Políticas recomendadas do Microsoft Defender for Cloud Apps para aplicativos SaaS
O Microsoft Defender for Cloud Apps baseia-se nas políticas de Acesso Condicional do Microsoft Entra para permitir o monitoramento e o controle em tempo real de ações granulares com aplicativos SaaS, como bloquear downloads, uploads, copiar e colar e imprimir. Esse recurso adiciona segurança às sessões que acarretam riscos inerentes, como quando recursos corporativos são acessados a partir de dispositivos não gerenciados ou por convidados.
O Defender for Cloud Apps também se integra nativamente ao Microsoft Purview Information Protection, fornecendo inspeção de conteúdo em tempo real para encontrar dados confidenciais com base em tipos de informações confidenciais e rótulos de confidencialidade e para tomar as medidas apropriadas.
Estas orientações incluem recomendações para estes cenários:
- Traga aplicativos SaaS para o gerenciamento de TI
- Ajuste a proteção para aplicativos SaaS específicos
- Configure o Microsoft Purview Data Loss Prevention (DLP) para ajudar a cumprir as regulamentações de proteção de dados
Traga aplicativos SaaS para o gerenciamento de TI
A primeira etapa para usar o Defender for Cloud Apps para gerenciar aplicativos SaaS é descobrir esses aplicativos e adicioná-los à sua organização do Microsoft Entra. Se precisar de ajuda com a descoberta, consulte Descobrir e gerir aplicações SaaS na sua rede. Depois de encontrar os aplicativos, adiciona-os à tua organização do Microsoft Entra.
Você pode começar a gerenciar esses aplicativos seguindo as seguintes etapas:
- No Microsoft Entra ID, crie uma nova política de Acesso Condicional e configure-a para usar Controle de Aplicativo de Acesso Condicional. Essa configuração redireciona a solicitação para o Defender for Cloud Apps. Você pode criar uma política e adicionar todos os aplicativos SaaS a essa política.
- Em Defender for Cloud Apps, crie políticas de sessão. Crie uma política para cada controle que você deseja aplicar.
As permissões para aplicativos SaaS geralmente são baseadas na necessidade comercial de acesso ao aplicativo. Essas permissões podem ser altamente dinâmicas. O uso das políticas do Defender for Cloud Apps garante proteção aos dados do aplicativo, independentemente de os usuários estarem atribuídos a um grupo do Microsoft Entra associado ao ponto de partida, à proteção corporativa ou à segurança especializada.
Para proteger os dados em toda a sua coleção de aplicativos SaaS, o diagrama a seguir ilustra a política de Acesso Condicional necessária do Microsoft Entra e as políticas sugeridas que você pode criar no Defender for Cloud Apps. Neste exemplo, as políticas criadas no Defender for Cloud Apps aplicam-se a todos os aplicativos SaaS que você está gerenciando. Essas políticas são projetadas para aplicar controles apropriados com base em se os dispositivos são gerenciados, bem como rótulos de confidencialidade que já são aplicados aos arquivos.
A tabela a seguir lista a nova política de Acesso Condicional que você deve criar no Microsoft Entra ID:
| Nível de proteção | Política | Mais informações |
|---|---|---|
| Todos os níveis de proteção | Usar o Controle de Aplicativo de Acesso Condicional no Defender for Cloud Apps | Configura seu IdP (ID do Microsoft Entra) para funcionar com o Defender for Cloud Apps. |
Esta próxima tabela lista as políticas de exemplo da tabela anterior que você pode criar para proteger todos os aplicativos SaaS. Certifique-se de avaliar seus objetivos de negócios, segurança e conformidade e, em seguida, crie políticas que forneçam a proteção mais apropriada para seu ambiente.
| Nível de proteção | Política |
|---|---|
| Ponto de partida | Monitore o tráfego de dispositivos não gerenciados Adicionar proteção a downloads de arquivos de dispositivos não gerenciados |
| Empresa | Bloquear o download de arquivos rotulados com confidenciais ou classificados de dispositivos não gerenciados (resulta em acesso apenas ao navegador) |
| Segurança especializada | Bloquear o download de arquivos rotulados como confidenciais em todos os dispositivos (acesso apenas pelo navegador) |
Para obter instruções completas sobre como configurar o Controle de Aplicativo de Acesso Condicional, consulte Controle de aplicativo de Acesso Condicional no Microsoft Defender for Cloud Apps. Este artigo orienta você pelo processo de criação da política de acesso condicional necessária no Microsoft Entra ID e teste seus aplicativos SaaS.
Para obter mais informações, consulte Proteger aplicações com o Controle de Aplicações de Acesso Condicional do Microsoft Defender for Cloud Apps.
Ajuste a proteção para aplicativos SaaS específicos
Talvez você queira aplicar outros controles e monitoramento a aplicativos SaaS específicos, o que você pode fazer no Defender for Cloud Apps. Por exemplo, se sua organização usa muito o Box, faz sentido aplicar mais controles. Ou, se o seu departamento jurídico ou financeiro estiver usando um aplicativo SaaS específico para dados comerciais confidenciais, você pode direcionar proteção extra para esses aplicativos.
Por exemplo, você pode proteger seu ambiente Box com os seguintes tipos de modelos internos de política de deteção de anomalias:
- Atividade de endereços IP anónimos
- Atividade de país/região pouco frequente
- Atividade de endereços IP suspeitos
- Viagens impossíveis
- Atividade realizada pelo usuário encerrado (requer ID do Microsoft Entra como IdP)
- Deteção de malware
- Várias tentativas de login com falha
- Atividade de ransomware
- Aplicativo OAuth arriscado
- Atividade de compartilhamento de arquivos incomum
Modelos de política de deteção de anomalias são adicionados regularmente. Para obter exemplos de como aplicar mais proteção a aplicativos específicos, consulte Connect apps para obter visibilidade e controle com o Microsoft Defender for Cloud Apps.
Como o Defender for Cloud Apps ajuda a proteger seu ambiente Box demonstra os tipos de controles que podem ajudá-lo a proteger seus dados corporativos no Box e em outros aplicativos com dados confidenciais.
Configurar DLP para ajudar a cumprir as regulamentações de proteção de dados
O Defender for Cloud Apps pode ser uma ferramenta valiosa para configurar a proteção para regulamentos de conformidade. Você cria políticas específicas para procurar dados regulamentados e configura cada política para tomar as medidas apropriadas.
A ilustração e a tabela a seguir fornecem vários exemplos de políticas que você pode configurar para ajudar a cumprir o Regulamento Geral sobre a Proteção de Dados (GDPR). Com base na sensibilidade dos dados, cada política é configurada para tomar as medidas apropriadas.
| Nível de proteção | Exemplos de políticas |
|---|---|
| Ponto de partida | Alerta quando ficheiros contendo o tipo de informação confidencial Número de Cartão de Crédito são partilhados fora da organização. Bloqueie downloads de arquivos que contenham o número de cartão de crédito tipo de informação confidencial para dispositivos não gerenciados. |
| Empresa | Proteja downloads de arquivos contendo o número de cartão de crédito tipo de informações confidenciais para dispositivos gerenciados. Bloqueie downloads de arquivos que contenham o número de cartão de crédito tipo de informação confidencial para dispositivos não gerenciados. Alertar quando um ficheiro com uma destas etiquetas for carregado para o OneDrive ou Box: Dados do Cliente, Recursos Humanos: Dados Salariais, ou Recursos Humanos, Dados de Funcionários. |
| Segurança especializada | Alerta quando ficheiros com a etiqueta Altamente confidencial são transferidos para dispositivos geridos. Bloqueie downloads de arquivos com o rótulo altamente classificados para dispositivos não gerenciados. |
Próximos passos
Para obter mais informações sobre como usar o Defender for Cloud Apps, consulte documentação do Microsoft Defender for Cloud Apps.