Aanbevolen beleid voor Microsoft Defender voor Cloud Apps voor SaaS-apps
Microsoft Defender voor Cloud Apps is gebaseerd op het beleid voor voorwaardelijke toegang van Microsoft Entra om realtime bewaking en controle mogelijk te maken van gedetailleerde acties met SaaS-apps, zoals het blokkeren van downloads, uploads, kopiëren en plakken en afdrukken. Deze functie voegt beveiliging toe aan sessies die inherent risico lopen, zoals wanneer bedrijfsbronnen worden geopend vanaf niet-beheerde apparaten of door gasten.
Defender voor Cloud Apps kan ook systeemeigen worden geïntegreerd met Microsoft Purview Information Protection, waardoor realtime inhoudsinspectie wordt geboden om gevoelige gegevens te vinden op basis van typen gevoelige informatie en vertrouwelijkheidslabels en om passende actie te ondernemen.
Deze richtlijnen omvatten aanbevelingen voor deze scenario's:
- SaaS-apps in IT-beheer brengen
- Beveiliging afstemmen voor specifieke SaaS-apps
- Microsoft Purview-preventie van gegevensverlies (DLP) configureren om te voldoen aan de voorschriften voor gegevensbescherming
SaaS-apps in IT-beheer brengen
De eerste stap bij het gebruik van Defender voor Cloud Apps voor het beheren van SaaS-apps is het detecteren van deze apps en deze vervolgens toevoegen aan uw Microsoft Entra-organisatie. Als u hulp nodig hebt bij detectie, raadpleegt u SaaS-apps ontdekken en beheren in uw netwerk. Nadat u de apps hebt ontdekt, deze toevoegen aan uw Microsoft Entra-organisatie.
U kunt deze apps gaan beheren door de volgende stappen uit te voeren:
- Maak in Microsoft Entra ID een nieuw beleid voor voorwaardelijke toegang en configureer dit voor het gebruik van app-beheer voor voorwaardelijke toegang. Met deze configuratie wordt de aanvraag omgeleid naar Defender for Cloud Apps. U kunt één beleid maken en alle SaaS-apps aan dit beleid toevoegen.
- Maak in Defender voor Cloud Apps sessiebeleid. Maak één beleid voor elk besturingselement dat u wilt toepassen.
Machtigingen voor SaaS-apps zijn doorgaans gebaseerd op bedrijfsbehoefte voor toegang tot de app. Deze machtigingen kunnen zeer dynamisch zijn. Het gebruik van Defender voor Cloud Apps-beleid zorgt voor beveiliging van app-gegevens, ongeacht of gebruikers zijn toegewezen aan een Microsoft Entra-groep die is gekoppeld aan het beginpunt, de onderneming of gespecialiseerde beveiliging.
Als u gegevens wilt beveiligen in uw verzameling SaaS-apps, ziet u in het volgende diagram het benodigde Beleid voor voorwaardelijke toegang van Microsoft Entra plus voorgestelde beleidsregels die u kunt maken in Defender for Cloud Apps. In dit voorbeeld zijn de beleidsregels die zijn gemaakt in Defender for Cloud Apps van toepassing op alle SaaS-apps die u beheert. Deze beleidsregels zijn ontworpen om de juiste besturingselementen toe te passen, afhankelijk van of apparaten beheerd worden en vertrouwelijkheidslabels die al op bestanden zijn toegepast.
De volgende tabel bevat het nieuwe beleid voor voorwaardelijke toegang dat u moet maken in Microsoft Entra-id:
| Beveiligingsniveau | Beleid | Meer informatie |
|---|---|---|
| Alle beveiligingsniveaus | App-beheer voor voorwaardelijke toegang gebruiken in Defender for Cloud Apps | Hiermee configureert u uw IdP (Microsoft Entra ID) voor gebruik met Defender for Cloud Apps. |
Deze volgende tabel bevat het voorbeeldbeleid uit de vorige tabel die u kunt maken om alle SaaS-apps te beveiligen. Zorg ervoor dat u uw bedrijfs-, beveiligings- en nalevingsdoelstellingen evalueert en vervolgens beleid maakt dat de meest geschikte beveiliging voor uw omgeving biedt.
| Beveiligingsniveau | Beleid |
|---|---|
| Beginpunt | Verkeer van niet-beheerde apparaten bewaken Beveiliging toevoegen aan bestandsdownloads vanaf niet-beheerde apparaten |
| Onderneming | Download van bestanden gelabeld als gevoelig of geclassificeerd blokkeren vanaf niet-beheerde apparaten (waartegen alleen toegang tot de browser mogelijk is) |
| Gespecialiseerde beveiliging | Downloaden van bestanden met een label die zijn geclassificeerd vanaf alle apparaten blokkeren (resulteert in alleen toegang tot de browser) |
Zie voor end-to-end-instructies voor het instellen van voorwaardelijke toegang app-controle in Microsoft Defender voor Cloud Apps Voorwaardelijke toegang app-controle. In dit artikel wordt u begeleid bij het maken van het benodigde beleid voor voorwaardelijke toegang in Microsoft Entra ID en het testen van uw SaaS-apps.
Zie Apps beveiligen met App Control voor voorwaardelijke toegang van Microsoft Defender voor Cloud Appsvoor meer informatie.
Beveiliging afstemmen voor specifieke SaaS-apps
Mogelijk wilt u andere bewaking en besturingselementen toepassen op specifieke SaaS-apps, wat u kunt doen in Defender for Cloud Apps. Als uw organisatie bijvoorbeeld intensief gebruikmaakt van Box, is het zinvol om meer besturingselementen toe te passen. Als uw juridische of financiële afdeling een specifieke SaaS-app gebruikt voor gevoelige bedrijfsgegevens, kunt u zich richten op extra beveiliging voor deze apps.
U kunt uw Box-omgeving bijvoorbeeld beveiligen met de volgende typen ingebouwde sjablonen voor anomaliedetectiebeleid:
- Activiteit van anonieme IP-adressen
- Activiteit vanuit een ongebruikelijk land/regio
- Activiteit van verdachte IP-adressen
- Onmogelijke reis
- Activiteit uitgevoerd door beëindigde gebruiker (vereist Microsoft Entra-id als IdP)
- Malwaredetectie
- Meerdere mislukte aanmeldingspogingen
- Ransomware-activiteit
- Riskante OAuth-app
- Ongebruikelijke bestandsshareactiviteit
Beleidssjablonen voor anomaliedetectie worden regelmatig toegevoegd. Zie Connect-apps om zichtbaarheid en controle te krijgen met Microsoft Defender voor Cloud Appsvoor voorbeelden van het toepassen van meer beveiliging op specifieke apps.
Hoe Defender voor Cloud Apps helpt bij het beveiligen van uw Box-omgeving laat zien welke typen besturingselementen u kunnen helpen bij het beveiligen van uw bedrijfsgegevens in Box en andere apps met gevoelige gegevens.
DLP configureren om te voldoen aan de voorschriften voor gegevensbescherming
Defender voor Cloud Apps kan een waardevol hulpprogramma zijn voor het configureren van beveiliging voor nalevingsregels. U maakt specifieke beleidsregels om te zoeken naar gereglementeerde gegevens en configureert elk beleid om de juiste actie te ondernemen.
De volgende afbeelding en tabel bevatten verschillende voorbeelden van beleidsregels die u kunt configureren om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Op basis van de gevoeligheid van de gegevens wordt elk beleid geconfigureerd om de juiste actie te ondernemen.
| Beveiligingsniveau | Voorbeeldbeleid |
|---|---|
| Beginpunt | Waarschuwing wanneer bestanden met het creditcardnummer type gevoelige informatie buiten de organisatie worden gedeeld. Blokkeer downloads van bestanden met de categorie gevoelige informatie Creditcardnummer op onbeheerde apparaten. |
| Onderneming | Beveilig de downloads van bestanden die het type gevoelige informatie 'kredietkaartnummer' bevatten op beheerde apparaten. Blokkeer downloads van bestanden die het creditcardnummer bevatten als gevoelige informatie op onbeheerde apparaten. Waarschuwing wanneer een bestand met een van deze labels wordt geüpload naar OneDrive of Box: klantgegevens, Human Resources: Salarisgegevensof Human Resources, Werknemersgegevens. |
| Gespecialiseerde beveiliging | Waarschuwing wanneer bestanden met de zeer geclassificeerd label worden gedownload naar beheerde apparaten. Hiermee kunt u downloads van bestanden met het zeer geclassificeerde label blokkeren op onbeheerde apparaten. |
Volgende stappen
Zie documentatie voor Microsoft Defender voor Cloud Appsvoor meer informatie over het gebruik van Defender voor Cloud Apps.