Поделиться через

Никому не доверяй и Microsoft Defender for Cloud Apps

  • Статья

"Никому не доверяй" — это стратегия безопасности для разработки и реализации следующих наборов принципов безопасности:

Выполняйте проверку явным образом. Руководствуйтесь принципом минимальных прав. Предполагайте наличие бреши в системе безопасности
Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. Ограничьте доступ пользователей с помощью JIT/JEA, адаптивных политик на основе рисков и защиты данных. Сведите к минимуму радиус взрыва и доступ к сегментам. Проверьте сквозное шифрование и используйте аналитику, чтобы получить представление о ситуации, выявить угрозы и улучшить защиту.

Microsoft Defender для облачных приложений является основным компонентом стратегии "Никому не доверяй" и развертывания XDR с Microsoft Defender XDR. Microsoft Defender for Cloud Apps собирает сигналы об использовании облачных приложений в организации и защищает данные, передаваемые между вашей средой и этими приложениями, включая санкционированные и несанкционированные облачные приложения. Например, Microsoft Defender for Cloud Apps замечает аномальное поведение, такое как невозможное перемещение, доступ к учетным данным, а также необычные действия по скачиванию, общей папке или пересылке почты, и сообщает об этом группе безопасности для устранения рисков.

Мониторинг для "Никому не доверяй"

При мониторинге "Никому не доверяй" используйте Defender for Cloud Apps для обнаружения и защиты приложений SaaS, используемых в организации, и развертывания политик, определяющих поведение пользователей в облаке.

Реагирование на угрозы с помощью аналитики поведения пользователей и сущностей Defender for Cloud Apps (UEBA) и обнаружения аномалий, защиты от вредоносных программ, защиты приложений OAuth, исследования инцидентов и исправления. Мониторинг оповещений об аномалиях безопасности, таких как невозможное перемещение, подозрительные правила папки "Входящие" и программы-шантажисты. Сосредоточьтесь на определении шаблонов использования приложений, оценке уровней риска и готовности бизнеса приложений, предотвращении утечек данных в несоответствующих приложениях и ограничении доступа к регулируемым данным.

Используйте Defender for Cloud Apps, чтобы сообщить Microsoft Entra ID о том, что произошло с пользователем после проверки подлинности и получения маркера. Если шаблон пользователя начинает выглядеть подозрительно, например, если пользователь начинает скачивать гигабайты данных из OneDrive или отправлять спам в Exchange Online, уведомите Microsoft Entra ID о том, что пользователь скомпрометирован или высокий риск. При следующем запросе на доступ от этого пользователя Microsoft Entra ID могут правильно проверить пользователя или заблокировать его.

Безопасность IaaS и PaaS

Помимо приложений SaaS, Defender for Cloud Apps помогает повысить уровень безопасности для служб IaaS и PaaS, получая представление о конфигурации безопасности и состоянии соответствия требованиям на общедоступных облачных платформах. Это позволяет провести анализ состояния конфигурации платформы на основе рисков. Интегрируйте Microsoft Purview с Defender for Cloud Apps, чтобы помечать приложения и защитить данные в приложениях, предотвращая непреднамеренное воздействие конфиденциальной информации.

Дальнейшие действия

Узнайте больше о "Никому не доверяй", а также о том, как создать стратегию и архитектуру корпоративного уровня с помощью Центра руководства по принципу "Никому не доверяй".

Основные понятия и цели развертывания, ориентированные на приложения, см. в статье Защита приложений с использованием принципа "Никому не доверяй".

Дополнительные политики "Никому не доверяй" и рекомендации для приложений см. в следующих статьях:

Узнайте больше о других возможностях Microsoft 365, которые способствуют реализации стратегии и архитектуры "Никому не доверяй" с планом развертывания "Никому не доверяй" в Microsoft 365.

Общие сведения об "Никому не доверяй" для служб Microsoft Defender XDR см. в статье Никому не доверяйте с помощью Microsoft Defender XDR.