Recomendação de políticas do Microsoft Defender para Aplicativos de Nuvem para aplicativos SaaS
O Microsoft Defender para Aplicativos de Nuvem se baseia nas políticas de Acesso Condicional do Microsoft Entra para permitir o monitoramento em tempo real e o controle de ações granulares com aplicativos SaaS, como bloqueio de downloads, uploads, copiar e colar e impressão. Esse recurso adiciona segurança às sessões que carregam riscos inerentes, como quando recursos corporativos são acessados a partir de dispositivos não gerenciados ou por usuários convidados.
O Defender for Cloud Apps também se integra nativamente com o Microsoft Purview Information Protection, fornecendo inspeção de conteúdo em tempo real para encontrar dados sensíveis com base em tipos de informações sensíveis e rótulos de sensibilidade e tomar as ações apropriadas.
Estas orientações incluem recomendações para os seguintes cenários:
- Trazer aplicativos SaaS para a gestão de TI
- Ajustar a proteção para aplicativos SaaS específicos
- Configurar prevenção de perda de dados (DLP) do Microsoft Purview para ajudar a cumprir com regulamentos de proteção de dados
Trazer aplicativos SaaS para a gestão de TI
O primeiro passo para usar o Defender for Cloud Apps para gerenciar aplicativos SaaS é descobrir esses aplicativos e depois adicioná-los ao seu locatário do Microsoft Entra. Se precisar de ajuda com a descoberta, veja Descobrir e gerenciar aplicativos SaaS na sua rede. Depois de descobrir os aplicativos, adicione-os ao seu locatário do Microsoft Entra.
Você pode começar a gerenciá-los fazendo o seguinte:
- Primeiro, no Microsoft Entra ID, crie uma nova política de acesso condicional e configure-a para "Usar Controle de Aplicativos de Acesso Condicional." Isso redireciona a solicitação para o Defender para Aplicativos de Nuvem. Você pode criar uma política e adicionar todos os aplicativos SaaS a essa política.
- Em seguida, no Defender para Aplicativos de Nuvem, crie políticas de sessão. Crie uma política para cada controle que você deseja aplicar.
As permissões para aplicativos SaaS são geralmente baseadas na necessidade empresarial de acesso ao aplicativo. Essas permissões podem ser altamente dinâmicas. O uso de políticas do Defender for Cloud Apps garante a proteção dos dados do aplicativo, independentemente de os usuários estarem atribuídos a um grupo do Microsoft Entra associado ao ponto de partida, à empresa ou à proteção de segurança especializada.
Para proteger dados em toda a sua coleção de aplicativos SaaS, o diagrama a seguir ilustra a política necessária de Acesso Condicional do Microsoft Entra e as políticas sugeridas que você pode criar no Defender for Cloud Apps. Neste exemplo, as políticas criadas no Defender para Aplicativos de Nuvem aplicam-se a todos os aplicativos SaaS que você está gerenciando. Elas são projetadas para aplicar controles apropriados com base em se os dispositivos são gerenciados, bem como rótulos de sensibilidade que já foram aplicados aos arquivos.
A tabela a seguir lista a nova política de acesso condicional que você deve criar no Microsoft Entra ID.
Nível de proteção | Policy | Mais informações |
---|---|---|
Todos os níveis de proteção | Usar Controle de Aplicativos de Acesso Condicional no Defender para Aplicativos de Nuvem | Isso configura seu IdP (Microsoft Entra ID) para funcionar com o Defender for Cloud Apps. |
Esta próxima tabela lista as políticas de exemplo ilustradas acima que você pode criar para proteger todos os aplicativos SaaS. Certifique-se de avaliar seus próprios objetivos de negócios, segurança e conformidade e, em seguida, crie políticas que forneçam a proteção mais adequada para seu ambiente.
Nível de proteção | Policy |
---|---|
Ponto inicial | Monitorar o tráfego de dispositivos não gerenciados Adicionar proteção aos downloads de arquivos de dispositivos não gerenciados |
Empresa | Bloquear o download de arquivos rotulados como sensíveis ou classificados de dispositivos não gerenciados (isso fornece acesso apenas pelo navegador) |
Segurança especializada | Bloquear o download de arquivos rotulados como classificados de todos os dispositivos (isso fornece acesso apenas pelo navegador) |
Para instruções completas sobre a configuração do Controle de Aplicativos de Acesso Condicional, consulte Implantar Controle de Aplicativos de Acesso Condicional para aplicativos em destaque. Este artigo orienta você no processo de criação da política de acesso condicional necessária no Microsoft Entra ID e na testagem de seus aplicativos SaaS.
Para obter mais informações, consulte Proteger aplicativos com o Controle de Aplicativos de Acesso Condicional do Microsoft Defender para Aplicativos de nuvem.
Ajustar a proteção para aplicativos SaaS específicos
Você pode querer aplicar monitoramento e controles adicionais a aplicativos SaaS específicos em seu ambiente. O Defender para Aplicativos de Nuvem permite que você faça isso. Por exemplo, se um aplicativo como o Box é amplamente utilizado em seu ambiente, faz sentido aplicar mais controles. Ou, se seu departamento jurídico ou financeiro está usando um aplicativo SaaS específico para dados comerciais sensíveis, você pode direcionar proteção extra para esses aplicativos.
Por exemplo, você pode proteger seu ambiente Box com estes tipos de modelos de política de detecção de anomalias integrados:
- Atividade de endereços IP anônimos
- Atividade de país/região pouco frequente
- Atividade de endereços IP suspeitos
- Viagem impossível
- Atividade executada pelo usuário encerrado (requer Microsoft Entra ID como IdP)
- Detecção de malware
- Várias tentativas de logon com falha
- Atividade de ransomware
- Aplicativo Oauth arriscado
- Atividade incomum de compartilhamento de arquivos
Esses são exemplos. Modelos de políticas adicionais são adicionados regularmente. Para exemplos de como aplicar proteção adicional a aplicativos específicos, consulte Protegendo aplicativos conectados.
Como o Defender para Aplicativos de Nuvem ajuda a proteger seu ambiente Box demonstra os tipos de controles que podem ajudar a proteger seus dados comerciais no Box e em outros aplicativos com dados sensíveis.
Configurar a prevenção de perda de dados (DLP) para ajudar a cumprir as regulamentações de proteção de dados
O Defender para Aplicativos de Nuvem pode ser uma ferramenta valiosa para configurar proteção para regulamentações de conformidade. Neste caso, você cria políticas específicas para procurar dados específicos aos quais uma regulamentação se aplica e configura cada política para tomar a ação apropriada.
A ilustração e a tabela a seguir fornecem vários exemplos de políticas que podem ser configuradas para ajudar a cumprir o Regulamento Geral de Proteção de Dados (GDPR). Nesses exemplos, as políticas procuram dados específicos. Com base na sensibilidade dos dados, cada política é configurada para tomar a ação apropriada.
Nível de proteção | Exemplo de políticas |
---|---|
Ponto inicial | Alertar quando arquivos contendo este tipo de informação sensível ("Número de Cartão de Crédito") são compartilhados fora da organização Bloquear downloads de arquivos contendo este tipo de informação sensível ("Número de Cartão de Crédito") para dispositivos não gerenciados |
Empresa | Proteger downloads de arquivos contendo este tipo de informação sensível ("Número de Cartão de Crédito") para dispositivos gerenciados Bloquear downloads de arquivos contendo este tipo de informação sensível ("Número de Cartão de Crédito") para dispositivos não gerenciados Alertar quando um arquivo com um desses rótulos é carregado para o OneDrive for Business ou Box (Dados do Cliente, Recursos Humanos: Dados Salariais, Recursos Humanos, Dados do Empregado) |
Segurança especializada | Alertar quando arquivos com este rótulo ("Altamente Classificado") são baixados para dispositivos gerenciados Bloquear downloads de arquivos com este rótulo ("Altamente Classificado") para dispositivos não gerenciados |
Próximas etapas
Para mais informações sobre o uso do Defender for Cloud Apps, consulte Documentação do Microsoft Defender para Aplicativos de Nuvem.