Stratégies Microsoft Defender for Cloud Apps recommandées pour les applications SaaS
Les applications Microsoft Defender pour le cloud s'appuient sur les politiques d'accès conditionnel de Microsoft Entra pour permettre la surveillance et le contrôle en temps réel d'actions granulaires avec les applications SaaS, telles que le blocage des téléchargements, des téléchargements, du copier-coller et de l'impression. Cette fonction renforce la sécurité des sessions qui comportent un risque inhérent, par exemple lorsque les ressources de l'entreprise sont accessibles à partir d'appareils non gérés ou par des utilisateurs invités.
Defender for Cloud Apps s'intègre également de manière native à Microsoft Purview Information Protection, fournissant une inspection du contenu en temps réel pour trouver les données sensibles en fonction des types d'informations sensibles et des étiquettes de sensibilité, et pour prendre les mesures appropriées.
Le présent document d'orientation contient des suggestions pour ces scénarios :
- Intégrer les applications SaaS dans la gestion informatique
- Ajuster la protection pour des applications SaaS spécifiques
- Configurer la prévention des pertes de données (DLP) de Microsoft Purview pour aider à se conformer aux réglementations en matière de protection des données
Intégrer les applications SaaS dans la gestion informatique
La première étape de l'utilisation de Defender for Cloud Apps pour gérer les applications SaaS consiste à les découvrir et à les ajouter à votre locataire Microsoft Entra. Si vous avez besoin d’aide pour la découverte, consultez Découvrir et gérer des applications SaaS dans votre réseau. Une fois que vous avez découvert des applications, ajoutez-les à votre locataire Microsoft Entra.
Vous pouvez commencer à les gérer en procédant comme suit :
- Tout d'abord, dans Microsoft Entra ID, créez une nouvelle politique d'accès conditionnel et configurez-la pour « Utiliser le contrôle d'application par accès conditionnel ». Cela redirige la requête vers les applications Defender pour le cloud. Vous pouvez créer une politique et y ajouter toutes les applications SaaS.
- Ensuite, dans les applications Microsoft Defender pour le cloud, créez des politiques de session. Créez une politique pour chaque contrôle que vous souhaitez appliquer.
Les autorisations d'accès aux applications SaaS sont généralement basées sur les besoins de l'entreprise en matière d'accès à l'application. Ces autorisations peuvent être très dynamiques. L'utilisation des stratégies Defender for Cloud Apps garantit la protection des données des applications, que les utilisateurs soient affectés à un groupe Microsoft Entra associé à un point de départ, à une entreprise ou à une protection de sécurité spécialisée.
Pour protéger les données de votre collection d'applications SaaS, le diagramme suivant illustre la politique d'accès conditionnel Microsoft Entra nécessaire ainsi que les politiques suggérées que vous pouvez créer dans Defender for Cloud Apps. Dans cet exemple, les règles créées dans les applications Microsoft Defender pour le cloud s'appliquent à toutes les applications SaaS que vous gérez. Celles-ci sont conçues pour appliquer des contrôles appropriés en fonction de la gestion des dispositifs et des labels de sensibilité déjà appliqués aux fichiers.
Le tableau suivant liste les nouvelles stratégies d’accès conditionnelles que vous devez créer dans Microsoft Entra ID.
| Niveau de protection | Stratégie | Plus d’informations |
|---|---|---|
| Tous les niveaux de protection | Utiliser un contrôle d'application par accès conditionnel dans les applications Defender pour le cloud | Cela configure votre IdP (Microsoft Entra ID) pour qu’il fonctionne avec les applications Defender pour le cloud. |
Le tableau suivant répertorie les exemples de politiques illustrés ci-dessus que vous pouvez créer pour protéger toutes les applications SaaS. Veillez à évaluer vos propres objectifs en matière d'activité, de sécurité et de conformité, puis créez des politiques offrant la protection la plus appropriée à votre environnement.
| Niveau de protection | Stratégie |
|---|---|
| Point de départ | Surveiller le trafic provenant de dispositifs non gérés Ajouter une protection aux téléchargements de fichiers à partir d’appareils non gérés |
| Enterprise | Bloquer le téléchargement de fichiers étiquetés comme sensibles ou classifiés à partir d'appareils non gérés (accès par navigateur uniquement) |
| Sécurité spécialisée | Bloquer le téléchargement de fichiers étiquetés comme classifiés à partir de tous les appareils (accès par navigateur uniquement) |
Pour obtenir des instructions de bout en bout pour configurer le contrôle d’application d’accès conditionnel, consultez Déployer le contrôle d'application par accès conditionnel pour les applications proposées. Cet article vous guide tout au long du processus de création de la politique d'accès conditionnel nécessaire dans Microsoft Entra ID et de test de vos applications SaaS.
Pour plus d’informations, consultez Protéger les applications avec le Contrôle d’accès conditionnel aux applications Microsoft Defender for Cloud Apps.
Ajuster la protection pour des applications SaaS spécifiques
Il se peut que vous souhaitiez appliquer une surveillance et des contrôles supplémentaires à des applications SaaS spécifiques dans votre environnement. Les applications Defender pour le cloud vous permettent d’accomplir cette tâche. Par exemple, si une application comme Box est très utilisée dans votre environnement, il est logique d'appliquer davantage de contrôles. Par ailleurs, si votre service juridique ou financier utilise une application SaaS spécifique pour des données commerciales sensibles, vous pouvez cibler une protection supplémentaire sur ces applications.
Par exemple, vous pouvez protéger votre environnement Box avec ces types de modèles de politique de détection d'anomalie intégrés :
- Activité depuis des adresses IP anonymes
- Activité à partir de pays/région peu fréquents
- Activité à partir d’adresses IP suspectes
- Voyage impossible
- Activité effectuée par l’utilisateur arrêté (nécessite Microsoft Entra ID en tant que fournisseur d’identité)
- Détection de programme malveillant
- Plusieurs tentatives de connexion infructueuses
- Activité de rançongiciel
- Application Oauth risquée
- Activité inhabituelle de partage de fichiers
Il s’agit d’exemples. Des modèles de politiques supplémentaires sont régulièrement ajoutés. Pour obtenir des exemples d’application d’une protection supplémentaire à des applications spécifiques, consultez Protection des applications connectées.
La façon dont les applications Defender pour le cloud protègent votre environnement Box illustre les types de contrôles qui peuvent vous aider à protéger vos données métier dans Box et d’autres applications avec des données sensibles.
Configurer la prévention des pertes de données (DLP) pour aider à se conformer aux réglementations en matière de protection des données
Les applications Microsoft Defender pour le cloud peuvent être un outil précieux pour configurer la protection des règles de conformité. Dans ce cas, vous créez des politiques spécifiques pour rechercher des données spécifiques auxquelles s'applique un règlement et vous configurez chaque politique pour qu'elle prenne les mesures appropriées.
L'illustration et le tableau suivants fournissent plusieurs exemples de politiques qui peuvent être configurées pour aider à se conformer au règlement général sur la protection des données (RGPD). Dans ces exemples, les politiques recherchent des données spécifiques. En fonction de la sensibilité des données, chaque politique est configurée pour prendre les mesures appropriées.
| Niveau de protection | Exemples de stratégies |
|---|---|
| Point de départ | Alerte lorsque des fichiers contenant ce type d'information sensible (« Numéro de carte de crédit ») sont partagés en dehors de l'organisation Bloquer les téléchargements de fichiers contenant ce type d'informations sensibles (« Numéro de carte de crédit ») sur des appareils non gérés |
| Enterprise | Protéger les téléchargements de fichiers contenant ce type d'informations sensibles (« Numéro de carte de crédit ») sur des appareils gérés Bloquer les téléchargements de fichiers contenant ce type d'informations sensibles (« Numéro de carte de crédit ») sur des appareils non gérés Alerte lorsqu'un fichier portant l'une de ces étiquettes est téléchargé sur OneDrive for Business ou Box (données clients, ressources humaines : données salariales, ressources humaines, données sur les employés) |
| Sécurité spécialisée | Alerte lorsque des fichiers portant cette étiquette (« Hautement classifiés ») sont téléchargés sur des appareils gérés Bloquer les téléchargements des fichiers portant cette étiquette (« Hautement classifiés ») sur des appareils non gérés |
Étapes suivantes
Pour plus d’informations sur l’utilisation des applications Defender pour le cloud, consultez Documentation des applications Microsoft Defender pour le cloud.
Commentaires
Bientôt disponible : pendant toute l’année 2024, nous allons éliminer progressivement Problèmes GitHub comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, voir : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour