Udostępnij za pośrednictwem


Zalecane zasady usługi Microsoft Defender for Cloud Apps dla aplikacji SaaS

Usługa Microsoft Defender for Cloud Apps opiera się na zasadach dostępu warunkowego firmy Microsoft Entra, aby umożliwić monitorowanie i kontrolowanie szczegółowych akcji za pomocą aplikacji SaaS, takich jak blokowanie pobierania, przekazywania, kopiowania i wklejania oraz drukowania. Ta funkcja dodaje zabezpieczenia do sesji, które niosą ze sobą związane z ryzykiem, takie jak dostęp do zasobów firmowych z niezarządzanych urządzeń lub przez gości.

Usługa Defender for Cloud Apps integruje się również natywnie z usługą Microsoft Purview Information Protection, zapewniając inspekcję zawartości w czasie rzeczywistym w celu znalezienia poufnych danych na podstawie typów informacji poufnych i etykiet poufności oraz podjęcia odpowiednich działań.

Te wskazówki obejmują zalecenia dotyczące następujących scenariuszy:

  • Wprowadzanie aplikacji SaaS do zarządzania IT
  • Dostrajanie ochrony określonych aplikacji SaaS
  • Skonfiguruj Microsoft Purview Data Loss Prevention (DLP), aby pomóc zapewnić zgodność z przepisami ochrony danych.

Wprowadzanie aplikacji SaaS do zarządzania IT

Pierwszym krokiem w korzystaniu z usługi Defender for Cloud Apps do zarządzania aplikacjami SaaS jest odnalezienie tych aplikacji, a następnie dodanie ich do organizacji firmy Microsoft Entra. Jeśli potrzebujesz pomocy dotyczącej odnajdywania, zobacz Odnajdywanie aplikacji SaaS i zarządzanie nimi w sieci. Po odnalezieniu aplikacji dodajcie je do organizacji Microsoft Entra.

Aby rozpocząć zarządzanie tymi aplikacjami, wykonaj następujące czynności:

  1. W usłudze Microsoft Entra ID utwórz nowe zasady dostępu warunkowego i skonfiguruj je do używania Conditional Access App Control. Ta konfiguracja przekierowuje żądanie do usługi Defender for Cloud Apps. Możesz utworzyć jedną zasadę i dodać wszystkie aplikacje SaaS do tych zasad.
  2. W usłudze Defender for Cloud Apps utwórz zasady sesji. Utwórz jedną zasadę dla każdej kontrolki, którą chcesz zastosować.

Uprawnienia do aplikacji SaaS są zwykle oparte na potrzebie biznesowej w celu uzyskania dostępu do aplikacji. Te uprawnienia mogą być wysoce dynamiczne. Korzystanie z zasad usługi Defender for Cloud Apps zapewnia ochronę danych aplikacji, niezależnie od tego, czy użytkownicy są przypisani do grupy firmy Microsoft Entra skojarzonej z punktem wyjścia, przedsiębiorstwem lub wyspecjalizowaną ochroną zabezpieczeń.

Aby chronić dane w kolekcji aplikacji SaaS, na poniższym diagramie przedstawiono niezbędne zasady dostępu warunkowego firmy Microsoft Entra oraz sugerowane zasady, które można utworzyć w usłudze Defender for Cloud Apps. W tym przykładzie zasady utworzone w usłudze Defender for Cloud Apps mają zastosowanie do wszystkich aplikacji SaaS, które zarządzasz. Te zasady są przeznaczone do stosowania odpowiednich kontrolek na podstawie tego, czy urządzenia są zarządzane, a także etykiet poufności, które są już używane w plikach.

Diagram przedstawiający zasady zarządzania aplikacjami SaaS w usłudze Defender for Cloud Apps.

W poniższej tabeli wymieniono nowe zasady dostępu warunkowego, które należy utworzyć w identyfikatorze Entra firmy Microsoft:

Poziom ochrony Polityka Więcej informacji
Wszystkie poziomy ochrony Używanie Kontroli Aplikacji Dostępu Warunkowego w usłudze Defender for Cloud Apps Konfiguruje dostawcę tożsamości (Microsoft Entra ID) do pracy z usługą Defender for Cloud Apps.

W następnej tabeli wymieniono przykładowe zasady z poprzedniej tabeli, które można utworzyć w celu ochrony wszystkich aplikacji SaaS. Pamiętaj, aby ocenić cele biznesowe, zabezpieczenia i zgodność, a następnie utworzyć zasady zapewniające najbardziej odpowiednią ochronę środowiska.

Poziom ochrony Polityka
Punkt początkowy Monitorowanie ruchu z urządzeń niezarządzanych

Dodawanie ochrony do pobierania plików z urządzeń niezarządzanych
Przedsiębiorstwo Blokuj pobieranie plików oznaczonych etykietami poufnymi lub sklasyfikowanymi z urządzeń niezarządzanych (powoduje dostęp tylko do przeglądarki)
Wyspecjalizowane zabezpieczenia Blokuj pobieranie plików oznaczonych etykietą sklasyfikowaną ze wszystkich urządzeń (powoduje dostęp tylko do przeglądarki)

Aby uzyskać pełne instrukcje dotyczące konfigurowania Kontroli Aplikacji Dostępu Warunkowego, zobacz Kontrola Aplikacji Dostępu Warunkowego w usłudze Microsoft Defender for Cloud Apps. W tym artykule przedstawiono proces tworzenia niezbędnych zasad dostępu warunkowego w usłudze Microsoft Entra ID i testowania aplikacji SaaS.

Aby uzyskać więcej informacji, zobacz Protect apps with Microsoft Defender for Cloud Apps Conditional Access App Control.

Dostrajanie ochrony określonych aplikacji SaaS

Możesz zastosować inne funkcje monitorowania i kontrolek do określonych aplikacji SaaS, które można wykonać w usłudze Defender for Cloud Apps. Jeśli na przykład twoja organizacja intensywnie używa urządzenia Box, warto zastosować więcej kontrolek. Jeśli też twój dział prawny lub finansowy korzysta z określonej aplikacji SaaS na potrzeby poufnych danych biznesowych, możesz zastosować dodatkową ochronę tych aplikacji.

Można na przykład chronić środowisko usługi Box przy użyciu następujących typów wbudowanych szablonów zasad wykrywania anomalii :

  • Działanie z anonimowych adresów IP
  • Aktywność z rzadko występującego kraju/regionu
  • Działanie z podejrzanych adresów IP
  • Niemożliwa podróż
  • Działanie wykonywane przez usuniętego użytkownika (wymaga Microsoft Entra ID jako IdP)
  • Wykrywanie złośliwego oprogramowania
  • Wiele nieudanych prób logowania
  • Aktywność związana z ransomware
  • Ryzykowna aplikacja OAuth
  • Nietypowe działania związane z udostępnianiem plików

Szablony zasad wykrywania anomalii są regularnie dodawane. Aby zapoznać się z przykładami sposobu stosowania większej ochrony do określonych aplikacji, zobacz Connect apps w celu uzyskania widoczności i kontroli za pomocą usługi Microsoft Defender for Cloud Apps.

Jak usługa Defender for Cloud Apps pomaga chronić środowisko Box demonstruje typy kontroli, które mogą pomóc w ochronie danych biznesowych w Box i innych aplikacjach z danymi poufnymi.

Konfigurowanie DLP w celu zapewnienia zgodności z przepisami dotyczącymi ochrony danych

Usługa Defender for Cloud Apps może być cennym narzędziem do konfigurowania ochrony przepisów dotyczących zgodności. Utworzysz określone zasady, aby wyszukać regulowane dane i skonfigurować poszczególne zasady w celu podjęcia odpowiednich działań.

Poniższa ilustracja i tabela zawierają kilka przykładów zasad, które można skonfigurować w celu zapewnienia zgodności z ogólnym rozporządzeniem o ochronie danych (RODO). Na podstawie poufności danych każda zasada jest skonfigurowana do podejmowania odpowiednich działań.

Diagram przedstawiający zasady usługi Defender for Cloud Apps na potrzeby ochrony przed utratą danych.

Poziom ochrony Przykładowe zasady
Punkt początkowy Alert, gdy pliki zawierające poufny typ informacji numer karty kredytowej są udostępniane poza organizacją.

Blokuj pobieranie plików zawierających numer karty kredytowej typ informacji poufnych na urządzeniach niezarządzanych.
Przedsiębiorstwo Zabezpiecz pobieranie plików zawierających wrażliwy typ informacji numer karty kredytowej na zarządzanych urządzeniach.

Blokuj pobieranie plików zawierających numer karty kredytowej typ informacji poufnych na urządzeniach niezarządzanych.

Alert po przekazaniu pliku z jedną z tych etykiet do usługi OneDrive lub Box: Dane Klienta, Kadry: Dane Dotyczące Wynagrodzeńlub Kadry: Dane Pracowników.
Wyspecjalizowane zabezpieczenia Powiadomienie, gdy pliki z etykietą ściśle tajne zostaną pobrane na zarządzane urządzenia.

Zablokuj pobieranie plików oznaczonych etykietą ściśle tajne na niezarządzane urządzenia.

Następne kroki

Aby uzyskać więcej informacji na temat korzystania z usługi Defender for Cloud Apps, zobacz dokumentację usługi Microsoft Defender for Cloud Apps.