SaaS uygulamaları için önerilen Bulut için Microsoft Defender Uygulamaları ilkeleri
Bulut için Microsoft Defender Uygulamaları, indirmeleri engelleme, karşıya yükleme, kopyalama ve yapıştırma ve yazdırma gibi SaaS uygulamalarıyla gerçek zamanlı izleme ve ayrıntılı eylemlerin denetlenmesine olanak tanımak için Microsoft Entra Koşullu Erişim ilkelerini kullanır. Bu özellik, şirket kaynaklarına yönetilmeyen cihazlardan veya konuk kullanıcılar tarafından erişildiğinde olduğu gibi doğal risk taşıyan oturumlara güvenlik ekler.
Bulut için Defender Uygulamaları ayrıca Microsoft Purview Bilgi Koruması yerel olarak tümleştirerek hassas bilgi türlerine ve duyarlılık etiketlerine göre hassas verileri bulmak ve uygun işlemleri yapmak için gerçek zamanlı içerik denetimi sağlar.
Bu kılavuz, şu senaryolar için öneriler içerir:
- SaaS uygulamalarını BT yönetimine getirme
- Belirli SaaS uygulamaları için koruma ayarlama
- Veri koruma düzenlemelerine uymaya yardımcı olmak için Microsoft Purview veri kaybı önlemeyi (DLP) yapılandırma
SaaS uygulamalarını BT yönetimine getirme
SaaS uygulamalarını yönetmek için Bulut için Defender Uygulamalarını kullanmanın ilk adımı bunları bulmak ve ardından Bunları Microsoft Entra kiracınıza eklemektir. Bulma konusunda yardıma ihtiyacınız varsa bkz . Ağınızdaki SaaS uygulamalarını bulma ve yönetme. Uygulamaları keşfettikten sonra bunları Microsoft Entra kiracınıza ekleyin.
Aşağıdakileri yaparak bunları yönetmeye başlayabilirsiniz:
- İlk olarak, Microsoft Entra Id'de yeni bir koşullu erişim ilkesi oluşturun ve bunu "Koşullu Erişim Uygulama Denetimini Kullan" olarak yapılandırın. Bu, isteği Bulut için Defender Uygulamalarına yönlendirir. Bir ilke oluşturabilir ve tüm SaaS uygulamalarını bu ilkeye ekleyebilirsiniz.
- Ardından, Bulut için Defender Uygulamalar'da oturum ilkeleri oluşturun. Uygulamak istediğiniz her denetim için bir ilke oluşturun.
SaaS uygulamalarına yönelik izinler genellikle uygulamaya erişim için iş gereksinimini temel alır. Bu izinler son derece dinamik olabilir. Bulut için Defender Uygulamaları ilkelerinin kullanılması, kullanıcıların başlangıç noktası, kuruluş veya özel güvenlik korumasıyla ilişkili bir Microsoft Entra grubuna atanmasından bağımsız olarak uygulama verilerinin korunmasını sağlar.
SaaS uygulamaları koleksiyonunuz genelinde verileri korumak için aşağıdaki diyagramda gerekli Microsoft Entra Koşullu Erişim ilkesi ve Bulut için Defender Uygulamalarında oluşturabileceğiniz önerilen ilkeler gösterilmektedir. Bu örnekte, Bulut için Defender Uygulamalarında oluşturulan ilkeler yönettiğiniz tüm SaaS uygulamaları için geçerlidir. Bunlar, cihazların yönetilip yönetilmediğine ve dosyalara zaten uygulanmış olan duyarlılık etiketlerine göre uygun denetimleri uygulamak için tasarlanmıştır.
Aşağıdaki tabloda, Microsoft Entra Id'de oluşturmanız gereken yeni koşullu erişim ilkesi listelanmaktadır.
| Koruma düzeyi | İlke | Daha Fazla Bilgi |
|---|---|---|
| Tüm koruma düzeyleri | Bulut için Defender Uygulamalarında Koşullu Erişim Uygulama Denetimi'ni kullanma | Bu, IdP'nizi (Microsoft Entra Id) Bulut için Defender Uygulamaları ile çalışacak şekilde yapılandırıyor. |
Bu sonraki tabloda, tüm SaaS uygulamalarını korumak için oluşturabileceğiniz yukarıda gösterilen örnek ilkeler listelenir. Kendi iş, güvenlik ve uyumluluk hedeflerinizi değerlendirip ortamınız için en uygun korumayı sağlayan ilkeler oluşturduğunuzdan emin olun.
| Koruma düzeyi | İlke |
|---|---|
| Başlangıç noktası | Yönetilmeyen cihazlardan gelen trafiği izleme Yönetilmeyen cihazlardan dosya indirmelerine koruma ekleme |
| Kurumsal | Hassas olarak etiketlenmiş veya yönetilmeyen cihazlardan sınıflandırılmış dosyaların indirilmesini engelle (bu yalnızca tarayıcı erişimi sağlar) |
| Özel güvenlik | Tüm cihazlardan sınıflandırılmış olarak etiketlenmiş dosyaların indirilmesini engelle (bu yalnızca tarayıcı erişimi sağlar) |
Koşullu Erişim Uygulama Denetimi'ni ayarlamaya yönelik uçtan uca yönergeler için bkz . Öne çıkan uygulamalar için Koşullu Erişim Uygulama Denetimi Dağıtma. Bu makale, Microsoft Entra Id'de gerekli koşullu erişim ilkesini oluşturma ve SaaS uygulamalarınızı test etme işleminde size yol gösterir.
