零信任和Microsoft Defender for Cloud Apps
零信任是用于设计和实现以下安全原则集的安全策略:
显式验证 | 使用最小特权 | 假定漏洞 |
---|---|---|
始终根据所有可用的数据点进行身份验证和授权。 | 使用实时访问和恰时访问限制用户访问权限, (JIT/JEA) 、基于风险的自适应策略和数据保护。 | 最小化爆炸半径和段访问。 验证端到端加密,并使用分析获取可见性、促进威胁检测和加强防范。 |
适用于云应用的Microsoft Defender是零信任策略和具有 Microsoft Defender XDR 的 XDR 部署的主要组件。 Microsoft Defender for Cloud Apps从组织使用云应用时收集信号,并保护环境与这些应用之间流动的数据,包括批准的云应用和未经批准的云应用。 例如,Microsoft Defender for Cloud Apps注意到异常行为,例如不可能访问、凭据访问和异常下载、文件共享或邮件转发活动,并向安全团队报告以缓解这些行为。
监视零信任时,请使用Defender for Cloud Apps来发现和保护组织中正在使用的 SaaS 应用,并部署用于定义你希望用户在云中的行为方式的策略。
使用 Defender for Cloud Apps 的用户和实体行为分析 (UEBA) 和异常情况检测、恶意软件防护、OAuth 应用保护、事件调查和修正来响应威胁。 监视 安全异常警报,例如不可能旅行、可疑收件箱规则和勒索软件。 专注于识别应用使用模式、评估应用的风险级别和业务就绪情况、防止数据泄漏到不合规的应用以及限制对受管制数据的访问。
使用Defender for Cloud Apps通知Microsoft Entra ID用户进行身份验证并收到令牌后发生了什么情况。 如果用户模式开始看起来可疑,例如用户开始从 OneDrive 下载千兆字节的数据,或者开始在Exchange Online中发送垃圾邮件,请通知Microsoft Entra ID用户似乎受到威胁或高风险。 在此用户的下一个访问请求中,Microsoft Entra ID可以正确执行操作来验证用户或阻止他们。
除了 SaaS 应用程序之外,Defender for Cloud Apps还可以通过了解整个公有云平台的安全配置和合规性状态来增强 IaaS 和 PaaS 服务的安全态势。 这样可以对整个平台配置状态进行基于风险的调查。 将 Microsoft Purview 与 Defender for Cloud Apps 集成,以标记应用并跨应用保护数据,防止无意中泄露敏感信息。
详细了解零信任以及如何使用 零信任 指导中心构建企业级策略和体系结构。
有关以应用程序为中心的概念和部署目标,请参阅使用零信任保护应用程序。
有关应用程序的其他零信任策略和最佳做法,请参阅以下文章:
- 建议的适用于 SaaS 应用的 Microsoft Defender for Cloud Apps 策略
- 零信任的应用程序集成
- 为 零信任 创建 Defender for Cloud 应用策略
- 为 SaaS 应用部署信息保护
详细了解其他Microsoft 365 功能,这些功能有助于使用 Microsoft 365 零信任部署计划来制定强大的零信任策略和体系结构。
有关Microsoft Defender XDR服务的零信任概述,请参阅使用Microsoft Defender XDR零信任。