, entre outros. Os rótulos protegem o conteúdo com criptografia, limitam o compartilhamento externo e impedem a perda de dados.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target 4.2.1 Definir Padrões de Marcação de DadosO DoD Enterprise trabalha com as organizações para estabelecer padrões de marcação e classificação de dados com base nas melhores práticas do setor. As classificações são acordadas e implementadas em processos. As marcas são identificadas como manuais e automatizadas para atividades futuras. Resultados: – Os padrões de classificação e marcação de dados corporativos são desenvolvidos – As organizações se alinham aos padrões empresariais e iniciam a implementação |
Microsoft Purview Crie e publique rótulos de confidencialidade no Microsoft Purview, de acordo com os padrões de marcação de dados definidos. - Rótulos de confidencialidade e políticas - Rótulos de confidencialidade do Microsoft 365 |
Target 4.2.2 Padrões de interoperabilidadeO DoD Enterprise, em colaboração com as organizações, desenvolve padrões de interoperabilidade que integram soluções obrigatórias de proteção e Data Rights Management (DRM) com as tecnologias necessárias para habilitar a funcionalidade de destino ZT. Resultados: – Padrões formais estão em vigor pela empresa para os padrões de dados apropriados |
Azure Rights Management Utilize o Azure RMS para o gerenciamento de direitos digitais (DRM) e interoperabilidade de proteção entre entidades do DoD que colaboram com os serviços do Microsoft 365. - Azure RMS - Aplicativos que dão suporte para rótulos de confidencialidade |
Target 4.2.3 Desenvolver a Armazenamento Definido por Software (SDS)O DoD Enterprise, trabalhando com as organizações, estabelece uma política e padrões de armazenamento definido por software (SDS) com base nas melhores práticas do setor. As organizações do DoD avaliam a estratégia e a tecnologia de armazenamento de dados atuais para implementação do SDS. Quando apropriado, uma tecnologia de armazenamento é identificada para implementação do SDS. Resultados: – Determine a necessidade de implementação de uma ferramenta de SDS – A política de SDS é criada nos níveis da organização e da empresa |
SharePoint Online Use o SharePoint Online e o OneDrive for Business como uma solução de SDS (armazenamento de design de software) interoperável padrão. Restrinja o acesso a sites e a conteúdo confidenciais do SharePoint Online com políticas de restrição de acesso ao site. Impeça o acesso de convidado a arquivos enquanto as regras de DLP (prevenção contra perda de dados) são aplicadas. - Restrinja o acesso ao site aos membros do grupo - Impeça o acesso de convidados a arquivos com regras de DLP - Compartilhamento de convidado seguro Microsoft Defender para Aplicativos de Nuvem Use o Defender para Aplicativos de Nuvem para bloquear o acesso a serviços de armazenamento em nuvem não autorizados. - Controle os aplicativos descobertos |
4.3 Rotulagem e marcação de dados
A Proteção de Informações do Microsoft Purview classifica automaticamente os dados com base nos tipos de informações confidenciais que você define. As políticas de rotulagem do serviço e do cliente garantem que o conteúdo do Microsoft 365 criado pelos usuários seja rotulado e protegido.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target 4.3.1 Implementar Ferramentas de Marcação e Classificação de DadosAs organizações DoD utilizam o padrão e os requisitos da empresa para implementar soluções de marcação e classificação de dados. As organizações garantem que futuras integrações de ML e IA tenham o suporte das soluções por meio de requisitos corporativos do DoD. Resultados: – Um requisito de ferramentas de classificação e marcação de dados precisa incluir integração e/ou suporte do ML (Machine Learning) – As ferramentas de classificação e marcação de dados são implementadas nos níveis da organização e da empresa |
Proteção de Informações do Microsoft Purview Use a Proteção de Informações do Microsoft Purview para classificar dados com base em tipos de informações confidenciais e classificadores treinados por ML (machine learning). - Dados confidenciais e Purview - Políticas de rótulo |
Target 4.3.2 Marcação Manual de Dados Pt1Usando a política e os padrões de marcação e classificação de dados DoD Enterprise, a marcação manual começa a usar atributos básicos de nível de dados para atender à funcionalidade de destino ZT. Resultado: – A marcação manual de dados começa no nível da empresa com atributos básicos |
