Описание Microsoft Defender for Cloud Apps

  • 6 мин

Приложения SaaS (программное обеспечение как услуга) повсеместно распространены в гибридных рабочих средах. Защита приложений SaaS и важных данных, которые они хранят, является серьезной проблемой для организаций. Увеличение объемов использования приложений в сочетании с доступом сотрудников к ресурсам компании за пределами корпоративного периметра также привел к появлению новых векторов атак. Для эффективной борьбы с этими атаками отделам безопасности требуется подход, который защитит их данные в облачных приложениях за пределами традиционной сферы работы брокеров безопасности доступа в облако (CASB).

Microsoft Defender for Cloud Apps обеспечивает полную защиту приложений SaaS, помогая отслеживать и защищать данные облачных приложений в следующих функциональных областях:

  • Основная функциональность брокера безопасного доступа в облако (CASB). CASB выступает в качестве привратника, обеспечивающего в реальном времени доступ между корпоративными пользователями и облачными ресурсами, которые они используют. CASB помогают организациям защищать свою среду, предоставляя широкий спектр возможностей в ключевых функциональных областях, включая обнаружение использования облачных приложений и теневых ИТ, защиту от угроз на основе приложений из любой точки облака, защиту информации и обеспечение соответствия требованиям.

  • Функции управления состоянием безопасности SaaS (SSPM) позволяют отделам безопасности улучшить состояние безопасности организации

  • Расширенная защита от угроз в рамках решения Майкрософт по расширенному обнаружению и реагированию (XDR) обеспечивает мощную корреляцию сигналов и видимости в комплексной поэтапной кибератаке на сложные атаки

  • Защита между приложениями, расширяющая основные сценарии угроз до приложений с поддержкой OAuth, имеющих разрешения и привилегии для критически важных данных и ресурсов.

Обнаружение приложений SaaS

Defender for Cloud Apps дает полное представление о рисках для вашей среды от использования и ресурсов приложений SaaS, а также дает контроль над тем, что используется и когда.

  • Определение. Defender for Cloud Apps использует данные, основанные на оценке сетевого трафика и обширном каталоге приложений, для идентификации приложений, к которым имеют доступ пользователи в пределах всей вашей организации.

  • Оценка. Оценивайте обнаруженные приложения по более чем 90 индикаторам риска, что позволит вам отсортировать обнаруженные приложения и оценить уровень безопасности и соответствия требованиям в вашей организации.

  • Управление. Настройте политики, отслеживающие приложения круглосуточно. Например, в случае аномального поведения, например необычного всплеска использования, вы автоматически получаете предупреждение и рекомендации к действию.

Защита информации

Defender for Cloud Apps подключается к приложениям SaaS для сканирования файлов, содержащих конфиденциальные данные, и определения того, какие данные где хранятся и кто имеет к ним доступ. Для защиты этих данных организации могут реализовать следующие элементы управления:

  • Применение метки конфиденциальности
  • Блокировка скачиваний на неуправляемое устройство
  • Удаление внешних участников совместной работы в конфиденциальных файлах

Интеграция Defender for Cloud Apps с Microsoft Purview также позволяет группам безопасности использовать встроенные типы классификации данных в политиках защиты информации и контролировать конфиденциальную информацию с помощью функций защиты от потери данных (DLP).

Управление состоянием безопасности SaaS (SSPM)

Оптимизация состояния безопасности организации важна, но перед отделами безопасности стоит сложная задача определения рекомендаций для каждого приложения в отдельности. Помощь Defender for Cloud Apps заключается в выявлении неправильных настроек и в рекомендации конкретных действий по улучшению состояния безопасности для каждого подключенного приложения. Рекомендации основаны на отраслевых стандартах, таких как Center for Internet Security, и соответствуют передовым практикам, установленным конкретным поставщиком приложений.

Defender for Cloud Apps автоматически предоставляет данные SSPM в оценке безопасности (Майкрософт) для любого поддерживаемого и подключенного приложения.

Расширенная защита от угроз

Облачные приложения по-прежнему являются целью для злоумышленников, пытающихся выкрасть корпоративные данные. Сложные атаки часто пересекают разные модальности. Атаки часто начинаются с электронной почты как наиболее распространенной точки входа, а затем распространяются далее, ставя под угрозу конечные точки и личные данные, прежде чем в конечном итоге получить доступ к данным в приложении.

Defender for Cloud Apps предлагает встроенный адаптивный контроль доступа (AAC), предоставляет анализ поведения пользователей и сущностей (UEBA) и помогает устранить эти типы атак.

Defender for Cloud Apps также напрямую интегрирован в Microsoft Defender XDR, сопоставляя сигналы расширенного обнаружения и реагирования (XDR) из пакета Microsoft Defender и предоставляя возможности обнаружения, исследования и эффективного реагирования на уровне инцидентов. Интеграция безопасности SaaS в XDR от Макрософт обеспечивает для команд SOC полную видимость цепочки действий и повышает операционную эффективность и результативность.

Защита между приложениями с помощью управления приложениями

OAuth, открытый стандарт проверки подлинности и авторизации на основе маркеров, позволяет сторонним службам использовать информацию об учетной записи пользователя, не раскрывая пароль пользователя. Приложения, использующие OAuth, часто имеют обширные разрешения на доступ к данным в других приложениях от имени пользователя, что делает приложения OAuth уязвимыми для угроз безопасности.

Defender for Cloud Apps закрывает брешь в безопасности приложений OAuth, помогая защитить обмен данными между приложениями с помощью управления приложениями. С помощью Defender for Cloud Apps вы можете отслеживать неиспользуемые приложения и отслеживать как текущие, так и просроченные учетные данные, чтобы управлять приложениями, используемыми в вашей организации, и поддерживать санацию приложений.

Microsoft Defender for Cloud Apps на портале Microsoft Defender

Microsoft Defender for Cloud Apps реализуется посредством портала Microsoft Defender. Портал Defender — это центральный узел мониторинга и управления безопасностью ваших удостоверений, данных, устройств, приложений и инфраструктуры Microsoft, что позволяет администраторам безопасности выполнять свои задачи безопасности в едином пункте.

Функциональные возможности Microsoft Defender for Cloud Apps доступны в блоке «Облачные приложения» на левой панели навигации на портале Microsoft Defender. Ниже перечислено подмножество поддерживаемых функций в данном решении.

  • Cloud discovery — определение использования облачных приложений в вашей среде.
  • Каталог облачных приложений — справочная информация об известных облачных приложениях.
  • Управление приложениями — получение детальной видимости и контроля над приложениями OAuth, интегрированными с Microsoft Entra ID, Google и Salesforce.
  • Журнал действий — просмотр всех действий, связанных с подключенными приложениями.
  • Журнал управления — просмотр действий, предпринятых для защиты облачных приложений.
  • Политики — настройка политик безопасности для облачных приложений.

На портале Microsoft Defender также доступны параметры, разрешения, инциденты и оповещения, отчеты и другие функции. Более подробная информация представлена в разделе «Описание портала Microsoft Defender», включенном в этот модуль.