Doporučené zásady Microsoft Defenderu for Cloud Apps pro aplikace SaaS
Microsoft Defender for Cloud Apps staví na zásadách podmíněného přístupu Microsoft Entra, které umožňují monitorování v reálném čase a kontrolu nad podrobnými akcemi s aplikacemi SaaS, jako jsou blokování stahování, nahrávání, kopírování a vkládání a tisku. Tato funkce přidává zabezpečení do relací, které nesou vlastní riziko, jako je například přístup k podnikovým prostředkům z nespravovaných zařízení nebo hostů.
Defender for Cloud Apps se také nativně integruje se službou Microsoft Purview Information Protection a poskytuje kontrolu obsahu v reálném čase za účelem vyhledání citlivých dat na základě typů citlivých informací a popisků citlivosti a provedení vhodných akcí.
Tyto pokyny zahrnují doporučení pro tyto scénáře:
- Přenesení aplikací SaaS do správy IT
- Ladění ochrany pro konkrétní aplikace SaaS
- Konfigurace ochrany před únikem informací (DLP) v Microsoft Purview, která pomáhá dodržovat předpisy ochrany dat
Přenesení aplikací SaaS do správy IT
Prvním krokem při používání programu Defender for Cloud Apps ke správě aplikací SaaS je zjistit tyto aplikace a pak je přidat do vaší organizace Microsoft Entra. Pokud potřebujete pomoc se zjišťováním, přečtěte si téma Zjišťování a správa aplikací SaaS v síti. Jakmile zjistíte aplikace, je přidejte dovaší organizace Microsoft Entra.
Tyto aplikace můžete začít spravovat pomocí následujících kroků:
- V Microsoft Entra ID vytvořte novou zásadu podmíněného přístupu a nakonfigurujte ji tak, aby používala řízení podmíněného přístupu k aplikacím. Tato konfigurace přesměruje požadavek na Defender for Cloud Apps. Můžete vytvořit jednu zásadu a přidat do této zásady všechny aplikace SaaS.
- V Defenderu pro Cloud Apps si vytvořte zásady relací. Vytvořte jednu zásadu pro každý ovládací prvek, který chcete použít.
Oprávnění k aplikacím SaaS jsou obvykle založená na potřebě firmy pro přístup k aplikaci. Tato oprávnění můžou být vysoce dynamická. Použití zásad Defenderu pro Cloud Apps zajišťuje ochranu dat aplikací bez ohledu na to, jestli jsou uživatelé přiřazeni ke skupině Microsoft Entra přidružené k výchozímu bodu, podniku nebo specializované ochraně zabezpečení.
Pokud chcete chránit data napříč kolekcí aplikací SaaS, následující diagram znázorňuje nezbytné zásady podmíněného přístupu Microsoft Entra a navrhované zásady, které můžete vytvořit v Defenderu pro Cloud Apps. V tomto příkladu se zásady vytvořené v Defenderu pro Cloud Apps vztahují na všechny aplikace SaaS, které spravujete. Tyto zásady jsou navržené tak, aby aplikovaly vhodná opatření na základě toho, zda jsou zařízení spravovaná, a popisky citlivosti, které jsou již použity u souborů.
Následující tabulka uvádí nové zásady podmíněného přístupu, které je nutné vytvořit v MICROSOFT Entra ID:
| Úroveň ochrany | Politika | Další informace |
|---|---|---|
| Všechny úrovně ochrany | použití řízení podmíněného přístupu k aplikacím v programu Defender for Cloud Apps | Nakonfiguruje vašeho poskytovatele identity (Microsoft Entra ID) tak, aby spolupracoval s Defender for Cloud Apps. |
Tato další tabulka uvádí ukázkové zásady z předchozí tabulky, které můžete vytvořit za účelem ochrany všech aplikací SaaS. Nezapomeňte vyhodnotit cíle vaší firmy, zabezpečení a dodržování předpisů a pak vytvořit zásady, které poskytují nejvhodnější ochranu pro vaše prostředí.
| Úroveň ochrany | Politika |
|---|---|
| Výchozí bod | Monitorování provozu z nespravovaných zařízení Přidání ochrany ke stažení souborů z nespravovaných zařízení |
| Podnik | Blokování stahování souborů označených citlivými nebo klasifikovanými z nespravovaných zařízení (výsledkem je pouze přístup v prohlížeči) |
| Specializované zabezpečení | Blokování stahování souborů označených klasifikací ze všech zařízení (výsledkem je přístup pouze v prohlížeči) |
Kompletní pokyny k nastavení řízení podmíněného přístupu k aplikacím najdete v tématu Řízení podmíněného přístupu v programu Microsoft Defender for Cloud Apps. Tento článek vás provede procesem vytvoření nezbytných zásad podmíněného přístupu v Microsoft Entra ID a testování aplikací SaaS.
Další informace najdete v tématu Ochrana aplikací pomocí programu Microsoft Defender for Cloud Apps – řízení podmíněného přístupu k aplikacím.
Ladění ochrany pro konkrétní aplikace SaaS
U konkrétních aplikací SaaS, které můžete v Defenderu for Cloud Apps provádět, můžete použít další monitorování a ovládací prvky. Pokud například vaše organizace do značné míry používá Box, dává smysl použít více ovládacích prvků. Nebo pokud vaše právní nebo finanční oddělení používá pro citlivá obchodní data konkrétní aplikaci SaaS, můžete cílit na další ochranu těchto aplikací.
Prostředí Box můžete například chránit pomocí následujících typů předdefinovaných šablon zásad detekce anomálií:
- Aktivita z anonymních IP adres
- Aktivita z méně časté země/oblasti
- Aktivita z podezřelých IP adres
- Nemožné cestování
- Aktivita prováděná odstraněným uživatelem (vyžaduje ID Microsoft Entra jako IdP)
- Detekce malwaru
- Několik neúspěšných pokusů o přihlášení
- Aktivita ransomwaru
- Riziková aplikace OAuth
- Neobvyklá aktivita sdílení souborů
Šablony zásad detekce anomálií se pravidelně přidávají. Příklady, jak použít větší ochranu pro konkrétní aplikace, najdete v tématu Připojení aplikací, abyste získali přehled a kontrolu pomocí programu Microsoft Defender for Cloud Apps.
, jak Defender for Cloud Apps pomáhá chránit prostředí Box ukazuje typy ovládacích prvků, které vám můžou pomoct chránit obchodní data v Boxu a dalších aplikacích s citlivými daty.
Konfigurace ochrany před únikem informací pro zajištění souladu s předpisy pro ochranu dat
Defender for Cloud Apps může být cenným nástrojem pro úpravu ochrany, aby vyhovovala předpisům. Vytvoříte konkrétní zásady, které budou hledat regulovaná data a nakonfigurovat každou zásadu tak, aby podnikla odpovídající akce.
Následující obrázek a tabulka obsahují několik příkladů zásad, které můžete nakonfigurovat tak, aby vyhovovaly obecnému nařízení o ochraně osobních údajů (GDPR). Na základě citlivosti dat se každá zásada nakonfiguruje tak, aby podnikla odpovídající akce.
| Úroveň ochrany | Ukázkové zásady |
|---|---|
| Výchozí bod | Upozornit, když se soubory obsahující citlivý typ informací čísla platební karty sdílí mimo organizaci. Blokovat stahování souborů obsahujících citlivý typ informací Číslo kreditní karty na nespravovaná zařízení. |
| Podnik | Chraňte stahování souborů obsahujících typ citlivých informací Číslo kreditní karty pro spravovaná zařízení. Blokovat stahování souborů obsahujících typ citlivých informací , číslo kreditní karty, na nespravovaná zařízení. Upozornit, když se soubor s jedním z těchto štítků nahraje na OneDrive nebo Box: zákaznická data, lidské zdroje: mzdy data, nebo lidské zdroje, údaje o zaměstnancích. |
| Specializované zabezpečení | Upozornit, když se do spravovaných zařízení stáhnou soubory s štítkem vysoce klasifikovaný. Zablokujte stahování souborů s označením vysoce utajovaného na nespravovaná zařízení. |
Další kroky
Další informace o používání defenderu for Cloud Apps najdete v dokumentaci k Programu Microsoft Defender for Cloud Apps.