适用于 SaaS 应用的建议 Microsoft Defender for Cloud Apps 策略
Microsoft Defender for Cloud Apps 基于 Microsoft Entra 条件访问策略构建,通过 SaaS 应用进行实时监视并控制精细操作,例如阻止下载、上传、复制和粘贴以及打印。 此功能为具有固有风险的会话(例如,从非管理的设备或来宾用户访问公司资源时)增加了安全性。
Defender for Cloud Apps 还与 Microsoft Purview 信息保护本机集成,提供实时内容检查,以基于敏感信息类型和敏感度标签查找敏感数据,并采取适当的措施。
本指南包含针对这些方案的建议:
- 将 SaaS 应用引入 IT 管理
- 优化特定 SaaS 应用的防护
- 配置 Microsoft Purview 数据丢失防护 (DLP),以帮助遵守数据保护法规
将 SaaS 应用引入 IT 管理
使用 Defender for Cloud Apps 管理 SaaS 应用的第一步是发现这些应用,然后将它们添加到 Microsoft Entra 租户。 如需发现方面的帮助,请参阅在网络中发现和管理 SaaS 应用。 发现应用后,将它们添加到 Microsoft Entra 租户。
可以通过执行以下操作开始管理它们:
- 首先,在 Microsoft Entra ID 中创建新的条件访问策略,并将其配置为“使用条件访问应用控制”。这会将请求重定向到 Defender for Cloud Apps。 可以创建一个策略,并将所有 SaaS 应用添加到此策略。
- 接下来,在 Defender for Cloud Apps 中创建会话策略。 为要应用的每个控制措施创建一个策略。
对 SaaS 应用的权限通常基于访问应用的业务需求。 这些权限可以是高度动态的。 使用 Defender for Cloud Apps 策略可确保对应用数据的保护,无论用户是否已分配到与起点、企业或专业安全性保护关联的 Microsoft Entra 组。
为了保护 SaaS 应用集合中的数据,下图说明了必要的 Microsoft Entra 条件访问策略以及可在 Defender for Cloud Apps 中创建的建议策略。 在此示例中,Defender for Cloud Apps 中创建的策略适用于你所管理的所有 SaaS 应用。 这些策略旨在根据设备是否受到管理以及已应用于文件的敏感度标签来应用适当的控制措施。
下表列出了必须在 Microsoft Entra ID 中创建的新条件访问策略。
保护级别 | 策略 | 详细信息 |
---|---|---|
所有保护级别 | 在 Defender for Cloud Apps 中使用条件访问应用控制 | 这会将你的 IdP (Microsoft Entra ID) 配置为与 Defender for Cloud Apps 协同工作。 |
下表列出了上面演示的示例策略,可以创建这些策略来保护所有 SaaS 应用。 请务必评估你自己的业务、安全性和合规性目标,然后创建为你的环境提供最适当的保护的策略。
保护级别 | 策略 |
---|---|
起点 | 监视来自非管理的设备的流量 向来自非管理的设备的文件下载添加保护 |
企业 | 阻止从非管理的设备下载标记为敏感或机密的文件(这仅提供浏览器访问权限) |
专用安全性 | 阻止从所有设备下载标记为机密的文件(这仅提供浏览器访问权限) |
有关设置条件访问应用控制的端到端说明,请参阅为精选应用部署条件访问应用控制。 本文指导你完成在 Microsoft Entra ID 中创建必要的条件访问策略并测试 SaaS 应用的过程。
有关详细信息,请参阅使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用。
优化特定 SaaS 应用的防护
你可能想要将其他监视和控制措施应用到环境中的特定 SaaS 应用。 Defender for Cloud Apps 允许你完成此操作。 例如,如果你在环境中大量使用 Box 等应用,则施加更多控制措施是有意义的。 或者,如果你的法律或财务部门对敏感业务数据使用特定的 SaaS 应用,则可以针对这些应用进行额外的保护。
例如,可以使用这些类型的内置异常情况检测策略模板来保护 Box 环境:
- 来自匿名 IP 地址的活动
- 来自不常用国家/地区的活动
- 来自可疑 IP 地址的活动
- Impossible travel
- 已离职用户执行的活动(需要 Microsoft Entra ID 作为 IdP)
- 恶意软件检测
- 多次失败的登录尝试
- 勒索软件活动
- 有风险的 Oauth 应用
- 异常文件共享活动
这些就是示例。 其他策略模板会定期添加。 有关如何将其他防护应用于特定应用的示例,请参阅保护连接的应用。
Defender for Cloud Apps 如何帮助保护 Box 环境演示了有助于在 Box 和其他具有敏感数据的应用中保护业务数据的控制措施类型。
配置数据丢失防护 (DLP),以帮助遵守数据保护法规
Defender for Cloud Apps 是配置合规性法规保护的宝贵工具。 在此例中,你创建特定策略来查找法规适用的特定数据,并配置每个策略以采取适当的措施。
下图和表提供了多个策略示例,这些策略可以配置为帮助遵守一般数据保护条例 (GDPR)。 在这些示例中,策略会查找特定数据。 根据数据的敏感度,将每个策略配置为采取适当的操作。
保护级别 | 示例策略 |
---|---|
起点 | 当包含此敏感信息类型(“信用卡号”)的文件在组织外部共享时发出警报 阻止将包含此敏感信息类型(“信用卡号”)的文件下载到非管理的设备 |
企业 | 保护包含此敏感信息类型(“信用卡号”)的文件到受管理设备的下载 阻止将包含此敏感信息类型(“信用卡号”)的文件下载到非管理的设备 具有这些标签的文件上传到 OneDrive for Business 或 Box 时发出警报(客户数据、人力资源:工资数据、人力资源、员工数据) |
专用安全性 | 当具有此标签(“高度机密”)的文件下载到受管理设备时发出警报 阻止将具有此标签(“高度机密”)的文件下载到非管理的设备 |
后续步骤
有关使用 Defender for Cloud Apps 的详细信息,请参阅 Microsoft Defender for Cloud Apps 文档。