Шаг 2. Создание политик приложений Defender для облака

Статья
04/24/2024

Приложения SaaS играют ключевую роль в обеспечении доступности приложений и ресурсов с любого устройства с подключением к Интернету. Однако некоторые приложения могут представлять угрозу безопасности с потенциалом причинить значительный ущерб вашей организации, если они не обнаружены и не управляются. Вы должны иметь представление о приложениях, которые используются в вашей организации, чтобы защитить конфиденциальные данные и ресурсы.

Microsoft Defender для облака Приложения позволяют контролировать их с помощью комплексного контроля видимости, аудита и детализированных элементов управления конфиденциальными данными. Defender для облака Приложения имеют средства, которые помогают выявить теневые ИТ-ресурсы и оценить риск, позволяя применять политики и исследовать действия приложений. Он помогает в режиме реального времени контролировать доступ и предотвращать угрозы, чтобы переход вашей организации в облако стал более безопасным.

В этой статье содержатся рекомендации по следующим вопросам:

Обнаружение облачных приложений
Санкционировать облачные приложения
Настройка управления условным доступом к приложению
Использование соединителей приложений
Применить элементы управления сеансом,

Если вы еще не настроили Defender для облака приложения, см. статью "Оценка Microsoft Defender для облака приложений".

Обнаружение облачных приложений

Без видимости приложений, используемых в вашей организации, вы не сможете правильно управлять и контролировать, как пользователи используют приложения и как приложения получают доступ к конфиденциальным данным и ресурсам.

Defender для облака Приложения имеют функцию Cloud Discovery, которая анализирует журналы трафика в каталоге приложений Microsoft Defender для облака более 31 000 облачных приложений. Приложения ранжируются и оцениваются на основе более чем 90 факторов риска и обеспечивают постоянную видимость использования облачных приложений, теневого ИТ-решения и риска, вызванного неизвестными и неуправляемыми приложениями.

На следующей схеме показаны компоненты обнаружения облачных приложений и два метода, используемые для мониторинга сетевого трафика и обнаружения облачных приложений, используемых в организации.

На этой схеме:

Метод 1. Cloud App Discovery интегрируется с Microsoft Defender для конечной точки, которая сообщает облачным приложениям и службам, к которым осуществляется доступ с ит-управляемых ИТ-устройств Windows 10 и Windows 11.
Метод 2. Для покрытия на всех устройствах, подключенных к сети, сборщик журналов Defender для облака Apps, установленный на брандмауэрах и прокси-серверах, собирает и отправляет данные из конечных точек в Defender для облака Приложения для анализа.

Используйте следующее руководство, чтобы использовать встроенные возможности в Defender для облака Apps для обнаружения приложений в вашей организации:

Санкционировать приложения

После просмотра списка обнаруженных приложений в вашей среде вы можете защитить среду, утвердив безопасные приложения (санкционированные) или запретив нежелательные приложения (несанкционные).

Дополнительные сведения см. в разделе "Санкционирование" или "отмена несанкционированного доступа к приложению".

Настройка управления условным доступом для защиты приложений

Политики условного доступа позволяют назначать элементы управления и требования определенным приложениям, действиям или условиям проверки подлинности. У вас есть возможность определить, какие пользователи или группы пользователей могут получить доступ к облачным приложениям, к которым они могут обращаться, и из каких расположений и сетей пользователь должен получить доступ. Дополнительные сведения см . в шаге 1 этого решения.

В сочетании с политиками условного доступа можно повысить безопасность облачных приложений, применяя элементы управления доступом и сеансами с помощью управления условным доступом. С помощью возможности управления условным доступом в приложениях Defender для облака доступ пользователей и сеансы отслеживаются и контролируются в режиме реального времени на основе политик доступа и сеансов. Политики доступа и сеанса, настроенные на портале приложений Defender для облака, позволяют дополнительно уточнить фильтры и задать действия, которые могут выполнять пользователи.

Microsoft Defender для облака приложения изначально интегрируются с Microsoft Entra. При настройке политики в Microsoft Entra для использования управления условным доступом трафик облачных приложений направляется через Defender для облака Приложения в качестве прокси-сервера, что позволяет Defender для облака приложениям отслеживать этот трафик и применять элементы управления сеансами.

На следующей схеме показано, как трафик облачных приложений направляется через Microsoft Entra и Defender для облака Apps.

На этой схеме:

Microsoft Entra имеет политику управления условным доступом для трафика указанных и интегрированных приложений SaaS. Затем идентификатор Microsoft Entra направляет (прокси-серверы) трафик сеанса через Defender для облака приложения.
Defender для облака Приложения отслеживают этот трафик и применяют политики управления сеансами.

Условный доступ определяет требования, которые необходимо выполнить, прежде чем пользователь сможет получить доступ к приложению. Управление условным доступом определяет, к каким приложениям пользователь может получить доступ, и набор действий, которые пользователь может предпринять во время сеанса после предоставления доступа.

Дополнительные сведения см. в разделе:

Использование соединителей приложений

соединитель приложений используют API поставщиков приложений, чтобы обеспечить большую видимость и контроль, Defender для облака Приложения над приложениями, используемыми в вашей организации. В зависимости от приложения, к которому вы подключаетесь, подключения приложений позволяют включить следующее:

Сведения об учетной записи. Видимость пользователей, учетных записей, сведений о профиле, групп состояния (приостановлено, активно, отключено) и привилегий.
Аудит тропы — видимость действий пользователей, действий администратора и действий входа.
Управление учетными записями — возможность приостановки пользователей, отзыва паролей и других возможностей.
Разрешения приложения. Видимость выданных токенов и их разрешений.
Управление разрешениями приложения. Возможность удалять токены.
Сканирование данных — сканирование неструктурированных данных с помощью двух процессов (периодически (каждые 12 часов) и в режиме реального времени (активируется при каждом обнаружении изменения).
Управление данными — возможность карантина файлов, в том числе файлов в корзине и перезаписи файлов.

Дополнительные сведения см. в Подключение приложениях.

Defender для облака Приложения обеспечивают сквозную защиту подключенных приложений с помощью интеграции с облаком и облаком. Соединители API и элементы управления доступом в режиме реального времени и сеанса, использующие элементы управления доступом к условному приложению.

Применить элементы управления сеансом,

Элементы управления сеансами позволяют применять параметры к использованию облачных приложений вашей организацией. Например, если ваша организация использует Salesforce, вы можете настроить политику сеанса, которая позволяет только зарегистрированным и управляемым устройствам получать доступ к данным Salesforce вашей организации. Более простой пример можно настроить политику для мониторинга трафика с неуправляемых устройств, чтобы проанализировать риск этого трафика перед применением более строгих политик.

Defender для облака документация по приложениям содержит следующие серии руководств, которые помогут вам обнаружить риски и защитить среду:

Следующий шаг

Перейдите к шагу 3 , чтобы развернуть защиту информации для приложений SaaS.