Рекомендуемые политики Microsoft Defender для облачных приложений для приложений SaaS
Microsoft Defender для облачных приложений основывается на политиках условного доступа Microsoft Entra, чтобы обеспечить мониторинг и управление подробными действиями с приложениями SaaS, такими как блокировка загрузки, отправка, копирование и вставка, а также печать. Эта функция добавляет безопасность к сеансам, которые несут внутренний риск, например, когда корпоративные ресурсы получают доступ с неуправляемых устройств или гостей.
Defender для облачных приложений также интегрируется изначально с Microsoft Purview Information Protection, предоставляя проверку содержимого в режиме реального времени для поиска конфиденциальных данных на основе типов конфиденциальной информации и меток конфиденциальности и принятия соответствующих мер.
В этом руководстве содержатся рекомендации по этим сценариям:
- Перенос приложений SaaS в ит-управление
- Настройка защиты для определенных приложений SaaS
- Настройка защиты от потери данных (DLP) Microsoft Purview для обеспечения соответствия нормативным требованиям по защите данных
Перенос приложений SaaS в ит-управление
Первым шагом в использовании Defender для облачных приложений для управления приложениями SaaS является обнаружение этих приложений и их добавление в организацию Microsoft Entra. Если вам нужна помощь в обнаружении, ознакомьтесь с Обнаружение приложений SaaS и управление ими в сети. После того как вы обнаружите приложения , добавьте их в организацию Microsoft Entra.
Вы можете начать управлять этими приложениями, выполнив следующие действия.
- В Microsoft Entra ID создайте новую политику условного доступа и настройте ее для использования Контроль приложений условного доступа. Эта конфигурация перенаправляет запрос в Defender для облачных приложений. Вы можете создать одну политику и добавить все приложения SaaS в эту политику.
- В Defender для облачных приложений создайте политики сеансов. Создайте одну политику для каждого элемента управления, который вы хотите применить.
Разрешения для приложений SaaS обычно основаны на бизнес-потребности в доступе к приложению. Эти разрешения могут быть очень динамическими. Использование политик Defender для облачных приложений обеспечивает защиту данных приложений независимо от того, назначены ли пользователи группе Microsoft Entra, связанной с отправной точкой, предприятием или специализированной защитой безопасности.
Чтобы защитить данные в коллекции приложений SaaS, на следующей схеме показана необходимая политика условного доступа Microsoft Entra и предлагаемые политики, которые можно создать в Defender для облачных приложений. В этом примере политики, созданные в Defender для облачных приложений, применяются ко всем приложениям SaaS, которые вы управляете. Эти политики предназначены для применения соответствующих элементов управления на основе того, управляются ли устройства, а также метки конфиденциальности, которые уже применяются к файлам.
В следующей таблице перечислены новые политики условного доступа, которые необходимо создать в идентификаторе Microsoft Entra ID:
| Уровень защиты | Политика | Дополнительные сведения |
|---|---|---|
| Все уровни защиты | Использовать Управление Приложениями Условного Доступа в Microsoft Defender для Облачных Приложений | Настраивает идентификатор поставщика удостоверений (Идентификатор Microsoft Entra) для работы с Defender для облачных приложений. |
В следующей таблице перечислены примеры политик из предыдущей таблицы, которые можно создать для защиты всех приложений SaaS. Не забудьте оценить цели бизнеса, безопасности и соответствия требованиям, а затем создавать политики, которые обеспечивают наиболее подходящую защиту для вашей среды.
| Уровень защиты | Политика |
|---|---|
| Начальная точка | Мониторинг трафика с неуправляемых устройств Добавление защиты к скачиванию файлов с неуправляемых устройств |
| Предприятие | Блокировать скачивание файлов, помеченных конфиденциальными или классифицированными с неуправляемых устройств (приводит к доступу только в браузере) |
| Специализированная безопасность | Блокировать скачивание файлов, помеченных классифицированными со всех устройств (приводит к доступу только в браузере) |
Полные инструкции по настройке управления приложениями с условным доступом см. в разделе Условное управление доступом в Microsoft Defender для облачных приложений. В этой статье описывается процесс создания необходимой политики условного доступа в идентификаторе Microsoft Entra и тестировании приложений SaaS.
Дополнительные сведения см. в статье Защита приложений с помощью средства условного доступа к приложениям Microsoft Defender для облачных приложений.
Настройка защиты для определенных приложений SaaS
Вы можете применить другие элементы мониторинга и управления к определенным приложениям SaaS, которые можно сделать в Defender для облачных приложений. Например, если ваша организация в значительной степени использует Box, имеет смысл применить дополнительные элементы управления. Кроме того, если ваш юридический отдел или отдел финансов использует конкретное приложение SaaS для конфиденциальных бизнес-данных, вы можете настроить дополнительную защиту для этих приложений.
Например, вы можете защитить вашу среду Box с помощью следующих типов встроенных политик обнаружения аномалий :.
- Действие из анонимных IP-адресов
- Активность из редкой страны или региона
- Действие с подозрительных IP-адресов
- Невозможное путешествие
- Действие, выполненное пользователем, учетная запись которого была отключена (требуется ID Microsoft Entra в качестве поставщика удостоверений)
- Обнаружение вредоносных программ
- Несколько неудачных попыток входа
- Активность вымогательского ПО
- Опасное приложение OAuth
- Необычная активность обмена файлами
Шаблоны политик обнаружения аномалий добавляются регулярно. Примеры применения дополнительной защиты к определенным приложениям см. в статье Connect для получения видимости и управления с помощью Microsoft Defender для облачных приложений.
Как Defender для облачных приложений помогает защитить среду Box демонстрирует типы элементов управления, которые помогут защитить бизнес-данные в Box и других приложениях с конфиденциальными данными.
Настройте DLP для соблюдения нормативных требований по защите данных
Defender для облачных приложений может быть ценным инструментом для настройки защиты нормативных требований. Вы создаете определенные политики для поиска регулируемых данных и настройки каждой политики для принятия соответствующих действий.
На следующем рисунке и таблице приведены несколько примеров политик, которые можно настроить для соблюдения общего регламента по защите данных (GDPR). На основе чувствительности данных каждая политика настроена таким образом, чтобы предпринять соответствующие действия.
| Уровень защиты | Примеры политик |
|---|---|
| Начальная точка | Оповещение о том, что файлы, содержащие номер кредитной карты тип конфиденциальной информации, предоставляются за пределами организации. Блокировать загрузку файлов, содержащих номер кредитной карты () и тип конфиденциальной информации, на неуправляемые устройства. |
| Предприятие | Защитите скачивание файлов с номером кредитной карты , относящихся к типу конфиденциальной информации, на управляемых устройствах. Блокировать скачивание на неуправляемые устройства файлов, содержащих номер кредитной карты и тип конфиденциальной информации. Оповещение при отправке файла с одной из этих меток в OneDrive или Box: данные клиента, кадровые ресурсы: данные заработной платыили кадровые ресурсы, данные сотрудников. |
| Специализированная безопасность | Оповещение о том, что файлы с меткой высшей категории загружаются на управляемые устройства. Блокировать скачивание файлов с меткой строгой секретности на неуправляемые устройства. |
Дальнейшие действия
Дополнительные сведения об использовании Defender для облачных приложений см. в документации по Microsoft Defender для облачных приложений.