Daha fazla bilgi için bkz. uygulamaları Bulut için Microsoft Defender Uygulamalar Koşullu Erişim Uygulama Denetimi ile koruma.
Belirli SaaS uygulamaları için koruma ayarlama
Ortamınızdaki belirli SaaS uygulamalarına ek izleme ve denetimler uygulamak isteyebilirsiniz. Bulut için Defender Uygulamaları bunu gerçekleştirmenize olanak tanır. Örneğin, ortamınızda Box gibi bir uygulama yoğun bir şekilde kullanılıyorsa, daha fazla denetim uygulamak mantıklıdır. Alternatif olarak, hukuk veya finans departmanınız hassas iş verileri için belirli bir SaaS uygulaması kullanıyorsa, bu uygulamalara ek koruma hedefleyebilirsiniz.
Örneğin, Box ortamınızı şu yerleşik anomali algılama ilkesi şablonlarıyla koruyabilirsiniz:
- Anonim IP adreslerinden etkinlik
- Seyrek ülke/bölgeden etkinlik
- Şüpheli IP adreslerinden etkinlik
- Mümkün olmayan seyahat
- Sonlandırılan kullanıcı tarafından gerçekleştirilen etkinlik (IdP olarak Microsoft Entra Id gerektirir)
- Kötü amaçlı yazılım algılama
- Birden çok başarısız oturum açma girişimi
- Fidye yazılımı etkinliği
- Riskli Oauth Uygulaması
- Olağan dışı dosya paylaşımı etkinliği
Bunlar örnektir. Ek ilke şablonları düzenli olarak eklenir. Belirli uygulamalara ek koruma uygulama örnekleri için bkz . Bağlı uygulamaları koruma.
Bulut için Defender Uygulamaları, Box ortamınızın korunmasına nasıl yardımcı olur? Box'taki iş verilerinizi ve diğer uygulamaları hassas verilerle korumanıza yardımcı olabilecek denetim türlerini gösterir.
Veri koruma düzenlemelerine uymaya yardımcı olmak için veri kaybı önlemeyi (DLP) yapılandırma
Bulut için Defender Uygulamalar, uyumluluk düzenlemeleri için korumayı yapılandırmaya yönelik değerli bir araç olabilir. Bu durumda, bir düzenlemenin geçerli olduğu belirli verileri aramak için belirli ilkeler oluşturur ve her ilkeyi uygun eylemleri gerçekleştirecek şekilde yapılandırabilirsiniz.
Aşağıdaki çizim ve tablo, Genel Veri Koruma Yönetmeliği'ne (GDPR) uymaya yardımcı olmak için yapılandırılabilir ilkelere birkaç örnek sağlar. Bu örneklerde ilkeler belirli verileri arar. Verilerin duyarlılığına bağlı olarak, her ilke uygun eylemi gerçekleştirecek şekilde yapılandırılır.
| Koruma düzeyi | Örnek ilkeler |
|---|---|
| Başlangıç noktası | Bu hassas bilgi türünü ("Kredi Kartı Numarası") içeren dosyalar kuruluş dışında paylaşıldığında uyarı Bu hassas bilgi türünü ("Kredi kartı numarası") içeren dosyaların yönetilmeyen cihazlara indirilmesi engelleniyor |
| Kurumsal | Bu hassas bilgi türünü ("Kredi kartı numarası") içeren dosyaların yönetilen cihazlara indirilmelerini koruyun Bu hassas bilgi türünü ("Kredi kartı numarası") içeren dosyaların yönetilmeyen cihazlara indirilmesi engelleniyor Bu etiketlerin üzerindeki bir dosya OneDrive İş veya Box'a yüklendiğinde uyarır (Müşteri verileri, İnsan Kaynakları: Maaş Verileri, İnsan Kaynakları, Çalışan verileri) |
| Özel güvenlik | Bu etikete sahip dosyalar ("Yüksek oranda sınıflandırılmış") yönetilen cihazlara indirildiğinde uyarı verme Bu etikete ("Yüksek oranda sınıflandırılmış") sahip dosyaların yönetilmeyen cihazlara indirilmelerini engelle |
Sonraki adımlar
Bulut için Defender Uygulamalarını kullanma hakkında daha fazla bilgi için Bulut için Microsoft Defender Uygulamalar belgelerine bakın.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin