Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A Estratégia e o Roteiro do DoD Zero Trust traçam um caminho para os componentes do Departamento de Defesa e os parceiros da Base Industrial de Defesa (DIB) adotarem uma nova estrutura de segurança cibernética baseada nos princípios do Zero Trust. O Zero Trust elimina os perímetros tradicionais e as suposições de confiança, permitindo uma arquitetura mais eficiente que melhora a segurança, as experiências do usuário e o desempenho da missão.
Este guia contém recomendações para as 152 atividades do Zero Trust no Roteiro de Execução de Capacidade do DoD Zero Trust. As seções correspondem aos sete pilares do modelo DoD Zero Trust.
Use os links a seguir para ir para as seções do guia.
- Introdução
- Utilizador
- Dispositivo
- Aplicativos e cargas de trabalho
- Dados
- Rede
- Automação e orquestração
- Visibilidade e análise
4 Dados
Esta seção contém orientações e recomendações da Microsoft para atividades do DoD Zero Trust no pilar de dados. Para saber mais, consulte Proteger dados com Zero Trust para obter mais informações.
4.1 Alinhamento dos riscos do catálogo de dados
As soluções Microsoft Purview ajudam a descobrir, identificar, governar, proteger e gerenciar dados onde eles residem. O Microsoft Purview fornece três para identificar itens para que possam ser classificados. Os itens podem ser classificados manualmente, pelos usuários, por meio de reconhecimento automatizado de padrões, como acontece com tipos de informações confidenciais, e via aprendizado de máquina.
| Descrição da atividade e resultado do DoD | Orientações e recomendações da Microsoft |
|---|---|
Target
4.1.1 Análise deDadosAs organizações do DoD atualizam o(s) catálogo(s) de serviços e aplicativos com classificações de dados. As tags de dados também são adicionadas a cada serviço e aplicativo. Resultado: - O catálogo de serviços é atualizado com tipos de dados para cada aplicativo e serviço com base nos níveis de classificação de dados |
Microsoft Purview Analise os tipos de informações confidenciais no portal de conformidade do Microsoft Purview e defina tipos de informações personalizadas e confidenciais. - Tipos de informações confidenciais personalizadas no portal de conformidade Purview Use o explorador de conteúdo ou o explorador de atividades do Purview para exibir um instantâneo do conteúdo rotulado do Microsoft 365 e exibir as atividades do usuário associadas. - Explorador - de conteúdos Explorador de atividades Microsoft Defender for Cloud Apps Integre a Proteção de Informações do Microsoft Purview para aplicar rótulos de confidencialidade a dados que correspondam às políticas. Investigue a potencial exposição de dados confidenciais em aplicativos na nuvem. - Integrar a proteção de Navegue pelo Purview Data Catalog para explorar os dados em seu conjunto de dados. - |
4.2 Governança de dados corporativos do DoD
A Proteção de Informações do Microsoft Purview usa rótulos de sensibilidade. Você pode criar rótulos de sensibilidade relevantes para sua organização, controlar quais rótulos são visíveis para os usuários e definir o escopo do rótulo. Defina o escopo de rótulos para arquivos, e-mails, reuniões, Microsoft Teams, sites do SharePoint e muito mais. As etiquetas protegem o conteúdo com encriptação, limitam a partilha externa e evitam a perda de dados.
| Descrição da atividade e resultado do DoD | Orientações e recomendações da Microsoft |
|---|---|
Target
4.2.1 Definir padrõesde marcação de dadosO DoD Enterprise trabalha com organizações para estabelecer padrões de marcação e classificação de dados com base nas práticas recomendadas do setor. As classificações são acordadas e implementadas nos processos. As tags são identificadas como manuais e automatizadas para atividades futuras. Resultados: - Padrões de classificação e marcação de dados corporativos são desenvolvidos - As organizações se alinham aos padrões corporativos e começam a implementação |
Microsoft Purview Crie e publique rótulos de sensibilidade no Microsoft Purview, de acordo com os padrões de marcação de dados que você definir. - Rótulos e políticas - de sensibilidade Rótulos de sensibilidade no Microsoft 365 |
Target
4.2.2 Normas deinteroperabilidadeO DoD Enterprise colaborando com as organizações desenvolve padrões de interoperabilidade integrando soluções obrigatórias de Gerenciamento de Direitos de Dados (DRM) e Proteção com as tecnologias necessárias para habilitar a funcionalidade de destino ZT. Resultado: - A empresa estabelece padrões formais para os padrões de dados apropriados |
Azure Rights ManagementUse o Azure RMS para gerenciamento de direitos de dados (DRM) e interoperabilidade de proteção entre entidades do DoD que colaboram com serviços do Microsoft 365. - Aplicativos do Azure RMS que oferecem suporte a rótulos - de sensibilidade |
Target
4.2.3 Desenvolver políticade armazenamento definido por software (SDS)A empresa do DoD que trabalha com organizações estabelece uma política e padrões de armazenamento definido por software (SDS) com base nas práticas recomendadas do setor. As organizações do DoD avaliam a estratégia atual de armazenamento de dados e a tecnologia para a implementação do SDS. Onde a tecnologia de armazenamento apropriada é identificada para a implementação do SDS. Resultados: - Determinar a necessidade de implementação da ferramenta SDS- A política para SDS é criada nos níveis da empresa e da organização |
SharePoint Online Use o SharePoint Online e o OneDrive for Business como uma solução padrão de armazenamento de design de software (SDS) interoperável. Restrinja o acesso a sites e conteúdo confidenciais do SharePoint Online com políticas de restrição de acesso a sites. Impeça o acesso de convidados a arquivos enquanto as regras de prevenção contra perda de dados (DLP) são aplicadas. - Restringir o acesso ao site aos membros do - - de nuvem Use o Defender for Cloud Apps para bloquear o acesso a serviços de armazenamento em nuvem não autorizados. Governar aplicativos descobertos |
4.3 Etiquetagem e etiquetagem de dados
O Microsoft Purview Information Protection classifica automaticamente os dados com base nos tipos de informações confidenciais que você definir. As políticas de rotulagem do lado do serviço e do cliente garantem que o conteúdo do Microsoft 365 criado por seus usuários seja rotulado e protegido.
| Descrição da atividade e resultado do DoD | Orientações e recomendações da Microsoft |
|---|---|
Target
4.3.1 Implementar marcação de dados & ferramentasde classificaçãoAs organizações do DoD utilizam o padrão e os requisitos da empresa para implementar soluções de marcação e classificação de dados. As organizações garantem que as futuras integrações de ML e IA sejam suportadas por soluções por meio dos requisitos corporativos do DoD. Resultados: - Um requisito das ferramentas de classificação e marcação de dados deve incluir integração e/ou suporte de Machine Learning (ML) - As ferramentas de classificação e marcação de dados são implementadas nos níveis da organização e da empresa |
Proteção de Informações do Microsoft Purview Use o Microsoft Purview Information Protection para classificar dados com base em tipos de informações confidenciais e classificadores treinados por aprendizado de máquina (ML). - Dados confidenciais e políticas do Purview - Label |
Target
4.3.2 Etiquetagem Manual de Dados Pt1Usando a política e os padrões de marcação e classificação de dados corporativos do DoD, a marcação manual começa a usar atributos básicos de nível de dados para atender à funcionalidade de destino ZT. Resultado: - A marcação manual de dados começa no nível da empresa com atributos básicos |
Microsoft Purview Crie e publique rótulos de sensibilidade no Microsoft Purview, de acordo com os padrões de marcação de dados que você definir. Consulte as orientações da Microsoft na versão 4.2.1. Configure uma política de rotulagem para exigir que os usuários apliquem rótulos de confidencialidade a e-mails e documentos. - Os usuários aplicam etiquetas a e-mails e documentos |
Advanced
4.3.3 Marcação Manual de Dados Pt2Os atributos de nível de dados específicos da organização do DoD são integrados ao processo manual de marcação de dados. Empresas e organizações do DoD colaboram para decidir quais atributos são necessários para atender à funcionalidade avançada do ZTA. Os atributos de nível de dados para a funcionalidade avançada do ZTA são padronizados em toda a empresa e incorporados. Resultado: - A marcação manual de dados é expandida para os níveis do programa/organização com atributos específicos |
Microsoft Purview Analise os tipos de informações confidenciais no portal de conformidade do Microsoft Purview. Defina tipos de informações confidenciais personalizados conforme necessário. Consulte as orientações da Microsoft na versão 4.1.1. |
Advanced
