Doporučené zásady Microsoft Defenderu for Cloud Apps pro aplikace SaaS
Microsoft Defender for Cloud Apps staví na zásadách podmíněného přístupu Microsoft Entra, které umožňují monitorování v reálném čase a kontrolu nad podrobnými akcemi s aplikacemi SaaS, jako jsou blokování stahování, nahrávání, kopírování a vkládání a tisku. Tato funkce přidává zabezpečení k relacím, které nesou vlastní riziko, jako je například přístup k podnikovým prostředkům z nespravovaných zařízení nebo uživatelů typu host.
Defender for Cloud Apps se také nativně integruje se službou Microsoft Purview Information Protection a poskytuje kontrolu obsahu v reálném čase za účelem vyhledání citlivých dat na základě typů citlivých informací a popisků citlivosti a provedení vhodných akcí.
Tyto pokyny zahrnují doporučení pro tyto scénáře:
- Přenesení aplikací SaaS do správy IT
- Ladění ochrany pro konkrétní aplikace SaaS
- Konfigurace ochrany před únikem informací (DLP) v Microsoft Purview, která pomáhá dodržovat předpisy ochrany dat
Přenesení aplikací SaaS do správy IT
Prvním krokem při používání Defenderu pro Cloud Apps ke správě aplikací SaaS je zjistit je a pak je přidat do tenanta Microsoft Entra. Pokud potřebujete pomoc se zjišťováním, přečtěte si téma Zjišťování a správa aplikací SaaS ve vaší síti. Po zjištění aplikací je přidejte do tenanta Microsoft Entra.
Tyto možnosti můžete začít spravovat následujícím způsobem:
- Nejprve v Microsoft Entra ID vytvořte novou zásadu podmíněného přístupu a nakonfigurujte ji tak, aby používala řízení podmíněného přístupu k aplikacím. Tím se požadavek přesměruje na Defender for Cloud Apps. Můžete vytvořit jednu zásadu a přidat do této zásady všechny aplikace SaaS.
- Dále v programu Defender for Cloud Apps vytvořte zásady relací. Vytvořte jednu zásadu pro každý ovládací prvek, který chcete použít.
Oprávnění k aplikacím SaaS jsou obvykle založená na potřebě firmy pro přístup k aplikaci. Tato oprávnění můžou být vysoce dynamická. Použití zásad Defenderu pro Cloud Apps zajišťuje ochranu dat aplikací bez ohledu na to, jestli jsou uživatelé přiřazeni ke skupině Microsoft Entra přidružené k výchozímu bodu, podniku nebo specializované ochraně zabezpečení.
Pokud chcete chránit data napříč kolekcí aplikací SaaS, následující diagram znázorňuje nezbytné zásady podmíněného přístupu Microsoft Entra a navrhované zásady, které můžete vytvořit v Defenderu pro Cloud Apps. V tomto příkladu se zásady vytvořené v Defenderu pro Cloud Apps vztahují na všechny aplikace SaaS, které spravujete. Ty jsou navržené tak, aby používaly vhodné ovládací prvky na základě toho, jestli jsou zařízení spravovaná, a popisky citlivosti, které jsou už použity u souborů.
Následující tabulka uvádí nové zásady podmíněného přístupu, které je nutné vytvořit v MICROSOFT Entra ID.
| Úroveň ochrany | Zásady | Více informací |
|---|---|---|
| Všechny úrovně ochrany | Použití řízení podmíněného přístupu k aplikacím v defenderu for Cloud Apps | Tím se váš zprostředkovatele identity (Microsoft Entra ID) nakonfiguruje tak, aby fungoval s Programem Defender for Cloud Apps. |
V následující tabulce jsou uvedené ukázkové zásady, které vidíte výše, které můžete vytvořit pro ochranu všech aplikací SaaS. Nezapomeňte vyhodnotit vlastní obchodní, bezpečnostní a dodržování předpisů a pak vytvořit zásady, které poskytují nejvhodnější ochranu pro vaše prostředí.
| Úroveň ochrany | Zásady |
|---|---|
| Bodem | Monitorování provozu z nespravovaných zařízení Přidání ochrany ke stažení souborů z nespravovaných zařízení |
| Enterprise | Blokování stahování souborů označených citlivými nebo klasifikovanými z nespravovaných zařízení (to poskytuje přístup jenom v prohlížeči) |
| Specializované zabezpečení | Blokování stahování souborů označených klasifikovanými ze všech zařízení (to poskytuje přístup pouze v prohlížeči) |
Kompletní pokyny k nastavení řízení podmíněného přístupu k aplikacím najdete v tématu Nasazení řízení podmíněného přístupu k aplikacím pro doporučené aplikace. Tento článek vás provede procesem vytvoření nezbytných zásad podmíněného přístupu v Microsoft Entra ID a testování aplikací SaaS.
Další informace najdete v tématu Ochrana aplikací pomocí Programu Microsoft Defender for Cloud Apps – Řízení podmíněného přístupu k aplikacím.
Ladění ochrany pro konkrétní aplikace SaaS
Možná budete chtít použít další monitorování a ovládací prvky pro konkrétní aplikace SaaS ve vašem prostředí. Defender for Cloud Apps vám to umožňuje dosáhnout. Pokud se například aplikace, jako je Box, používá ve vašem prostředí hodně, je vhodné použít více ovládacích prvků. Nebo pokud vaše právní nebo finanční oddělení používá pro citlivá obchodní data konkrétní aplikaci SaaS, můžete na tyto aplikace cílit další ochranu.
Prostředí Boxu můžete například chránit pomocí těchto typů předdefinovaných šablon zásad detekce anomálií:
- Aktivita z anonymních IP adres
- Aktivita z občasné země nebo oblasti
- Aktivita z podezřelých IP adres
- Neuskutečnitelná cesta
- Aktivita prováděná ukončeným uživatelem (vyžaduje ID Microsoft Entra jako zprostředkovatele identity)
- Detekce malwaru
- Několik neúspěšných pokusů o přihlášení
- Aktivita ransomwaru
- Riziková aplikace Oauth
- Neobvyklá aktivita sdílené složky
Toto jsou příklady. Další šablony zásad se pravidelně přidávají. Příklady použití další ochrany pro konkrétní aplikace najdete v tématu Ochrana připojených aplikací.
Jak Defender for Cloud Apps pomáhá chránit prostředí Boxu, ukazuje typy ovládacích prvků, které vám můžou pomoct chránit obchodní data v Boxu a dalších aplikacích s citlivými daty.
Konfigurace ochrany před únikem informací (DLP) pro zajištění souladu s předpisy ochrany dat
Defender for Cloud Apps může být cenným nástrojem pro konfiguraci ochrany předpisů dodržování předpisů. V takovém případě vytvoříte konkrétní zásady, které vyhledávají konkrétní data, která se vztahují k předpisům, a nakonfigurujete je tak, aby podnikly příslušné akce.
Následující obrázek a tabulka obsahují několik příkladů zásad, které je možné nakonfigurovat tak, aby pomohly dodržovat obecné nařízení o ochraně osobních údajů (GDPR). V těchto příkladech zásady vyhledávají konkrétní data. Na základě citlivosti dat se každá zásada nakonfiguruje tak, aby podnikla odpovídající akce.
| Úroveň ochrany | Ukázkové zásady |
|---|---|
| Bodem | Výstraha při sdílení souborů obsahujících tento typ citlivých informací (číslo platební karty) mimo organizaci Blokování stahování souborů obsahujících tento typ citlivých informací (číslo platební karty) do nespravovaných zařízení |
| Enterprise | Ochrana stahování souborů obsahujících tento typ citlivých informací (číslo platební karty) do spravovaných zařízení Blokování stahování souborů obsahujících tento typ citlivých informací (číslo platební karty) do nespravovaných zařízení Upozornění, když se soubor s těmito popisky nahraje do OneDrive pro firmy nebo Boxu (zákaznická data, lidské zdroje: data platu, lidské zdroje, data zaměstnanců) |
| Specializované zabezpečení | Upozornění, když se soubory s tímto popiskem ("Vysoce klasifikované") stáhnou do spravovaných zařízení Blokování stahování souborů s tímto popiskem (vysoce klasifikovaných) na nespravovaná zařízení |
Další kroky
Další informace o používání programu Defender for Cloud Apps najdete v dokumentaci k Programu Microsoft Defender for Cloud Apps.