Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Abschnitt enthält Microsoft Anleitungen und Empfehlungen für das CISA Zero Trust Reifegradmodell in der Datensäule. Weitere Informationen finden Sie unter Secure data with Zero Trust. Die Cybersecurity & Infrastructure Security Agency (CISA) Definition von Daten umfasst alle strukturierten und unstrukturierten Dateien und Fragmente, die sich in föderalen Systemen, Geräten, Netzwerken, Anwendungen, Datenbanken, Infrastruktur und Sicherungen befinden oder befanden. Die Definition umfasst lokale und virtuelle Umgebungen, auch die zugehörigen Metadaten.
5 Daten
Schützen Sie Unternehmensdaten auf Geräten, in Anwendungen und in Netzwerken gemäß den Bundesanforderungen. Bewahren Sie ein Inventar von Daten auf, kategorisieren und bezeichnen Sie sie. Schützen Sie Daten im Ruhezustand, während der Übertragung und bei der Nutzung. Stellen Sie Mechanismen zum Erkennen und Beenden der Datenexfiltration bereit. Erstellen und überprüfen Sie Richtlinien für Data-Governance, um sicherzustellen, dass die Lebenszyklen von Daten im gesamten Unternehmen durchgesetzt werden.
Verwenden Sie die folgenden Links, um zu Abschnitten des Leitfadens zu wechseln.
5.1 Funktion: Datenbestandsverwaltung
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft Anleitungen und Empfehlungen |
|---|---|
|
Anfangsmaturitätsstatus Enterprise beginnt, Dateninventarprozesse sowohl für lokale als auch für Cloud-Umgebungen zu automatisieren, wobei die meisten Unternehmensdaten abgedeckt werden, sowie Schutzmaßnahmen gegen Datenverlust eingeführt werden. |
Microsoft Purview Information Protection Daten basierend auf vertraulichen Informationstypen klassifizieren. - Sensible Daten und Purview - Bezeichnungsrichtlinien Definition und Anwendung von Container-Vertraulichkeitsbezeichnungen: Microsoft Teams-Sites, Microsoft 365-Gruppen und Microsoft SharePoint-Sites. Vertraulichkeitskennzeichnungen Microsoft Purview Daten-Governance Nutzen von Purview Governance-Lösungen für automatisierte Scans von lokalen, Multi-Cloud- und Software-as-a-Service (SaaS)-Datenquellen. Microsoft Purview Microsoft Purview Datenauswertungen Stakeholder aus dem Bereich der Verwaltung nutzen diese Funktion für die Datenverwaltung, Compliance und für Datenverwendungsrollen, wie z. B. den Chief Data Officer. Nutzen von Insights zu Datenspeicher, Katalognutzung, Adaption und Prozessen. Insights-Berichte, -Bestand und -Eigentum Microsoft Purview Endpoint Data Loss Prevention Überwachen von Maßnahmen, die für vertrauliche Daten ergriffen wurden, und helfen, unbeabsichtigte gemeinsame Nutzung zu verhindern. Geräteliste, Gerätestatus |
|
Fortgeschrittener Datenentwicklungsstatus Unternehmen automatisiert den Bestand und die Verfolgung von Daten im gesamten Unternehmen und deckt dabei alle anwendbaren Unternehmensdaten ab, mit Strategien zur Data Loss Prevention auf der Grundlage statischer Attribute und/oder Kennzeichnungen. |
Microsoft Purview Typen vertraulicher Informationen Überprüfen und definieren Sie angepasste, sensible Informationstypen im Purview-Compliance-Portal. Verwenden Sie Klassifizierer, die von maschinellem Lernen (ML) trainiert werden. - Benutzerdefinierte vertrauliche Informationstypen - Trainierbare Klassifikatoren Microsoft Purview Content Explorer Im Content Explorer und/oder Aktivitäts-Explorer Microsoft 365-Inhalte und zugehörige Benutzeraktivitäten anzeigen. - Content explorer - Activity explorer Microsoft Purview Vertraulichkeitsbezeichnungen Erstellen und Veröffentlichen von Vertraulichkeitsbezeichnungen gemäß Ihren Datenbezeichnungsstandards. - Empfindlichkeitsbezeichnungen und -richtlinie - Labels in Microsoft 365 Microsoft Purview Data Loss Prevention Erstellen und veröffentlichen Sie DLP-Richtlinien basierend auf Labels. Verhindern Sie beispielsweise, dass Inhalte mit der Bezeichnung "Nur intern" oder "Vertraulich" extern freigegeben werden. Kontext und andere Arten von sensiblen Informationen einbeziehen. Datenverlustverhütung Microsoft Purview Endpoint Datenverlustprävention Aktionen für sensible Elemente überwachen und unbeabsichtigtes Teilen verhindern. Geräteliste, Gerätestatus |
|
Optimaler Reifegradstatus Enterprise erfasst kontinuierlich alle anwendbaren Unternehmensdaten und setzt robuste Strategien zur Verhinderung von Datenverlust ein, die verdächtige Datenexfiltration dynamisch blockieren. |
Microsoft Purview Inhalts-Explorer Verwenden Sie die PowerShell des Inhalts-Explorers, um Bestandsinformationen über Ihre sensiblen Inhalte zu exportieren. Verwenden einer Sicherheitsinformations- und Ereignisverwaltungs-App (SIEM) oder andere Analysetools, um Berichte über zu schützende Datentypen zu erstellen. Inhalts-Explorer PowerShell Microsoft Purview Information Protection Konfigurieren von clientseitigen Etiketten für Dateien und E-Mails, die in Microsoft Office-Anwendungen erstellt wurden. Autolabeling für Office-Apps Konfigurieren von dienstseitigen Etiketten für in Microsoft 365 gespeicherte Inhalte. Autolabeling in SharePoint, OneDrive und Exchange Um in Ihrer Umgebung Dokumente und E-Mails mit vertraulichen Daten wie z. B. persönlich identifizierenden Informationen (PII) von Mitarbeitern zu finden, scannen Sie diese nach Daten, die mit bekannten Datenquellen übereinstimmen. Exakter Datenabgleich Nutzen Sie Dokument-Fingerprinting, um Inhalte zu finden und zu kennzeichnen, die mit hochsensiblen Dokumenten, Vorlagen und Formularen übereinstimmen. Dokument-Fingerprinting Microsoft Purview Data-Governance Registrieren Sie Datenquellen, scannen, binden und klassifizieren Sie Daten im Purview Governance-Portal. - Datenquellen - Scans und Erfassung - Datenklassifizierung - Unterstützte Quellen - Klassifizierung anwenden - Schutzrichtlinie für Azure - Schutzrichtlinien in Microsoft Fabric Microsoft Purview Data Loss Prevention Kontrollieren Sie, wie Daten geteilt werden, und ermöglichen Sie Aktionen, die Missbrauch verhindern. Sammeln Sie Fakten von Geräten und simulieren Sie die Richtlinie vor der Bereitstellung. - Schutzmaßnahmen - On-premises-Repositories - Beweise in Geräten sammeln - Vor der Bereitstellung simulieren Microsoft Purview Data Loss Prevention für Endpunkte Überwachen Sie die Maßnahmen, die für vertrauliche Daten ergriffen werden, und helfen Sie dabei, eine unbeabsichtigte gemeinsame Nutzung zu verhindern. Geräteliste, Gerätestatus Microsoft Purview Insider Risk Management Erstellen Sie Data Loss Prevention (DLP)-Richtlinien mit Insider-Risikomanagement Erkennung riskanter Benutzer für adaptiven Schutz. - Adaptiver Schutz - Microsoft Entra Conditional Access Microsoft Defender for Cloud Apps Ermöglichen Sie App-Governance in Defender for Cloud Apps, um die Konnektivität von Apps und den Zugriff auf Unternehmensdaten zu überwachen. App-Governance App-Kontrolle per bedingtem Zugriff Verwenden Sie die Reverse-Proxy-Architektur der App-Kontrolle, um den Zugriff auf Apps zu erzwingen, basierend auf definierten Bedingungen wie Benutzergruppen, Cloud-Apps und Netzwerkstandorten. Definierte Benutzer werden an Microsoft Defender for Cloud Apps weitergeleitet, um Zugriffs- und Sitzungssteuerelemente anzuwenden. - Sitzungssteuerung - App-Kontrolle |
5.2 Funktion: Datenkategorisierung
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft Anleitungen und Empfehlungen |
|---|---|
|
Initialer Reifegradstatus Enterprise beginnt mit der Implementierung einer Datenkategorisierungsstrategie mit definierten Bezeichnungen und manuellen Erzwingungsmechanismen. |
Microsoft Purview Information Protection Kategorisieren Sie Daten basierend auf sensiblen Informationstypen. - Sensible Daten - Beschriftungsrichtlinie - Kenne deine Daten Microsoft Purview-Datenverwaltung Registrieren Sie Datenquellen, scannen, aufnehmen und klassifizieren Sie Daten im Purview-Governance-Portal. Erkunden und verstehen Sie Ihre Daten. - Datenkatalog - Datenquellen - Scans und Einbinden - Datenklassifizierung - Unterstützte Datenquellen - Datenklassifizierung anwenden |
|
Fortgeschrittener Reifegrad Unternehmen automatisiert einige Prozesse zur Kategorisierung und Kennzeichnung von Daten auf konsistente, abgestufte und gezielte Weise mit einfachen, strukturierten Formaten und regelmäßiger Überprüfung. |
Microsoft Purview Information Protection Automatische Datenkategorisierung basierend auf vertraulichen Informationstypen und Klassifizierern, die von machine learning (ML) trainiert werden. - Sensible Daten - Bezeichnungsrichtlinie Clientseitige Bezeichnungen für Dateien und E-Mails, die in Microsoft Office-Anwendungen erstellt wurden. Autolabeling für Office-Apps Serviceseitige Bezeichnungen für Inhalte, die in Microsoft 365 gespeichert sind, konfigurieren. Autolabeling in SharePoint, OneDrive und Exchange Sensibilitätsbezeichnungen in Purview erstellen und veröffentlichen, gemäß den Unternehmensdaten-Bezeichnungsstandards. Konfigurieren Sie eine Richtlinie, die von Benutzern verlangt, dass sie erforderliche Vertraulichkeitsbezeichnungen auf E-Mails und Dokumente anwenden. Bezeichnungen anwenden Microsoft Purview Daten-Governance Registrieren von Datenquellen, Scannen, Erfassen und Klassifizieren von Daten im Purview-Governance-Portal. Erkunden und verstehen Sie Ihre Daten. - Datenkatalog - Datenquellen - Scans und Einbinden - Datenklassifizierung - Unterstützte Datenquellen - Datenklassifizierung anwenden |
|
Optimierter Reifegrad Enterprise automatisiert die unternehmensweite Datenkategorisierung und -beschriftung mit robusten Techniken, granularen und strukturierten Formaten sowie Mechanismen zur Bearbeitung aller Datentypen. |
Microsoft Purview Information Protection Review vertraulicher Informationstypen im Purview Compliance-Portal. Definieren sie benutzerdefinierte Typen vertraulicher Informationen. Erstellen Sie exakt übereinstimmende Typen vertraulicher Informationen, um Datenübereinstimmungen in bekannten Datenquellen zu erkennen. - Typen vertraulicher Informationen - Exakter Datenabgleich Nutzen Sie trainierbare Klassifizierer in Purview, um Inhalte mit maschinellem Lernen (ML) zu erkennen. Erstellen und trainieren Sie Klassifizierer mit von Menschen ausgewählten und positiv abgestimmten Beispielen. Trainierbare Klassifizierer Microsoft Purview Inhalts-Explorer Verwenden Sie Inhalts-Explorer-PowerShell-Cmdlets, um eine Liste sensibler Assets zu exportieren. Verwenden Sie eine SIEM-App (Security Information and Event Management) oder andere Berichterstellungstools für die Analyse. Stellen Sie fest, ob die Schutzstufen und der Speicherort-Zugriff mit den erkannten vertraulichen Daten übereinstimmen. Überprüfen Sie die Übereinstimmungen mit dem Typ vertraulicher Informationen im Inhalts-Explorer auf relevante Klassifizierer. Identifizieren Sie falsche Positivergebnisse und Negativergebnisse. Um Fehlklassifizierungen zu minimieren, passen Sie regelmäßig benutzerdefinierte Klassifizierer und trainierbare Klassifizierdefinitionen an. Content Explorer PowerShell Microsoft Purview Data Governance Datenquellen registrieren, Daten scannen, ingestieren und klassifizieren im Purview-Governance-Portal. Erkunden und verstehen Sie Ihre Daten. - Datenkatalog - Datenquellen - Scans und Einbinden - Datenklassifizierung - Unterstützte Datenquellen - Datenklassifizierung anwenden |
5.3 Funktion: Datenverfügbarkeit
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft Anleitungen und Empfehlungen |
|---|---|
|
Anfänglicher Reifegradstatus Enterprise stellt einige Daten aus redundanten, hochverfügbaren Datenspeichern (z. B. Cloud) zur Verfügung und verwaltet Off-Site-Sicherungen für lokale Daten. |
Microsoft Cloud services Microsoft Azure stellt hohe Verfügbarkeit und Redundanz mit Features wie geozonenredundanten Speicher (GZRS), zonenredundanten Speicher (ZRS) und Azure Site Recovery sicher. Diese Features replizieren Daten über Zonen und Regionen hinweg. Microsoft 365 verbessert die Datensicherheit und Compliance mit Datenresidenzrichtlinien, Datenaufbewahrungsprogrammen und Prozessen zur Behebung von Sicherheitslücken. Ermöglichen Sie zuverlässige und sichere Datenspeicherlösungen, und sorgen Sie dafür, dass Geschäftskontinuität und einhaltung gesetzlicher Vorschriften eingehalten werden. - Resilienz und Kontinuität - Datenresilienz in Microsoft 365 Microsoft Purview Data Lifecycle Management Verwenden Sie Data Lifecycle Management und Purview-Rekordverwaltung, um Datenkonformität oder regulatorische Anforderungen zu steuern. Data Lifecycle Management Microsoft OneDrive, Microsoft SharePoint Nutzen Sie die Plattformen für die Off-Site-Sicherung und Datenfreigabe. Einrichten von OneDrive Azure Backup Verwenden Sie Azure Blob Storage für redundanten und hochverfügbaren Datenspeicher. Sichern Sie on-premises Ressourcen in der Cloud. Georedundanzoptionen stellen sicher, dass Daten regionsübergreifend repliziert werden. Azure Backup Microsoft Purview-Datengovernance Datenquellen registrieren, scannen, aufnehmen und im Purview-Governanceportal klassifizieren. Erkunden und verstehen Sie Ihre Daten. - Datenkatalog - Datenquellen - Unterstützte Datenquellen Microsoft Purview Information Protection Verwenden Sie den Inhalts-Explorer und den Aktivitäts-Explorer, um identifizierte Microsoft 365-Inhalte und damit verbundene Aktivitäten der Benutzer anzuzeigen. - Inhalts-Explorer - Aktivitäts-Explorer |
|
Fortgeschrittener Reifegrad Unternehmen stellt in erster Linie Daten aus redundanten, hochverfügbaren Datenspeichern bereit und gewährleistet den Zugriff auf historische Daten. |
Microsoft Purview Data Governance Verwalten von Daten mit einem kigestützten und einheitlichen Ansatz. Verwenden Sie Datenkataloge, Linien und Klassifizierungen, um sicherzustellen, dass Daten, einschließlich historischer Daten, organisiert und zugänglich sind. - Datenlebenszyklusverwaltung - Datenkatalog - Datenquellen - Scans und Einbinden - Unterstützte Datenquellen Microsoft Purview Information Protection Verwenden Sie den Inhalts-Explorer und den Aktivitäts-Explorer, um identifizierte Microsoft 365-Inhalte und zugehörige Benutzeraktivitäten anzuzeigen. - Content explorer - Activity explorer Microsoft SharePoint Online Data wurde zu SharePoint Online migriert, und es ist der Standarddatenspeicherort, einschließlich historischer Daten, die für das gesamte Unternehmen freigegeben wurden. Aufbewahrungsrichtlinien erstrecken sich auch auf SharePoint Online-Daten. SharePoint und OneDrive in Microsoft 365 Microsoft Purview Data Catalog Nutzen Sie Purview Data Governance und Data Catalog, um vertrauliche strukturierte Daten-Assets zu inventarisieren und Data-Governance-Kontrollen zu definieren. Data-Governance-Erfahrung |
|
optimaler Reifegradstatus Enterprise verwendet dynamische Methoden zur Optimierung der Datenverfügbarkeit, einschließlich historischer Daten, gemäß Benutzer- und Entitätsbedarf. |
Microsoft Purview Data Governance Daten mit einem KI-gestützten und einheitlichen Ansatz verwalten. Verwenden Sie Datenkataloge, Linien und Klassifizierungen, um sicherzustellen, dass Daten, einschließlich historischer Daten, organisiert und zugänglich sind. - Data Lifecycle Management - Datenkatalog - Datenquellen - Unterstützte Datenquellen Microsoft Purview Information Protection Verwenden Sie den Inhaltsexplorer und/oder den Aktivitätsexplorer, um identifizierte Microsoft 365-Inhalte und zugehörige Benutzeraktivitäten anzuzeigen. - Content explorer - Activity explorer Azure Files Die Standardeinstellung ist in der Cloud gehostete Speicherorte für Unternehmensdaten; sie umfasst Dateifreigaben, SQL und Datenanalyse mit den Power BI service und anderen Datentools. - Azure Files - Azure SQL - Azure und Power BI |
5.4 Funktion: Datenzugriff
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft Anleitungen und Empfehlungen |
|---|---|
|
Anfänglicher Reifegradstatus Das Unternehmen beginnt, automatisierte Datenzugriffskontrollen bereitzustellen, die Elemente des Prinzips der minimalen Berechtigung im gesamten Unternehmen einbeziehen. |
Microsoft Purview Information Protection Definieren Sie Standards für die Datenklassifizierung und eine Taxonomie für die Kennzeichnung, die mit den Richtlinien übereinstimmen. Stellen Sie Vertraulichkeitsbezeichnungen bereit, und ermöglichen Sie Benutzern, sie auf Dokumente anzuwenden. - Vertrauliche Daten - Richtlinie kennzeichnen Microsoft Purview Data Loss Prevention Richtlinie im Simulationsmodus ausführen und die Auswirkungen vor der Bereitstellung sehen. Vor der Bereitstellung simulieren |
|
Fortgeschrittener Reifegrad Unternehmen automatisiert Zugriffssteuerungen für Daten, die verschiedene Attribute wie z. B. Identität, Geräterisiko, Anwendung, Datenkategorie usw. berücksichtigen und ggf. zeitlich begrenzt sind. |
Microsoft Purview Information Protection Implementieren von Zugriffssteuerungen für vertrauliche Dateien. Implementieren Sie mindestens eine Differenzierung zwischen Materialien, die mit nichtstaatlichen Beschäftigten oder ausländischen Personen geteilt und nicht geteilt werden. Definieren Sie Kategorien für Inhalte, die außerhalb des Unternehmens freigegeben wurden. Berücksichtigen Sie mehr Granularität für die Datenklassifizierung, basierend auf Ihren aktuellen Vertraulichkeitsstandards. Vertraulichkeitsbezeichnungen und Zugriff Konfigurieren Sie Vertraulichkeitsbezeichnungsrichtlinien, um Bezeichnungen auf Dateien und E-Mails anzuwenden, die in Microsoft Office-Anwendungen erstellt wurden. Autolabeling für Office-Apps Konfigurieren Sie Dienstseitige Bezeichnungen für Inhalte, die in Microsoft 365 gespeichert sind. Autolabeling für SharePoint, OneDrive und Exchange Microsoft Purview Data Loss Prevention Überwachen Sie Benutzeraktivitäten, schützen Sie lokale Repositorys und sammeln Sie Nachweise von Geräten. Simulieren Sie die Richtlinie vor der Bereitstellung. - Schutzmaßnahmen - On-premises Repositories - Sammeln Sie Fakten von Geräten - Simulieren Sie vor der Bereitstellung |
|
Optimaler Reifegrad Unternehmen automatisiert dynamische Just-in-Time- und Just-enough-Datenzugriffskontrollen im gesamten Unternehmen mit kontinuierlicher Überprüfung der Berechtigungen. |
Microsoft Purview Information Protection Bezeichnungen beschränken den Zugriff auf Gruppen, die Zugriff erfordern. Beispielsweise werden Dateien mit vertraulichen HR-Daten beschriftet und verfügen über resultierende Zugriffssteuerungen. Empfindlichkeitsbezeichnungen und Zugriff Microsoft Purview Data Loss Prevention Monitor-Benutzeraktivität, Schützen lokaler Repositorys und Sammeln von Nachweisen von Geräten. Simulieren Sie die Richtlinie vor der Bereitstellung. - Schutzmaßnahmen - Vor-Ort-Repositories - Beweise von Geräten sammeln - Vor der Bereitstellung simulieren Microsoft Defender for Cloud Apps Zugriffsrichtlinien verwenden die App-Kontrolle für bedingten Zugriff für die Echtzeitüberwachung und die Zugriffskontrolle von Cloud-Apps. Zugriffsrichtlinie Verwenden Sie Sitzungsrichtlinien für granulare Transparenz bei Cloud-Apps mit Echtzeit-Überwachung auf Sitzungsebene. Sitzungsrichtlinie Microsoft Entra ID Governance Verwenden Sie die Berechtigungsverwaltung, um Ressourcen in Zugriffspaketen zu bündeln. Erleichtern Sie die Zuweisung von Benutzern zu Ressourcen mit Just-in-Time (JIT) Zugriff. Automatisieren Sie JEA-Kontrollen (Just Enough Access) mit Zugriffsüberprüfungen. - Entitlement-Verwaltungsszenarien - Privileged Identity Management - Zugriffskontrollen |
5.5 Funktion: Datenverschlüsselung
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft Anleitungen und Empfehlungen |
|---|---|
|
Anfänglicher Reifegradstatus Enterprise verschlüsselt alle Daten während der Übertragung und, sofern möglich, ruhende Daten und verwendete Daten (z. B. unternehmenskritische Daten und Daten, die in externen Umgebungen gespeichert sind) und beginnt, Schlüsselverwaltungsrichtlinien und sichere Verschlüsselungsschlüssel zu formalisieren. |
Microsoft 365 Verschlüsselung Verwenden Sie Basis-, Volumenverschlüsselung mit der Windows-Sicherheitsfunktion BitLocker und dem Distributed Key Manager (DKM). Microsoft 365 Ressourcen verwenden verschlüsselten Speicher. Encryption in Microsoft 365 Microsoft Purview Vertraulichkeitsbezeichnungen Verwenden von Richtlinien für Vertraulichkeitsbezeichnungen, um die persistente Verschlüsselung auf dem Dokument oder E-Mail-Ebene für Hochrisikodaten in Microsoft 365 anzuwenden. - Encrypt documents - Email encryption Microsoft Purview Data Loss Prevention Monitor-Benutzeraktivität, schützen Sie lokale Repositorys, und sammeln Sie Nachweise von Geräten. Simulieren Sie die Richtlinie vor der Bereitstellung. - Schutzaktionen - On-premises-Repositorys - Sammeln von Beweismitteln von Geräten - Simulation vor der Bereitstellung Microsoft Defender für Cloud-Apps Nutzung von Sitzungsrichtlinien zur präzisen Sichtbarkeit von Cloud-Apps mit Echtzeitüberwachung auf Sitzungsebene. Sitzungsrichtlinie |
|
Fortgeschrittener Reifegrad Unternehmen verschlüsselt alle Daten im Ruhezustand und bei der Übertragung im Unternehmen so weit wie möglich, beginnt mit kryptografischer Agilität und schützt Verschlüsselungsschlüssel (d.h. Geheimnisse sind nicht fest gecodet und werden regelmäßig rotiert). |
Microsoft Purview Vertraulichkeitskennzeichnungen Das Unternehmen verwendet Kennzeichnungen mit Zugriffssteuerungen, die auf Microsoft Entra-Gruppen basieren. Die Zugriffssteuerung deckt Benutzer, Partner, Anbieter und externe Benutzer in der Umgebung ab. Empfindlichkeitsbezeichnungen und Zugriff Microsoft Purview Data Loss Prevention Monitor-Benutzeraktivität, Schützen lokaler Repositorys und Sammeln von Nachweisen von Geräten. Simulieren Sie die Richtlinie vor der Bereitstellung. - Schutzaktionen - On-premises Repositories - Beweise von Geräten sammeln - Vor dem Einsatz simulieren Microsoft Defender for Cloud Apps Nutzung von Sitzungsrichtlinien zur präzisen Sichtbarkeit von Cloud-Apps mit Echtzeitüberwachung auf Sitzungsebene. Sitzungsrichtlinie |
|
Optimaler Reifegrad Unternehmen verschlüsselt die verwendeten Daten, wo es angebracht ist, setzt die Grundsätze der geringsten Privilegien für eine sichere Schlüsselverwaltung unternehmensweit durch und wendet die Verschlüsselung unter Verwendung aktueller Standards und kryptografischer Agilität so weit wie möglich an. |
Microsoft Purview Vertraulichkeitsbezeichnungen Label-Richtlinien werden mit Zugriffssteuerungsmechanismen für vertrauliche Daten bereitgestellt. Der Zugriff wird nach dem Prinzip der geringsten Privilegien eingeschränkt. Erzwingen Sie die Verwendung von Bezeichnungen und Zugriffssteuerelementen mit der Inhaltserkennung in Microsoft Exchange, Microsoft OneDrive und Microsoft SharePoint. - Sensitivity Labels und Zugriff - Vertraulichkeitsbezeichnungen in Microsoft 365 Microsoft Purview Data Loss Prevention Benutzeraktivitäten überwachen, lokale Repositories schützen und Nachweise von Geräten sammeln. Simulieren Sie die Richtlinie vor der Bereitstellung. - Schutzaktionen - On-premises Repositorys - Sammeln von Beweismitteln von Geräten - Simulieren vor der Bereitstellung Microsoft Defender for Cloud Apps Nutzung von Sitzungsrichtlinien zur präzisen Sichtbarkeit von Cloud-Apps mit Echtzeitüberwachung auf Sitzungsebene. Sitzungsrichtlinie |
5.6 Funktion: Sichtbarkeit und Analyse
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft Anleitungen und Empfehlungen |
|---|---|
|
Anfänglicher Reifegrad Das Unternehmen ruft die Sichtbarkeit auf der Grundlage der Verwaltung des Datenbestands, der Kategorisierung, der Verschlüsselung und der Zugriffsversuche ab, mit einigen automatisierten Analysen und Korrelationen. |
Weitere Informationen finden Sie im Abschnitt 5.1 Funktion: Bestandsverwaltung von Daten. Microsoft Purview-Datenkatalog Für eine bessere Übersicht über Ihre strukturierten Datenbestände, verwalten und kategorisieren Sie die Bestände. Datenkatalog Microsoft Entra ID Überwachen Sie die Microsoft Entra ID-Anmeldeprotokolle für eine Sichtbarkeit, die auf den anfänglichen Zugriffsversuchen basiert. - Überwachung und Gesundheit - Sign-In-Protokolle Microsoft Graph Aktivitätsprotokolle Microsoft Graph-Protokolle in Microsoft Entra ermöglichen die Sichtbarkeit von Zugriffsversuchen mit Informationen über Benutzeranmeldungen und Zugriffe auf Ressourcen. Verwenden Sie die Protokollierung, um Authentifizierungsereignisse zu überwachen, potenzielle Sicherheitsbedrohungen zu identifizieren und die Einhaltung von Zugriffsrichtlinien sicherzustellen. Access-Aktivitätsprotokolle Microsoft Purview Content Explorer Zu verstehen, um die Freigabe- und Zugriffsmuster zu verstehen, um berichtsanforderungen zu erkennen, verwenden Sie den Inhalts-Explorer und den Aktivitäts-Explorer. Untersuchen Sie Fälle von Zugriffsfreiheit und der gemeinsamen Nutzung vertraulicher Daten. - Activity explorer - Content explorer Microsoft Purview Data Loss Prevention Implement DLP-Richtlinien zum Überwachen und Verwalten vertraulicher Datenfreigabe. Data Loss Prevention |
|
Fortgeschrittener Reifegrad Unternehmen erhält eine umfassendere, unternehmensweite Datentransparenz mit automatisierten Analysen und Korrelationen und beginnt, Predictive Analytics einzusetzen. |
Microsoft Purview Data Map Verbessern Sie die konzernweite Sichtbarkeit strukturierter Daten mit einer Datenlandkarte. Integrieren Sie Metadaten und Klassifizierung. Data Map Microsoft Purview Insights Verwenden Sie erweiterte Analysen zur Korrelation von und vorausschauenden Erkenntnissen zur Datensicherheit. - Datenspeicher Insights - Asset Insights Microsoft Purview Insider Risk Management Erstellen Sie Data Loss Prevention (DLP)-Richtlinien mit Insider Risk Management Erkennung von Risikobenutzern für Adaptiven Schutz. - Adaptiver Schutz - Bedingter Zugriff und adaptiver Schutz Microsoft Purview-Inhaltsexplorer Verwenden Sie die Inhaltsexplorer-PowerShell, um Bestandsinformationen zu Ihren vertraulichen unstrukturierten Inhalten, wie z. B. Office-Dateien, zu exportieren. Zum Erstellen von Berichten zu Datentypen zum Schutz verwenden Sie eine SIEM-App (Security Information and Event Management) oder andere Analysetools. - Inhalts-Explorer PowerShell - Erweiterte Überwachung |
|
Optimaler Reifegrad Enterprise hat Einblick in den gesamten Datenlebenszyklus mit robusten Analysen, einschließlich Predictive Analytics, die umfassende Ansichten der Unternehmensdaten und eine kontinuierliche Bewertung der Sicherheitslage unterstützen. |
Microsoft Purview Data Catalog, Datenklassifizierung Erreichen Sie Lebenszyklus-Sichtbarkeit und Datenverwaltung mit fortlaufender Klassifizierung und Katalogisierung. Datenklassifizierung mit Purview Microsoft Entra Conditional Access Integrieren Sie mit Purview, um Zugriffssteuerungen zu verwalten und zu bewerten. Sicherstellung der kontinuierlichen Ausrichtung an Sicherheitsrichtlinien. Erhöhtes Insider-Risiko Microsoft Purview Insider Risk Management Analytics Führen Sie eine Bewertung der vorhergesagten Insider-Risiken durch, ohne Insider-Richtlinien zu konfigurieren. Identifizieren Sie potenzielles höheres Benutzerrisiko. Ermitteln Sie die Richtlinientypen und den Bereich des Insider-Risikomanagements. Analysen aktivieren Microsoft Sentinel Bewerten Sie kontinuierlich die Datensicherheit. Integrieren Sie Einblicke aus Purview für eine Ansicht Ihrer Sicherheitslage. Datensicherheit mit Sentinel Microsoft SharePoint, einheitliches Überwachungsprotokoll, Sentinel Überwachen Sie das Teilen und den Zugriff auf sensible Informationen. Um Zugriffs- und Freigabemuster zu analysieren, integrieren Sie das Microsoft 365 einheitliche Überwachungsprotokoll in eine SIEM-App (Security Information and Event Management). - SharePoint Freigabeschema - Schema zur Verhinderung von Datenverlust - Microsoft Sentinel - SharePoint Advanced Management Microsoft Purview Information Protection Zu Verständnis von Freigabe- und Zugriffsmustern sowie zum Identifizieren von Berichtsanforderungen verwenden Sie den Inhalts-Explorer und den Aktivitäts-Explorer, um Zugriffs- und vertrauliche Datenfreigabefälle zu überprüfen. - Inhalts-Explorer - Aktivitäts-Explorer |
5.7 Funktion: Automatisierung und Orchestrierung
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft Anleitungen und Empfehlungen |
|---|---|
|
Anfänglicher Reifegrad Enterprise verwendet einige automatisierte Prozesse zur Implementierung von Richtlinien für den Lebenszyklus von Daten und die Sicherheit. |
Microsoft Purview Data Catalog Zur Implementierung von Lebenszyklus- und Sicherheitsrichtlinien verwenden Sie automatisierte Datenklassifizierung und Katalogisierung. Data Catalog Microsoft Defender for Cloud Implementieren Sie automatisierte Sicherheitsrichtlinien und überwachen Sie Datenressourcen. Defender for Cloud Microsoft Purview Information Protection Um das Verstehen von Freigabe- und Zugriffsmustern zu erleichtern und Berichtsanforderungen zu identifizieren, verwenden Sie den Inhalts-Explorer und den Aktivitäts-Explorer, um Zugriffs- und vertrauliche Datenfreigabefälle zu überprüfen. - Content explorer - Activity explorer Microsoft Purview Data Governance Manage-Daten mit einem KI-unterstützten und einheitlichen Ansatz. Verwenden Sie Datenkataloge, Linien und Klassifizierungen, um sicherzustellen, dass Daten, einschließlich historischer Daten, organisiert und zugänglich sind. Erkunden und verstehen Sie Ihre Daten. - Datenlebenszyklus-Management - Datenkatalog - Datenquellen - Unterstützte Datenquellen |
|
Advanced Maturity Status Enterprise implementiert Datenlebenszyklus- und Sicherheitsrichtlinien in erster Linie durch automatisierte Methoden für die meisten Unternehmensdaten auf konsistente, gestaffelte und gezielte Weise im gesamten Unternehmen. |
Microsoft Purview Data Map, Insights Implementieren Sie eine fortschrittliche Automatisierung für Datenklassifizierung, Aufbewahrung und Sicherheitsrichtlinien über verschiedene Ebenen und Klassifizierungen hinweg. Data Map Microsoft Entra ID Governance Nutzen Sie Identity Governance und die automatisierte Durchsetzung von Richtlinien für eine Reihe von Ressourcen. Microsoft Entra ID Governance Microsoft Defender for Cloud Ermöglichen Sie die automatisierte Durchsetzung von Sicherheitsrichtlinien über Datenressourcen hinweg. Datensicherheit in Defender for Cloud Microsoft Purview Data-Governance Verwalten Sie Daten mit einem KI-gestützten und einheitlichen Ansatz. Verwenden Sie Datenkataloge, Linien und Klassifizierungen, um sicherzustellen, dass Daten, einschließlich historischer Daten, organisiert und zugänglich sind. Erkunden und verstehen Sie Ihre Daten. - Datenlebenszyklus-Management - Datenkatalog - Datenquellen - Unterstützte Datenquellen |
|
Optimaler Reifegrad Enterprise automatisiert so weit wie möglich die Datenlebenszyklen und Sicherheitsrichtlinien für alle Unternehmensdaten im gesamten Unternehmen. |
Microsoft Purview Automatisieren Sie das Datenlebenszyklus-Management, die Klassifizierung und die Sicherheitsrichtlinien mithilfe integrierter Funktionen über Datenressourcen hinweg. Datenverwaltung mit Purview Microsoft Defender for Cloud Erreichen Sie automatisierte Datensicherheitsrichtlinien, Bedrohungserkennung und Reaktion auf Unternehmensdaten. Automatisierung mit Defender for Cloud Microsoft Sentinel Automatisieren Sie die Überwachung, reagieren Sie auf Sicherheitsvorfälle und verwalten Sie Datensicherheitsrichtlinien. Erweiterte Überwachung Microsoft 365 Connector für Microsoft Sentinel Um Zugriffs- und Freigabemuster zu analysieren, integrieren Sie das Microsoft 365 einheitliche Überwachungsprotokoll in eine SIEM-App (Security Information and Event Management). - SharePoint-Freigabeschema - Schema zur Verhinderung von Datenverlusten - Microsoft Sentinel - Microsoft 365 Konnektor für Sentinel Microsoft Purview Information Protection Um Freigabe- und Zugriffsmuster zu verstehen, auch um Berichtsanforderungen zu ermitteln, verwenden Sie den Inhalts-Explorer und den Aktivitäts-Explorer, um Fälle von Zugriff und Freigabe sensibler Daten zu überprüfen. - Inhaltsexplorer - Aktivitäts-Explorer Microsoft Purview Datenverwaltung Verwalten Sie Ihre Daten mit einem KI-gestützten und einheitlichen Ansatz. Verwenden Sie Datenkataloge, Linien und Klassifizierungen, um sicherzustellen, dass Daten, einschließlich historischer Daten, organisiert und zugänglich sind. Erkunden und verstehen Sie Ihre Daten. - Datenlebenszyklus-Management - Datenkatalog - Datenquellen - Unterstützte Datenquellen |
5.8 Funktion: Verwaltung
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft Anleitungen und Empfehlungen |
|---|---|
|
Anfänglicher Reifestatus Das Unternehmen definiert hochrangige Datengovernance-Richtlinien und verlässt sich hauptsächlich auf die manuelle, segmentierte Umsetzung. |
Microsoft Purview Data Governance Verwalten von Daten mit einem kigestützten und einheitlichen Ansatz. Verwenden Sie Datenkataloge, Linien und Klassifizierungen, um sicherzustellen, dass Daten, einschließlich historischer Daten, organisiert und zugänglich sind. - Data Lifecycle Management - Datenkatalog - Datenquellen - Unterstützte Datenquellen Microsoft Purview Data Lifecycle Management Implementieren Sie Aufbewahrungs- und Löschrichtlinien für Dokumente mit Aufbewahrungskennzeichnungen. Data Lifecycle Management |
|
Fortgeschrittener Reifegrad Enterprise beginnt mit der Integration der Durchsetzung von Richtlinien für den Datenlebenszyklus im gesamten Unternehmen und ermöglicht einheitlichere Definitionen für Data-Governance-Richtlinien. |
Microsoft Purview-Datenverwaltung Verwalten Sie Daten mit einem KI-gestützten und einheitlichen Ansatz. Verwenden Sie Datenkataloge, Linien und Klassifizierungen, um sicherzustellen, dass Daten, einschließlich historischer Daten, organisiert und zugänglich sind. Erkunden und verstehen Sie Ihre Daten. - Datenlebenszyklusverwaltung - Datenkatalog - Datenquellen - Unterstützte Datenquellen Microsoft Purview Richtlinie für Datenbesitzer Verwenden Sie Richtlinien für Datenbesitzer, um den Zugriff auf Benutzerdaten in Quellen zu verwalten, die für die Durchsetzung von Datenrichtlinien in Purview registriert sind. Dateneigentümerrichtlinie Microsoft Defender for Cloud Für eine automatisierte und integrierte Durchsetzung implementieren Sie unternehmensweite Richtlinien für Datensicherheit und Lifecycle Management. Datensicherheit mit Defender for Cloud Microsoft Sentinel Vereinheitlichen Sie die Überwachung und die Durchsetzung von Richtlinien für die Cloud-Governance. Erweiterte Überwachung |
|
Optimaler Reifegrad Unternehmensweite Richtlinien für das Datenlebenszyklusmanagement werden in größtmöglichem Umfang vereinheitlicht und dynamisch im gesamten Unternehmen durchgesetzt. |
Microsoft Purview Data Governance Manage Ihrer Daten mit einem KI-basierten und einheitlichen Ansatz. Verwenden Sie Datenkataloge, Linien und Klassifizierungen, um sicherzustellen, dass Daten, einschließlich historischer Daten, organisiert und zugänglich sind. - Datenlebenszyklusverwaltung - Datenkatalog - Datenquellen - Unterstützte Datenquellen Microsoft Purview Insider Risk Management Adaptiver Schutz Adaptiver Schutz nutzt maschinelles Lernen, um kritische Risiken zu identifizieren und Schutzkontrollen anzuwenden. - Risiken mindern Microsoft Purview Insider Risk Management Erstellen Sie Richtlinien zur Verhinderung von Datenverlust (DLP) mit der Erkennung riskanter Benutzer im Insider-Risikomanagement für adaptive Schutzmaßnahmen. - Adaptive Schutzmaßnahmen bei der Verhinderung von Datenverlust - Conditional Access und adaptiver Schutz - Mildern Sie Risiken Microsoft Defender for Cloud Automatisieren und dynamisieren Sie die Durchsetzung der Datensicherheitsrichtlinien für Ihre Unternehmensdaten. Automatisierung mit Defender for Cloud |
Nächste Schritte
Konfigurieren Sie Microsoft Cloud Services für das CISA-Zero Trust Reifegradmodell.