Políticas recomendadas do Microsoft Defender for Cloud Apps para aplicativos SaaS
O Microsoft Defender for Cloud Apps baseia-se nas políticas de Acesso Condicional do Microsoft Entra para permitir o monitoramento e o controle em tempo real de ações granulares com aplicativos SaaS, como bloquear downloads, uploads, copiar e colar e imprimir. Esse recurso adiciona segurança a sessões que carregam riscos inerentes, como quando recursos corporativos são acessados de dispositivos não gerenciados ou por usuários convidados.
O Defender for Cloud Apps também se integra nativamente ao Microsoft Purview Information Protection, fornecendo inspeção de conteúdo em tempo real para encontrar dados confidenciais com base em tipos de informações confidenciais e rótulos de confidencialidade e para tomar as medidas apropriadas.
Estas orientações incluem recomendações para estes cenários:
- Traga aplicativos SaaS para o gerenciamento de TI
- Ajuste a proteção para aplicativos SaaS específicos
- Configure a prevenção de perda de dados (DLP) do Microsoft Purview para ajudar a cumprir as regulamentações de proteção de dados
Traga aplicativos SaaS para o gerenciamento de TI
A primeira etapa para usar o Defender for Cloud Apps para gerenciar aplicativos SaaS é descobri-los e, em seguida, adicioná-los ao seu locatário do Microsoft Entra. Se precisar de ajuda com a descoberta, consulte Descobrir e gerenciar aplicativos SaaS em sua rede. Depois de descobrir aplicativos, adicione-os ao seu locatário do Microsoft Entra.
Você pode começar a gerenciá-los fazendo o seguinte:
- Primeiro, no Microsoft Entra ID, crie uma nova política de acesso condicional e configure-a para "Usar o Controle de Aplicativo de Acesso Condicional". Isso redireciona a solicitação para o Defender for Cloud Apps. Você pode criar uma política e adicionar todos os aplicativos SaaS a essa política.
- Em seguida, no Defender for Cloud Apps, crie políticas de sessão. Crie uma política para cada controle que você deseja aplicar.
As permissões para aplicativos SaaS geralmente são baseadas na necessidade comercial de acesso ao aplicativo. Essas permissões podem ser altamente dinâmicas. O uso das políticas do Defender for Cloud Apps garante proteção aos dados do aplicativo, independentemente de os usuários estarem atribuídos a um grupo do Microsoft Entra associado ao ponto de partida, à proteção corporativa ou à segurança especializada.
Para proteger os dados em toda a sua coleção de aplicativos SaaS, o diagrama a seguir ilustra a política de Acesso Condicional necessária do Microsoft Entra e as políticas sugeridas que você pode criar no Defender for Cloud Apps. Neste exemplo, as políticas criadas no Defender for Cloud Apps aplicam-se a todos os aplicativos SaaS que você está gerenciando. Eles são projetados para aplicar controles apropriados com base em se os dispositivos são gerenciados, bem como rótulos de sensibilidade que já são aplicados aos arquivos.
A tabela a seguir lista a nova política de acesso condicional que você deve criar no Microsoft Entra ID.
Nível de proteção | Política | Mais informações |
---|---|---|
Todos os níveis de proteção | Usar o Controle de Aplicativo de Acesso Condicional no Defender for Cloud Apps | Isso configura seu IdP (Microsoft Entra ID) para funcionar com o Defender for Cloud Apps. |
Esta próxima tabela lista as políticas de exemplo ilustradas acima que você pode criar para proteger todos os aplicativos SaaS. Certifique-se de avaliar seus próprios objetivos de negócios, segurança e conformidade e, em seguida, crie políticas que forneçam a proteção mais adequada para seu ambiente.
Nível de proteção | Política |
---|---|
Ponto de partida | Monitore o tráfego de dispositivos não gerenciados Adicionar proteção a downloads de arquivos de dispositivos não gerenciados |
Grandes Empresas | Bloquear o download de arquivos rotulados com confidenciais ou classificados de dispositivos não gerenciados (isso fornece acesso apenas ao navegador) |
Segurança especializada | Bloquear o download de arquivos rotulados com classificados de todos os dispositivos (isso fornece acesso apenas ao navegador) |
Para obter instruções completas sobre como configurar o Controle de Aplicativo de Acesso Condicional, consulte Implantar o Controle de Aplicativo de Acesso Condicional para aplicativos em destaque. Este artigo orienta você pelo processo de criação da política de acesso condicional necessária no Microsoft Entra ID e teste seus aplicativos SaaS.
Para obter mais informações, consulte Proteger aplicativos com o Controle de Aplicativo de Acesso Condicional do Microsoft Defender for Cloud Apps.
Ajuste a proteção para aplicativos SaaS específicos
Talvez você queira aplicar monitoramento e controles adicionais a aplicativos SaaS específicos em seu ambiente. O Defender for Cloud Apps permite que você faça isso. Por exemplo, se um aplicativo como o Box for muito usado em seu ambiente, faz sentido aplicar mais controles. Ou, se o seu departamento jurídico ou financeiro estiver usando um aplicativo SaaS específico para dados comerciais confidenciais, você pode direcionar proteção extra para esses aplicativos.
Por exemplo, você pode proteger seu ambiente Box com estes tipos de modelos de política de deteção de anomalias integrados:
- Atividade de endereços IP anónimos
- Atividade de país/região pouco frequente
- Atividade de endereços IP suspeitos
- Deslocação impossível
- Atividade realizada pelo usuário encerrado (requer ID do Microsoft Entra como IdP)
- Deteção de malware
- Várias tentativas de login com falha
- Atividade de ransomware
- Aplicativo Oauth arriscado
- Atividade de compartilhamento de arquivos incomum
Estes são exemplos. Modelos de política adicionais são adicionados regularmente. Para obter exemplos de como aplicar proteção adicional a aplicativos específicos, consulte Protegendo aplicativos conectados.
Como o Defender for Cloud Apps ajuda a proteger seu ambiente Box demonstra os tipos de controles que podem ajudá-lo a proteger seus dados corporativos no Box e em outros aplicativos com dados confidenciais.
Configurar a prevenção contra perda de dados (DLP) para ajudar a cumprir as regulamentações de proteção de dados
O Defender for Cloud Apps pode ser uma ferramenta valiosa para configurar a proteção para regulamentos de conformidade. Nesse caso, você cria políticas específicas para procurar dados específicos aos quais uma regulamentação se aplica e configura cada política para tomar as medidas apropriadas.
A ilustração e a tabela a seguir fornecem vários exemplos de políticas que podem ser configuradas para ajudar a cumprir o Regulamento Geral sobre a Proteção de Dados (RGPD). Nestes exemplos, as políticas procuram dados específicos. Com base na sensibilidade dos dados, cada política é configurada para tomar as medidas apropriadas.
Nível de proteção | Exemplos de políticas |
---|---|
Ponto de partida | Alertar quando arquivos contendo esse tipo de informação confidencial ("Número de Cartão de Crédito") forem compartilhados fora da organização Bloquear downloads de arquivos que contenham esse tipo de informação confidencial ("número de cartão de crédito") para dispositivos não gerenciados |
Grandes Empresas | Proteja downloads de arquivos que contenham esse tipo de informação confidencial ("número de cartão de crédito") para dispositivos gerenciados Bloquear downloads de arquivos que contenham esse tipo de informação confidencial ("número de cartão de crédito") para dispositivos não gerenciados Alertar quando um ficheiro com uma destas etiquetas é carregado para o OneDrive para Empresas ou Caixa (Dados do cliente, Recursos humanos: dados salariais, recursos humanos, dados dos funcionários) |
Segurança especializada | Alerta quando ficheiros com esta etiqueta ("Altamente classificado") são transferidos para dispositivos geridos Bloquear downloads de arquivos com este rótulo ("Altamente classificado") para dispositivos não gerenciados |
Próximos passos
Para obter mais informações sobre como usar o Defender for Cloud Apps, consulte a documentação do Microsoft Defender for Cloud Apps.