Criteri consigliati di Microsoft Defender per le app cloud per le app SaaS
Microsoft Defender for Cloud Apps si basa su Microsoft Entra criteri di accesso condizionale per abilitare il monitoraggio in tempo reale e il controllo delle azioni granulari con le app SaaS, ad esempio il blocco di download, caricamenti, copia e incolla e stampa. Questa funzionalità aggiunge sicurezza alle sessioni che presentano rischi intrinseci, ad esempio quando si accede alle risorse aziendali da dispositivi non gestiti o da utenti guest.
Defender per le app cloud si integra anche in modo nativo con Microsoft Purview Information Protection, offrendo un'ispezione dei contenuti in tempo reale per trovare dati sensibili in base a tipi di informazioni sensibili ed etichette di riservatezza e per intraprendere le azioni appropriate.
Queste indicazioni includono raccomandazioni per questi scenari:
- Integrare le app SaaS nella gestione IT
- Ottimizzare la protezione per app SaaS specifiche
- Configurare la prevenzione della perdita dei dati (DLP) di Microsoft Purview per garantire la conformità alle normative sulla protezione dei dati
Integrare le app SaaS nella gestione IT
Il primo passaggio nell'uso di Defender per le app cloud per gestire le app SaaS consiste nell'individuarle e quindi aggiungerle al tenant Microsoft Entra. Se è necessaria assistenza per l'individuazione, vedere Individuare e gestire le app SaaS nella rete. Dopo aver individuato le app, aggiungerle al tenant Microsoft Entra.
È possibile iniziare a gestirli eseguendo le operazioni seguenti:
- In primo luogo, in Microsoft Entra ID creare un nuovo criterio di accesso condizionale e configurarlo in "Usa controllo app per l'accesso condizionale". In questo modo la richiesta viene reindirizzata a Defender per app cloud. È possibile creare un criterio e aggiungere tutte le app SaaS a questo criterio.
- In Defender per app cloud creare quindi criteri di sessione. Create un criterio per ogni controllo da applicare.
Le autorizzazioni per le app SaaS in genere si basano sulle esigenze aziendali per l'accesso all'app. Queste autorizzazioni possono essere altamente dinamiche. L'uso dei criteri di Defender for Cloud Apps garantisce la protezione dei dati delle app, indipendentemente dal fatto che gli utenti siano assegnati a un gruppo di Microsoft Entra associato a una protezione di sicurezza iniziale, aziendale o specializzata.
Per proteggere i dati nella raccolta di app SaaS, il diagramma seguente illustra i criteri di accesso condizionale Microsoft Entra necessari e i criteri suggeriti che è possibile creare in Defender per le app cloud. In questo esempio i criteri creati in Defender per le app cloud si applicano a tutte le app SaaS gestite. Questi sono progettati per applicare controlli appropriati in base alla gestione dei dispositivi e alle etichette di riservatezza già applicate ai file.
Nella tabella seguente sono elencati i nuovi criteri di accesso condizionale che è necessario creare in Microsoft Entra ID.
| Livello di protezione | Criteri | Ulteriori informazioni |
|---|---|---|
| Tutti i livelli di protezione | Usare il controllo app per l'accesso condizionale in Defender per app cloud | In questo modo l'IdP (Microsoft Entra ID) viene configurato per l'uso con Defender per app cloud. |
Questa tabella successiva elenca i criteri di esempio illustrati in precedenza che è possibile creare per proteggere tutte le app SaaS. Assicurarsi di valutare gli obiettivi aziendali, di sicurezza e di conformità e quindi di creare criteri che forniscano la protezione più appropriata per l'ambiente.
| Livello di protezione | Criteri |
|---|---|
| Punto iniziale | Monitorare il traffico da dispositivi non gestiti Aggiungere protezione ai download di file da dispositivi non gestiti |
| Enterprise | Blocca il download di file etichettati con dispositivi sensibili o classificati da dispositivi non gestiti (questo consente l'accesso solo al browser) |
| Sicurezza specializzata | Blocca il download dei file etichettati con classificato da tutti i dispositivi (in questo modo viene fornito solo l'accesso al browser) |
Per istruzioni end-to-end per la configurazione del controllo app per l'accesso condizionale, vedere Distribuire il controllo app per l'accesso condizionale per le app in primo piano. Questo articolo illustra il processo di creazione dei criteri di accesso condizionale necessari in Microsoft Entra ID e test delle app SaaS.
Per altre informazioni, vedere Proteggere le app con Microsoft Defender for Cloud Apps controllo app per l'accesso condizionale.
Ottimizzare la protezione per app SaaS specifiche
È possibile applicare controlli e monitoraggio aggiuntivi a app SaaS specifiche nell'ambiente. Defender per app cloud consente di eseguire questa operazione. Ad esempio, se un'app come Box viene usata pesantemente nell'ambiente, è opportuno applicare più controlli. In alternativa, se il reparto legale o finanziario usa un'app SaaS specifica per i dati aziendali sensibili, è possibile impostare come destinazione una protezione aggiuntiva per queste app.
Ad esempio, è possibile proteggere l'ambiente Box con questi tipi di modelli di criteri di rilevamento anomalie predefiniti:
- Attività da indirizzi IP anonimi
- Attività da paesi/aree geografiche poco frequenti
- Attività da indirizzi IP sospetti
- Viaggio impossibile
- Attività eseguita dall'utente terminato (richiede Microsoft Entra ID come IdP)
- Rilevamento di software dannoso
- Molteplici tentativi di accesso non riusciti
- Attività ransomware
- App Oauth rischiosa
- Attività di condivisione file insolita
Questi sono esempi. I modelli di criteri aggiuntivi vengono aggiunti regolarmente. Per esempi su come applicare una protezione aggiuntiva a app specifiche, vedere Protezione delle app connesse.
Il modo in cui Defender per app cloud consente di proteggere l'ambiente Box illustra i tipi di controlli che consentono di proteggere i dati aziendali in Box e in altre app con dati sensibili.
Configurare la prevenzione della perdita dei dati (DLP) per garantire la conformità alle normative sulla protezione dei dati
Defender per le app cloud può essere uno strumento prezioso per configurare la protezione per le normative di conformità. In questo caso, si creano criteri specifici per cercare dati specifici a cui si applica un regolamento e configurare ogni criterio per intraprendere le azioni appropriate.
La figura e la tabella seguenti forniscono diversi esempi di criteri che possono essere configurati per garantire la conformità al Regolamento generale sulla protezione dei dati (GDPR). In questi esempi i criteri cercano dati specifici. In base alla riservatezza dei dati, ogni criterio è configurato per intraprendere le azioni appropriate.
| Livello di protezione | Criteri di esempio |
|---|---|
| Punto iniziale | Avviso quando i file contenenti questo tipo di informazioni riservate ("numero di carta di credito") vengono condivisi all'esterno dell'organizzazione Bloccare i download di file contenenti questo tipo di informazioni riservate ("numero di carta di credito") in dispositivi non gestiti |
| Enterprise | Proteggere i download di file contenenti questo tipo di informazioni riservate ("numero di carta di credito") nei dispositivi gestiti Bloccare i download di file contenenti questo tipo di informazioni riservate ("numero di carta di credito") in dispositivi non gestiti Avviso quando un file con su queste etichette viene caricato in OneDrive for Business o Box (dati del cliente, risorse umane: dati sullo stipendio, risorse umane, dati dei dipendenti) |
| Sicurezza specializzata | Avviso quando i file con questa etichetta ("Altamente classificato") vengono scaricati nei dispositivi gestiti Bloccare i download di file con questa etichetta ("Altamente classificato") nei dispositivi non gestiti |
Passaggi successivi
Per altre informazioni sull'uso di Defender per app cloud, vedere Microsoft Defender for Cloud Apps documentazione.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per