DoD Zero Trust-strategi för datapelaren

Den DoD Zero Trust-strategi och roadmap beskriver en väg för Department of Defense-komponenter och Försvars Industrial Base (DIB)-partner att anta ett nytt cybersäkerhetsramverk baserat på Zero Trust-principerna. Zero Trust eliminerar traditionella perimeterr och förtroendeantaganden, vilket möjliggör en effektivare arkitektur som förbättrar säkerhet, användarupplevelser och uppdragsprestanda.

Den här guiden innehåller rekommendationer för de 152 Zero Trust-aktiviteterna i DoD:s Zero Trust-förmågeutförande-översiktsplan. Avsnitten motsvarar de sju pelarna i DoD-Zero Trust modellen.

Använd följande länkar för att gå till avsnitt i guiden.

4 data

Det här avsnittet innehåller Microsofts vägledning och rekommendationer för aktiviteter inom DoD Zero Trust i datapelaren. För att lära dig mer, se Skydda data med Zero Trust.

4.1 Riskanpassning för datakatalog

Microsoft Purview lösningar hjälper dig att identifiera, identifiera, styra, skydda och hantera data där de finns. Microsoft Purview innehåller tre för att identifiera objekt så att de kan klassificeras. Objekt kan klassificeras manuellt, av användare, via automatisk mönsterigenkänning, som med typer av känslig information och via maskininlärning.

Beskrivning och resultat för DoD-aktivitet Vägledning och rekommendationer från Microsoft

Target 4.1.1 Dataanalys
DoD-organisationer uppdaterar tjänst- och programkatalogerna med dataklassificeringar. Datataggar läggs också till i varje tjänst och program.

Resultat:
– Tjänstkatalogen uppdateras med datatyper för varje program och tjänst baserat på dataklassificeringsnivåer Microsoft Purview
Visa typer av känslig information i Microsoft Purview efterlevnadsportalen och definiera anpassade, typer av känslig information.
- Anpassade typer av känslig information i Purview-efterlevnadsportalen

Använd Purview-innehållsutforskaren eller aktivitetsutforskaren för att visa en ögonblicksbild av märkt Microsoft 365 innehåll och visa associerade användaraktiviteter.
- Content explorer
- Activity explorer

Microsoft Defender for Cloud Apps
Integrera Microsoft Purview Information Protection att tillämpa känslighetsetiketter på data som matchar principer. Undersöka potentiell exponering av känsliga data i molnprogram.
- Integrate Information Protection

Microsoft Purview Data Catalog
Browse purview-Data Catalog för att utforska data i din dataegendom.
- Purview Data Catalog

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Target` 4.1.1 Dataanalys DoD-organisationer uppdaterar tjänst- och programkatalogerna med dataklassificeringar. Datataggar läggs också till i varje tjänst och program. Resultat: – Tjänstkatalogen uppdateras med datatyper för varje program och tjänst baserat på dataklassificeringsnivåer	Microsoft Purview Visa typer av känslig information i Microsoft Purview efterlevnadsportalen och definiera anpassade, typer av känslig information. - Anpassade typer av känslig information i Purview-efterlevnadsportalen Använd Purview-innehållsutforskaren eller aktivitetsutforskaren för att visa en ögonblicksbild av märkt Microsoft 365 innehåll och visa associerade användaraktiviteter. - Content explorer - Activity explorer Microsoft Defender for Cloud Apps Integrera Microsoft Purview Information Protection att tillämpa känslighetsetiketter på data som matchar principer. Undersöka potentiell exponering av känsliga data i molnprogram. - Integrate Information Protection Microsoft Purview Data Catalog Browse purview-Data Catalog för att utforska data i din dataegendom. - Purview Data Catalog

4.2 DoD-företagsdatastyrning

Microsoft Purview Information Protection använder känslighetsetiketter. Du kan skapa känslighetsetiketter som är relevanta för din organisation, styra vilka etiketter som är synliga för användare och definiera etikettomfånget. Omfångsetiketter för filer, e-postmeddelanden, möten, Microsoft Teams, SharePoint webbplatser med mera. Etiketter skyddar innehåll med kryptering, begränsar extern delning och förhindrar dataförlust.

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Target` 4.2.1 Definiera standarder för datataggningDoD Enterprise samarbetar med organisationer för att upprätta datataggnings- och klassificeringsstandarder baserat på branschens bästa praxis. Klassificeringar överenskoms och implementeras i processer. Taggar identifieras som manuella och automatiserade för framtida aktiviteter. Resultat: – Standarder för klassificering och taggning av företagsdata utvecklas – Organisationer anpassar sig till företagsstandarder och påbörjar implementeringen	Microsoft Purview Skapa och publicera känslighetsetiketter i Microsoft Purview, enligt datataggningsstandarder definierar du. - Känslighetsetiketter och principer - Känslighetsetiketter i Microsoft 365
`Target` 4.2.2 Samverkansstandarder DoD Enterprise som samarbetar med organisationerna utvecklar interoperabilitetsstandarder som integrerar obligatoriska DRM- och skyddslösningar (Data Rights Management) med nödvändiga tekniker för att aktivera ZT-målfunktioner. Resultat: – Formella standarder finns på plats av företaget för lämpliga datastandarder	Azure Rights ManagementAnvänd Azure RMS för data rights management (DRM) och skyddskompatibilitet mellan DoD-entiteter som samarbetar med Microsoft 365 services.Azure RMSAppar som stöder känslighetsetiketter
`Target` 4.2.3 Utveckla princip för programvarudefinierad lagring (SDS) DoD-företaget som arbetar med organisationer upprättar en SDS-princip (Software Define Storage) och standarder baserat på branschens bästa praxis. DoD-organisationer utvärderar den aktuella strategin och tekniken för datalagring för implementering av SDS. Vid behov identifieras lagringsteknik för SDS-implementering. Resultat: – Fastställa behovet av SDS-verktygsimplementering – Princip för SDS skapas på företags- och organisationsnivå	SharePoint Online Använd SharePoint Online och OneDrive for Business som en SDS-lösning (Standard Interoperable Software Design Storage). Begränsa åtkomsten till känsliga SharePoint onlinewebbplatser och innehåll med principer för begränsning av webbplatsåtkomst. Förhindra gäståtkomst till filer medan regler för dataförlustskydd (DLP) tillämpas. - Begränsa webbplatsåtkomst till gruppmedlemmar - Förbered gäståtkomst till filer med DLP-regler - Säkerhetsgästdelning Microsoft Defender for Cloud Apps Använda Defender för molnappar för att blockera åtkomst till obehöriga molnlagringstjänster. - Govern identifierade appar

4.3 Dataetiketter och taggning

Microsoft Purview Information Protection klassificerar data automatiskt baserat på typer av känslig information som du definierar. Principer för etikettering på tjänst- och klientsidan säkerställer att Microsoft 365 innehåll som skapats av användarna är märkt och skyddat.

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Target` 4.3.1 Implementera datataggning och klassificeringsverktyg DoD-organisationer använder företagets standard och krav för att implementera datataggning och klassificeringslösningar. Organisationer ser till att framtida ML- och AI-integreringar stöds av lösningar via DoD Enterprise-krav. Outcomes: – Krav på dataklassificering och taggning verktyg måste omfatta integrering och/eller stöd för Machine Learning (ML) – Dataklassificerings- och taggningsverktyg implementeras på organisations- och företagsnivå	Microsoft Purview Information Protection Använd Microsoft Purview Information Protection för att klassificera data baserat på typer av känslig information och klassificerare som tränats av maskininlärning (ML). - Känsliga data och Purview - Label-principer
`Target` 4.3.2 Manuell datataggning Pt1 Med hjälp av doD-företagsdatataggning och klassificeringsprinciper och standarder börjar manuell taggning använda grundläggande datanivåattribut för att uppfylla ZT-målfunktioner. Resultat: – Manuell datataggning börjar på företagsnivå med grundläggande attribut	Microsoft Purview Skapa och publicera känslighetsetiketter i Microsoft Purview, enligt datataggningsstandarder som du definierar. See Microsoft-vägledning i 4.2.1.. Konfigurera en etikettprincip för att kräva att användarna tillämpar känslighetsetiketter på e-postmeddelanden och dokument. - Användare använder etiketter för e-post och dokument
`Advanced` 4.3.3 Manuell datataggning Pt2 DoD-organisationsspecifika datanivåattribut integreras i den manuella datataggningsprocessen. DoD-företag och organisationer samarbetar för att avgöra vilka attribut som krävs för att uppfylla ZTA-avancerade funktioner. Datanivåattribut för ZTA-avancerade funktioner standardiseras i hela företaget och införlivas. Resultat: – Manuell datataggning utökas till program-/organisationsnivåerna med specifika attribut	Microsoft Purview Visa typer av känslig information i Microsoft Purview efterlevnadsportalen. Definiera anpassade typer av känslig information efter behov. Se Microsofts vägledning i 4.1.1.
`Advanced` 4.3.4 Automatiserad datataggning och stöd för Pt1 DoD-organisationer använder dataförlustskydd, rättighetshantering och/eller skyddslösningar för att utföra genomsökning av datalagringsplatser. Standardiserade taggar tillämpas på datalagringsplatser och datatyper som stöds. Datalagringsplatser och typer som inte stöds identifieras. Resultat: – Grundläggande automatisering börjar med att genomsöka datalagringsplatser och tillämpa taggar	Microsoft Purview Information Protection Konfigurera etiketter på klientsidan för filer och e-postmeddelanden som skapats i Microsoft Office-appar. - Autolabeling för Office-appar Konfigurera etiketter på tjänstsidan för innehåll som lagras i Office 365. - Automatiska etikettningsregler för SharePoint, OneDrive och Exchange Applicera känslighetsetiketter på behållare: Microsoft Teams-webbplatser, Microsoft 365-grupper och SharePoint-webbplatser. - Känslighetsetiketter för Teams, Microsoft 365, grupper och SharePoint-webbplatser För att hitta dokument och e-postmeddelanden i din miljö, sök efter värden som matchar definierade känsliga informationstyper. - Datamatchning av känsliga informationstyper Använd dokumentfingeravtryck för att hitta och märka innehåll som matchar dokumentmallar och standardformulär. - Dokumentfingeravtryck Microsoft Purview Registrera datakällor, genomsök, mata in och klassificera data i Microsoft Purview-styrportalen. - Datakällor i Purview - Genomsökningar och datainmatning - Dataklassificering Microsoft Defender för Cloud Apps Integrera Purview Information Protection med Defender för Cloud Apps för att tillämpa känslighetsetiketter automatiskt, framtvinga krypteringsprinciper och förhindra dataförlust. - Integrera Information Protection - Applicera känslighetsetiketter - Inspektion av DLP-innehåll
`Advanced` 4.3.5 Automatiserad datataggning och stöd för Pt2 Återstående datalagringsplatser som stöds har grundläggande och utökade datataggar som tillämpas med hjälp av maskininlärning och artificiell intelligens. Utökade datataggar tillämpas på befintliga lagringsplatser. Datalagringsplatser och datatyper som inte stöds utvärderas för inaktivering med hjälp av en riskbaserad metodisk metod. Godkända undantag använder manuella datataggningsmetoder med dataägare och/eller vårdnadshavare för att hantera taggning. Resultat: – Fullständig automatisering av datataggning har slutförts – Resultat av datataggning matas in i ML-algoritmer.	Microsoft Purview Information Protection Trainable-klassificerare i Purview hjälper dig att identifiera innehåll med hjälp av maskininlärning (ML). Skapa och träna klassificerare med mänskligt plockade och positivt matchade exempel. - Träningsbara klassificerare

4.4 Dataövervakning och avkänning

Microsoft Purview principer för dataförlustskydd (DLP) hindrar data från att lämna din organisation. Du kan tillämpa DLP-principer på vilande data, som används och är i rörelse. DLP-principer tillämpas där data finns i molntjänster, lokala filresurser, även på Windows- och macOS-enheter.

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Target` 4.4.1 Loggning och analys av DLP-tillämpningspunkterDoD-organisationer identifierar tvingande punkter för dataförlustskydd (DLP), till exempel specifika tjänster och användarslutpunkter. Med hjälp av den etablerade doD Enterprise-standarden för cybersäkerhetsincidenter ser DoD-organisationer till att rätt information om data samlas in. Dessutom utvecklas användningsfall för skydd, identifiering och svar för att bättre beskriva lösningstäckningen. Resultat: - Tvingande punkter identifieras – Standardiserat loggningsschema tillämpas på företags- och organisationsnivå	Microsoft Purview Dataförlustskydd Skapa DLP-principer inom Purview-efterlevnadspolicy. Tillämpa DLP för Microsoft 365-applikationer, Windows och macOS-slutpunkter, samt molnappar som inte kommer från Microsoft. - Plan för DLP - Designa DLP-policy - Revisionsloggaktiviteter - Office 365 API-schema för hanteringsaktivitet Microsoft Defender for Cloud Apps Integrera Purview Information Protection med Defender for Cloud Apps för att tillämpa känslighetsetiketter automatiskt, tillämpa krypteringspolicyer och förhindra dataförlust. Se Microsofts vägledning i 4.3.4.
`Target` 4.4.2 Loggning och analys av DRM-tillämpningspunkter DoD-organisationer identifierar tillämpningspunkter för hantering av data-rättigheter (DRM), som specifika tjänster och användarslutpunkter. Med hjälp av den etablerade doD Enterprise-standarden för cybersäkerhetsincidenter ser DoD-organisationer till att rätt information om data samlas in. Dessutom utvecklas användningsfall för skydd, identifiering och svar för att bättre beskriva lösningstäckningen. Resultat: - Tvingande punkter identifieras – Standardiserat loggningsschema tillämpas på företags- och organisationsnivå	Microsoft Purview Information ProtectionPurview data rights management (DRM) tillämpningspunkter omfattar Microsoft 365 och tredjepartsapplikationer och tjänster som är integrerade med Microsoft Information Protection (MIP) SDK, onlineappar och avancerade klienter.Skydda känslig dataBegränsa åtkomst till innehåll med hjälp av känslighetsetiketterMIP SDKKryptering i Microsoft 365Microsoft Defender for Cloud AppsIntegrera Purview Information Protection med Defender for Cloud Apps för att automatiskt tillämpa känslighetsetiketter, tillämpa krypteringspolicyer och förhindra dataförlust.Se Microsoft-vägledning i 4.3.4.
`Target` 4.4.3 Övervakning av filaktivitet Pt1 DoD-organisationer använder verktyg för filövervakning för att övervaka de mest kritiska dataklassificeringsnivåerna i program, tjänster och lagringsplatser. Analys från övervakning matas in i SIEM med grundläggande dataattribut för att uppnå ZT Target-funktioner. Resultat: - Data och filer med kritisk klassificering övervakas aktivt – Grundläggande integrering är på plats med övervakningssystem som SIEM	Microsoft Purview dataförlustskydd DLP-aviseringar visas i Microsoft Defender XDR. Filaktivitet om skapande, etikettering, utskrift och delning finns i den enhetliga granskningsloggen, och i aktivitetsutforskaren i Microsoft Purview efterlevnadsportalen. - DLP-aviseringar - Aktivitetsutforskare - Exportera, konfigurera och visa granskningsloggposter Microsoft Defender XDR och Microsoft Sentinel Integrera Microsoft Defender XDR med Sentinel för att visa och undersöka aviseringar om dataförlustskydd (DLP) i ett system för hantering av säkerhetsincidenter och evenemang (SIEM). - Integrera SIEM-verktyg - Information Protection-anslutningsapp för Sentinel - Anslut Defender XDR-data till Sentinel - DLP-undersökningar
`Target` 4.4.4 Övervakning av filaktivitet Pt2 DoD-organisationer använder filövervakningsverktyg för att övervaka alla regelskyddade data (t.ex. CUI, PII, PHI osv.) i program, tjänster och lagringsplatser. Utökad integrering används för att skicka data till lämpliga inter-/intra-pillar-lösningar som Data Loss Prevention, Data Rights Management/Protection och User & Entity Behavior Analytics. Resultat: - Data och filer för alla reglerade klassificeringar övervakas aktivt – Utökade integreringar är på plats efter behov för att ytterligare hantera risker	Microsoft Sentinel Fastställ vilka nödvändiga känslighetsetiketter och konfigurera anpassade Sentinel-analysregler. Skapa en incident när DLP-aviseringar utlöses för kritiska filhändelser. Viktiga filhändelser omfattar identifiering av känslig information, principöverträdelser och annan misstänkt aktivitet. - Anpassade analysregler för att identifiera hot - Hotsvar med spelböcker
`Advanced` 4.4.5 Övervakning av databasaktivitetDoD-organisationer skaffar, implementerar och använder Databasövervakarens lösningar för att övervaka alla databaser som innehåller reglerade datatyper (CUI, PII, PHI osv.). Loggar och analyser från databasövervakningslösningen matas till SIEM för övervakning och svar. Analyser matas in i aktiviteter mellan pelare som "Företagssäkerhetsprofil" och "Realtidsåtkomst" för bättre direkt beslutsfattande. Outcomes: - Lämplig databas övervakas aktivt - Övervakningstekniken är integrerad med lösningar som SIEM, PDP och dynamiska Access Control mekanismer	Microsoft Defender för SQL Defender för SQL skyddar databaser i Azure och andra moln. - Defender för SQL - Säkerhetsaviseringar Microsoft Sentinel Anslut Microsoft Defender för Cloud och Microsoft Defender XDR-datakopplingar till Sentinel. - Anslutna aviseringar från Defender för Cloud till Sentinel - Anslut Defender XDR till Sentinel Villkorlig åtkomst Kräv autentiseringskontext för känsliga SharePoint-sajter och skydda inloggning för Azure SQL-databasen med hjälp av villkorlig åtkomst. - Känslighetsetiketter - Autentiseringskontext - Villkorlig åtkomst med Azure SQL Database och Azure Synapse Analytics
`Advanced` 4.4.6 Omfattande övervakning av dataaktivitetDoD-organisationer utökar övervakningen av datalagringsplatser, inklusive databaser efter behov baserat på en metodisk riskmetod. Ytterligare dataattribut för att uppfylla ZT Advanced-funktionerna är integrerade i analysen för ytterligare integreringar. Resultat:- för dataaktivitet är integrerade för att ge en enhetlig vy över övervakning över datalagringsplatser – Lämpliga integreringar finns med lösningar som SIEM och PDP	Microsoft Graph API Använd Microsoft Graph aktivitetsloggar för en spårningslogg med begäranden som tagits emot av Microsoft Graph-tjänsten och bearbetats av klientorganisationen. - Aktivitetsloggar Microsoft Purview Datakarta Konfigurera Purview-datakarta för att söka efter känsliga filer i organisationens dataegendom. - Hantera datakällor Microsoft Sentinel För att integrera med ett SIEM-system (säkerhetsinformation och händelsehantering), konfigurera Sentinel-dataanslutningar för Microsoft Defender for Cloud, Microsoft Defender XDR och Purview. Se Microsofts vägledning i 4.4.5. Conditional Access Upptäckter av ovanlig filåtkomst, som hittats av Microsoft Defender XDR, höjer användarrisknivån. Användarrisk är ett villkor i villkorsstyrd åtkomst, principbeslutspunkten (PDP) för Microsoft Entra ID. Definiera en autentiseringskontext för villkorsstyrd åtkomst med användarriskvillkoret ingen risk. Skydda etiketterade SharePoint-webbplatser; kräv autentiseringskontext för villkorsstyrd åtkomst. - Riskdetektering - Ovanlig filåtkomst - Exempel på autentiseringskontext

4.5 Datakryptering och rättighetshantering

Microsoft 365-tjänster krypterar vilande data och under överföring. Microsoft Purview begränsar åtkomsten till innehåll enligt krypteringsprincipen för känslighetsetiketter. Purview uppnår målet med ett annat krypteringslager för e-post och filer.

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Target` 4.5.1 Implementera DRM- och skyddsverktyg Pt1 DoD-organisationer skaffar och implementerar DRM- och skyddslösningar efter behov enligt DoD Enterprise-standarden och kraven. Nyligen implementerade DRM- och skyddslösningar implementeras med datalagringsplatser med hög risk med ZTA-målnivåskydd. Resultat: - DRM och skyddsverktyg är aktiverade för datalagringsplatser med hög risk med grundläggande skydd	Microsoft 365 kryptering Microsoft 365 har baslinje och kryptering på volymnivå med Windows-säkerhetsfunktionen BitLocker och DKM (Distributed Key Manager). - Förstå kryptering Microsoft Purview Använda etikettprinciper för att automatiskt tillämpa mer kryptering för högriskdata i Microsoft 365, baserat på känslighetsetikett. - Begränsa innehållsåtkomst med känslighetsetiketter - E-postkryptering i Microsoft 365 Microsoft Defender for Cloud Apps Integrera Microsoft Purview Information Protection med Defender för Molnappar för att tillämpa känslighetsetiketter automatiskt, tillämpa krypteringsprinciper och förhindra dataförlust. Se Microsoft Vägledning i 4.3.4. Azure Policy Använd Azure Policy för att kräva en säker TLS-version (Transport Layer Security), implementera Transparent Data Encryption (TDE) och kräva det med kundhanterade nycklar för att kryptera data när det är vilande. - Azure Policy definitioner för Azure SQL databas och SQL Managed Instance
`Target` 4.5.2 Implementera DRM- och skyddsverktyg Pt2 DRM- och skyddstäckningen utökas för att omfatta alla datalager inom omfattning. Krypteringsnycklar hanteras automatiskt för att uppfylla bästa praxis (t.ex. FIPS). Utökade dataskyddsattribut implementeras baserat på miljöklassificeringen. Resultat: - DRM och skyddsverktyg är aktiverade för alla möjliga lagringsplatser	Azure Key Vault Använd Azure Key Vault hanterad maskinvarusäkerhetsmodul (Azure Key Vault HSM) för att skydda krypteringsnycklar för program med FIPS 140-2 nivå 3 validerade maskinvarusäkerhetsmoduler. - Azure Key Vault Hanterad HSM Microsoft Purview Kundnyckel Microsoft 365 erbjuder ett krypteringslager för ditt innehåll med Kundnyckel. - Tjänst kryptering Azure Information Protection klientnyckel Azure Information Protection stöder Microsoft-genererade klientrotnycklar och BYOK (Bring Your Own Key). - Klientnyckel - Dubbelnyckelkryptering - BYOK
`Target` 4.5.3 DRM-tillämpning via datataggar och analys pt1 Data rights management (DRM) och skyddslösningar är integrerade med grundläggande datataggar som definieras av DoD Enterprise-standarden. Initiala datalagringsplatser övervakas och har skydd och svarsåtgärder aktiverade. Vilande data krypteras i lagringsplatser. Resultat: - Datataggar är integrerade med DRM och övervakade lagringsplatser expanderas – Baserat på datataggar krypteras data i vila	Microsoft Purview Information ProtectionAnvänd etikettprinciper för att tillämpa mer kryptering automatiskt för högriskdata i Microsoft 365, baserat på känslighetsetiketter.Begränsa innehållsåtkomst med känslighetsetiketterMicrosoft 365-krypteringMicrosoft 365 har baslinje kryptering på volymnivå med BitLocker och DKM (Distributed Key Manager).Se Microsoft-vägledning i 4.5.1.
`Advanced` 4.5.4 DRM-tillämpning via datataggar och analys Pt2 Utökade datalagringsplatser skyddas med DRM- och skyddslösningar. DoD-organisationer implementerar utökade datataggar som gäller för organisationer jämfört med uppdragsföretagen. Data krypteras i utökade lagringsplatser med hjälp av ytterligare taggar. Resultat: – Alla tillämpliga datalagringsplatser skyddas med DRM – Data krypteras med hjälp av utökade datataggar från organisationsnivåerna	Azure kryptering Azure använder kryptering för vilande data och under överföring. - Azure kryptering Azure Policy Aktivera Azure Policy för att skydda Azure SQL-databaser Se Microsoft-vägledning 4.5.1. Villkorlig åtkomst Använd villkorliga åtkomstprinciper för användare som ansluter till Azure SQL. Se Microsoft-vägledning i 4.4.5.
`Advanced` 4.5.5 DRM-tillämpning via datataggar och analys pt3 DRM- och skyddslösningar integreras med AI- och ML-verktyg för kryptering, rättighetshantering och skyddsfunktioner. Resultat: - Analys från ML/AI är integrerade med DRM för att bättre automatisera skydd – Krypteringsskydd är integrerat med AI/ML och uppdaterade krypteringsmetoder används efter behov	Microsoft Purview Information Protection Använd Microsoft Purview Information Protection för att klassificera data baserat på typer av känslig information och av klassificerare som tränats av maskininlärning (ML). Se Microsoft-vägledning i 4.3.5. Azure Machine Learning Azure Machine Learning och Azure OpenAI Service använder Azure Storage och Azure Compute-tjänster som krypterar data. - Datakryptering - Azure OpenAI-kryptering av data i vila Conditional Access Definiera autentiseringskontext med riskindikatorer från identitetsskydd. Kräv autentiseringskontext för etiketterade SharePoint webbplatser och anpassade program. - Authentication context See Microsoft-vägledning i 4.4.5.

4.6 Dataförlustskydd (DLP)

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Target` 4.6.1 Implementera tillämpningspunkter DLP-lösningen (Data Loss Prevention) distribueras till tillämpningspunkterna inom omfånget. DLP-lösningen är inställd på "endast övervakning" och/eller "inlärningsläge" som begränsar påverkan. DLP-lösningsresultat analyseras och principen finjusteras för att hantera risker till en acceptabel nivå. Resultat: – Identifierade tillämpningspunkter har DLP-verktyget installerat och inställt på övervakningsläge med standardiserad loggning	Microsoft Purview Data Loss Prevention Microsoft 365-applikationer och Windows-slutpunkter genomdriver DLP-policyer. Konfigurera principer i DLP-simuleringsläge. - Planera för DLP - DLP-simuleringsläge Skapa principer i DLP. Ange principtillstånd för att testa eller testa med principtips. Ange policys åtgärder till Endast granskning eller Blockera med åsidosättning. - DLP-principdistribution Introducera Windows 10, 11 och macOS-enheter till systemet för Slutpunktsdataförlustskydd (Endpoint DLP) - Endpoint DLP Distribuera Microsoft Purview Information Protection-skannern. Märka och tillämpa DLP-principer för innehåll i lokala SQL-databaser, filresurser, nätverksansluten lagring (NAS) och SharePoint Server-dokumentbibliotek.DLP lokala lagringsplatserInformation Protection-scannerMicrosoft Purview Data Loss Prevention. Integrera Microsoft Purview Information Protection med Defender för Cloud Apps för att automatiskt tillämpa känslighetsetiketter, framtvinga krypteringsprinciper och förhindra dataförlust.Se enligt Microsoft-vägledningen i 4.3.4. Conditional Access Kontrollera åtkomst till Office 365 och andra Microsoft Entra-integrerade program. Använd rapportläge för att övervaka resultatet innan du aktiverar principer med blockåtkomstbeviljande kontroll. - Skapa princip - Endast rapportläge - Sessionsprinciper: övervaka alla
`Target` 4.6.2 DLP-tillämpning via datataggar och analys Pt1 Lösningen för dataförlustskydd (DLP) uppdateras från läget övervaka endast till förebyggande läge. Grundläggande datataggar används för DLP-lösningen och loggningsschemat är integrerat. Resultat: - Tvingande punkter som ska anges för att förhindra att läget integrerar loggningsschemat och miljöklassificeringen för manuella taggar.	Microsoft Purview Dataförlustskydd Skapa DLP-Policyer i testläge. Ändra tillståndet till På för att aktivera tvingande läge. Om du anger principåtgärder till Block, användaraktivitet som utlöser DLP förhindras av policyn. - Åtgärder i DLP-principer JIT-skydd (just-in-time) kan användas för att framtvinga Endpoint DLP för filer som skapats på offlineenheter. - Offline-enheter Microsoft Defender for Cloud Apps Aktivera innehållsgranskning i Defender for Cloud Apps. - DLP innehållsgranskning Villkorlig åtkomst Efter testning aktiverar du principer för villkorsstyrd åtkomst som tillämpar sessionskontroller eller använd blockera åtkomstbeviljande kontroll. Undvik klientutelåsning genom att exkludera konton för nödåtkomst. - Konton för nödåtkomst Se Microsofts vägledning i 4.6.1.
`Advanced` 4.6.3 DLP-tillämpning via datataggar och analys Pt2 Lösningen för dataförlustskydd (DLP) uppdateras så att den innehåller utökade datataggar baserat på parallella Automation-aktiviteter. Resultat: – Säkerhetspunkter har utökade datataggattribut som tillämpas för ytterligare förebyggande åtgärder	Microsoft Purview Information Protection Define anpassade typer av känslig information. Skapa etiketter och principer för dataförlustskydd. Se Microsofts vägledning i 4.1.1.
`Advanced` 4.6.4 DLP-tillämpning via datataggar och analys Pt3 Lösningen för dataförlustskydd (DLP) är integrerad med automatiserade datataggningstekniker för att inkludera eventuella saknade tvingande punkter och taggar. Resultat: – Attribut för automatiserad taggning är integrerade med DLP och resulterande mått används för ML	Microsoft Purview Information ProtectionAnvänd Microsoft Purview Information Protection för att klassificera data, baserat på typer av känslig information och klassificerare som tränats av maskininlärning (ML).Se Microsoft-vägledning i 4.3.5.

4.7 Dataåtkomstkontroll

Microsoft 365 och Azure Storage tjänster är integrerade med Microsoft Entra ID för identitetsbaserad auktorisering. Microsoft Entra ID stöder rollbaserad åtkomstkontroll (RBAC) och attributbaserad åtkomstkontroll (ABAC).

Microsoft Entra roller och säkerhetsgrupper ger organisationer rollbaserad åtkomstkontroll. Dynamiska säkerhetsgrupper använder attribut som definierats för användar-, grupp- och enhetsobjekt för att definiera medlemskap, baserat på omfattande uttryck och regeluppsättningar.

Microsoft Entra ID attributbaserad åtkomstkontroll använder anpassade säkerhetsattribut, som är affärsspecifika attribut som du kan definiera och tilldela till Microsoft Entra objekt. Anpassade säkerhetsattribut lagrar känslig information. Åtkomst till att visa eller ändra anpassade säkerhetsattribut är begränsad till attributadministratörsroller.

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Target` 4.7.1 Integrera DAAS-åtkomst med SDS-princip Pt1 Med hjälp av DoD Enterprise SDS-principen utvecklas organisationens DAAS-princip med avsedd integrering i åtanke. SDS-implementeringsguiden har utvecklats av DoD-organisationer på grund av miljöspecifik karaktär. Resultat:- Attributbaserad detaljerad DAAS-princip har med stöd på företag- och organisationsnivå– SDS-integreringsplanen har utvecklats för att stödja DAAS-policyn	Microsoft Entra ID Implementera attributbaserade policies för data, tillgångar, applikationer och tjänster med Microsoft Entra ID, med mekanismer som Azure-attributbaserad åtkomstkontroll (Azure ABAC), anpassad säkerhetsattributfiltrering för applikationer och dynamiska säkerhetsgrupper. - Attributbaserade kontroller Anpassade säkerhetsattribut Definiera anpassade säkerhetsattribut och tilldela värde till användare. Konfigurera rolltilldelningsvillkor för Azure ABAC för Azure roller. För närvarande finns den här funktionen i förhandsversion för Azure Storage kontobehörigheter. - Azure ABAC - Hantera åtkomst till anpassade säkerhetsattribut - Hantera attribut med delegering Använd anpassade säkerhetsattribut för detaljerad dynamisk programauktorisering. Tilldela anpassade säkerhetsattribut och använd attributfilter (förhandsversion) för program i principer för villkorlig åtkomst. - Hantera anpassade säkerhetsattribut för appar Dynamic security groups Använd dynamiska säkerhetsgrupper för att tilldela åtkomst till resurser som stöder Microsoft Entra ID grupper för att bevilja behörigheter. Detta omfattar Microsoft 365-rollgrupper, approller för Microsoft Entra ID-applikationer, Azure-roller och applikationstilldelningar. Principer för villkorsstyrd åtkomst använder dynamiska grupper och tillämpar auktoriseringsnivåer för användare med olika attributvärden. - Regler - Generera anspråk från villkor
`Advanced` 4.7.2 Integrera DAAS-åtkomst med SDS-princip Pt2 DoD-organisationer implementerar DAAS-principen på ett automatiserat sätt. Resultat: - Attributbaserad detaljerad DAAS-princip implementerad på ett automatiserat sätt	Microsoft Graph API Automatera konfigurationen av principer för villkorsstyrd åtkomst, anpassade säkerhetsattribut, dynamiska säkerhetsgrupper och andra Microsoft Entra ID funktioner med hjälp av Microsoft Graph API.
`Advanced` 4.7.3 Integrera DAAS-åtkomst med SDS-princip Pt3 Nyligen implementerad SDS-teknik och/eller funktioner är integrerade med DAAS-principen på ett riskbaserat sätt. En stegvis metod bör vidtas under genomförandet för att mäta resultat och justera därefter. Resultat: - SDS är integrerat med DAAS-principfunktioner – Alla data i alla program skyddas med en attributbaserad detaljerad DAAS-princip.	Microsoft Defender for Cloud Apps Integrera Microsoft Purview och Defender för Cloud Apps. Skapa filprinciper för att tillämpa automatiserade processer med api:er för molnleverantörer. - Integrera Informationsskydd - Filprinciper
`Target` 4.7.4 Integrera lösningar och principer med Enterprise IDP Pt1 DoD-organisationer utvecklar en integrationsplan med hjälp av SDS-principen och teknik/funktioner med IdP-lösningen (Enterprise Identity Provider). Resultat: - Integrationsplan mellan SDS och auktoritativ identitetsprovider har utvecklats för att stödja befintlig DAAS-åtkomst	Microsoft Entra ID Microsoft 365 lagringstjänster som SharePoint Online och OneDrive for Business är integrerade med Microsoft Entra ID. Konfigurera Azure Storage tjänster för integrering med Microsoft Entra ID för identitetsbaserad auktorisering av begäranden till blob-, fil-, kö- och tabelltjänster. - Microsoft Entra ID - Authorize Azure Storage I programgalleriet integrerar du fler SDS-lösningar (Software Defined Storage) med Microsoft Entra ID. - Application gallery
`Advanced` 4.7.5 Integrera lösningar och principer med Enterprise IDP Pt2 Nyligen implementerad SDS-teknik och/eller funktioner är integrerade med Enterprise Identity Provider (IdP) efter integrationsplanen. Identitetsattribut som krävs för att uppfylla ZT Target-funktioner krävs för integrering. Resultat: – Fullständig integrering med Enterprise IDP- och SDS-verktyg för att stödja all attributbaserad detaljerad DAAS-åtkomst	Slutför aktiviteterna 4.7.1 och 4.7.4.
`Advanced` 4.7.6 Implementera SDS-verktyget och/eller integrera med DRM Tool Pt1 Beroende på behovet av ett programvarudefinierat lagringsverktyg implementeras en ny lösning eller så identifieras en befintlig lösning som uppfyller funktionskraven som ska integreras med DLP-, DRM/Protection- och ML-lösningar. Resultat: – Om verktyg behövs kontrollerar du att det finns integreringar som stöds med DLP-, DRM- och ML-verktyg	Microsoft Purview Microsoft Purview Information Protection digital rights management (DRM) och Microsoft Purview DLP-funktioner (Data Loss Prevention) integreras internt med Office-klienter och Microsoft 365 Tjänster. Integreringar är inbyggda och kräver inte mer distribution. - Purview-översikt Använda Microsoft Information Protection SDK (MIP SDK) för att skapa anpassade verktyg för att tillämpa etiketter och skydd på files. See Microsoft-vägledning i 4.4.2.
`Advanced` 4.7.7 Implementera SDS-verktyget och/eller integrera med DRM Tool Pt2 DoD-organisationer konfigurerar SDS-funktionerna och/eller lösningen så att de integreras med den underliggande DLP- och DRM/Protection-infrastrukturen efter behov. Integreringar på lägre nivå möjliggör effektivare skydd och svar. Resultat: – Integrera SDS-infrastruktur med befintlig DLP- och DRM-infrastruktur	Microsoft 365 och Microsoft Purview Microsoft Purview skyddar Microsoft 365 innehåll med dataförlustskydd (DLP) och data rights management (DRM) utan mer infrastruktur. - Skydda känsliga data

Nästa steg

Konfigurera Microsofts molntjänster för DoD Zero Trust-strategin:

Feedback

Var den här sidan till hjälp?

Last updated on 2026-03-26