Stap 3: Gegevensbeveiliging voor SaaS-apps implementeren
Hoewel het beveiligen van de toegang tot apps en sessieactiviteiten belangrijk is, zijn de gegevens die SaaS-apps bevatten mogelijk een van de meest kritieke resources om te beveiligen. Het implementeren van informatiebeveiliging voor SaaS-apps is een belangrijke stap bij het voorkomen van onbedoelde of schadelijke blootstelling van gevoelige informatie.
Microsoft Purview Informatiebeveiliging is systeemeigen geïntegreerd in Microsoft 365-apps en -services, zoals SharePoint, OneDrive, Teams en Exchange. Voor andere SaaS-apps wilt u deze mogelijk integreren met Microsoft Purview om ervoor te zorgen dat uw gevoelige gegevens overal worden beveiligd. Er zijn verschillende manieren om gegevensbeveiliging te integreren met andere apps die u gebruikt. U kunt Microsoft Defender voor Cloud Apps gebruiken om labeling te integreren met apps of om een app-ontwikkelaar rechtstreeks te laten integreren met behulp van een SDK. Zie Over Microsoft Information Protection SDK voor meer informatie.
Deze stap bouwt voort op de richtlijnen voor het implementeren van gegevensbescherming met Microsoft Purview en begeleidt u bij het gebruik van Defender voor Cloud-apps om gegevensbeveiliging uit te breiden naar gegevens in SaaS-apps. U kunt de richtlijnen bekijken om een beter inzicht te krijgen in de algehele werkstroom.
Het bereik van dit artikel is gericht op het beveiligen van Microsoft Office- en PDF-bestanden en documentopslagplaatsen binnen SaaS-toepassingen.
De belangrijkste concepten rondom gegevensbescherming zijn het kennen van uw gegevens, het beveiligen van uw gegevens en het voorkomen van gegevensverlies. In het volgende diagram ziet u hoe u deze belangrijke functies uitvoert met de Purview-complianceportal en de Defender voor Cloud Apps-portal.
In dit diagram:
Als u gegevens in SaaS-apps wilt beveiligen, moet u eerst de gegevens in uw organisatie bepalen die gevoelig zijn. Controleer daarna of een van de typen gevoelige informatie (SIT's) is toegewezen aan de bepaalde gevoelige informatie. Als geen van de SIT's aan uw behoeften voldoet, kunt u deze wijzigen of aangepaste SID's maken met de Microsoft Purview-nalevingsportal.
Met behulp van de gedefinieerde SID's kunt u items detecteren die gevoelige gegevens bevatten in SaaS-apps.
Nadat u items hebt ontdekt die gevoelige gegevens bevatten, kunt u labels uitbreiden naar SaaS-apps en deze vervolgens toepassen.
Als u gegevensverlies wilt voorkomen, kunt u beleid voor preventie van gegevensverlies (DLP) definiëren en uitbreiden. Met een DLP-beleid kunt u gevoelige items in services identificeren, bewaken en automatisch beveiligen. Een voorbeeld van een beschermende actie van DLP-beleid is het weergeven van een pop-upbeleidstip aan een gebruiker wanneer ze een gevoelig item ongepast proberen te delen. Een ander voorbeeld is het delen van gevoelige items blokkeren.
Gebruik de volgende stappen om mogelijkheden voor gegevensbeveiliging toe te passen voor uw SaaS-apps.
Gevoelige informatie detecteren in SaaS-apps
Als u gevoelige informatie in SaaS-apps wilt detecteren, moet u het volgende doen:
- Schakel de Microsoft Purview Informatiebeveiliging-integratie in met Defender voor Cloud Apps.
- Maak beleidsregels om gevoelige informatie in bestanden te identificeren.
Microsoft Purview Informatiebeveiliging is een framework dat Defender voor Cloud Apps omvat. De integratie van Defender voor Cloud-apps in Microsoft Purview helpt u om gevoelige informatie in uw organisatie beter te beschermen. Zie Microsoft Purview Informatiebeveiliging integreren met Defender voor Cloud Apps voor meer informatie.
Zodra u weet welke soorten gegevens u wilt beveiligen, maakt u beleidsregels om deze te detecteren. U kunt beleidsregels maken voor:
- Bestanden: Bestandsbeleid scant de inhoud van bestanden die zijn opgeslagen in uw verbonden cloud-apps via API, voor ondersteunde apps.
- Sessies: sessiebeleid scant en beveiligt bestanden in realtime bij toegang om gegevensexfiltratie te voorkomen, bestanden te beveiligen bij het downloaden en het uploaden van niet-gelabelde bestanden te voorkomen.
Zie Microsoft Data Classification Services-integratie voor meer informatie.
Vertrouwelijkheidslabels toepassen om gegevens te beveiligen
Nadat u gevoelige informatie hebt ontdekt en gesorteerd, kunt u vertrouwelijkheidslabels toepassen. Wanneer een vertrouwelijkheidslabel wordt toegepast op een document, worden alle geconfigureerde beveiligingsinstellingen voor dat label afgedwongen op de inhoud. Een bestand met het label Vertrouwelijk kan bijvoorbeeld worden versleuteld en heeft beperkte toegang. Toegangsbeperkingen kunnen afzonderlijke gebruikersaccounts of groepen omvatten.
Defender voor Cloud Apps is systeemeigen geïntegreerd met Microsoft Purview Informatiebeveiliging en dezelfde gevoeligheidstypen en labels zijn beschikbaar in beide services. Wanneer u gevoelige informatie wilt definiëren, gebruikt u de Microsoft Purview-nalevingsportal om ze te maken en zijn ze beschikbaar in Defender voor Cloud Apps.
met Defender voor Cloud Apps kunt u automatisch vertrouwelijkheidslabels toepassen vanuit Microsoft Purview Informatiebeveiliging. Deze labels worden toegepast op bestanden als een actie voor bestandsbeleidsbeheer en kunnen, afhankelijk van de labelconfiguratie, versleuteling toepassen op een andere beveiligingslaag.
Zie Automatisch Microsoft Purview Informatiebeveiliging labels toepassen voor meer informatie.
DLP-beleid uitbreiden naar SaaS-apps
Afhankelijk van de SaaS-apps die u in uw omgeving hebt, hebt u verschillende opties waaruit u kunt kiezen om een DLP-oplossing te implementeren. Gebruik de volgende tabel om u te helpen bij het besluitvormingsproces.
| Scenario | Hulpprogramma |
|---|---|
| Uw omgeving heeft de volgende producten: - Exchange Online-e-mail - SharePoint Online-sites - OneDrive-accounts - Chat- en kanaalberichten van Teams - Microsoft Defender voor Cloud Apps - Windows 10-, Windows 11- en macOS-apparaten (Catalina 10.15 en hoger) - On-premises opslagplaatsen - Power BI-sites |
Gebruik Microsoft Purview. Zie Meer informatie over DLP voor meer informatie. |
| Uw organisatie gebruikt andere apps die niet worden behandeld in Microsoft Purview, maar kunnen worden verbonden met Microsoft Defender voor Cloud Apps via API, zoals: - Atlassian -Azure -AWS -Vak - DocuSign - Egnyte - GitHub - Google Workspace - GCP - NetDocuments - Office 365 - Okta - OneLogin -Salesforce - ServiceNow -Slack - Smartsheet -Webex -Werkdag - Zendesk |
Gebruik Defender voor Cloud Apps. Als u een DLP-beleid wilt gebruiken dat is afgestemd op een specifieke niet-Microsoft-cloud-app, moet de app zijn verbonden met Defender voor Cloud Apps. Zie Verbinding maken apps voor meer informatie. |
| De apps die uw organisatie gebruikt, worden nog niet ondersteund in Defender voor Cloud Apps via API, maar kunnen worden toegevoegd met behulp van app-connectors en u kunt sessiebeleid gebruiken om DLP-beleid in realtime toe te passen. | Gebruik Defender voor Cloud Apps. Zie Verbinding maken apps en beleid voor preventie van gegevensverlies gebruiken voor niet-Microsoft-cloud-apps voor meer informatie. |
Zie Microsoft 365-richtlijnen voor beveiliging en naleving voor hulp bij licenties.
Uw gegevens bewaken
Nu uw beleid is ingesteld, moet u de Microsoft Defender-portal controleren om het effect van uw beleid te controleren en incidenten op te heffen. Microsoft Defender XDR biedt u inzicht in DLP-waarschuwingen en -incidenten van Microsoft Purview en Defender voor Cloud-apps in één venster.
Uw beveiligingsanalisten kunnen waarschuwingen effectief prioriteren, inzicht krijgen in het volledige bereik van een inbreuk en reactieacties ondernemen om bedreigingen te verhelpen.
Zie de Microsoft Defender-portal voor meer informatie.