Zalecane zasady Microsoft Defender dla Chmury Apps dla aplikacji SaaS
Microsoft Defender dla Chmury Apps opiera się na zasadach dostępu warunkowego firmy Microsoft Entra, aby umożliwić monitorowanie i kontrolowanie szczegółowych akcji w czasie rzeczywistym za pomocą aplikacji SaaS, takich jak blokowanie pobierania, przekazywania, kopiowania i wklejania oraz drukowania. Ta funkcja dodaje zabezpieczenia do sesji, które niosą ze sobą związane z ryzykiem, takie jak dostęp do zasobów firmowych z niezarządzanych urządzeń lub użytkowników-gości.
Defender dla Chmury Apps integruje się również natywnie z usługą Microsoft Purview Information Protection, zapewniając inspekcję zawartości w czasie rzeczywistym w celu znalezienia poufnych danych na podstawie typów informacji poufnych i etykiet poufności oraz podjęcia odpowiednich działań.
Te wskazówki obejmują zalecenia dotyczące następujących scenariuszy:
- Wprowadzanie aplikacji SaaS do zarządzania IT
- Dostrajanie ochrony określonych aplikacji SaaS
- Konfigurowanie ochrony danych przed utratą danych (DLP) firmy Microsoft w celu zapewnienia zgodności z przepisami dotyczącymi ochrony danych
Wprowadzanie aplikacji SaaS do zarządzania IT
Pierwszym krokiem korzystania z aplikacji Defender dla Chmury do zarządzania aplikacjami SaaS jest ich odnalezienie, a następnie dodanie ich do dzierżawy usługi Microsoft Entra. Jeśli potrzebujesz pomocy dotyczącej odnajdywania, zobacz Odnajdywanie aplikacji SaaS i zarządzanie nimi w sieci. Po odnalezieniu aplikacji dodaj je do dzierżawy firmy Microsoft Entra.
Możesz zacząć nimi zarządzać, wykonując następujące czynności:
- Najpierw w usłudze Microsoft Entra ID utwórz nowe zasady dostępu warunkowego i skonfiguruj je tak, aby "Użyj kontroli dostępu warunkowego aplikacji". Spowoduje to przekierowanie żądania do aplikacji Defender dla Chmury. Możesz utworzyć jedną zasadę i dodać wszystkie aplikacje SaaS do tych zasad.
- Następnie w usłudze Defender dla Chmury Apps utwórz zasady sesji. Utwórz jedną zasadę dla każdej kontrolki, którą chcesz zastosować.
Uprawnienia do aplikacji SaaS są zwykle oparte na potrzebie biznesowej w celu uzyskania dostępu do aplikacji. Te uprawnienia mogą być wysoce dynamiczne. Korzystanie z zasad Defender dla Chmury Apps zapewnia ochronę danych aplikacji, niezależnie od tego, czy użytkownicy są przypisani do grupy firmy Microsoft Entra skojarzonej z punktem wyjścia, przedsiębiorstwem lub wyspecjalizowaną ochroną zabezpieczeń.
Aby chronić dane w kolekcji aplikacji SaaS, na poniższym diagramie przedstawiono niezbędne zasady dostępu warunkowego firmy Microsoft Entra oraz sugerowane zasady, które można utworzyć w usłudze Defender dla Chmury Apps. W tym przykładzie zasady utworzone w usłudze Defender dla Chmury Apps mają zastosowanie do wszystkich aplikacji SaaS, które zarządzasz. Są one przeznaczone do stosowania odpowiednich kontrolek na podstawie tego, czy urządzenia są zarządzane, a także etykiety poufności, które są już stosowane do plików.
W poniższej tabeli wymieniono nowe zasady dostępu warunkowego, które należy utworzyć w usłudze Microsoft Entra ID.
| Poziom ochrony | Zasady | Więcej informacji |
|---|---|---|
| Wszystkie poziomy ochrony | Używanie kontroli aplikacji dostępu warunkowego w aplikacjach Defender dla Chmury | Spowoduje to skonfigurowanie dostawcy tożsamości (Microsoft Entra ID) do pracy z aplikacjami Defender dla Chmury. |
W następnej tabeli wymieniono przykładowe zasady przedstawione powyżej, które można utworzyć w celu ochrony wszystkich aplikacji SaaS. Pamiętaj, aby ocenić własne cele biznesowe, zabezpieczenia i zgodność, a następnie utworzyć zasady zapewniające najbardziej odpowiednią ochronę środowiska.
| Poziom ochrony | Zasady |
|---|---|
| Punkt początkowy | Monitorowanie ruchu z urządzeń niezarządzanych Dodawanie ochrony do pobierania plików z urządzeń niezarządzanych |
| Przedsiębiorstwa | Blokuj pobieranie plików oznaczonych etykietami poufnymi lub sklasyfikowanymi z urządzeń niezarządzanych (zapewnia to dostęp tylko do przeglądarki) |
| Wyspecjalizowane zabezpieczenia | Blokuj pobieranie plików oznaczonych etykietą sklasyfikowaną ze wszystkich urządzeń (zapewnia to dostęp tylko do przeglądarki) |
Aby uzyskać kompleksowe instrukcje dotyczące konfigurowania kontroli dostępu warunkowego aplikacji, zobacz Wdrażanie kontroli dostępu warunkowego aplikacji dla polecanych aplikacji. W tym artykule przedstawiono proces tworzenia niezbędnych zasad dostępu warunkowego w usłudze Microsoft Entra ID i testowania aplikacji SaaS.
Aby uzyskać więcej informacji, zobacz Protect apps with Microsoft Defender dla Chmury Apps Conditional Access App Control (Ochrona aplikacji za pomocą kontroli dostępu warunkowego aplikacji Microsoft Defender dla Chmury Apps).
Dostrajanie ochrony określonych aplikacji SaaS
Możesz zastosować dodatkowe funkcje monitorowania i kontrolek do określonych aplikacji SaaS w danym środowisku. Defender dla Chmury Apps pozwala to osiągnąć. Jeśli na przykład aplikacja podobna do usługi Box jest używana w dużym stopniu w danym środowisku, warto zastosować więcej kontrolek. Lub jeśli twój dział prawny lub finansowy korzysta z określonej aplikacji SaaS na potrzeby poufnych danych biznesowych, możesz zastosować dodatkową ochronę tych aplikacji.
Możesz na przykład chronić środowisko usługi Box przy użyciu tych typów wbudowanych szablonów zasad wykrywania anomalii:
- Działanie z anonimowych adresów IP
- Aktywność z rzadko występującego kraju/regionu
- Działanie z podejrzanych adresów IP
- Niemożliwa podróż
- Działanie wykonywane przez zakończonego użytkownika (wymaga identyfikatora Entra firmy Microsoft jako dostawcy tożsamości)
- Wykrywanie złośliwego oprogramowania
- Wiele nieudanych prób logowania
- Działanie wymuszania oprogramowania wymuszającego okup
- Ryzykowna aplikacja Oauth
- Nietypowe działanie udziału plików
Są to przykłady. Dodatkowe szablony zasad są regularnie dodawane. Aby zapoznać się z przykładami stosowania dodatkowej ochrony do określonych aplikacji, zobacz Ochrona połączonych aplikacji.
Jak Defender dla Chmury Apps pomaga chronić środowisko usługi Box, demonstruje typy kontrolek, które mogą pomóc w ochronie danych biznesowych w usłudze Box i innych aplikacjach przy użyciu poufnych danych.
Konfigurowanie ochrony przed utratą danych (DLP) w celu zapewnienia zgodności z przepisami dotyczącymi ochrony danych
Defender dla Chmury Apps może być cennym narzędziem do konfigurowania ochrony przepisów dotyczących zgodności. W takim przypadku utworzysz określone zasady, aby wyszukać określone dane, do których mają zastosowanie rozporządzenie, i skonfigurować poszczególne zasady w celu podjęcia odpowiednich działań.
Poniższa ilustracja i tabela zawierają kilka przykładów zasad, które można skonfigurować w celu zapewnienia zgodności z ogólnym rozporządzeniem o ochronie danych (RODO). W tych przykładach zasady szukają określonych danych. Na podstawie poufności danych każda zasada jest skonfigurowana do podejmowania odpowiednich działań.
| Poziom ochrony | Przykładowe zasady |
|---|---|
| Punkt początkowy | Alert, gdy pliki zawierające ten typ informacji poufnych ("Numer karty kredytowej") są udostępniane poza organizacją Blokuj pobieranie plików zawierających ten typ informacji poufnych ("Numer karty kredytowej") do urządzeń niezarządzanych |
| Przedsiębiorstwa | Ochrona pobierania plików zawierających ten typ informacji poufnych ("Numer karty kredytowej") na urządzeniach zarządzanych Blokuj pobieranie plików zawierających ten typ informacji poufnych ("Numer karty kredytowej") do urządzeń niezarządzanych Alert po przekazaniu pliku z etykietami do OneDrive dla Firm lub Box (dane klienta, kadry: dane dotyczące wynagrodzenia, zasoby ludzkie, zasoby ludzkie, dane pracowników) |
| Wyspecjalizowane zabezpieczenia | Alert, gdy pliki z tą etykietą ("Wysoce sklasyfikowane") są pobierane do urządzeń zarządzanych Blokuj pobieranie plików z tą etykietą ("Wysoce sklasyfikowane") na urządzeniach niezarządzanych |
Następne kroki
Aby uzyskać więcej informacji na temat korzystania z usługi Defender dla Chmury Apps, zobacz dokumentację usługi Microsoft Defender dla Chmury Apps.