Criteri consigliati per Microsoft Defender per le applicazioni SaaS nel cloud
Microsoft Defender for Cloud Apps si basa sui criteri di accesso condizionale di Microsoft Entra per abilitare il monitoraggio in tempo reale e il controllo delle azioni granulari con app SaaS, ad esempio il blocco di download, caricamenti, copia e incolla e stampa. Questa funzionalità aggiunge sicurezza alle sessioni che comportano rischi intrinseci, ad esempio quando si accede alle risorse aziendali da dispositivi non gestiti o da utenti guest.
Defender for Cloud Apps si integra anche in modo nativo con Microsoft Purview Information Protection, fornendo un'ispezione dei contenuti in tempo reale per trovare i dati sensibili in base ai tipi di informazioni riservate e alle etichette di riservatezza e per intervenire in modo appropriato.
Queste indicazioni includono raccomandazioni per questi scenari:
- Portare le app SaaS nella gestione IT
- Regolare la protezione per app SaaS specifiche
- Configurare Microsoft Purview Data Loss Prevention (DLP) per garantire la conformità alle normative sulla protezione dei dati
Portare le app SaaS nella gestione IT
Il primo passaggio nell'uso di Defender for Cloud Apps per gestire le app SaaS consiste nell'individuare queste app e quindi aggiungerle all'organizzazione Microsoft Entra. Se è necessaria assistenza per l'individuazione, vedere Individuare e gestire le app SaaS nella rete. Dopo aver scoperto le app, aggiungerle all'organizzazione Microsoft Entra.
È possibile iniziare a gestire queste app seguendo questa procedura:
- In Microsoft Entra ID, crea un nuovo criterio di accesso condizionale e configuralo per utilizzare il Controllo app per l'accesso condizionale. Questa configurazione reindirizza la richiesta a Defender for Cloud Apps. È possibile creare un criterio e aggiungere tutte le app SaaS a questo criterio.
- In Defender for Cloud Apps creare criteri di sessione. Creare un criterio per ogni controllo da applicare.
Le autorizzazioni per le app SaaS sono in genere basate sulla necessità aziendale di accedere all'app. Queste autorizzazioni possono essere altamente dinamiche. L'uso dei criteri di Defender per Cloud Apps garantisce la protezione dei dati delle app, indipendentemente dal fatto che gli utenti siano assegnati a un gruppo Microsoft Entra associato al punto di partenza, all'organizzazione o alla protezione della sicurezza specializzata.
Per proteggere i dati nella raccolta di app SaaS, il diagramma seguente illustra i criteri di accesso condizionale Microsoft Entra necessari e i criteri suggeriti che è possibile creare in Defender for Cloud Apps. In questo esempio i criteri creati in Defender for Cloud Apps si applicano a tutte le app SaaS gestite. Questi criteri sono progettati per applicare controlli appropriati in base alla gestione dei dispositivi e alle etichette di riservatezza già applicate ai file.
La tabella seguente elenca i nuovi criteri di accesso condizionale che è necessario creare in Microsoft Entra ID:
| Livello di protezione | Politica | Altre informazioni |
|---|---|---|
| Tutti i livelli di protezione | Usare il controllo app per l'accesso condizionale in Defender for Cloud Apps | Configura l'IdP (Microsoft Entra ID) per funzionare con Defender for Cloud Apps. |
Questa tabella successiva elenca i criteri di esempio della tabella precedente che è possibile creare per proteggere tutte le app SaaS. Assicurarsi di valutare gli obiettivi aziendali, di sicurezza e di conformità e quindi di creare criteri che forniscano la protezione più appropriata per l'ambiente.
| Livello di protezione | Politica |
|---|---|
| Punto di partenza | Monitorare il traffico dai dispositivi non gestiti Aggiungere la protezione ai download di file da dispositivi non gestiti |
| Azienda | Blocca il download dei file etichettati con dati sensibili o classificati da dispositivi non gestiti (comporta l'accesso solo al browser) |
| Sicurezza specializzata | Blocca il download dei file etichettati con classificazione da tutti i dispositivi (comporta l'accesso solo al browser) |
Per istruzioni complete per la configurazione del controllo delle app di accesso condizionale, vedere Controllo App per l'Accesso Condizionale in Microsoft Defender for Cloud Apps. Questo articolo illustra il processo di creazione dei criteri di accesso condizionale necessari in Microsoft Entra ID e test delle app SaaS.
Per altre informazioni, vedere Proteggi le app con il Controllo app per l'accesso condizionale di Microsoft Defender per le app cloud.
Ottimizzare la protezione per app SaaS specifiche
È possibile applicare altri controlli e monitoraggio a app SaaS specifiche, che è possibile eseguire in Defender per app cloud. Ad esempio, se l'organizzazione utilizza pesantemente il servizio Box, è opportuno gestire più controlli. In alternativa, se il reparto legale o finanziario usa un'app SaaS specifica per i dati aziendali sensibili, è possibile impostare una protezione aggiuntiva per queste app.
Ad esempio, è possibile proteggere l'ambiente Box con i tipi seguenti di modelli di criteri di rilevamento anomalie predefiniti:
- Attività da indirizzi IP anonimi
- Attività da paese/area geografica non frequente
- Attività da indirizzi IP sospetti
- Viaggio impossibile
- Attività eseguita dall'utente terminato (richiede Microsoft Entra ID come IdP)
- Rilevamento di malware
- Più tentativi di accesso non riusciti
- Attività ransomware
- App OAuth rischiosa
- Attività insolita di condivisione file
I modelli di criteri di rilevamento anomalie vengono aggiunti regolarmente. Per esempi di come applicare una maggiore protezione a app specifiche, vedere Connettere le app per ottenere visibilità e controllo con Microsoft Defender for Cloud Apps.
Come Defender for Cloud Apps consente di proteggere l'ambiente Box illustra i tipi di controlli che consentono di proteggere i dati aziendali in Box e altre app con dati sensibili.
Configurare la prevenzione della perdita dei dati per garantire la conformità alle normative sulla protezione dei dati
Defender for Cloud Apps può essere uno strumento prezioso per configurare la protezione per le normative di conformità. È possibile creare criteri specifici per cercare i dati regolamentati e configurare ogni criterio in modo da intraprendere le azioni appropriate.You create specific policies to look for regulated data and configure each policy to take appropriate action.
La figura e la tabella seguenti forniscono diversi esempi di criteri che è possibile configurare per garantire la conformità al Regolamento generale sulla protezione dei dati (GDPR). In base alla riservatezza dei dati, ogni politica è configurata per eseguire le azioni appropriate.
| Livello di protezione | Politiche di esempio |
|---|---|
| Punto di partenza | Avviso quando i file contenenti il numero di carta di credito tipo di informazioni riservate vengono condivisi all'esterno dell'organizzazione. Blocca i download di file contenenti il tipo di informazione sensibile numero di Carta di Credito ai dispositivi non gestiti. |
| Azienda | Proteggi i download dei file contenenti il tipo di informazione sensibile "Numero di Carta di Credito" su dispositivi gestiti. Blocca i download su dispositivi non gestiti di file contenenti il numero di carta di credito e il tipo di informazioni riservate. Avvisa quando un file con una di queste etichette viene caricato in OneDrive o Box: Dati del cliente, Risorse umane: Salary Datao Human Resources, Employee data. |
| Sicurezza specializzata | Avvisa quando i file con l'etichetta altamente classificata vengono scaricati nei dispositivi gestiti. Blocca i download di file con l'etichetta altamente classificata nei dispositivi non gestiti. |
Passaggi successivi
Per altre informazioni sull'uso di Defender per app cloud, vedere documentazione di Microsoft Defender for Cloud Apps.