4.3.4 Etiquetagem de Dados Automatizada & Suporte Pt1As organizações do DoD usam soluções de prevenção de perda de dados, gerenciamento de direitos e/ou proteção para realizar a verificação de repositórios de dados. Tags padronizadas são aplicadas a repositórios de dados e tipos de dados suportados. São identificados tipos e repositórios de dados não suportados. automação básica começa com a verificação de repositórios de dados e a aplicação de tags |
Proteçãode informações do Microsoft Purview Configure a rotulagem do lado do cliente para arquivos e e-mails criados em aplicativos do Microsoft Office. - Etiquetagem automática para aplicações do Office Configure a etiquetagem do lado do serviço para conteúdo armazenado no Office 365. - Política de rotulagem automática para SharePoint, OneDrive e Exchange Aplique rótulos de sensibilidade a contêineres: sites do Microsoft Teams, Grupos do Microsoft 365 e sites do SharePoint. - Rótulos de sensibilidade para sites do Teams, Microsoft 365, grupos e SharePoint Para localizar documentos e e-mails em seu ambiente, verifique se há valores de correspondência de dados em tipos de informações confidenciais definidos. - Tipos de informações confidenciais de correspondência de dados Use a impressão digital de documentos para localizar e rotular conteúdo que corresponda a modelos de documentos e formulários padrão. - Impressão digital de documentos Microsoft Purview Registre fontes de dados, digitalize, ingerir e classifique dados no portal de governança do Microsoft Purview. - Fontes de dados no Purview Integre o Purview Information Protection com o Defender for Cloud Apps para aplicar rótulos de sensibilidade automaticamente, aplicar políticas de criptografia e evitar a perda de dados.- - |
Advanced
4.3.5 Etiquetagem de Dados Automatizada & Suporte Pt2Os restantes repositórios de dados suportados têm etiquetas de dados básicas e alargadas que são aplicadas utilizando aprendizagem automática e inteligência artificial. As tags de dados estendidas são aplicadas aos repositórios existentes. Os repositórios de dados e os tipos de dados não suportados são avaliados para desmantelamento utilizando uma abordagem metódica baseada no risco. As exceções aprovadas utilizam abordagens manuais de marcação de dados com proprietários e/ou custodiantes de dados para gerenciar a marcação. Resultados: - A automação completa da marcação de dados é concluída - Os resultados da marcação de dados são alimentados em algoritmos de ML. |
Os classificadores treináveis do Microsoft Purview Information Protection no Purview ajudam você a reconhecer o conteúdo usando o aprendizado de máquina (ML). Crie e treine classificadores com amostras humanas colhidas e positivamente combinadas. - Classificadores treináveis |
4.4 Monitorização e deteção de dados
As políticas do Microsoft Purview Data Loss Prevention (DLP) impedem que os dados saiam da sua organização. Você pode aplicar políticas de DLP a dados em repouso, em uso e em movimento. As políticas de DLP são aplicadas onde os dados residem em serviços de nuvem, compartilhamentos de arquivos locais, também em dispositivos Windows e macOS.
| Descrição da atividade e resultado do DoD | Orientações e recomendações da Microsoft |
|---|---|
Target
4.4.1 Registro e análisede pontos de imposição de DLPAs organizações do DoD identificam pontos de imposição de prevenção de perda de dados (DLP), como serviços específicos e pontos de extremidade do usuário. Usando o padrão estabelecido de resposta a incidentes de segurança cibernética do DoD Enterprise, as organizações do DoD garantem que os detalhes apropriados dos dados sejam capturados. Além disso, casos de uso de proteção, deteção e resposta são desenvolvidos para melhor descrever a cobertura da solução. - O esquema de registro padronizado é aplicado nos níveis da empresa e da organização |
Microsoft Purview Data Loss Prevention Crie políticas de DLP em conformidade com o Purview. Imponha DLP para aplicativos Microsoft 365, Windows e pontos de extremidade macOS, também aplicativos de nuvem que não são da Microsoft. - Planejar o design de DLP - Política - de nuvem Integre o Purview Information Protection com o Defender for Cloud Apps para aplicar rótulos de sensibilidade automaticamente, aplicar políticas de criptografia e evitar a perda de dados. Consulte as orientações da Microsoft na - . |
Target
4.4.2 Registro e análisede pontos de imposição de DRMAs organizações do DoD identificam pontos de imposição de gerenciamento de direitos de dados (DRM), como serviços específicos e pontos de extremidade do usuário. Usando o padrão estabelecido de resposta a incidentes de segurança cibernética do DoD Enterprise, as organizações do DoD garantem que os detalhes apropriados dos dados sejam capturados. Além disso, casos de uso de proteção, deteção e resposta são desenvolvidos para melhor descrever a cobertura da solução. - O esquema de registro padronizado é aplicado nos níveis da empresa e da organização |
Os pontos de imposição do Microsoft Purview Information Protection Purview data rights management (DRM) incluem o Microsoft 365 e aplicativos e serviços de terceiros integrados com o SDK da Microsoft Information Protection (MIP), aplicativos online e clientes avançados. - Proteja dados - Integre o Purview Information Protection com o Defender for Cloud Apps para aplicar rótulos de sensibilidade automaticamente, aplicar políticas de criptografia e evitar a perda de dados.- Consulte as orientações da Microsoft na .- |
Target
4.4.3 Monitorização da Atividade de Ficheiros Pt1As organizações do DoD utilizam ferramentas de monitoramento de arquivos para monitorar os níveis mais críticos de classificação de dados em aplicativos, serviços e repositórios. As análises do monitoramento são alimentadas no SIEM com atributos de dados básicos para realizar a funcionalidade ZT Target. Resultados: - Dados e arquivos de classificação crítica estão sendo monitorados ativamente - Integração básica está em vigor com o sistema de monitoramento, como o SIEM |
Os alertas DLP do Microsoft Purview Data Loss Prevention aparecem no Microsoft Defender XDR. A atividade de arquivo sobre criação, rotulagem, impressão e compartilhamento está no Log de Auditoria Unificado e no explorador de atividades no portal de conformidade do Microsoft Purview. - Alertas DLP Explorador - - de atividades Exportar, configurar e exibir registros Integre o Microsoft Defender XDR ao Sentinel para exibir e investigar alertas de prevenção contra perda de dados (DLP) em um sistema de gerenciamento de incidentes e eventos de segurança empresarial (SIEM). - SIEM Conector de proteção de informações para dados XDR do Sentinel - Connect Defender para investigações DLP do Sentinel - - |
Target
4.4.4 Monitorização da Atividade de Ficheiros Pt2As organizações do DoD utilizam ferramentas de monitoramento de arquivos para monitorar todos os dados protegidos por regulamentação (por exemplo, CUI, PII, PHI, etc.) em aplicativos, serviços e repositórios. A integração estendida é usada para enviar dados para soluções inter/intrapilares apropriadas, como Prevenção de Perda de Dados, Gerenciamento/Proteção de Direitos de Dados e Análise de Comportamento de Usuário e Entidade. Resultados: - Dados e arquivos de todas as classificações regulamentadas estão sendo ativamente monitorados - Integrações estendidas estão em vigor conforme apropriado para gerenciar ainda mais o risco |
Microsoft Sentinel Determine os rótulos de sensibilidade necessários e configure regras de análise personalizadas do Sentinel. Crie um incidente quando alertas DLP dispararem para eventos críticos de arquivo. Os eventos críticos de arquivos incluem a deteção de informações confidenciais, violações de políticas e outras atividades suspeitas. - Regras de análise personalizadas para detetar ameaças - Resposta a ameaças com playbooks |
Advanced
4.4.5 Monitorizaçãoda atividade da base de dadosAs organizações do DoD adquirem, implementam e utilizam soluções de Monitor de Banco de Dados para monitorar todos os bancos de dados que contêm tipos de dados regulamentados (CUI, PII, PHI, etc.). Logs e análises da solução de monitoramento de banco de dados são alimentados ao SIEM para monitoramento e resposta. As análises são alimentadas em atividades de vários pilares, como "Perfil de Segurança Empresarial" e "Acesso em Tempo Real" para direcionar melhor a tomada de decisões. Resultados: - Banco de dados apropriado está sendo monitorado ativamente - A tecnologia de monitoramento é integrada com soluções como SIEM, PDP e mecanismos de controle de acesso dinâmico |
O Microsoft Defender for SQLDefender for SQL protege bancos de dados no Azure e em outras nuvens. - A Segurança do Defender for SQL - Connect, Microsoft Defender for Cloud e Microsoft Defender XDR para o Sentinel. Connect Defender XDR to Sentinel Conditional Access - contexto de autenticação para sites confidenciais do SharePoint e proteja o início de sessão na base de dados SQL do Azure utilizando o Acesso Condicional.- - de autenticação Acesso condicional com o Banco de Dados SQL do Azure e o Azure Synapse Analytics - |
Advanced
4.4.6 Monitorização abrangente da atividade dedadosAs organizações do DoD expandem o monitoramento de repositórios de dados, incluindo bancos de dados, conforme apropriado, com base em uma abordagem metódica de risco. Atributos de dados adicionais para atender às funcionalidades avançadas do ZT são integrados à análise para integrações adicionais. Resultados: - Os mecanismos de monitoramento da atividade de dados são integrados para fornecer uma visão unificada do monitoramento entre repositórios de dados- Existem integrações apropriadas com soluções como SIEM e PDP |
APIdo Microsoft Graph Use os logs de atividade do Microsoft Graph para uma trilha de auditoria de solicitações recebidas pelo serviço Microsoft Graph e processadas pelo locatário. - Registros de atividades Microsoft Purview Data Map Configure o Purview Data Map para procurar arquivos confidenciais na propriedade de dados da organização. - Gerenciar fontes Para integrar com um sistema de gerenciamento de eventos e informações de segurança (SIEM), configure os conectores de dados do Sentinel para Microsoft Defender for Cloud, Microsoft Defender XDR e Purview. Consulte as orientações da Microsoft na versão 4.4.5. Condicional para acesso incomum a arquivos, encontradas pelo Microsoft Defender XDR, aumentam o nível de risco do usuário. O risco do usuário é uma condição no Acesso Condicional, o ponto de decisão de política (PDP) para o Microsoft Entra ID. Defina um contexto de autenticação de Acesso Condicional com a condição de risco do usuário sem risco. Proteger sites do SharePoint rotulados; exigem contexto de autenticação de Acesso Condicional. - Deteções de - risco Acesso incomum a - arquivos Exemplo de contexto de autenticação |
4.5 Encriptação de dados e gestão de direitos
Os serviços do Microsoft 365 criptografam dados em repouso e em trânsito. O Microsoft Purview restringe o acesso ao conteúdo de acordo com a política de criptografia de rótulo de sensibilidade. Purview atinge o objetivo com outra camada de criptografia para e-mail e arquivos.
| Descrição da atividade e resultado do DoD | Orientações e recomendações da Microsoft |
|---|---|
Target
4.5.1 Implementar DRM e Ferramentas de Proteção Pt1As organizações do DoD adquirem e implementam soluções de DRM e Proteção conforme necessário, seguindo o padrão e os requisitos do DoD Enterprise. O DRM recém-implementado e a(s) solução(ões) de proteção são implementados com repositórios de dados de alto risco usando proteções de nível de destino ZTA. Resultado: - DRM e ferramentas de proteção são habilitados para repositórios de dados de alto risco com proteções básicas |
Criptografiado Microsoft 365 O Microsoft 365 tem criptografia de nível de volume de linha de base com o recurso de segurança do Windows BitLocker e o Gerenciador de Chaves Distribuídas (DKM). - Compreender a encriptação Microsoft Purview Use políticas de rotulagem para aplicar automaticamente mais criptografia para dados de alto risco no Microsoft 365, com base no rótulo de sensibilidade. - Restrinja o acesso ao conteúdo com rótulos - Integre o Microsoft Purview Information Protection com o Defender for Cloud Apps para aplicar rótulos de sensibilidade automaticamente, aplicar políticas de criptografia e evitar a perda de dados. Consulte as orientações da Microsoft na do Azure Use a Política do Azure para exigir uma versão segura do TLS (Transport Layer Security), implementar a TDE (Criptografia de Dados Transparente) e exigi-la com chaves gerenciadas pelo cliente para criptografar dados em repouso. Definições de Política do Azure para o Banco de Dados SQL do Azure e a Instância Gerenciada do SQL |
Target
4.5.2 Implementar DRM e Ferramentas de Proteção Pt2A cobertura de DRM e proteção é expandida para abranger todos os repositórios de dados de escopo. As chaves de criptografia são gerenciadas automaticamente para atender às práticas recomendadas (por exemplo, FIPS). Os atributos de proteção de dados estendidos são implementados com base na classificação do ambiente. Resultado: - DRM e ferramentas de proteção estão habilitados para todos os repositórios possíveis |
Azure Key VaultUse o Módulo de Segurança de Hardware Gerenciado do Azure Key Vault (Azure Key Vault HSM) para proteger chaves criptográficas de aplicativos usando os Módulos de Segurança de Hardware Validados FIPS 140-2 Nível 3. - Azure Key Vault Managed HSM O Microsoft 365 oferece uma camada de criptografia para seu conteúdo com a Chave do Cliente. - de locatário do Azure Information Protection O Azure Information Protection dá suporte a chaves raiz de locatário geradas pela Microsoft e traz sua própria chave (BYOK). Chave - - |
Target
4.5.3 Aplicação de DRM através de Data Tags e Analytics Pt1As soluções de gerenciamento de direitos de dados (DRM) e proteção são integradas com tags de dados básicas definidas pelo padrão DoD Enterprise. Os repositórios de dados iniciais são monitorados e têm ações de proteção e resposta habilitadas. Os dados em repouso são criptografados em repositórios. Resultados: - As tags de dados são integradas ao DRM e os repositórios monitorados são expandidos - Com base nas tags de dados, os dados são criptografados em repouso |
Proteçãode informações do Microsoft Purview Use políticas de rotulagem para aplicar mais criptografia automaticamente para dados de alto risco, no Microsoft 365, com base no rótulo de confidencialidade. - Restrinja o acesso ao conteúdo com rótulos Microsoft 365 O Microsoft 365 tem criptografia de linha de base, nível de volume, com BitLocker e DKM (Gerenciador de Chaves Distribuídas). Consulte as orientações da Microsoft na versão 4.5.1. |
Advanced
4.5.4 Aplicação de DRM através de Data Tags e Analytics Pt2Os repositórios de dados estendidos são protegidos com soluções de DRM e proteção. As organizações do DoD implementam tags de dados estendidas aplicáveis a organizações versus empresas obrigatórias. Os dados são criptografados em repositórios estendidos usando tags adicionais. Resultados: - Todos os repositórios de dados aplicáveis são protegidos usando DRM - Os dados são criptografados usando tags de dados estendidas dos níveis da organização |
Criptografiado Azure O Azure usa criptografia para dados em repouso e em trânsito. - Azure encryption Azure Policy Enable Azure Policy to secure Azure SQL databases Consulte as orientações da Microsoft 4.5.1. Acesso Condicional Use políticas de Acesso Condicional para usuários que se conectam ao SQL do Azure. Consulte as orientações da Microsoft na versão 4.4.5. |
