Стратегия нулевого доверия DoD для основы данных

Статья
2024-04-13

Стратегия и стратегия нулевого доверия DoD описывает путь для партнеров Министерства обороны и промышленной базы обороны (DIB) для внедрения новой платформы кибербезопасности на основе принципов нулевого доверия. Нулевое доверие устраняет традиционные предположения периметра и доверия, обеспечивая более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.

В этом руководстве приведены рекомендации по 152 действиям по нулю доверия в схеме выполнения возможностей doD Zero Trusty. Разделы соответствуют семи основным элементам модели DoD Zero Trust.

Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.

4 Данных

В этом разделе содержатся рекомендации и рекомендации Майкрософт по действиям DoD Zero Trust в рамках основы данных. Дополнительные сведения см. в статье "Безопасные данные с нулевым доверием".

4.1 Выравнивание рисков каталога данных

Решения Microsoft Purview помогают обнаруживать, определять, управлять, защищать и управлять данными, в которых они находятся. Microsoft Purview предоставляет три способа идентификации элементов, чтобы их можно было классифицировать. Элементы можно классифицировать вручную, с помощью автоматического распознавания шаблонов, как с типами конфиденциальной информации, так и с помощью машинного обучения.

Описание и результат действия DoD Рекомендации и рекомендации Майкрософт

TargetАнализ данных
4.1.1Организации DoD обновляют каталоги служб и приложений с помощью классификаций данных. Теги данных также добавляются в каждую службу и приложение.

Результат.
Каталог служб обновляется с типами данных для каждого приложения и службы на основе уровней классификации данных. Microsoft Purview
Просмотрите типы конфиденциальной информации в Портал соответствия требованиям Microsoft Purview и определите пользовательские типы конфиденциальной информации.
- Пользовательские типы конфиденциальной информации на портале

соответствия Purview используют обозреватель содержимого Purview или обозреватель действий для просмотра моментального снимка содержимого Microsoft 365 и просмотра связанных действий пользователей.
- Обозреватель действий обозревателя

-
контента Microsoft Defender для облака Приложения
интегрируют Защита информации Microsoft Purview для применения меток конфиденциальности к данным, соответствующим политикам. Изучение потенциального воздействия конфиденциальных данных в облачных приложениях.
- Интеграция Information Protection

Каталог данных Microsoft Purview
Browse Каталог данных Purview для изучения данных в вашем пространстве данных.
- Каталог данных Purview

Описание и результат действия DoD	Рекомендации и рекомендации Майкрософт
`Target`Анализ данных 4.1.1Организации DoD обновляют каталоги служб и приложений с помощью классификаций данных. Теги данных также добавляются в каждую службу и приложение. Результат. Каталог служб обновляется с типами данных для каждого приложения и службы на основе уровней классификации данных.	Microsoft Purview Просмотрите типы конфиденциальной информации в Портал соответствия требованиям Microsoft Purview и определите пользовательские типы конфиденциальной информации. - Пользовательские типы конфиденциальной информации на портале соответствия Purview используют обозреватель содержимого Purview или обозреватель действий для просмотра моментального снимка содержимого Microsoft 365 и просмотра связанных действий пользователей. - Обозреватель действий обозревателя - контента Microsoft Defender для облака Приложения интегрируют Защита информации Microsoft Purview для применения меток конфиденциальности к данным, соответствующим политикам. Изучение потенциального воздействия конфиденциальных данных в облачных приложениях. - Интеграция Information Protection Каталог данных Microsoft Purview Browse Каталог данных Purview для изучения данных в вашем пространстве данных. - Каталог данных Purview

4.2 Управление корпоративными данными DoD

Защита информации Microsoft Purview использует метки конфиденциальности. Вы можете создавать метки конфиденциальности, относящиеся к вашей организации, контролировать, какие метки видны пользователям, и определять область меток. Метки области для файлов, сообщений электронной почты, собраний, Microsoft Teams, сайтов SharePoint и т. д. Метки защищают содержимое с помощью шифрования, ограничения внешнего общего доступа и предотвращения потери данных.

Описание и результат действия DoD	Рекомендации и рекомендации Майкрософт
`Target`4.2.1 Определение стандартов тегов данныхDoD Enterprise работает с организациями, чтобы установить стандарты тегов и классификации данных на основе отраслевых рекомендаций. Классификации согласованы и реализованы в процессах. Теги определяются как вручную и автоматически для будущих действий. Результаты: — стандарты классификации корпоративных данных и тегов разработаны — организации соответствуют корпоративным стандартам и начинают реализацию	Microsoft Purview Создание и публикация меток конфиденциальности в Microsoft Purview в соответствии с заданными стандартами тегов данных. - Метки конфиденциальности и метки конфиденциальности политик - в Microsoft 365
`Target`4.2.2. Стандарты взаимодействияDoD Enterprise, сотрудничающий с организациями, разрабатывает стандарты взаимодействия, интегрирующие обязательные решения управления правами на доступ к данным (DRM) и защиты с необходимыми технологиями, чтобы обеспечить функциональность целевых объектов ZT. Результат: - Формальные стандарты применяются предприятием для соответствующих стандартов данных	Управлениеправами Azure использует Azure RMS для управления правами на доступ к данным (DRM) и взаимодействия защиты между сущностями DoD, взаимодействующими со службами Microsoft 365. - Приложения Azure RMS - , поддерживающие метки конфиденциальности
`Target`4.2.3 Разработка политики программно-определяемого хранилища (SDS)Компания DoD, работающая с организациями, устанавливает политику и стандарты хранения (SDS) программного обеспечения на основе отраслевых рекомендаций. Организации DoD оценивают текущую стратегию хранения данных и технологию для реализации SDS. Где соответствующая технология хранения определена для реализации SDS. Результаты. Определение необходимости реализации средства SDS— политика SDS для SDS создается на уровне предприятия и организации.	SharePoint Online использует SharePoint Online и OneDrive для бизнеса в качестве стандартного решения для разработки программного обеспечения (SDS). Ограничение доступа к конфиденциальным сайтам и содержимому SharePoint Online с помощью политик ограничений доступа к сайту. Запретить гостевой доступ к файлам, а правила защиты от потери данных применяются. - Ограничение доступа к участникам - группы запретить гостевой доступ к файлам с помощью правил - защиты от потери данных безопасного гостевого доступа Microsoft Defender для облака Приложения используют Defender для облака Приложения для блокировки доступа к несанкционированным облачным службам хранилища. - Управление обнаруженными приложениями

4.3 Метка и теги данных

Защита информации Microsoft Purview автоматически классифицирует данные на основе определяемых типов конфиденциальной информации. Политики для меток на стороне службы и клиента гарантируют, что содержимое Microsoft 365, созданное пользователями, помечено и защищено.

Описание и результат действия DoD	Рекомендации и рекомендации Майкрософт
`Target`4.3.1 Реализация тегов и средств классификации данныхОрганизации DoD используют корпоративный стандарт и требования для реализации решений по маркировке и классификации данных. Организации гарантируют, что будущие интеграции машинного обучения и искусственного интеллекта поддерживаются решениями с помощью корпоративных требований DoD. Результаты. Требование классификации данных и средств тегов должно включать интеграцию и (или) поддержку Машинное обучение (ML) - Средства классификации и тегов реализуются на уровне организации и предприятия.	Защита информации Microsoft Purview Использовать Защита информации Microsoft Purview для классификации данных на основе типов конфиденциальной информации и классификаторов, обученных машинным обучением. - Конфиденциальные данные и политики меток Purview -
`Target`4.3.2 Ручное добавление тегов Pt1 Использование политики и стандартов классификации корпоративных данных DoD вручную начинает использовать базовые атрибуты уровня данных для удовлетворения целевых функциональных возможностей ZT. Результат. - Теги данных вручную начинаются на корпоративном уровне с базовыми атрибутами	Microsoft Purview Создание и публикация меток конфиденциальности в Microsoft Purview в соответствии с заданными стандартами тегов данных. См. рекомендации Майкрософт в версии 4.2.1. Настройте политику маркировки, чтобы пользователи применяли метки конфиденциальности к электронным письмам и документам. - Пользователи применяют метки к электронной почте и документам
`Advanced`4.3.3 Ручное добавление тегов данных Pt2 Атрибуты уровня данных doD для конкретной организации интегрируются в процесс добавления тегов вручную. Компания DoD и организации сотрудничают с решением, какие атрибуты необходимы для удовлетворения расширенных функциональных возможностей ZTA. Атрибуты уровня данных для расширенных функциональных возможностей ZTA стандартизированы по всей организации и включены. Результат. - Добавление тегов данных вручную на уровне программы или организации с определенными атрибутами	Microsoft Purview Просмотрите типы конфиденциальной информации в Портал соответствия требованиям Microsoft Purview. При необходимости определите пользовательские типы конфиденциальной информации. См. руководство майкрософт в версии 4.1.1.
`Advanced`4.3.4 Автоматическая маркировка данных и поддержка Pt1 Организации DoD используют решения для защиты от потери данных, управления правами и (или) защиты для проведения сканирования репозиториев данных. Стандартизированные теги применяются к поддерживаемым репозиториям данных и типам данных. Идентифицируются неподдерживаемые репозитории данных и типы. Результат: - Базовая автоматизация начинается с сканирования репозиториев данных и применения тегов	Защита информации Microsoft Purview Configure на стороне клиента метки для файлов и сообщений электронной почты, созданных в Приложение Office ликации Майкрософт. - Автоматическая маркировка для Приложение Office настраивает метки на стороне службы для содержимого, хранящегося в Office 365. - Политика автоматической маркировки для SharePoint, OneDrive и Exchange Применяют метки конфиденциальности к контейнерам: сайты Microsoft Teams, Группы Microsoft 365 и сайты SharePoint. - Метки конфиденциальности для Teams, Microsoft 365, групп и сайтов SharePoint, чтобы найти документы и сообщения электронной почты в вашей среде, сканируйте их для сопоставления данных в определенных типах конфиденциальной информации. - Типы конфиденциальной информации, соответствующие данным, используют отпечатки документов для поиска и маркировки содержимого, соответствующего шаблонам документов и стандартным формам. - Документирование отпечатков пальцев Microsoft Purview Регистр источников данных, сканирование, прием и классификация данных на портале управления Microsoft Purview. - Источники данных в Purview - Scans и классификации данных приема - Microsoft Defender для облака Приложения интегрируют Purview Information Protection с Defender для облака Приложения для автоматического применения меток конфиденциальности, применения политик шифрования и предотвращения потери данных. - Интеграция Information Protection - Применение меток - конфиденциальности для проверки содержимого защиты от потери данных
`Advanced`4.3.5 Автоматизированная маркировка данных и поддержка Pt2 Оставшиеся поддерживаемые репозитории данных имеют базовые и расширенные теги данных, которые применяются с помощью машинного обучения и искусственного интеллекта. Расширенные теги данных применяются к существующим репозиториям. Неподдерживаемые репозитории данных и типы данных оцениваются для вывода из эксплуатации с помощью метода на основе рисков. Утвержденные исключения используют подходы к тегам вручную с владельцами данных и /или хранителями для управления тегами. Результаты. - Полная автоматизация тегов данных завершена . Результаты тегов данных передаются в алгоритмы машинного обучения.	классификаторы Защита информации Microsoft Purview Trainable в Purview помогают распознавать содержимое с помощью машинного обучения (ML). Создание и обучение классификаторов с выбранными и положительными примерами. - Обучаемые классификаторы

4.4 Мониторинг и анализ данных

политики Защита от потери данных Microsoft Purview (DLP) препятствуют выходу данных из организации. Политики защиты от потери данных можно применять к неактивных данных, используемым и в движении. Политики защиты от потери данных применяются, когда данные находятся в облачных службах, локальных файловых ресурсах, а также на устройствах Windows и macOS.

Описание и результат действия DoD	Рекомендации и рекомендации Майкрософт
`Target`4.4.1 Ведение журнала и анализ точек защиты от потери данныхОрганизации DoD определяют точки защиты от потери данных (DLP), такие как определенные службы и конечные точки пользователей. Используя установленный стандарт реагирования на инциденты кибербезопасности DoD Enterprise, организации DoD обеспечивают сбор соответствующих сведений о данных. Кроме того, варианты использования защиты, обнаружения и реагирования разрабатываются для улучшения охвата решений. Результаты. - Стандартизированная схема ведения журнала применяется на уровне предприятия и организации.	Защита от потери данных Microsoft Purview Создание политик защиты от потери данных в соответствии с Purview. Применение защиты от потери данных для приложений Microsoft 365, Windows и macOS, а также облачных приложений, отличных от Майкрософт. - Планирование действий- API действий API действий управления 365 для защиты от потери данных в политике - защиты от потери данных - Microsoft Defender для облака Приложения интегрируют Purview Information Protection с Defender для облака Приложения для автоматического применения меток конфиденциальности, применения политик шифрования и предотвращения потери данных. См. руководство майкрософт по версии 4.3.4.
`Target`4.4.2 Ведение журнала и анализа точек принудительного применения DRMОрганизации DoD определяют точки применения прав на доступ к данным (DRM), такие как определенные службы и конечные точки пользователей. Используя установленный стандарт реагирования на инциденты кибербезопасности DoD Enterprise, организации DoD обеспечивают сбор соответствующих сведений о данных. Кроме того, варианты использования защиты, обнаружения и реагирования разрабатываются для улучшения охвата решений. Результаты. - Стандартизированная схема ведения журнала применяется на уровне предприятия и организации.	Защита информации Microsoft Purview Точки применения управления правами на доступ к данным (DRM) включают в себя приложения и сторонние приложения и службы, интегрированные с пакетом SDK Microsoft Information Protection (MIP), веб-приложениями и богатыми клиентами. - Защита конфиденциального- доступа к содержимому с помощью меток- пакета SDK - MIP в Microsoft 365 Microsoft Defender для облака Приложения интегрируют Purview Information Protection с Defender для облака Приложения для автоматического применения меток конфиденциальности, применения политик шифрования и предотвращения потери данных. См. руководство майкрософт по версии 4.3.4.
`Target`4.4.3 Мониторинг активности файлов Pt1 Организации DoD используют средства мониторинга файлов для мониторинга наиболее критически важных уровней классификации данных в приложениях, службах и репозиториях. Аналитика от мониторинга предоставляется в SIEM с основными атрибутами данных для выполнения функций ZT Target. Результаты: - Данные и файлы критической классификации активно отслеживаются . Базовая интеграция выполняется с системой мониторинга, такой как SIEM	оповещения Защита от потери данных Microsoft Purview DLP отображаются в XDR в Microsoft Defender. Действие файла о создании, маркировке, печати и совместном доступе находится в едином журнале аудита и в обозревателе действий в Портал соответствия требованиям Microsoft Purview. - Обозреватель оповещений - - защиты от потери данных экспортирует, настраивает и просматривает записи журнала аудита Microsoft Defender XDR и Microsoft Sentinel Интегрируют XDR Microsoft Defender с Sentinel для просмотра оповещений защиты от потери данных (DLP) в системе корпоративного инцидента безопасности и управления событиями (SIEM). - Интеграция соединителя siEM tools - Information Protection для данных XDR Sentinel - Connect Defender в Sentinel - DLP
`Target`4.4.4 Мониторинг активности файлов Pt2 Организации DoD используют средства мониторинга файлов для мониторинга всех защищенных нормативных данных (например, CUI, PII, PHI и т. д.) в приложениях, службах и репозиториях. Расширенная интеграция используется для отправки данных соответствующим решениям между элементами, таким как защита от потери данных, управление правами на доступ к данным и защита пользователей и аналитика поведения сущностей. Результаты: - Данные и файлы всех регулируемых классификаций активно отслеживаются . Расширенная интеграция выполняется соответствующим образом для дальнейшего управления рисками.	Microsoft Sentinel Определяет необходимые метки конфиденциальности и настраивает пользовательские правила аналитики Sentinel. Создайте инцидент при активации оповещений защиты от потери данных для критических событий файлов. Критически важные события файлов включают обнаружение конфиденциальной информации, нарушений политики и других подозрительных действий. - Пользовательские правила аналитики для обнаружения угроз реагирования на угрозы - с помощью сборников схем
`Advanced`Мониторинг активности базы данных 4.4.5Организации DoD предоставляют, реализуют и используют решения для мониторинга всех баз данных, содержащих регулируемые типы данных (CUI, PII, PHI и т. д.). Журналы и аналитика из решения мониторинга базы данных передаются в SIEM для мониторинга и реагирования. Аналитика отправляется в перекрестные действия, такие как "Профиль безопасности предприятия" и "Доступ в режиме реального времени" для повышения прямого принятия решений. Результаты. - Соответствующие базы данных активно отслеживаются . Технология мониторинга интегрирована с такими решениями, как SIEM, PDP и механизмы динамической контроль доступа	Microsoft Defender для SQL Defender для SQL защищает базы данных в Azure и других облаках. - Defender для безопасности SQL - оповещений Microsoft Sentinel Connect Microsoft Defender для облака и соединителей данных XDR в Microsoft Defender в Sentinel. - Подключенные Defender для облака оповещения в Sentinel Connect Connect XDR для условного доступаSentinel - требуют контекста проверки подлинности для конфиденциальных сайтов SharePoint и защиты входа в базу данных SQL Azure с помощью условного доступа. - Условный доступ контекста - проверки конфиденциальности с помощью База данных SQL Azure и Azure Synapse Analytics -
`Advanced`4.4.6 Комплексный мониторинг активности данныхОрганизации DoD расширяют мониторинг репозиториев данных, включая базы данных в соответствии с методическим риском. Дополнительные атрибуты данных для удовлетворения функциональных возможностей ZT Advanced интегрируются в аналитику для дополнительных интеграции. Результаты: - Механизмы мониторинга активности данных интегрированы для обеспечения единого представления мониторинга между репозиториями данных. Соответствующие интеграции существуют с такими решениями, как SIEM и PDP.	APIMicrosoft Graph использует журналы действий Microsoft Graph для аудита запросов, полученных службой Microsoft Graph и обработанных клиентом. - Журналы действий Схема данных Microsoft Purview Configure Purview Data Map для проверки конфиденциальных файлов в хранилище данных организации. - Управление источниками данных Microsoft Sentinel Для интеграции с системой управления сведениями о безопасности и событиями (SIEM) настройте соединители данных Sentinel для Microsoft Defender для облака, Microsoft Defender XDR и Purview. См. руководство майкрософт в версии 4.4.5. Обнаружение условного доступа для необычного доступа к файлам, найденных XDR в Microsoft Defender, повышает уровень риска пользователя. Риск пользователя — это условие условного доступа, точка принятия решений политики (PDP) для идентификатора Microsoft Entra. Определите контекст проверки подлинности условного доступа с условием риска пользователя без риска. Защита помеченных сайтов SharePoint; требуется контекст проверки подлинности условного доступа. - Пример контекста проверки подлинности доступа к - файлам - для обнаружения рисков

4.5 Шифрование данных и управление правами

Службы Microsoft 365 шифруют неактивных и передаваемых данных. Microsoft Purview ограничивает доступ к содержимому в соответствии с политикой шифрования меток конфиденциальности. Purview выполняет задачу с другим уровнем шифрования для электронной почты и файлов.

Описание и результат действия DoD	Рекомендации и рекомендации Майкрософт
`Target`4.5.1 Реализация средств DRM и защиты Pt1 Организации DoD закупать и реализовывать решения DRM и защиты по мере необходимости в соответствии со стандартом и требованиями DoD Enterprise. Недавно реализованные решения drM и защиты реализуются с репозиториями данных с высоким уровнем риска с помощью защиты целевого уровня ZTA. Результат. - Средства защиты и drM включены для репозиториев данных с высоким риском с базовыми средствами защиты	ШифрованиеMicrosoft 365 Microsoft 365 имеет базовые показатели, шифрование на уровне тома с помощью функции безопасности Windows BitLocker и диспетчера распределенных ключей (DKM). - Общие сведения о шифровании Microsoft Purview используйте политики меток для автоматического применения шифрования для данных с высоким риском в Microsoft 365 на основе метки конфиденциальности. - Ограничение доступа к содержимому с помощью шифрования электронной почты меток конфиденциальности в Приложениях - Microsoft 365 Microsoft Defender для облака Интеграция Защита информации Microsoft Purview с Defender для облака Приложения для автоматического применения меток конфиденциальности, применения политик шифрования и предотвращения потери данных. См. руководство майкрософт по версии 4.3.4. Политика Azure Использовать Политика Azure, чтобы требовать безопасную версию TLS, реализовать прозрачное шифрование данных (TDE) и требовать ее с ключами, управляемыми клиентом, для шифрования неактивных данных. - определения Политика Azure для базы данных SQL Azure и Управляемый экземпляр SQL
`Target`4.5.2 Реализация DRM и средств защиты Pt2 Защита drM и защита расширяются, чтобы охватывать все репозитории данных области. Ключи шифрования автоматически управляются рекомендациями (например, FIPS). Расширенные атрибуты защиты данных реализуются на основе классификации среды. Результат. - Средства защиты и drM включены для всех возможных репозиториев.	Azure Key Vault использует управляемый аппаратный модуль безопасности Azure Key Vault(HSM Azure Key Vault) для защиты криптографических ключей приложений с помощью модулей безопасности fiPS 140-2 уровня 3. - Управляемый ключ клиента Microsoft Purview в Azure Key Microsoft 365 azure Key HSM предлагает уровень шифрования содержимого с помощью ключа клиента. - Ключ клиентаAzure Information Protection для шифрования служб поддерживает корневые ключи клиента, созданные корпорацией Майкрософт, и принести собственный ключ (BYOK). - Шифрование - двойных ключей - клиента BYOK
`Target`4.5.3 Принудительное применение DRM с помощью тегов данных и Pt1 аналитикиРешения для управления правами на доступ к данным (DRM) и защиты интегрируются с базовыми тегами данных, определенными стандартом DoD Enterprise. Исходные репозитории данных отслеживаются и поддерживают действия защиты и реагирования. Неактивных данных шифруются в репозиториях. Результаты. - Теги данных интегрируются с DRM и отслеживаемые репозитории расширяются на основе тегов данных, данные шифруются неактивных данных.	Защита информации Microsoft Purview Использовать политики меток для автоматического применения шифрования для данных с высоким риском в Microsoft 365 на основе метки конфиденциальности. - Ограничение доступа к содержимому с помощью меток конфиденциальности шифрования Microsoft 365 Microsoft 365 имеет базовый уровень шифрования на уровне тома с помощью BitLocker и распределенного диспетчера ключей (DKM). См. руководство майкрософт по версии 4.5.1.
`Advanced`4.5.4 Принудительное применение DRM с помощью тегов данных и Pt2 аналитикиРасширенные репозитории данных защищены с помощью решений DRM и Protection. Организации DoD реализуют расширенные теги данных, применимые к организациям, а также к утвержденным предприятиям. Данные шифруются в расширенных репозиториях с помощью дополнительных тегов. Результаты: - Все применимые репозитории данных защищены с помощью DRM - Данные шифруются с помощью расширенных тегов данных с уровней организации	Шифрование Azure Azure использует шифрование неактивных данных и передачи данных. - Шифрование Azure Политика Azure Enable Политика Azure для защиты баз данных SQL Azure см. руководство майкрософт 4.5.1. Условный доступ использует политики условного доступа для пользователей, подключающихся к SQL Azure. См. руководство майкрософт в версии 4.4.5.
`Advanced`4.5.5. Принудительное применение DRM с помощью тегов данных и Pt3 аналитикиРешения DRM и Protection интегрируются с средствами искусственного интеллекта и машинного обучения для шифрования, управления правами и защиты. Результаты. - Аналитика из ML/AI интегрирована с DRM, чтобы лучше автоматизировать защиту шифрования. Защита шифрования интегрирована с ИИ/ML и обновленные методы шифрования используются по мере необходимости.	Защита информации Microsoft Purview Использовать Защита информации Microsoft Purview для классификации данных на основе типов конфиденциальной информации и классификаторов, обученных машинным обучением. См. руководство майкрософт по версии 4.3.5. Машинное обучение Azure Машинное обучение Azure и Azure OpenAI Service используют служба хранилища Azure и службы вычислений Azure, которые шифруют данные. - Шифрование - данных Azure OpenAI для неактивных данных определяет контекст проверки подлинности с сигналами риска защиты идентификации. Требовать контекст проверки подлинности для помеченных сайтов SharePoint и пользовательских приложений. - Контекст проверки подлинности см. в руководстве Майкрософт по версии 4.4.5.

4.6 Защита от потери данных (DLP)

Описание и результат действия DoD	Рекомендации и рекомендации Майкрософт
`Target`4.6.1 Реализация точек принудительного примененияРешение защиты от потери данных (DLP) развертывается в точках применения в области. Решение защиты от потери данных имеет значение "только монитор" и /или "обучение", ограничивающее влияние. Результаты решения защиты от потери данных анализируются и политика настраивается для управления рисками на приемлемый уровень. Результат. - Определяемые точки принудительного применения развертывают средство защиты от потери данных и настраивает для мониторинга режима с помощью стандартного ведения журнала	Защита от потери данных Microsoft Purview Приложения и конечные точки WindowsMicrosoft 365 применяют политики защиты от потери данных. Настройте политики в режиме моделирования защиты от потери данных. - Планирование режима моделирования защиты от потери данных в режиме создания политик в DLP. - Задайте состояние политики для тестирования или тестирования с помощью советов по политике. Задайте действия политики только для аудита или блокировки с переопределением. - Развертывание политики защиты от потери данных (DLP) на устройствах Windows 10, 11 и macOS для защиты от потери данных (Endpoint DLP)- Endpoint DLP Deploy Защита информации Microsoft Purview сканер. Метка и применение политик защиты от потери данных для содержимого в локальных базах данных SQL, общих папках, сетевых хранилищах (NAS) и библиотеках документов SharePoint Server. - Средство проверки защиты от потери данных локальной репозитории- Information Protection Защита от потери данных Microsoft Purview Integrate Защита информации Microsoft Purview с Defender для облака Приложения для автоматического применения меток конфиденциальности, применения политик шифрования и предотвращения потери данных. См. руководство майкрософт по версии 4.3.4. Контроль условного доступа к Office 365 и другим приложениям, интегрированным с Microsoft Entra. Используйте режим только для отчета, чтобы отслеживать результаты перед включением политик с блокировкой управления доступом. - Сборка политик - отчетов только в режиме сеанса - : мониторинг всех
`Target`4.6.2 Защита от потери данных с помощью тегов данных и Pt1 аналитикиРешение защиты от потери данных (DLP) обновляется только в режиме мониторинга до режима предотвращения. Базовые теги данных используются для решения защиты от потери данных, а схема ведения журнала интегрирована. Результат: - Принудительное применение точек, чтобы предотвратить интеграцию схемы ведения журнала и классификации сред вручную.	политики защиты от потери данных Защита от потери данных Microsoft Purview Create в тестовом режиме. Измените состояние на "Вкл.", чтобы включить режим принудительного применения. Если для политики задано значение "Блокировать", действие пользователя, которое активирует защиту от потери данных, будет запрещено политикой. - Действия в политиках защиты от потери данных позволяют обеспечить JIT-защиту конечных точек для файлов, созданных на автономных устройствах. - Автономные устройства Microsoft Defender для облака Приложения позволяют проверять содержимое в приложениях Defender для облака. - Проверка содержимого защиты от потери данных после тестирования включите политики условного доступа , которые применяют элементы управления сеансами, или используйте управление доступом к блокировке. Чтобы избежать блокировки клиента, исключите учетные записи аварийного доступа. - Учетные записи аварийного доступа см. в руководстве Майкрософт 4.6.1.
`Advanced`4.6.3 Защита от потери данных с помощью тегов данных и Pt2 Решение защиты от потери данных (DLP) обновляется, чтобы включить расширенные теги данных на основе параллельных действий автоматизации. Результат: - Точки принудительного применения имеют расширенные атрибуты тега данных, применяемые для дополнительной защиты	Защита информации Microsoft Purview Define настраиваемых типов конфиденциальной информации. Создание меток и политик предотвращения потери данных. См. руководство майкрософт в версии 4.1.1.
`Advanced`4.6.4 Защита от потери данных с помощью тегов данных и Pt3 Решение для предотвращения потери данных (DLP) интегрировано с автоматизированными методами добавления тегов и тегов для защиты от потери данных. Результат. - Автоматические атрибуты тегов интегрируются с DLP и результирующей метрики используются для машинного обучения.	Защита информации Microsoft Purview Использовать Защита информации Microsoft Purview для классификации данных на основе типов конфиденциальной информации и классификаторов, обученных машинным обучением. См. руководство майкрософт по версии 4.3.5.

