Zalecane zasady usługi Microsoft Defender for Cloud Apps dla aplikacji SaaS
Usługa Microsoft Defender for Cloud Apps opiera się na zasadach dostępu warunkowego firmy Microsoft Entra, aby umożliwić monitorowanie i kontrolowanie szczegółowych akcji za pomocą aplikacji SaaS, takich jak blokowanie pobierania, przekazywania, kopiowania i wklejania oraz drukowania. Ta funkcja dodaje zabezpieczenia do sesji, które niosą ze sobą związane z ryzykiem, takie jak dostęp do zasobów firmowych z niezarządzanych urządzeń lub przez gości.
Usługa Defender for Cloud Apps integruje się również natywnie z usługą Microsoft Purview Information Protection, zapewniając inspekcję zawartości w czasie rzeczywistym w celu znalezienia poufnych danych na podstawie typów informacji poufnych i etykiet poufności oraz podjęcia odpowiednich działań.
Te wskazówki obejmują zalecenia dotyczące następujących scenariuszy:
- Wprowadzanie aplikacji SaaS do zarządzania IT
- Dostrajanie ochrony określonych aplikacji SaaS
- Skonfiguruj Microsoft Purview Data Loss Prevention (DLP), aby pomóc zapewnić zgodność z przepisami ochrony danych.
Wprowadzanie aplikacji SaaS do zarządzania IT
Pierwszym krokiem w korzystaniu z usługi Defender for Cloud Apps do zarządzania aplikacjami SaaS jest odnalezienie tych aplikacji, a następnie dodanie ich do organizacji firmy Microsoft Entra. Jeśli potrzebujesz pomocy dotyczącej odnajdywania, zobacz Odnajdywanie aplikacji SaaS i zarządzanie nimi w sieci. Po odnalezieniu aplikacji dodajcie je do organizacji Microsoft Entra.
Aby rozpocząć zarządzanie tymi aplikacjami, wykonaj następujące czynności:
- W usłudze Microsoft Entra ID utwórz nowe zasady dostępu warunkowego i skonfiguruj je do używania Conditional Access App Control. Ta konfiguracja przekierowuje żądanie do usługi Defender for Cloud Apps. Możesz utworzyć jedną zasadę i dodać wszystkie aplikacje SaaS do tych zasad.
- W usłudze Defender for Cloud Apps utwórz zasady sesji. Utwórz jedną zasadę dla każdej kontrolki, którą chcesz zastosować.
Uprawnienia do aplikacji SaaS są zwykle oparte na potrzebie biznesowej w celu uzyskania dostępu do aplikacji. Te uprawnienia mogą być wysoce dynamiczne. Korzystanie z zasad usługi Defender for Cloud Apps zapewnia ochronę danych aplikacji, niezależnie od tego, czy użytkownicy są przypisani do grupy firmy Microsoft Entra skojarzonej z punktem wyjścia, przedsiębiorstwem lub wyspecjalizowaną ochroną zabezpieczeń.
Aby chronić dane w kolekcji aplikacji SaaS, na poniższym diagramie przedstawiono niezbędne zasady dostępu warunkowego firmy Microsoft Entra oraz sugerowane zasady, które można utworzyć w usłudze Defender for Cloud Apps. W tym przykładzie zasady utworzone w usłudze Defender for Cloud Apps mają zastosowanie do wszystkich aplikacji SaaS, które zarządzasz. Te zasady są przeznaczone do stosowania odpowiednich kontrolek na podstawie tego, czy urządzenia są zarządzane, a także etykiet poufności, które są już używane w plikach.
W poniższej tabeli wymieniono nowe zasady dostępu warunkowego, które należy utworzyć w identyfikatorze Entra firmy Microsoft:
| Poziom ochrony | Polityka | Więcej informacji |
|---|---|---|
| Wszystkie poziomy ochrony | Używanie Kontroli Aplikacji Dostępu Warunkowego w usłudze Defender for Cloud Apps | Konfiguruje dostawcę tożsamości (Microsoft Entra ID) do pracy z usługą Defender for Cloud Apps. |
W następnej tabeli wymieniono przykładowe zasady z poprzedniej tabeli, które można utworzyć w celu ochrony wszystkich aplikacji SaaS. Pamiętaj, aby ocenić cele biznesowe, zabezpieczenia i zgodność, a następnie utworzyć zasady zapewniające najbardziej odpowiednią ochronę środowiska.
| Poziom ochrony | Polityka |
|---|---|
| Punkt początkowy | Monitorowanie ruchu z urządzeń niezarządzanych Dodawanie ochrony do pobierania plików z urządzeń niezarządzanych |
| Przedsiębiorstwo | Blokuj pobieranie plików oznaczonych etykietami poufnymi lub sklasyfikowanymi z urządzeń niezarządzanych (powoduje dostęp tylko do przeglądarki) |
| Wyspecjalizowane zabezpieczenia | Blokuj pobieranie plików oznaczonych etykietą sklasyfikowaną ze wszystkich urządzeń (powoduje dostęp tylko do przeglądarki) |
Aby uzyskać pełne instrukcje dotyczące konfigurowania Kontroli Aplikacji Dostępu Warunkowego, zobacz Kontrola Aplikacji Dostępu Warunkowego w usłudze Microsoft Defender for Cloud Apps. W tym artykule przedstawiono proces tworzenia niezbędnych zasad dostępu warunkowego w usłudze Microsoft Entra ID i testowania aplikacji SaaS.
Aby uzyskać więcej informacji, zobacz Protect apps with Microsoft Defender for Cloud Apps Conditional Access App Control.
Dostrajanie ochrony określonych aplikacji SaaS
Możesz zastosować inne funkcje monitorowania i kontrolek do określonych aplikacji SaaS, które można wykonać w usłudze Defender for Cloud Apps. Jeśli na przykład twoja organizacja intensywnie używa urządzenia Box, warto zastosować więcej kontrolek. Jeśli też twój dział prawny lub finansowy korzysta z określonej aplikacji SaaS na potrzeby poufnych danych biznesowych, możesz zastosować dodatkową ochronę tych aplikacji.
Można na przykład chronić środowisko usługi Box przy użyciu następujących typów wbudowanych szablonów zasad wykrywania anomalii :
- Działanie z anonimowych adresów IP
- Aktywność z rzadko występującego kraju/regionu
- Działanie z podejrzanych adresów IP
- Niemożliwa podróż
- Działanie wykonywane przez usuniętego użytkownika (wymaga Microsoft Entra ID jako IdP)
- Wykrywanie złośliwego oprogramowania
- Wiele nieudanych prób logowania
- Aktywność związana z ransomware
- Ryzykowna aplikacja OAuth
- Nietypowe działania związane z udostępnianiem plików
Szablony zasad wykrywania anomalii są regularnie dodawane. Aby zapoznać się z przykładami sposobu stosowania większej ochrony do określonych aplikacji, zobacz Connect apps w celu uzyskania widoczności i kontroli za pomocą usługi Microsoft Defender for Cloud Apps.
Jak usługa Defender for Cloud Apps pomaga chronić środowisko Box demonstruje typy kontroli, które mogą pomóc w ochronie danych biznesowych w Box i innych aplikacjach z danymi poufnymi.
Konfigurowanie DLP w celu zapewnienia zgodności z przepisami dotyczącymi ochrony danych
Usługa Defender for Cloud Apps może być cennym narzędziem do konfigurowania ochrony przepisów dotyczących zgodności. Utworzysz określone zasady, aby wyszukać regulowane dane i skonfigurować poszczególne zasady w celu podjęcia odpowiednich działań.
Poniższa ilustracja i tabela zawierają kilka przykładów zasad, które można skonfigurować w celu zapewnienia zgodności z ogólnym rozporządzeniem o ochronie danych (RODO). Na podstawie poufności danych każda zasada jest skonfigurowana do podejmowania odpowiednich działań.
| Poziom ochrony | Przykładowe zasady |
|---|---|
| Punkt początkowy | Alert, gdy pliki zawierające poufny typ informacji numer karty kredytowej są udostępniane poza organizacją. Blokuj pobieranie plików zawierających numer karty kredytowej typ informacji poufnych na urządzeniach niezarządzanych. |
| Przedsiębiorstwo | Zabezpiecz pobieranie plików zawierających wrażliwy typ informacji numer karty kredytowej na zarządzanych urządzeniach. Blokuj pobieranie plików zawierających numer karty kredytowej typ informacji poufnych na urządzeniach niezarządzanych. Alert po przekazaniu pliku z jedną z tych etykiet do usługi OneDrive lub Box: Dane Klienta, Kadry: Dane Dotyczące Wynagrodzeńlub Kadry: Dane Pracowników. |
| Wyspecjalizowane zabezpieczenia | Powiadomienie, gdy pliki z etykietą ściśle tajne zostaną pobrane na zarządzane urządzenia. Zablokuj pobieranie plików oznaczonych etykietą ściśle tajne na niezarządzane urządzenia. |
Następne kroki
Aby uzyskać więcej informacji na temat korzystania z usługi Defender for Cloud Apps, zobacz dokumentację usługi Microsoft Defender for Cloud Apps.