Advanced
4.5.5 Aplicação do DRM através de Data Tags e Analytics Pt3As soluções de DRM e Proteção integram-se com ferramentas de IA e ML para funções de criptografia, gerenciamento de direitos e proteção. Resultados: - Análises de ML/AI são integradas com DRM para automatizar melhor as proteções - A proteção de criptografia é integrada com IA/ML e métodos de criptografia atualizados são usados conforme necessário |
Proteção de informações do Microsoft Purview Use o Microsoft Purview Information Protection para classificar dados, com base em tipos de informações confidenciais e por classificadores treinados por aprendizado de máquina (ML). Consulte as orientações da Microsoft na versão 4.3.5. Azure Machine LearningO Azure Machine Learning e o Azure OpenAI Service usam o Armazenamento do Azure e os serviços de computação do Azure que criptografam dados. - Criptografia de dados condicional Defina o contexto de autenticação com sinais de risco da Proteção de Identidade. Exigir contexto de autenticação para sites do SharePoint rotulados e aplicativos personalizados. - Contexto de autenticação Consulte as orientações da Microsoft na versão 4.4.5. |
4.6 Prevenção contra perda de dados (DLP)
As políticas do Microsoft Purview Data Loss Prevention (DLP) impedem que os dados saiam da sua organização. Você pode aplicar políticas de DLP a dados em repouso, em uso e em movimento. As políticas de DLP são aplicadas onde os dados residem em serviços de nuvem, compartilhamentos de arquivos locais, também em dispositivos Windows e macOS.
| Descrição da atividade e resultado do DoD | Orientações e recomendações da Microsoft |
|---|---|
Target
4.6.1 Implementar pontosde aplicaçãoA solução de prevenção contra perda de dados (DLP) é implantada nos pontos de imposição no escopo. A solução DLP está definida para o modo "apenas monitor" e/ou "aprendizagem", limitando o impacto. Os resultados da solução DLP são analisados e a política é ajustada para gerenciar o risco a um nível aceitável. Resultado: - Os pontos de aplicação identificados têm a ferramenta DLP implantada e definida para monitorar o modo com registro padronizado |
Microsoft Purview Data Loss Prevention Os aplicativos do Microsoft 365 e os pontos de extremidade do Windows impõem políticas de DLP. Configure políticas no modo de simulação DLP. - DLP Crie políticas em DLP. Defina o estado da política para testar ou testar com dicas de política. Defina as ações de política como Somente auditoria ou Bloquear com substituição. - Implantação de política de DLP Integre dispositivos Windows 10, 11 e macOS ao Endpoint data loss prevention (Endpoint DLP) - Endpoint DLP Implante o scanner Microsoft Purview Information Protection. Rotule e imponha políticas de DLP para conteúdo em bancos de dados SQL locais, compartilhamentos de arquivos, NAS (Network Attached Storage, armazenamento conectado à rede) e bibliotecas de documentos do SharePoint Server. - Repositórios de perda de dados Microsoft Purview Integre o Microsoft Purview Information Protection com o Defender for Cloud Apps para aplicar rótulos de sensibilidade automaticamente, aplicar políticas de criptografia e evitar a perda de dados.- Consulte as orientações da Microsoft na . Acesso condicional ao acesso ao Office 365 e a outras aplicações integradas ao Microsoft Entra. Use o modo somente relatório para monitorar o resultado antes de habilitar políticas com controle de concessão de acesso de bloqueio. - Política de compilação - Modo - somente relatório Políticas de sessão: monitorar todos |
Target
4.6.2 Aplicação de DLP através de Data Tags e Analytics Pt1A solução de prevenção de perda de dados (DLP) é atualizada do modo somente monitor para o modo de prevenção. As tags de dados básicas são utilizadas para a solução DLP e o esquema de registro em log é integrado. Resultado: - Pontos de imposição a serem definidos para impedir o modo de integração do esquema de registro e da classificação manual do ambiente de tags. |
Microsoft Purview Data Loss Prevention Crie políticas DLP no modo de teste. Altere o estado para Ativado para ativar o modo de Imposição. Se você definir ações de política como Bloquear, a atividade do usuário que aciona a DLP será impedida pela política. - Ações em políticas de DLP Habilite a proteção just-in-time (JIT) para impor o Endpoint DLP para arquivos criados em dispositivos offline. - Dispositivos Habilite a inspeção de conteúdo no Defender for Cloud Apps. - condicional Após o teste, habilite as políticas de Acesso Condicional que aplicam controles de sessão ou usam o controle de concessão de acesso de bloqueio. Para evitar o bloqueio de inquilinos, exclua contas de acesso de emergência. - Contas de acesso de emergência Consulte as orientações da Microsoft na versão 4.6.1. |
Advanced
4.6.3 Aplicação de DLP através de Data Tags e Analytics Pt2A solução de prevenção contra perda de dados (DLP) é atualizada para incluir tags de dados estendidas com base em atividades paralelas de automação. Resultado: - Os pontos de imposição têm atributos de tag de dados estendidos aplicados para prevenção adicional |
Microsoft Purview Information Protection Defina tipos de informações confidenciais personalizadas. Crie rótulos e políticas de prevenção de perda de dados. Consulte as orientações da Microsoft na versão 4.1.1. |
Advanced
4.6.4 Aplicação de DLP via Data Tags e Analytics Pt3A solução de prevenção contra perda de dados (DLP) é integrada com técnicas automatizadas de marcação de dados para incluir quaisquer pontos de imposição e tags ausentes. Resultado: - Os atributos de marcação automatizados são integrados com DLP e as métricas resultantes são usadas para ML |
Proteção de informações do Microsoft Purview Use o Microsoft Purview Information Protection para classificar dados, com base em tipos de informações confidenciais e por classificadores treinados por aprendizado de máquina (ML). Consulte as orientações da Microsoft na versão 4.3.5. |
4.7 Controlo de acesso aos dados
Os serviços Microsoft 365 e Armazenamento do Azure são integrados com o Microsoft Entra ID para autorização baseada em identidade. O Microsoft Entra ID oferece suporte ao controle de acesso baseado em função (RBAC) e ao controle de acesso baseado em atributos (ABAC).
As funções e grupos de segurança do Microsoft Entra fornecem às organizações controle de acesso baseado em função. Os grupos de segurança dinâmicos usam atributos definidos em objetos de usuário, grupo e dispositivo para definir a associação, com base em expressões avançadas e conjuntos de regras.
O controle de acesso baseado em atributos do Microsoft Entra ID utiliza atributos de segurança personalizados, que são atributos específicos do negócio que você pode definir e atribuir aos objetos do Microsoft Entra. Os atributos de segurança personalizados armazenam informações confidenciais. O acesso para exibir ou modificar atributos de segurança personalizados é restrito às funções de Administrador de Atributos.
| Descrição da atividade e resultado do DoD | Orientações e recomendações da Microsoft |
|---|---|
Target
4.7.1 Integrar o Acesso DAAS com a Política de SDS Pt1Utilizando a política de SDS empresarial do DoD, a política de DAAS organizacional é desenvolvida com a integração pretendida em mente. O guia de implementação do SDS é desenvolvido por organizações do DoD devido à natureza específica do ambiente. Resultados: - A política de DAAS refinada baseada em atributos é desenvolvida com suporte a nível empresarial e organizacional- O plano de integração SDS é desenvolvido para dar suporte à política DAAS |
Microsoft Entra IDImplemente políticas de dados, ativos, aplicativos e serviços (DAAS) baseados em atributos com o Microsoft Entra ID com mecanismos como o controle de acesso baseado em atributos do Azure (Azure ABAC), filtragem personalizada de atributos de segurança para aplicativos e grupos de segurança dinâmicos. - Controles baseados em atributos Atributos de segurança personalizados Defina atributos de segurança personalizados e atribua valor aos usuários. Configure condições de atribuição de função para o Azure ABAC, para funções do Azure. Atualmente, esse recurso está em visualização para as permissões da conta de Armazenamento do Azure. - Azure ABAC - Gerenciar o acesso a atributos - de segurança personalizados Gerenciar atributos com delegação Use atributos de segurança personalizados para autorização de aplicativo dinâmico refinada. Atribua atributos de segurança personalizados e use filtros de atributos (visualização) para aplicativos em políticas de Acesso Condicional. - Gerenciar atributos de segurança personalizados do aplicativo Grupos de segurança dinâmicos Use grupos de segurança dinâmicos para atribuir acesso a recursos que suportam grupos de ID do Microsoft Entra para conceder permissões. Isso inclui grupos de funções do Microsoft 365, funções de aplicativo para aplicativos Microsoft Entra ID, funções do Azure e atribuições de aplicativos. As políticas de Acesso Condicional usam grupos dinâmicos e aplicam níveis de autorização para usuários com vários valores de atributo. - Regras - de associação de grupo dinâmico Emitir declarações de condições |
Advanced
4.7.2 Integrar o Acesso DAAS com a Política de SDS Pt2As organizações do DoD implementam a política DAAS de forma automatizada. Resultado: - Política de DAAS refinada baseada em atributos implementada de forma automatizada |
API Automatize a configuração de políticas de Acesso Condicional, atributos de segurança personalizados, grupos de segurança dinâmicos e outros recursos de ID do Microsoft Entra usando a API do Microsoft Graph. |
Advanced
4.7.3 Integrar o Acesso DAAS com a Política de SDS Pt3A tecnologia e/ou funcionalidades de SDS recentemente implementadas são integradas com a política DAAS de uma forma baseada no risco. Deve ser adotada uma abordagem faseada durante a execução para medir os resultados e ajustá-los em conformidade. Resultados: - O SDS é integrado com a funcionalidade da política DAAS- Todos os dados em todos os aplicativos são protegidos com uma política DAAS refinada baseada em atributos. |
O Microsoft Defender for Cloud Apps integra o Microsoft Purview e o Defender for Cloud Apps. Crie políticas de arquivo para aplicar processos automatizados usando APIs de provedores de nuvem. - Integrar políticas de arquivos de proteção de - informações |
Target
4.7.4 Integrar Solução(ões) e Política com o Enterprise IDP Pt1As organizações do DoD desenvolvem um plano de integração usando a política de SDS e a tecnologia/funcionalidade com a solução Enterprise Identity Provider (IdP). Resultado: - O plano de integração entre o SDS e o Provedor de Identidade autorizado é desenvolvido para dar suporte ao acesso DAAS existente |
Microsoft Entra ID Os serviços de armazenamento do Microsoft 365, como o SharePoint Online e o OneDrive for Business, são integrados ao Microsoft Entra ID. Configure os serviços de Armazenamento do Azure para integração com o Microsoft Entra ID para autorização baseada em identidade de solicitações para serviços de Blob, Arquivo, Fila e Tabela. - Microsoft Entra ID - do Azure Na galeria de aplicativos, integre mais soluções de armazenamento definido por software (SDS) com o Microsoft Entra ID. - |
Advanced
4.7.5 Integrar Solução(ões) e Política com o Enterprise IDP Pt2A tecnologia e/ou funcionalidades SDS recém-implementadas são integradas com o Enterprise Identity Provider (IdP) seguindo o plano de integração. Os atributos de identidade necessários para atender às funcionalidades do ZT Target são necessários para a integração. completa com ferramentas Enterprise IDP e SDS para suportar todos os acessos DAAS refinados baseados em atributos |
Atividades completas 4.7.1 e 4.7.4. |
Advanced
4.7.6 Implementar SDS Tool e/ou integrar com DRM Tool Pt1Dependendo da necessidade de uma ferramenta de armazenamento definido por software, uma nova solução é implementada ou uma solução existente é identificada atendendo aos requisitos de funcionalidade a serem integrados com soluções DLP, DRM/Proteção e ML. Resultado: - Se as ferramentas forem necessárias, certifique-se de que há integrações suportadas com ferramentas DLP, DRM e ML |
Os recursos Microsoft Purview Microsoft Purview Information Protection, gerenciamento de direitos digitais (DRM) e Microsoft Purview Data Loss Prevention (DLP) integram-se nativamente com clientes do Office e serviços do Microsoft 365. As integrações são internas e não exigem mais implantação. - Visão geral do Purview Use o Microsoft Information Protection SDK (MIP SDK) para criar ferramentas personalizadas para aplicar rótulos e proteção a arquivos. Consulte as orientações da Microsoft na versão 4.4.2. |
Advanced
4.7.7 Implementar SDS Tool e/ou integrar com DRM Tool Pt2As organizações do DoD configuram a funcionalidade e/ou solução do SDS para ser integrada com a infraestrutura subjacente de DLP e DRM/Proteção, conforme apropriado. Integrações de nível inferior permitem proteção e resposta mais eficazes. Resultado: - Integrar a infraestrutura SDS com a infraestrutura DLP e DRM existente |
Microsoft 365 e Microsoft Purview O Microsoft Purview protege o conteúdo do Microsoft 365 com prevenção contra perda de dados (DLP) e gerenciamento de direitos de dados (DRM) sem mais infraestrutura. - Proteja dados confidenciais |
Próximos passos
Configure os serviços de nuvem da Microsoft para a estratégia DoD Zero Trust: