Microsoft 雲端 App 安全性的最佳作法
Microsoft 雲端 App 安全性可以保護您的組織,但您必須遵循本單元所列的最佳做法。
探索及評估雲端應用程式
您可以將 Microsoft 雲端 App 安全性與 Microsoft Defender 整合,就能夠在公司網路外部使用 Cloud Discovery。 此方法可讓您識別有風險的使用者和裝置,並追蹤其動作。
請考慮啟用應用程式探索以識別有風險的應用程式。
還要監視使用者授予 OAuth 應用程式的權限。
套用雲端控管原則
將 [獲批准的]或 [未批准的]標籤套用至應用程式,並監視待批准的應用程式。
獲批准的應用程式是已核准使用的應用程式。 待批准的應用程式尚未核准。 如果應用程式待批准,這樣並不禁止使用,但您可以推薦替代應用程式給使用者,並監視待批准應用程式的使用情況。
限制共用資料的暴露程度,並強制執行共同作業原則
將 Office 365 連線至 Microsoft 雲端 App 安全性以查看使用者在 Office 365、SharePoint、OneDrive、Teams、Power BI、Exchange 和 Dynamics 中的動作。
將協力廠商應用程式連線至 Microsoft 雲端 App 安全性以更深入解析使用者在協力廠商應用程式中的活動。
檢視檔案暴露報告,以了解使用者如何與雲端應用程式共用檔案。
建立原則以防止使用者以個人帳戶共用檔案。
探索、分類、標記和保護儲存在雲端受管制的敏感性資料
將 Azure 資訊保護連線至 Microsoft 雲端 App 安全性以自動將分類標籤套用至檔案,並視需要套用加密。
建立檔案原則以偵測機密資料或未經授權的共用。
將軟體即服務 (SaaS) 應用程式連線至 Microsoft 雲端 App 安全性以允許調查這些應用程式所儲存的資料。
針對儲存在雲端的資料強制執行 DLP 和合規性原則
建立檔案原則以防止使用者共用機密資訊。
禁止和防止將敏感性資料下載至未受管理或有風險的裝置
使用條件式應用程式存取控制,禁止將敏感性資料下載至未管理的裝置。
強制執行即時工作階段控制,保護與外部使用者之間的共同作業
使用條件式應用程式存取控制,監視內部使用者與外部使用者的互動。 內部使用者可以接獲通知,知道自己正受到監視,可能無法執行特定活動。
偵測雲端威脅、帳戶遭入侵、惡意內部人員及勒索軟體
使用異常偵測原則來套用使用者與實體行為分析 (UEBA) 和機器學慣,以偵測整個雲端環境的異常活動。
建立活動原則以偵測來自非預期位置的活動。
建立 OAuth 應用程式原則,以便在 OAuth 應用程式符合特定準則 (例如需要更高權限) 時收到通知。
使用活動的稽核線索來啟動鑒識調查
調查警示並查看警示的稽核線索,以檢視來自相同使用者、相同 IP 位址、相同位置或相同類型的活動。
保護 IaaS 服務和自訂應用程式
將 Microsoft Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 連線至 Microsoft 雲端 App 安全性以監視這些服務的管理或登入活動。
使用 Azure、AWS 和 GCP 的安全性設定建議,確保您符合這些服務的最佳做法。
將自訂應用程式加入 Microsoft 雲端 App 安全性,以更深入解析這些使用或由應用程式來執行的動作。