Microsoft Purview Criar e publicar rótulos de confidencialidade no Microsoft Purview, de acordo com os padrões de marcação de dados que você define. Consulte as diretrizes da Microsoft em 4.2.1. Configurar uma política de rotulagem para exigir que os usuários apliquem rótulos de confidencialidade a emails e documentos. - Os usuários aplicam rótulos a emails e documentos |
Advanced 4.3.3 Marcação Manual de Dados Pt2Os atributos de nível de dados específicos da organização do DoD são integrados ao processo de marcação manual de dados. A empresa e as organizações do DoD colaboram para decidir quais atributos são necessários para atender à funcionalidade avançada do ZTA. Os atributos de nível de dados para a funcionalidade avançada do ZTA são padronizados em toda a empresa e incorporados. Resultado: – A marcação manual de dados é expandida para os níveis do programa/da organização com atributos específicos |
Microsoft Purview Analise os tipos de informações confidenciais no portal de conformidade do Microsoft Purview. Definir tipos personalizados de informações confidenciais conforme necessário. Consulte as diretrizes da Microsoft na 4.1.1. |
Advanced 4.3.4 marcação e suporte automatizados de dados Pt1As organizações DoD usam soluções de prevenção de perda de dados, gerenciamento de direitos e/ou proteção para realizar a varredura de repositórios de dados. Marcas padronizadas são aplicadas a repositórios de dados e tipos de dados com suporte. Os repositórios e os tipos de dados sem suporte são identificados. Resultado: – A automação básica começa verificando os repositórios de dados e aplicando marcas |
Proteção de Informações do Microsoft Purview Configure a rotulagem do lado do cliente para arquivos e emails criados em aplicativos do Microsoft Office. - Rotulagem automática para aplicativos do Office Configure a rotulagem do lado do serviço para o conteúdo armazenado no Office 365. - Política de rotulagem automática para o SharePoint, o OneDrive e o Exchange Aplique rótulos de confidencialidade a contêineres: sites do Microsoft Teams, Grupos do Microsoft 365 e sites do SharePoint. - Rótulos de confidencialidade para o Teams, o Microsoft 365, grupos e sites do SharePoint Para encontrar documentos e emails no seu ambiente, verifique-os em busca de valores de correspondência de dados nos tipos de informações confidenciais definidos. - Tipos de informações confidenciais de correspondência de dados Use a impressão digital de documentos para localizar e rotular um conteúdo que corresponda a modelos de documentos e formulários padrão. - Impressão digital de documentos Microsoft Purview Registre fontes de dados, verifique, ingira e classifique dados no portal de governança do Microsoft Purview. - Fontes de dados do Purview - Verificações e ingestão - Classificação de dados Microsoft Defender para Aplicativos de Nuvem Integre a Proteção de Informações do Purview ao Defender para Aplicativos de Nuvem para aplicar os rótulos de confidencialidade automaticamente, impor políticas de criptografia e evitar a perda de dados. - Integre a Proteção de Informações - Aplique rótulos de confidencialidade - Inspeção de conteúdo de DLP |
Advanced 4.3.5 Marcação e Suporte Automatizados de Dados Pt2Os demais repositórios de dados com suporte têm etiquetas de dados básicas e estendidas que são aplicadas usando aprendizado de máquina e inteligência artificial. As marcas de dados estendidas são aplicadas aos repositórios existentes. Os repositórios de dados e os tipos de dados sem suporte são avaliados para desativação por meio de uma abordagem metódica baseada em risco. As exceções aprovadas utilizam abordagens de marcação manual de dados com os proprietários e/ou os detentores de dados para gerenciar a marcação. Resultados: – A automação completa da marcação de dados é concluída – Os resultados da marcação de dados são alimentados em algoritmos de ML. |
Proteção de Informações do Microsoft Purview Os classificadores treináveis do Purview ajudam você a reconhecer o conteúdo por meio de ML (machine learning). Crie e treine os classificadores com amostras com correspondência positiva e selecionadas por humanos. - Classificadores treináveis |
4.4 Monitoramento e detecção de dados
