Rekommenderade Principer för Microsoft Defender för Cloud Apps för SaaS-appar
Microsoft Defender för Cloud Apps bygger på principer för villkorsstyrd åtkomst i Microsoft Entra för att möjliggöra övervakning och kontroll i realtid av detaljerade åtgärder med SaaS-appar, till exempel blockera nedladdningar, uppladdningar, kopiera och klistra in och skriva ut. Den här funktionen lägger till säkerhet för sessioner som medför inneboende risker, till exempel när företagsresurser nås från ohanterade enheter eller av gäster.
Defender for Cloud Apps integreras också internt med Microsoft Purview Information Protection, vilket ger innehållsgranskning i realtid för att hitta känsliga data baserat på typer av känslig information och känslighetsetiketter och vidta lämpliga åtgärder.
Den här vägledningen innehåller rekommendationer för dessa scenarier:
- Ta med SaaS-appar i IT-hantering
- Finjustera skydd för specifika SaaS-appar
- Konfigurera Microsoft Purview Data Loss Prevention (DLP) för att uppfylla dataskyddsreglerna
Ta med SaaS-appar i IT-hantering
Det första steget i att använda Defender för Cloud Apps för att hantera SaaS-appar är att identifiera dessa appar och sedan lägga till dem i din Microsoft Entra-organisation. Om du behöver hjälp med identifiering kan du läsa Identifiera och hantera SaaS-appar i nätverket. När du har upptäckt apparna , lägg till dem i din Microsoft Entra-organisation.
Du kan börja hantera dessa appar genom att göra följande:
- I Microsoft Entra-ID skapar du en ny princip för villkorsstyrd åtkomst och konfigurerar den så att den använder appkontroll för villkorsstyrd åtkomst. Den här konfigurationen omdirigerar begäran till Defender för Cloud Apps. Du kan skapa en princip och lägga till alla SaaS-appar i den här principen.
- Skapa sessionsprinciper i Defender för Cloud Apps. Skapa en princip för varje kontroll som du vill tillämpa.
Behörigheter till SaaS-appar baseras vanligtvis på företagets behov av åtkomst till appen. Dessa behörigheter kan vara mycket dynamiska. Användning av Defender för Molnappar-policyer säkerställer skydd för appdata, oavsett om användare tilldelas en Microsoft Entra-grupp som är associerad med startpunkts-, företagssäkerhets- eller specialiserat säkerhetsskydd.
För att skydda data i din samling av SaaS-appar illustrerar följande diagram den nödvändiga principen för villkorsstyrd åtkomst i Microsoft Entra plus föreslagna principer som du kan skapa i Defender för Cloud Apps. I det här exemplet gäller principerna som skapats i Defender för Molnappar för alla SaaS-appar som du hanterar. Dessa principer är utformade för att tillämpa lämpliga kontroller baserat på om enheter hanteras samt känslighetsetiketter som redan tillämpas på filer.
I följande tabell visas den nya principen för villkorsstyrd åtkomst som du måste skapa i Microsoft Entra-ID:
| Skyddsnivå | Politik | Mer information |
|---|---|---|
| Alla skyddsnivåer | Använd Villkorstyrd Åtkomstappkontroll i Defender för Cloud Apps | Konfigurerar din IdP (Microsoft Entra ID) för att fungera med Defender för Cloud Apps. |
I nästa tabell visas exempelprinciperna från föregående tabell som du kan skapa för att skydda alla SaaS-appar. Se till att utvärdera dina affärs-, säkerhets- och efterlevnadsmål och skapa sedan principer som ger det lämpligaste skyddet för din miljö.
| Skyddsnivå | Politik |
|---|---|
| Utgångspunkt | Övervaka trafik från ohanterade enheter Lägga till skydd för filnedladdningar från ohanterade enheter |
| Företag | Blockera nedladdning av filer märkta med känsliga eller klassificerade från ohanterade enheter (resulterar i endast åtkomst i webbläsaren) |
| Specialiserad säkerhet | Blockera nedladdning av filer som är märkta med klassificerade från alla enheter (resulterar i endast åtkomst i webbläsaren) |
Instruktioner för att konfigurera komplett appkontroll för villkorsstyrd åtkomst finns i avsnittet Appkontroll för villkorsstyrd åtkomst i Microsoft Defender för Cloud Apps. Den här artikeln beskriver hur du skapar den nödvändiga principen för villkorlig åtkomst i Microsoft Entra-ID och testar dina SaaS-appar.
Mer information finns i Skydda appar med Microsoft Defender for Cloud Apps med villkorsstyrd åtkomstappkontroll.
Finjustera skydd för specifika SaaS-appar
Du kanske vill använda andra övervaknings- och kontroller för specifika SaaS-appar, vilket du kan göra i Defender för Cloud Apps. Om din organisation till exempel använder boxen mycket är det klokt att tillämpa fler kontroller. Eller om din juridiska avdelning eller ekonomiavdelning använder en specifik SaaS-app för känsliga affärsdata kan du rikta in dig på extra skydd för dessa appar.
Du kan till exempel skydda din Box-miljö med följande typer av inbyggda principmallar för avvikelseidentifiering:
- Aktivitet från anonyma IP-adresser
- Aktivitet från sällan förekommande land/region
- Aktivitet från misstänkta IP-adresser
- Omöjlig resa
- Aktivitet som utförs av avslutad användare (kräver Microsoft Entra-ID som IdP)
- Identifiering av skadlig kod
- Flera misslyckade inloggningsförsök
- Aktivitet av utpressningstrojan
- Riskfylld OAuth-app
- Ovanlig fildelningsaktivitet
Principmallar för avvikelseidentifiering läggs till regelbundet. Exempel på hur du använder mer skydd för specifika appar finns i Connect-appar för att få synlighet och kontroll med Microsoft Defender för Cloud Apps.
Hur Defender för Molnappar hjälper dig att skydda din Box-miljö demonstrerar de typer av kontroller som kan hjälpa dig att skydda dina affärsdata i Box och andra appar med känsliga data.
Konfigurera DLP för att uppfylla dataskyddsreglerna
Defender för Cloud Apps kan vara ett värdefullt verktyg för att konfigurera skydd för efterlevnadsregler. Du skapar specifika principer för att söka efter reglerade data och konfigurera varje princip för att vidta lämpliga åtgärder.
Följande bild och tabell innehåller flera exempel på principer som du kan konfigurera för att följa GDPR (General Data Protection Regulation). Baserat på känsligheten för data är varje princip konfigurerad för att vidta lämpliga åtgärder.
| Skyddsnivå | Exempelprinciper |
|---|---|
| Utgångspunkt | Avisering när filer som innehåller kreditkortsnummer typ av känslig information delas utanför organisationen. Blockera nedladdningar av filer som innehåller kreditkortsnummer känslig informationstyp till ohanterade enheter. |
| Företag | Skydda nedladdningar av filer som innehåller kreditkortsnummer typ av känslig information till hanterade enheter. Blockera nedladdningar av filer som innehåller kreditkortsnummer typ av känslig information till ohanterade enheter. Avisering när en fil med någon av dessa etiketter laddas upp till OneDrive eller Box: Kunddata, Personalavdelningen: Lönedataeller Personalfrågor, Personaldata. |
| Specialiserad säkerhet | Avisering när filer med etiketten Högklassificerad laddas ned till hanterade enheter. Blockera nedladdningar av filer med etiketten Högt klassificerad till ohanterade enheter. |
Nästa steg
Mer information om hur du använder Defender för Cloud Apps finns i dokumentation om Microsoft Defender för Cloud Apps.