4.7 Управление доступом к данным

Службы Microsoft 365 и служба хранилища Azure интегрированы с идентификатором Microsoft Entra для авторизации на основе удостоверений. Идентификатор Microsoft Entra поддерживает управление доступом на основе ролей (RBAC) и управление доступом на основе атрибутов (ABAC).

Роли и группы безопасности Microsoft Entra предоставляют организациям управление доступом на основе ролей. Динамические группы безопасности используют атрибуты, определенные для объектов пользователей, групп и устройств для определения членства на основе расширенных выражений и наборов правил.

Управление доступом на основе атрибутов идентификатора Microsoft Entra использует настраиваемые атрибуты безопасности, которые являются бизнес-атрибутами, которые можно определить и назначить объектам Microsoft Entra. Пользовательские атрибуты безопасности хранят конфиденциальную информацию. Доступ к просмотру или изменению настраиваемых атрибутов безопасности ограничен ролями администратора атрибутов.

Описание и результат действия DoD	Рекомендации и рекомендации Майкрософт
`Target`4.7.1 Интеграция DAAS Access w/ SDS Policy Pt1 Использование политики DOD enterprise SDS, политика DAAS организации разрабатывается с учетом предполагаемой интеграции. Руководство по реализации SDS разработано организациями DoD из-за особенностей среды. Результаты: - Политика DAAS на основе атрибутов разработана для поддержки политики DAAS на уровне предприятия и организации . План интеграции SDS разработан для поддержки политики DAAS.	Microsoft Entra IDРеализует политики на основе атрибутов, ресурсов, приложений и служб (DAAS) с идентификатором Microsoft Entra с такими механизмами, как управление доступом на основе атрибутов Azure (Azure ABAC), настраиваемые фильтры атрибутов безопасности для приложений и динамических групп безопасности. - Элементы управления настраиваемыми атрибутами безопасности определяют настраиваемые атрибуты безопасности и присваивают пользователям значение. Настройте условия назначения ролей для Azure ABAC для ролей Azure. В настоящее время эта функция доступна в предварительной версии для служба хранилища Azure разрешений учетной записи. - Управление доступом к настраиваемым атрибутам - безопасности azure ABAC - Manage с помощью делегирования используйте настраиваемые атрибуты безопасности для точной авторизации динамического приложения. Назначьте настраиваемые атрибуты безопасности и используйте фильтры атрибутов (предварительная версия) для приложений в политиках условного доступа. - Управление настраиваемыми атрибутами безопасности приложения Динамические группы безопасности используют динамические группы безопасности для назначения доступа к ресурсам, поддерживающим группы идентификаторов Microsoft Entra для предоставления разрешений. К ним относятся группы ролей Microsoft 365, роли приложений для приложений Идентификатора Майкрософт, ролей Azure и назначений приложений. Политики условного доступа используют динамические группы и применяют уровни авторизации для пользователей с различными значениями атрибутов. - Правила - членства в динамических группах выдают утверждения из условий
`Advanced`4.7.2 Интеграция DAAS Access w/ SDS Policy Pt2 Организации DoD реализуют политику DAAS автоматически. Результат: - Политика DAAS на основе атрибутов, реализованная в автоматизированном режиме	APIMicrosoft Graph автоматизирует настройку политик условного доступа, настраиваемых атрибутов безопасности, динамических групп безопасности и других функций идентификатора Microsoft Entra с помощью API Microsoft Graph. - API удостоверений и доступа
`Advanced`4.7.3 Интеграция DAAS Access w/ SDS Policy Pt3 Недавно реализованные технологии SDS и (или) функциональные возможности интегрируются с политикой DAAS в режиме риска. При поэтапном подходе необходимо принять во время реализации, чтобы оценить результаты и соответствующим образом настроить их. Результаты: - SDS интегрирована с функциональностью политики DAAS. Все данные во всех приложениях защищены с помощью детальной политики DAAS на основе атрибутов.	приложения Microsoft Defender для облакаИнтеграция Microsoft Purview и приложений Defender для облака. Создайте политики файлов для принудительного применения автоматизированных процессов с помощью API поставщика облачных служб. - Интеграция политик файлов Information Protection -
`Target`4.7.4 Интегрируйте решения и политики с Корпоративным поставщиком pt1 DoD Organizations разрабатывает план интеграции с помощью политики и технологий и функций SDS с решением поставщика удостоверений предприятия (IdP). Результат. План интеграции между SDS и доверенным поставщиком удостоверений разработан для поддержки существующего доступа DAAS	Службы хранилища Microsoft Entra ID Microsoft 365, такие как SharePoint Online и OneDrive для бизнеса интегрированы с идентификатором Microsoft Entra. Настройте службы служба хранилища Azure для интеграции с идентификатором Microsoft Entra для авторизации на основе удостоверений запросов к службам BLOB-объектов, файлов, очередей и таблиц. - Microsoft Entra ID - Authorize служба хранилища Azure In the application gallery, интегрируйте более программно-определенные решения хранилища (SDS) с идентификатором Microsoft Entra ID. - Коллекция приложений
`Advanced`4.7.5 Интегрируйте решения и политики с Корпоративным поставщиком pt2 Недавно реализованные технологии SDS и (или) функциональные возможности интегрированы с поставщиком удостоверений предприятия (IdP) после плана интеграции. Атрибуты удостоверений, необходимые для удовлетворения функциональных возможностей ZT Target, необходимы для интеграции. Результат. — Полная интеграция с инструментами Enterprise IDP и SDS для поддержки доступа ко всем атрибутам на основе точного доступа DAAS	Выполните действия 4.7.1 и 4.7.4.
`Advanced`4.7.6 Реализация средства SDS и (или) интеграция с инструментом DRM Pt1 В зависимости от необходимости средства программного хранения новое решение реализуется или существующее решение определяется с требованиями к функциональным возможностям для интеграции с решениями защиты от потери данных, DRM/Protection и машинного обучения. Результат. — Если требуется инструмент, убедитесь, что поддерживаются интеграции с средствами защиты от потери данных, DRM и МАШИНного обучения.	Microsoft Purview Защита информации Microsoft Purview функции управления цифровыми правами (DRM) и Защита от потери данных Microsoft Purview (DLP) интегрируются изначально с клиентами Office и службами Microsoft 365. Интеграции являются встроенными и не требуют дополнительного развертывания. - Обзор Purview используйте пакет SDK Microsoft Information Protection (пакет SDK MIP) для создания пользовательских средств для применения меток и защиты к файлам. См. рекомендации Майкрософт в версии 4.4.2.
`Advanced`4.7.7 Реализация средства SDS и (или) интеграция с инструментом DRM Pt2 Организации DoD настраивают функциональные возможности SDS и (или) решение для интеграции с базовой инфраструктурой защиты от потери данных и drM/Protection в соответствии с соответствующими параметрами. Интеграция с более низким уровнем обеспечивает более эффективную защиту и реагирование. Результат. Интеграция инфраструктуры SDS с существующей инфраструктурой защиты от потери данных и аварийного восстановления	Microsoft 365 и Microsoft Purview Microsoft Purview защищают содержимое Microsoft 365 с помощью защиты от потери данных (DLP) и управления правами на доступ к данным (DRM) без дополнительной инфраструктуры. - Защита конфиденциальных данных

Следующие шаги

Настройте облачные службы Майкрософт для стратегии нулевого доверия DoD: