Рекомендуемые политики приложений Microsoft Defender для облака для приложений SaaS

Microsoft Defender для облака приложения создаются на основе политик условного доступа Microsoft Entra, чтобы обеспечить мониторинг и контроль в режиме реального времени с помощью приложений SaaS, таких как блокировка загрузки, отправка, копирование и вставка, а также печать. Эта функция добавляет безопасность к сеансам, которые несут внутренний риск, например, когда корпоративные ресурсы получают доступ с неуправляемых устройств или гостевых пользователей.

Defender для облака Приложения также интегрируются изначально с Защита информации Microsoft Purview, предоставляя проверку содержимого в режиме реального времени для поиска конфиденциальных данных на основе типов конфиденциальной информации и меток конфиденциальности и принятия соответствующих мер.

В этом руководстве содержатся рекомендации по этим сценариям:

• Перенос приложений SaaS в ит-управление
• Настройка защиты для определенных приложений SaaS
• Настройка защиты от потери данных (DLP) Microsoft Purview для обеспечения соответствия нормативным требованиям по защите данных

Перенос приложений SaaS в ит-управление

Первым шагом в использовании Defender для облака Apps для управления приложениями SaaS является обнаружение этих приложений, а затем добавление их в клиент Microsoft Entra. Если вам нужна помощь по обнаружению, см. статью "Обнаружение приложений SaaS и управление ими в сети". После обнаружения приложений добавьте их в клиент Microsoft Entra.

Чтобы начать управлять этими параметрами, выполните следующие действия.

1. Сначала в идентификаторе Microsoft Entra создайте новую политику условного доступа и настройте ее на "Использование управления условным доступом". Это перенаправляет запрос на Defender для облака Приложения. Вы можете создать одну политику и добавить все приложения SaaS в эту политику.
2. Затем в Defender для облака Apps создайте политики сеансов. Создайте одну политику для каждого элемента управления, который вы хотите применить.

Разрешения для приложений SaaS обычно основаны на бизнес-потребности в доступе к приложению. Эти разрешения могут быть очень динамическими. Использование политик Defender для облака Apps обеспечивает защиту данных приложений независимо от того, назначены ли пользователи группе Microsoft Entra, связанной с начальной точкой, предприятием или специализированной защитой безопасности.

Чтобы защитить данные в коллекции приложений SaaS, на следующей схеме показана необходимая политика условного доступа Microsoft Entra и предлагаемые политики, которые можно создать в Defender для облака приложениях. В этом примере политики, созданные в Defender для облака Apps, применяются ко всем приложениям SaaS, которые вы управляете. Они предназначены для применения соответствующих элементов управления на основе того, управляются ли устройства, а также метки конфиденциальности, которые уже применяются к файлам.

В следующей таблице перечислены новые политики условного доступа, которые необходимо создать в идентификаторе Microsoft Entra.

Уровень защиты	Политика	Дополнительные сведения
Все уровни защиты	Использование управления условным доступом к приложениям в приложениях Defender для облака	Это настраивает идентификатор поставщика удостоверений (идентификатор Microsoft Entra) для работы с Defender для облака приложениями.

В следующей таблице перечислены примеры политик, показанных выше, которые можно создать для защиты всех приложений SaaS. Не забудьте оценить собственные бизнес-задачи, безопасность и соответствие требованиям, а затем создавать политики, которые обеспечивают наиболее подходящую защиту для вашей среды.

Уровень защиты	Политика
Начальная точка	Мониторинг трафика с неуправляемых устройств Добавление защиты к скачиванию файлов с неуправляемых устройств
Функции корпоративного уровня	Блокировать скачивание файлов, помеченных конфиденциальными или классифицированными с неуправляемых устройств (это обеспечивает доступ только к браузеру)
Специализированная безопасность	Блокировать скачивание файлов, помеченных классифицированными со всех устройств (это обеспечивает доступ только в браузере)

Полные инструкции по настройке управления приложениями условного доступа см. в статье "Развертывание управления приложениями условного доступа" для избранных приложений. В этой статье описывается процесс создания необходимой политики условного доступа в идентификаторе Microsoft Entra и тестировании приложений SaaS.

Дополнительные сведения см. в статье о защите приложений с помощью Управления условным доступом к приложениям для Microsoft Defender for Cloud Apps.

Настройка защиты для определенных приложений SaaS

Вам может потребоваться применить дополнительные элементы мониторинга и элементы управления к определенным приложениям SaaS в вашей среде. Defender для облака Приложения позволяют выполнить это. Например, если в среде используется приложение, например Box, имеет смысл применить дополнительные элементы управления. Кроме того, если ваш юридический отдел или отдел финансов использует конкретное приложение SaaS для конфиденциальных бизнес-данных, вы можете настроить дополнительную защиту для этих приложений.

Например, можно защитить среду Box с помощью этих типов встроенных шаблонов политик обнаружения аномалий:

• Действия, выполняемые с анонимных IP-адресов
• Активность из редкой страны или региона
• Действия с подозрительных IP-адресов
• Неосуществимое перемещение
• Действие, выполняеме завершенным пользователем (требуется идентификатор Microsoft Entra в качестве поставщика удостоверений)
• Обнаружение вредоносных программ
• Множество неудачных попыток входа
• Активность программы-шантажиста
• Опасное приложение Oauth
• Необычное действие общей папки

Это только примеры. Дополнительные шаблоны политик добавляются регулярно. Примеры применения дополнительной защиты к определенным приложениям см. в разделе "Защита подключенных приложений".

Как Defender для облака Приложения помогают защитить среду Box, демонстрирует типы элементов управления, которые помогут защитить бизнес-данные в Box и других приложениях с конфиденциальными данными.

Настройка защиты от потери данных (DLP) для обеспечения соответствия нормативным требованиям по защите данных

Defender для облака Приложения могут быть ценным инструментом для настройки защиты нормативных требований. В этом случае вы создаете определенные политики для поиска определенных данных, к которым применяется регулирование, и настраиваете каждую политику для принятия соответствующих действий.

На следующем рисунке и таблице приведены несколько примеров политик, которые можно настроить для соблюдения общего регламента по защите данных (GDPR). В этих примерах политики ищут определенные данные. На основе конфиденциальности данных каждая политика настроена для принятия соответствующих действий.

Уровень защиты	Примеры политик
Начальная точка	Оповещение о том, что файлы, содержащие этот тип конфиденциальной информации ("Номер кредитной карты") предоставляются за пределами организации. Блокировать скачивание файлов, содержащих этот тип конфиденциальной информации ("Кредит карта число") на неуправляемые устройства
Функции корпоративного уровня	Защита скачивания файлов, содержащих этот тип конфиденциальной информации ("Номер кредитной карта") на управляемых устройствах Блокировать скачивание файлов, содержащих этот тип конфиденциальной информации ("Кредит карта число") на неуправляемые устройства Оповещение при отправке файла с этими метками в OneDrive для бизнеса или Box (данные клиента, персонал: данные о заработной плате, кадровые ресурсы, данные сотрудников)
Специализированная безопасность	Оповещение о том, что файлы с этой меткой ("Строго классифицированные") загружаются на управляемые устройства. Блокировать скачивание файлов с помощью этой метки ("Строго классифицировано") на неуправляемые устройства

Следующие шаги

Дополнительные сведения об использовании приложений Defender для облака см. в документации по Microsoft Defender для облака Apps.