As políticas DLP (prevenção contra perda de dados) do Microsoft Purview impedem que os dados saiam da sua organização. Você pode aplicar políticas DLP a dados inativos, em uso e em movimento. As políticas DLP são impostas quando os dados se encontram em serviços de nuvem, compartilhamentos de arquivos locais, além de dispositivos Windows e macOS.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target 4.4.1 Registro em Log e Análise de Pontos de Imposição DLPAs organizações DoD identificam pontos de aplicação de prevenção de perda de dados (DLP), como serviços específicos e pontos de extremidade do usuário. Usando o padrão de resposta a incidentes de segurança cibernética da empresa do DoD estabelecido, as organizações do DoD garantem que os detalhes apropriados dos dados sejam capturados. Além disso, casos de uso de proteção, detecção e resposta são desenvolvidos para aprimorar a cobertura da solução. Resultados: – Os pontos de imposição são identificados – O esquema de log padronizado é imposto nos níveis da empresa e da organização |
Prevenção contra perda de dados do Microsoft Purview Crie políticas DLP na conformidade do Purview. Impor DLP para aplicativos do Microsoft 365, pontos de extremidade Windows e macOS, bem como aplicativos de nuvem não-Microsoft. - Planejar DLP - Elaborar políticas DLP - Auditar atividades de log - Consultar o esquema da API de Atividade de Gerenciamento do Office 365 Microsoft Defender para Aplicativos de Nuvem Integrar a Proteção de Informações do Purview com o Microsoft Defender para Aplicativos de Nuvem para aplicar automaticamente rótulos de sensibilidade, impor políticas de criptografia e prevenir perda de dados. Consulte o guia da Microsoft na seção 4.3.4. |
Target 4.4.2 Registro em Log e Análise de Pontos de Imposição de DRMAs organizações DoD identificam pontos de aplicação de gerenciamento de direitos de dados (DRM), como serviços específicos e pontos de extremidade do usuário. Usando o padrão de resposta a incidentes de segurança cibernética da empresa do DoD estabelecido, as organizações do DoD garantem que os detalhes apropriados dos dados sejam capturados. Além disso, casos de uso de proteção, detecção e resposta são desenvolvidos para aprimorar a cobertura da solução. Resultados: – Pontos de imposição são identificados – O esquema de log padronizado é imposto nos níveis da empresa e da organização |
Proteção de Informações do Microsoft Purview Os pontos de imposição do gerenciamento de direitos digitais (DRM) do Purview incluem o Microsoft 365 e aplicativos e serviços de terceiros integrados ao SDK de Proteção de Informações da Microsoft (MIP), aplicativos online e clientes avançados. - Proteger dados confidenciais - Restringir o acesso ao conteúdo com rótulos de confidencialidade - SDK da MIP - Criptografia no Microsoft 365 Microsoft Defender para Aplicativos de Nuvem Integrar a Proteção de Informações do Purview com o Defender para Aplicativos de Nuvem para aplicar rótulos de confidencialidade automaticamente, impor políticas de criptografia e evitar a perda de dados. Consulte as diretrizes da Microsoft em 4.3.4. |
Target 4.4.3 Monitoramento da Atividade de Arquivo Pt1As organizações DoD utilizam ferramentas de monitoramento de arquivos para monitorar os níveis de classificação de dados mais críticos em aplicativos, serviços e repositórios. A análise do monitoramento é alimentada no SIEM com atributos de dados básicos para realizar a funcionalidade de destino de ZT. Resultados: – Os dados e os arquivos de classificação crítica são monitorados ativamente – A integração básica está em vigor com um sistema de monitoramento como o SIEM |
Prevenção contra perda de dados do Microsoft Purview Os alertas de DLP sã exibidos no Microsoft Defender XDR. A atividade de arquivos sobre criação, rotulagem, impressão e compartilhamento está no Log de Auditoria Unificada e no gerenciador de atividades no portal de conformidade do Microsoft Purview. - Alertas de DLP - Gerenciador de atividades - Exporte, configure e veja registros de log de auditoria Microsoft Defender XDR e Microsoft Sentinel Integre o Microsoft Defender XDR ao Sentinel para ver e investigar alertas de DLP (prevenção contra perda de dados) em um sistema de SIEM (gerenciamento de eventos e incidentes de segurança) empresarial. - Integre ferramentas de SIEM - Conector da Proteção de Informações do Sentinel - Conecte dados do Defender XDR ao Sentinel - Investigações de DLP |
Target 4.4.4 Monitoramento da Atividade de Arquivo Pt2As organizações DoD utilizam ferramentas de monitoramento de arquivos para monitorar todos os dados protegidos por regulamentação (por exemplo, CUI, PII, PHI, etc.) em aplicativos, serviços e repositórios. A integração estendida é usada para enviar dados para soluções apropriadas entre pilares, como Prevenção contra Perda de Dados, Proteção/Gerenciamento de Direitos de Dados e Análise de Comportamento de Usuário e Entidade. Resultados: – Os dados e os arquivos de todas as classificações regulamentadas são monitorados ativamente – As integrações estendidas estão em vigor conforme apropriado para gerenciar ainda mais os riscos |
Microsoft Sentinel Determine os rótulos de confidencialidade necessários e configure regras de análise personalizadas do Sentinel. Crie um incidente quando os alertas de DLP dispararem para eventos de arquivo críticos. Os eventos de arquivo críticos incluem detecção de informações confidenciais, violações de política e outras atividades suspeitas. - Regras de análise personalizadas para detectar ameaças - Resposta a ameaças com guias estratégicos |
Advanced 4.4.5 Monitoramento de Atividade de Banco de DadosAs organizações DoD adquirem, implementam e utilizam soluções de monitoramento de banco de dados para monitorar todos os bancos de dados que contêm tipos de dados regulamentados (CUI, PII, PHI, etc.). Os logs e as análises da solução de monitoramento de banco de dados são alimentados com o SIEM para monitoramento e resposta. As análises são alimentadas em atividades entre pilares, como “Perfil de Segurança Empresarial” e “Acesso em Tempo Real” para uma melhor tomada direta de decisões. Resultados: – O banco de dados apropriado é monitorado ativamente – A tecnologia de monitoramento é integrada a soluções como SIEM, PDP e mecanismos de Controle de Acesso Dinâmico |
Microsoft Defender para SQL O Defender para SQL protege os bancos de dados do Azure e de outras nuvens. - Defender para SQL - Alertas de segurança Microsoft Sentinel Conecte o Microsoft Defender para Nuvem e os conectores de dados do Microsoft Defender XDR ao Sentinel. - Alertas do Defender para Nuvem conectados ao Sentinel - Conecte o Defender XDR ao Sentinel Acesso condicional Exija o contexto de autenticação para sites confidenciais do SharePoint e proteja a entrada do Banco de Dados SQL do Azure usando o acesso condicional. - Rótulos de confidencialidade - Contexto de autenticação - Acesso condicional com o Banco de Dados SQL do Azure e o Azure Synapse Analytics |
Advanced 4.4.6 Monitoramento Abrangente da Atividade de DadosAs organizações DoD expandem o monitoramento de repositórios de dados, incluindo bancos de dados, conforme apropriado, com base em uma abordagem metódica de risco. Os atributos de dados adicionais para atender às funcionalidades avançadas de ZT são integrados à análise para integrações adicionais. Resultados: – Os mecanismos de monitoramento da atividade de dados são integrados para fornecer uma exibição unificada do monitoramento entre repositórios de dados – Existem integrações apropriadas a soluções como SIEM e PDP |
API do Microsoft Graph Usar os logs de atividades do Microsoft Graph para criar uma trilha de auditoria das solicitações recebidas pelo serviço Microsoft Graph e processadas pelo locatário. - Logs de atividades Mapa de Dados do Microsoft Purview Configurar o Mapa de Dados do Purview para verificar arquivos confidenciais no ambiente de dados da organização. - Gerenciar fontes de dados Microsoft Sentinel Para integrar com um sistema de gerenciamento de informações e eventos de segurança (SIEM), configurar conectores de dados do Sentinel para Microsoft Defender para Nuvem, Microsoft Defender XDR e Purview. Consulte as diretrizes da Microsoft em 4.4.5. Acesso Condicional Detecções de acesso a arquivos incomuns, encontradas pelo Microsoft Defender XDR, aumentam o nível de risco do usuário. O risco do usuário é uma condição no acesso condicional, o PDP (ponto de decisão da política) para o Microsoft Entra ID. Defina um contexto de autenticação de acesso condicional com a condição de risco do usuário sem risco. Proteja os sites rotulados do SharePoint; exija o contexto de autenticação de acesso condicional. - Detecções de risco - Acesso a arquivos incomuns - Exemplo de contexto de autenticação |
4.5 Criptografia e gerenciamento de direitos de dados
Os serviços do Microsoft 365 criptografam os dados inativos e em trânsito. O Microsoft Purview restringe o acesso ao conteúdo de acordo com a política de criptografia de rótulo de confidencialidade. O Purview atinge a meta com outra camada de criptografia para emails e arquivos.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target 4.5.1 Implementar Ferramentas de DRM e Proteção Pt1As organizações DoD adquirem e implementam solução(ões) de DRM e Proteção conforme necessário, seguindo o padrão e os requisitos do DoD Enterprise. As soluções de proteção e de DRM recém-implementadas são implementadas com repositórios de dados de alto risco usando proteções de nível de destino de ZTA. Resultado: – As ferramentas de DRM e de proteção estão habilitadas para repositórios de dados de alto risco com proteções básicas |
Criptografia do Microsoft 365 O Microsoft 365 possui criptografia básica no nível de volume com o recurso de segurança do Windows BitLocker e o Gerenciador de Chaves Distribuídas (DKM). - Compreender a criptografia Microsoft Purview Usar políticas de rotulagem para aplicar automaticamente mais criptografia para dados de alto risco no Microsoft 365, com base no rótulo de confidencialidade. - Restringir o acesso ao conteúdo com rótulos de confidencialidade - Criptografia de email no Microsoft 365 Microsoft Defender para Aplicativos de Nuvem Integrar a Proteção de Informações do Microsoft Purview com o Defender para Aplicativos de Nuvem para aplicar rótulos de confidencialidade automaticamente, impor políticas de criptografia e evitar a perda de dados. Consulte as diretrizes da Microsoft em 4.3.4. Azure Policy Usar a Azure Policy para exigir uma versão segura do protocolo TLS (TLS), implementar a Criptografia de Dados Transparente (TDE) e exigir com chaves gerenciadas pelo cliente para criptografar dados inativos. - Definições do Azure Policy para Banco de Dados SQL do Azure e Instância Gerenciada do SQL |
Target 4.5.2 Implementar Ferramentas de DRM e Proteção Pt2A cobertura de DRM e proteção é ampliada para abranger todos os repositórios de dados no escopo. As chaves de criptografia são gerenciadas automaticamente para atender às melhores práticas (por exemplo, FIPS). Os atributos de proteção de dados estendidos são implementados com base na classificação do ambiente. Resultado: – As ferramentas de DRM e de proteção estão habilitadas para todos os repositórios possíveis |
Azure Key Vault Use o HSM (Módulo de Segurança Hardware) Gerenciado do Azure Key Vault para proteger as chaves de criptografia do aplicativo usando Módulos de Segurança de Hardware validados pelo FIPS 140-2 Nível 3. - HSM Gerenciado do Azure Key Vault Chave de Cliente do Microsoft Purview O Microsoft 365 oferece uma camada de criptografia para seu conteúdo com a Chave de Cliente. - Criptografia de serviço Chave de locatário da Proteção de Informações do Azure a Proteção de Informações do Azure dá suporte a chaves raiz de locatário geradas pela Microsoft e BYOK (Bring Your Own Key). - Chave de locatário - Criptografia de chave dupla - BYOK |
Target 4.5.3 Imposição de DRM via Marcas de Dados e Análises Pt1Soluções de gerenciamento de direitos de dados (DRM) e proteção são integradas com marcas de dados básicas definidas pelo padrão DoD Enterprise. Os repositórios de dados iniciais são monitorados e têm ações de proteção e resposta habilitadas. Os dados inativos são criptografados em repositórios. Resultados: – As marcas de dados são integradas ao DRM e os repositórios monitorados são expandidos – Com base nas marcas de dados, os dados são criptografados quando inativos |
Proteção de Informações do Microsoft Purview Usar políticas de rotulagem para aplicar automaticamente mais criptografia para dados de alto risco, no Microsoft 365, com base no rótulo de confidencialidade. - Restringir o acesso ao conteúdo com rótulos de confidencialidade Criptografia do Microsoft 365 O Microsoft 365 possui criptografia básica no nível de volume com BitLocker e Gerenciador de Chaves Distribuídas (DKM). Consulte as diretrizes da Microsoft em 4.5.1. |
Advanced 4.5.4 Imposição de DRM Por Meio de Marcas de Dados e Análises Pt2Os repositórios de dados estendidos são protegidos com soluções de DRM e Proteção. As organizações do DoD implementam marcas de dados estendidas aplicáveis a organizações versus empresas obrigatórias. Os dados são criptografados em repositórios estendidos por meio de marcas adicionais. Resultados: – Todos os repositórios de dados aplicáveis são protegidos por meio do DRM – Os dados são criptografados por meio de marcas de dados estendidas dos níveis da organização |
Criptografia do Azure O Azure utiliza criptografia para dados inativos e em trânsito. - Criptografia do Azure Azure Policy Habilitar o Azure Policy para proteger bancos de dados SQL do Azure Consulte as diretrizes da Microsoft 4.5.1. Acesso Condicional Usar políticas de Acesso Condicional para usuários que se conectam ao SQL do Azure. Consulte as diretrizes da Microsoft em 4.4.5. |
Advanced 4.5.5 Imposição de DRM Por Meio de Marcas de Dados e Análises Pt3As soluções de DRM e proteção se integram às ferramentas de IA e ML para funções de criptografia, gerenciamento de direitos e proteção. Resultados: – A análise do ML/da IA é integrada ao DRM para automatizar melhor as proteções – A proteção de criptografia é integrada à IA/ao ML e os métodos de criptografia atualizados são usados conforme necessário |
Proteção de Informações do Microsoft Purview Usar a Proteção de Informações do Microsoft Purview para classificar dados com base em tipos de informações confidenciais, e por classificadores treinados por aprendizado de máquina (ML). Consulte as diretrizes da Microsoft em 4.3.5. Azure Machine Learning O Azure Machine Learning e o Serviço OpenAI do Azure utilizam os serviços de Armazenamento do Azure e Computação do Azure que criptografam dados. - Criptografia de dados - Criptografia de dados inativos do OpenAI do Azure Acesso Condicional Define o contexto de autenticação com sinais de risco da Proteção de Identidade. Exigir contexto de autenticação para sites rotulados do SharePoint e aplicativos personalizados. - Contexto de Autenticação Consulte as diretrizes da Microsoft em 4.4.5. |
4.6 DLP (prevenção contra perda de dados)
As políticas DLP (prevenção contra perda de dados) do Microsoft Purview impedem que os dados saiam da sua organização. Você pode aplicar políticas DLP a dados inativos, em uso e em movimento. As políticas DLP são impostas quando os dados se encontram em serviços de nuvem, compartilhamentos de arquivos locais, além de dispositivos Windows e macOS.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target 4.6.1 Implementação de pontos de imposiçãoA solução de prevenção contra perda de dados (DLP) é implementada nos pontos de imposição no escopo. A solução de DLP é definida como o modo “somente monitor” e/ou “aprendizado”, limitando o impacto. Os resultados da solução de DLP são analisados e a política é ajustada para gerenciar o risco para um nível aceitável. Resultados: – Os pontos de imposição identificados têm a ferramenta de DLP implantada e definida para monitorar o modo com log padronizado |
Prevenção contra perda de dados do Microsoft Purview Os aplicativos do Microsoft 365 e os pontos de extremidade do Windows impõem políticas DLP. Configure políticas no modo de simulação de DLP. - Planeje o uso de DLP - Modo de simulação DLP Crie políticas na DLP. Defina o estado da política para teste ou teste com dicas de política. Defina ações de política para Somente auditoria ou Bloquear com substituição. - Implantação de política DLP Integre dispositivos Windows 10, 11 e macOS à prevenção contra perda de dados do ponto de extremidade (DLP de ponto de extremidade) - DLP do ponto de extremidade Implante o verificador da Proteção de Informações do Microsoft Purview. Rotular e aplicar políticas DLP para conteúdos em bancos de dados SQL locais, compartilhamentos de arquivos, armazenamento anexado à rede (NAS) e bibliotecas de documentos do SharePoint Server. - Políticas DLP em repositórios locais - Verificador de Proteção de Informações Prevenção contra Perda de Dados do Microsoft Purview Integrar a Proteção de Informações do Microsoft Purview com o Defender para Aplicativos de Nuvem para aplicar rótulos de sensibilidade automaticamente, impor políticas de criptografia e evitar a perda de dados. Consulte as diretrizes da Microsoft em 4.3.4. Acesso condicional Controle o acesso ao Office 365 e a outros aplicativos integrados ao Microsoft Entra. Use o modo somente relatório para monitorar o resultado antes de habilitar políticas com controle de concessão de acesso de bloqueio de acesso . - Política de build - Modo somente relatório - Políticas de sessão: monitorar todas |
Target 4.6.2 Imposição da DLP por meio de Marcas de Dados e Análise Pt1A solução de prevenção contra perda de dados (DLP) é atualizada do modo somente de monitoramento para o modo de prevenção. As marcas de dados básicas são utilizadas para a solução de DLP e o esquema de log é integrado. Resultado: – Os pontos de imposição a serem definidos para o modo de prevenção integram o esquema de log e a classificação manual do ambiente de marcas. |
Prevenção contra perda de dados do Microsoft Purview Criar políticas DLP no modo de teste. Altere o estado para Ativado para habilitar o modo de Imposição. Se você definir ações de política como Bloquear, a atividade do usuário que dispara a DLP será impedida pela política. - Ações em políticas DLP Habilite a proteção just-in-time (JIT) para impor a DLP de Ponto de Extremidade para arquivos criados em dispositivos offline. - Dispositivos offline Microsoft Defender para Aplicativos de Nuvem. Habilite a inspeção de conteúdo no Defender para Aplicativos de Nuvem. - Inspeção de conteúdo DLP Acesso condicional Após realizar os testes, habilite políticas de acesso condicional que aplicam controles de sessão ou use o controle de bloqueio de concessão de acesso. Para evitar o bloqueio do locatário, exclua as contas de acesso de emergência. - Contas de acesso de emergência Consulte as diretrizes da Microsoft em 4.6.1. |
Advanced 4.6.3 Imposição da DLP por meio de Marcas de Dados e Análises Pt2A solução de prevenção contra perda de dados (DLP) é atualizada para incluir marcas de dados estendidas com base em atividades de automação paralela. Resultado: – Os pontos de imposição têm atributos de marca de dados estendidos aplicados para prevenção adicional |
Proteção de Informações do Microsoft Purview Defina os tipos personalizados de informações confidenciais. Criar rótulos e políticas de prevenção contra perda de dados. Veja as diretrizes da Microsoft em 4.1.1. |
Advanced 4.6.4 Imposição de DLP por meio de Marcas de Dados e Análise Pt3A solução de prevenção contra perda de dados (DLP) é integrada a técnicas automatizadas de marcação de dados para incluir quaisquer pontos de aplicação e marcas ausentes. Resultado: – Os atributos de marcação automatizada são integrados à DLP e as métricas resultantes são usadas para ML |
Proteção de Informações do Microsoft Purview Usar a Proteção de Informações do Microsoft Purview para classificar os dados, com base em tipos de informações confidenciais e por classificadores treinados por aprendizado de máquina (ML). Confira as diretrizes da Microsoft em 4.3.5. |
4.7 Controle de acesso a dados
Os serviços do Microsoft 365 e do Armazenamento do Azure são integrados ao Microsoft Entra ID para autorização baseada em identidade. O Microsoft Entra ID dá suporte ao RBAC (controle de acesso baseado em função) e ao ABAC (controle de acesso baseado em atributo).
As funções e os grupos de segurança do Microsoft Entra fornecem o controle de acesso baseado em função às organizações. Os grupos de segurança dinâmica usam atributos definidos em objetos de usuário, grupo e dispositivo para definir a associação, com base em expressões e conjuntos de regras avançados.
O controle de acesso baseado em atributo do Microsoft Entra ID utiliza atributos de segurança personalizados, que são atributos específicos aos negócios que você pode definir e atribuir aos objetos do Microsoft Entra. Os atributos de segurança personalizados armazenam informações confidenciais. O acesso para exibir ou modificar atributos de segurança personalizados é restrito às funções de Administrador de Atributos.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target 4.7.1 Integrar o Acesso ao DAAS com a Política SDS Pt1Utilizando a política SDS corporativa do DoD, a política organizacional do DAAS é desenvolvida tendo em mente a integração pretendida. O guia de implementação de SDS é desenvolvido por organizações do DoD devido à natureza específica do ambiente. Resultados: – A política de DAAS refinada baseada em atributos é desenvolvida com o suporte empresarial e da organização – O plano de integração do SDS é desenvolvido para dar suporte à política de DAAS |
Microsoft Entra ID Implemente políticas de DAAS (dados, ativos, aplicativos e serviços) baseadas em atributos com o Microsoft Entra ID com mecanismos como o Azure ABAC (controle de acesso baseado em atributos do Azure), filtragem personalizada de atributo de segurança para aplicativos e grupos de segurança dinâmica. - Controles baseados em atributo Atributos de segurança personalizados Define atributos de segurança personalizados e atribua valor aos usuários. Configure as condições de atribuição de função para o ABAC do Azure e para as funções do Azure. Atualmente, esse recurso está em versão prévia para permissões de conta do Armazenamento do Azure. - ABAC do Azure - Gerencie o acesso a atributos de segurança personalizados - Gerencie atributos com delegação Use atributos de segurança personalizados para autorização de aplicativo dinâmico refinada. Atribua atributos de segurança personalizados e use filtros de atributo (versão prévia) para aplicativos nas políticas de acesso condicional. - Gerencie atributos de segurança personalizados do aplicativo Grupos de segurança dinâmicos Use grupos de segurança dinâmicos para atribuir acesso a recursos que dão suporte a grupos do Microsoft Entra ID a fim de conceder permissões. Isso inclui grupos de funções do Microsoft 365, funções de aplicativo para aplicativos do Microsoft Entra ID, funções do Azure e atribuições de aplicativo. As políticas de acesso condicional usam grupos dinâmicos e aplicam níveis de autorização para usuários com vários valores de atributo. - Regras de associação de grupo dinâmica - Emita declarações de condições |
Advanced 4.7.2 Integrar o Acesso ao DAAS com a Política SDS Pt2As organizações DoD implementam a política DAAS de forma automatizada. Resultado: – A Política de DAAS refinada baseada em atributo é implementada de maneira automatizada |
API do Microsoft Graph Automatize a configuração de políticas de acesso condicional, atributos de segurança personalizados, grupos de segurança dinâmicos e outros recursos do Microsoft Entra ID usando a API do Microsoft Graph. - APIs de identidade e acesso |
Advanced 4.7.3 Integrar o Acesso ao DAAS com a Política SDS Pt3As novas tecnologias e/ou funcionalidades de SDS implementadas são integradas à política DAAS com base em riscos. Uma abordagem em fases deve ser tomada durante a implementação para medir os resultados e ajustá-la de acordo. Resultados: – O SDS é integrado à funcionalidade de política de DAAS – Todos os dados em todos os aplicativos são protegidos com a política de DAAS refinada baseada em atributo. |
Microsoft Defender para Aplicativos de Nuvem Integre o Microsoft Purview e o Defender para Aplicativos de Nuvem. Crie políticas de arquivo para impor processos automatizados usando APIs do provedor de nuvem. - Integre a Proteção de Informações - Políticas de arquivo |
Target 4.7.4 Integrar Solução(ões) e política com o IDP Enterprise Pt1As organizações DoD desenvolvem um plano de integração usando a política e a tecnologia/funcionalidade do SDS com a solução do Provedor de Identidade (IdP) empresarial. Resultados: – O plano de integração entre o SDS e o provedor de identidade autoritativo é desenvolvido para dar suporte ao acesso de DAAS existente |
Microsoft Entra ID Os serviços de armazenamento do Microsoft 365, como o SharePoint Online e o OneDrive for Business, são integrados ao Microsoft Entra ID. Configure os serviços de Armazenamento do Azure para integração ao Microsoft Entra ID para autorização baseada em identidade de solicitações para serviços de Blob, Arquivo, Fila e Tabela. - Microsoft Entra ID - Autorize o Armazenamento do Azure Na galeria de aplicativos, integre mais soluções de SDS (armazenamento definido por software) ao Microsoft Entra ID. - Galeria de aplicativos |
Advanced 4.7.5 Integrar Solução(ões) e Política com IDP Enterprise Pt2A nova tecnologia e/ou funcionalidades de SDS implementadas são integradas ao Provedor de Identidade Empresarial (IdP) conforme o plano de integração. Os atributos de identidade necessários para atender às funcionalidades de destino de ZT são necessários para integração. Resultado: – Integração completa às ferramentas do IdP corporativo e de SDS para dar suporte a todo o acesso de DAAS refinado baseado em atributo |
Conclua as atividades descritas em 4.7.1 e 4.7.4. |
Advanced 4.7.6 Implementar a Ferramenta SDS e/ou integrar com a Ferramenta DRM Pt1Dependendo da necessidade de uma ferramenta de Armazenamento Definido por Software (SDS), uma nova solução é implementada ou uma solução existente é identificada para atender aos requisitos de funcionalidade a serem integrados com soluções de DLP, DRM/Proteção e ML. Resultados: – Se a ferramenta for necessária, verifique se há integrações compatíveis com ferramentas de DLP, DRM e ML |
Microsoft Purview Os recursos de DRM (gerenciamento de direitos digitais) da Proteção de Informações do Microsoft Purview e de DLP (prevenção contra perda de dados) do Microsoft Purview se integram nativamente aos clientes do Office e aos serviços do Microsoft 365. As integrações são internas e não requerem implantação adicional. - Visão geral do Purview Usar o SDK da Proteção de Informações da Microsoft (SDK do MIP) para construir ferramentas personalizadas para aplicar rótulos e proteção a arquivos. Consulte as diretrizes da Microsoft em 4.4.2. |
Advanced 4.7.7 Implementar a Ferramenta SDS e/ou integrar com a Ferramenta DRM Pt2As organizações DoD configuram a funcionalidade e/ou solução SDS para serem integradas com a infraestrutura subjacente de DLP e DRM/Proteção conforme apropriado. As integrações de nível inferior permitem uma proteção e uma resposta mais eficazes. Resultado: – Integre a infraestrutura de SDS à infraestrutura de DLP e DRM existentes |
Microsoft 365 e Microsoft Purview O Microsoft Purview protege o conteúdo do Microsoft 365 com a DLP (prevenção contra perda de dados) e o DRM (gerenciamento de direitos de dados) sem mais infraestrutura. - Proteja os dados confidenciais |
Próximas etapas
Configure os serviços de nuvem da Microsoft para a Estratégia de Confiança Zero do DoD: