Kebijakan Aplikasi Microsoft Defender untuk Cloud yang direkomendasikan untuk aplikasi SaaS
Microsoft Defender untuk Cloud Apps dibangun berdasarkan kebijakan Akses Bersyar Microsoft Entra untuk memungkinkan pemantauan dan kontrol tindakan terperinci secara real time dengan aplikasi SaaS, seperti memblokir unduhan, unggahan, menyalin dan menempel, dan mencetak. Fitur ini menambahkan keamanan ke sesi yang berisiko melekat, seperti ketika sumber daya perusahaan diakses dari perangkat yang tidak dikelola atau oleh pengguna tamu.
Defender untuk Cloud Apps juga terintegrasi secara asli dengan Perlindungan Informasi Microsoft Purview, menyediakan inspeksi konten real time untuk menemukan data sensitif berdasarkan jenis informasi sensitif dan label sensitivitas dan untuk mengambil tindakan yang tepat.
Panduan ini mencakup rekomendasi untuk skenario ini:
- Membawa aplikasi SaaS ke dalam manajemen TI
- Menyetel perlindungan untuk aplikasi SaaS tertentu
- Mengonfigurasi pencegahan kehilangan data (DLP) Microsoft Purview untuk membantu mematuhi peraturan perlindungan data
Membawa aplikasi SaaS ke dalam manajemen TI
Langkah pertama dalam menggunakan aplikasi Defender untuk Cloud untuk mengelola aplikasi SaaS adalah menemukannya lalu menambahkannya ke penyewa Microsoft Entra Anda. Jika Anda memerlukan bantuan terkait penemuan, lihat Menemukan dan mengelola aplikasi SaaS di jaringan Anda. Setelah Menemukan aplikasi, tambahkan aplikasi ini ke penyewa Microsoft Entra Anda.
Anda dapat mulai mengelola ini dengan melakukan hal berikut:
- Pertama, di MICROSOFT Entra ID, buat kebijakan akses bersyar baru dan konfigurasikan ke "Gunakan Kontrol Aplikasi Akses Bersyar." Ini mengalihkan permintaan ke aplikasi Defender untuk Cloud. Anda dapat membuat satu kebijakan dan menambahkan semua aplikasi SaaS ke kebijakan ini.
- Selanjutnya, di Defender untuk Cloud Apps, buat kebijakan sesi. Buat satu kebijakan untuk setiap kontrol yang ingin Anda terapkan.
Izin ke aplikasi SaaS biasanya didasarkan pada kebutuhan bisnis untuk akses ke aplikasi. Izin ini bisa sangat dinamis. Menggunakan kebijakan Defender untuk Cloud Apps memastikan perlindungan terhadap data aplikasi, terlepas dari apakah pengguna ditetapkan ke grup Microsoft Entra yang terkait dengan titik awal, perusahaan, atau perlindungan keamanan khusus.
Untuk melindungi data di seluruh koleksi aplikasi SaaS Anda, diagram berikut mengilustrasikan kebijakan Akses Bersyarat Microsoft Entra yang diperlukan ditambah kebijakan yang disarankan yang dapat Anda buat di aplikasi Defender untuk Cloud. Dalam contoh ini, kebijakan yang dibuat di Defender untuk Cloud Apps berlaku untuk semua aplikasi SaaS yang Anda kelola. Ini dirancang untuk menerapkan kontrol yang sesuai berdasarkan apakah perangkat dikelola serta label sensitivitas yang sudah diterapkan ke file.
Tabel berikut mencantumkan kebijakan akses bersyarkala baru yang harus Anda buat di ID Microsoft Entra.
| Tingkat perlindungan | Kebijakan | Informasi selengkapnya |
|---|---|---|
| Semua tingkat perlindungan | Menggunakan Kontrol Aplikasi Akses Bersyar di Aplikasi Defender untuk Cloud | Ini mengonfigurasi IdP (ID Microsoft Entra) Anda untuk bekerja dengan aplikasi Defender untuk Cloud. |
Tabel berikutnya ini mencantumkan contoh kebijakan yang diilustrasikan di atas yang dapat Anda buat untuk melindungi semua aplikasi SaaS. Pastikan untuk mengevaluasi tujuan bisnis, keamanan, dan kepatuhan Anda sendiri lalu buat kebijakan yang memberikan perlindungan yang paling tepat untuk lingkungan Anda.
| Tingkat perlindungan | Kebijakan |
|---|---|
| Titik awal | Memantau lalu lintas dari perangkat yang tidak dikelola Menambahkan perlindungan ke unduhan file dari perangkat yang tidak dikelola |
| Perusahaan | Blokir unduhan file berlabel sensitif atau diklasifikasikan dari perangkat yang tidak dikelola (ini hanya menyediakan akses browser) |
| Keamanan khusus | Blokir unduhan file berlabel yang diklasifikasikan dari semua perangkat (ini hanya menyediakan akses browser) |
Untuk instruksi end-to-end untuk menyiapkan Kontrol Aplikasi Akses Bersyar, lihat Menyebarkan Kontrol Aplikasi Akses Bersyar untuk aplikasi unggulan. Artikel ini memandikan Anda melalui proses pembuatan kebijakan akses bersyar yang diperlukan di ID Microsoft Entra dan menguji aplikasi SaaS Anda.
Untuk informasi selengkapnya, lihat Melindungi aplikasi dengan Kontrol Aplikasi Akses Kondisional Pertahanan Microsoft untuk Aplikasi Cloud.
Menyetel perlindungan untuk aplikasi SaaS tertentu
Anda mungkin ingin menerapkan pemantauan dan kontrol tambahan ke aplikasi SaaS tertentu di lingkungan Anda. Defender untuk Cloud Apps memungkinkan Anda untuk mencapai hal ini. Misalnya, jika aplikasi seperti Box banyak digunakan di lingkungan Anda, masuk akal untuk menerapkan lebih banyak kontrol. Atau, jika departemen hukum atau keuangan Anda menggunakan aplikasi SaaS tertentu untuk data bisnis sensitif, Anda dapat menargetkan perlindungan ekstra ke aplikasi ini.
Misalnya, Anda dapat melindungi lingkungan Box Anda dengan jenis templat kebijakan deteksi anomali bawaan ini:
- Aktivitas dari alamat IP anonim
- Aktivitas dari negara/wilayah yang jarang
- Aktivitas dari alamat IP yang mencurigakan
- Perjalanan tidak memungkinkan
- Aktivitas yang dilakukan oleh pengguna yang dihentikan (memerlukan ID Microsoft Entra sebagai IdP)
- Deteksi perangkat lunak jahat
- Beberapa upaya masuk yang gagal
- Aktivitas ransomware
- Aplikasi Oauth Berisiko
- Aktivitas berbagi file yang tidak biasa
Ini adalah contoh. Templat kebijakan tambahan ditambahkan secara teratur. Untuk contoh cara menerapkan perlindungan tambahan ke aplikasi tertentu, lihat Melindungi aplikasi yang terhubung.
Cara aplikasi Defender untuk Cloud membantu melindungi lingkungan Box Anda menunjukkan jenis kontrol yang dapat membantu Anda melindungi data bisnis anda di Box dan aplikasi lain dengan data sensitif.
Mengonfigurasi pencegahan kehilangan data (DLP) untuk membantu mematuhi peraturan perlindungan data
Defender untuk Cloud Apps dapat menjadi alat berharga untuk mengonfigurasi perlindungan untuk peraturan kepatuhan. Dalam hal ini, Anda membuat kebijakan tertentu untuk mencari data tertentu yang diterapkan peraturan dan mengonfigurasi setiap kebijakan untuk mengambil tindakan yang sesuai.
Ilustrasi dan tabel berikut ini menyediakan beberapa contoh kebijakan yang dapat dikonfigurasi untuk membantu mematuhi Peraturan Perlindungan Data Umum (GDPR). Dalam contoh ini, kebijakan mencari data tertentu. Berdasarkan sensitivitas data, setiap kebijakan dikonfigurasi untuk mengambil tindakan yang sesuai.
| Tingkat perlindungan | Contoh kebijakan |
|---|---|
| Titik awal | Pemberitahuan ketika file yang berisi jenis informasi sensitif ini ("Nomor Kartu Kredit") dibagikan di luar organisasi Blokir unduhan file yang berisi jenis informasi sensitif ini ("Nomor kartu kredit") ke perangkat yang tidak dikelola |
| Perusahaan | Lindungi unduhan file yang berisi jenis informasi sensitif ini ("Nomor kartu kredit") ke perangkat terkelola Blokir unduhan file yang berisi jenis informasi sensitif ini ("Nomor kartu kredit") ke perangkat yang tidak dikelola Pemberitahuan saat file dengan label ini diunggah ke OneDrive for Business atau Box (Data pelanggan, Sumber Daya Manusia: Data Gaji, Sumber Daya Manusia, Data Karyawan) |
| Keamanan khusus | Pemberitahuan ketika file dengan label ini ("Sangat diklasifikasikan") diunduh ke perangkat terkelola Blokir unduhan file dengan label ini ("Sangat diklasifikasikan") ke perangkat yang tidak dikelola |
Langkah berikutnya
Untuk informasi selengkapnya tentang menggunakan aplikasi Defender untuk Cloud, lihat dokumentasi aplikasi Microsoft Defender untuk Cloud.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk