Aanbevolen beleid voor Microsoft Defender voor Cloud-apps voor SaaS-apps
Microsoft Defender voor Cloud-apps zijn gebaseerd op het beleid voor voorwaardelijke toegang van Microsoft Entra om realtime bewaking en controle mogelijk te maken van gedetailleerde acties met SaaS-apps, zoals het blokkeren van downloads, uploads, kopiëren en plakken en afdrukken. Met deze functie wordt beveiliging toegevoegd aan sessies die inherent risico lopen, zoals wanneer bedrijfsbronnen worden geopend vanaf onbeheerde apparaten of door gastgebruikers.
Defender voor Cloud Apps integreert ook systeemeigen met Microsoft Purview Informatiebeveiliging, waardoor realtime inhoudsinspectie wordt geboden om gevoelige gegevens te vinden op basis van typen gevoelige informatie en vertrouwelijkheidslabels en om passende actie te ondernemen.
Deze richtlijnen omvatten aanbevelingen voor deze scenario's:
- SaaS-apps in IT-beheer brengen
- Beveiliging afstemmen voor specifieke SaaS-apps
- Microsoft Purview-preventie van gegevensverlies (DLP) configureren om te voldoen aan de voorschriften voor gegevensbescherming
SaaS-apps in IT-beheer brengen
De eerste stap bij het gebruik van Defender voor Cloud Apps voor het beheren van SaaS-apps is om deze te detecteren en vervolgens toe te voegen aan uw Microsoft Entra-tenant. Als u hulp nodig hebt bij detectie, raadpleegt u SaaS-apps in uw netwerk detecteren en beheren. Nadat u apps hebt gedetecteerd, voegt u deze toe aan uw Microsoft Entra-tenant.
U kunt deze als volgt beheren:
- Maak eerst in Microsoft Entra ID een nieuw beleid voor voorwaardelijke toegang en configureer dit om App-beheer voor voorwaardelijke toegang te gebruiken. Hiermee wordt de aanvraag omgeleid naar Defender voor Cloud Apps. U kunt één beleid maken en alle SaaS-apps aan dit beleid toevoegen.
- Maak vervolgens in Defender voor Cloud Apps sessiebeleid. Maak één beleid voor elk besturingselement dat u wilt toepassen.
Machtigingen voor SaaS-apps zijn doorgaans gebaseerd op bedrijfsbehoefte voor toegang tot de app. Deze machtigingen kunnen zeer dynamisch zijn. Het gebruik van Defender voor Cloud-beleid voor apps zorgt voor beveiliging van app-gegevens, ongeacht of gebruikers zijn toegewezen aan een Microsoft Entra-groep die is gekoppeld aan het beginpunt, onderneming of gespecialiseerde beveiliging.
Als u gegevens wilt beveiligen in uw verzameling SaaS-apps, ziet u in het volgende diagram het benodigde Beleid voor voorwaardelijke toegang van Microsoft Entra plus voorgestelde beleidsregels die u kunt maken in Defender voor Cloud Apps. In dit voorbeeld zijn de beleidsregels die zijn gemaakt in Defender voor Cloud Apps van toepassing op alle SaaS-apps die u beheert. Deze zijn ontworpen om de juiste besturingselementen toe te passen op basis van of apparaten worden beheerd en vertrouwelijkheidslabels die al op bestanden zijn toegepast.
De volgende tabel bevat het nieuwe beleid voor voorwaardelijke toegang dat u moet maken in Microsoft Entra-id.
| Beveiligingsniveau | Beleid | Meer informatie |
|---|---|---|
| Alle beveiligingsniveaus | App-beheer voor voorwaardelijke toegang gebruiken in Defender voor Cloud Apps | Hiermee configureert u uw IdP (Microsoft Entra ID) voor gebruik met Defender voor Cloud Apps. |
In deze volgende tabel ziet u de bovenstaande voorbeeldbeleidsregels die u kunt maken om alle SaaS-apps te beveiligen. Zorg ervoor dat u uw eigen bedrijfs-, beveiligings- en nalevingsdoelstellingen evalueert en vervolgens beleidsregels maakt die de meest geschikte beveiliging bieden voor uw omgeving.
| Beveiligingsniveau | Beleid |
|---|---|
| Uitgangspunt | Verkeer van niet-beheerde apparaten bewaken Beveiliging toevoegen aan bestandsdownloads vanaf niet-beheerde apparaten |
| Enterprise | Downloaden van bestanden met gevoelige of geclassificeerde niet-beheerde apparaten blokkeren (dit biedt alleen toegang tot de browser) |
| Gespecialiseerde beveiliging | Downloaden van bestanden die zijn gelabeld met geclassificeerd vanaf alle apparaten blokkeren (dit biedt alleen toegang tot de browser) |
Zie App-beheer voor voorwaardelijke toegang implementeren voor aanbevolen apps voor end-to-end-instructies voor het instellen van app-beheer voor voorwaardelijke toegang. In dit artikel wordt u begeleid bij het maken van het benodigde beleid voor voorwaardelijke toegang in Microsoft Entra ID en het testen van uw SaaS-apps.
Raadpleeg voor meer informatie Apps beveiligen met Microsoft Defender voor Cloud Apps voor App-beheer voor voorwaardelijke toegang.
Beveiliging afstemmen voor specifieke SaaS-apps
Mogelijk wilt u aanvullende bewaking en besturingselementen toepassen op specifieke SaaS-apps in uw omgeving. Defender voor Cloud Apps kunt u dit doen. Als een app zoals Box bijvoorbeeld intensief wordt gebruikt in uw omgeving, is het zinvol om meer besturingselementen toe te passen. Als uw juridische afdeling of financiële afdeling een specifieke SaaS-app gebruikt voor gevoelige bedrijfsgegevens, kunt u zich richten op extra beveiliging voor deze apps.
U kunt uw Box-omgeving bijvoorbeeld beveiligen met deze typen ingebouwde sjablonen voor anomaliedetectiebeleid:
- Activiteit van anonieme IP-adressen
- Activiteit van onregelmatig land/regio
- Activiteit van verdachte IP-adressen
- Onmogelijk traject
- Activiteit uitgevoerd door beëindigde gebruiker (vereist Microsoft Entra-id als IdP)
- Malwaredetectie
- Meerdere mislukte aanmeldingspogingen
- Ransomware-activiteit
- Riskante Oauth-app
- Ongebruikelijke bestandsshareactiviteit
Dit zijn voorbeelden. Er worden regelmatig aanvullende beleidssjablonen toegevoegd. Zie Verbonden apps beveiligen voor voorbeelden van het toepassen van extra beveiliging op specifieke apps.
Hoe Defender voor Cloud Apps uw Box-omgeving helpt beschermen, toont de typen besturingselementen waarmee u uw bedrijfsgegevens in Box en andere apps met gevoelige gegevens kunt beveiligen.
Preventie van gegevensverlies (DLP) configureren om te voldoen aan de voorschriften voor gegevensbescherming
Defender voor Cloud Apps kan een waardevol hulpmiddel zijn voor het configureren van beveiliging voor nalevingsregels. In dit geval maakt u specifieke beleidsregels om te zoeken naar specifieke gegevens waarop een verordening van toepassing is en configureert u elk beleid om de juiste actie te ondernemen.
De volgende afbeelding en tabel bevatten verschillende voorbeelden van beleidsregels die kunnen worden geconfigureerd om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). In deze voorbeelden zoekt beleid naar specifieke gegevens. Op basis van de gevoeligheid van de gegevens wordt elk beleid geconfigureerd om de juiste actie te ondernemen.
| Beveiligingsniveau | Voorbeeldbeleid |
|---|---|
| Uitgangspunt | Waarschuwing wanneer bestanden met dit type gevoelige informatie ('Creditcardnummer') buiten de organisatie worden gedeeld Downloads van bestanden met dit type gevoelige informatie ('Creditcardnummer') blokkeren voor onbeheerde apparaten |
| Enterprise | Downloads van bestanden met dit type gevoelige informatie beveiligen ('Creditcardnummer') op beheerde apparaten Downloads van bestanden met dit type gevoelige informatie ('Creditcardnummer') blokkeren voor onbeheerde apparaten Waarschuwing wanneer een bestand met deze labels wordt geüpload naar OneDrive voor Bedrijven of Box (klantgegevens, human resources: salarisgegevens, personeelszaken, personeelszaken, gegevens van werknemers) |
| Gespecialiseerde beveiliging | Waarschuwen wanneer bestanden met dit label ('Zeer geclassificeerd') worden gedownload naar beheerde apparaten Downloads van bestanden met dit label ('Zeer geclassificeerd') blokkeren voor onbeheerde apparaten |
Volgende stappen
Zie Microsoft Defender voor Cloud Apps-documentatie voor meer informatie over het gebruik van Defender voor Cloud Apps.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor