نهج Microsoft Defender for Cloud Apps الموصى بها لتطبيقات SaaS
يعتمد Microsoft Defender for Cloud Apps على نهج الوصول المشروط في Azure AD لتمكين مراقبة الإجراءات الدقيقة والتحكم فيها في الوقت الحقيقي باستخدام تطبيقات SaaS، مثل حظر التنزيلات والتحميلات والنسخ واللصق والطباعة. تضيف هذه الميزة الأمان إلى جلسات العمل التي تحمل مخاطر متأصلة، مثل عندما يتم الوصول إلى موارد الشركة من أجهزة غير مدارة أو من قبل المستخدمين الضيوف.
يتكامل Defender for Cloud Apps أيضا في الأصل مع Microsoft Purview حماية البيانات، ما يوفر فحص المحتوى في الوقت الحقيقي للعثور على البيانات الحساسة استنادا إلى أنواع المعلومات الحساسة وتسميات الحساسية واتخاذ الإجراء المناسب.
تتضمن هذه الإرشادات توصيات لهذه السيناريوهات:
- إدخال تطبيقات SaaS في إدارة تكنولوجيا المعلومات
- ضبط الحماية لتطبيقات SaaS معينة
- تكوين منع فقدان بيانات Microsoft Purview (DLP) للمساعدة في الامتثال للوائح حماية البيانات
إدخال تطبيقات SaaS في إدارة تكنولوجيا المعلومات
الخطوة الأولى في استخدام Defender for Cloud Apps لإدارة تطبيقات SaaS هي اكتشاف هذه التطبيقات ثم إضافتها إلى مستأجر Azure AD. إذا كنت بحاجة إلى مساعدة في الاكتشاف، فراجع اكتشاف تطبيقات SaaS وإدارتها في شبكتك. بعد اكتشاف التطبيقات، أضفها إلى مستأجر Azure AD.
يمكنك البدء في إدارة هذه عن طريق القيام بما يلي:
- أولا، في Azure AD، قم بإنشاء نهج وصول مشروط جديد وتكوينه ل "استخدام التحكم في تطبيق الوصول المشروط". يؤدي ذلك إلى إعادة توجيه الطلب إلى Defender for Cloud Apps. يمكنك إنشاء نهج واحد وإضافة جميع تطبيقات SaaS إلى هذا النهج.
- بعد ذلك، في Defender for Cloud Apps، قم بإنشاء نهج جلسة العمل. إنشاء نهج واحد لكل عنصر تحكم تريد تطبيقه.
تستند الأذونات إلى تطبيقات SaaS عادة إلى حاجة العمل للوصول إلى التطبيق. يمكن أن تكون هذه الأذونات ديناميكية للغاية. يضمن استخدام نهج Defender for Cloud Apps الحماية لبيانات التطبيق، بغض النظر عما إذا كان يتم تعيين المستخدمين إلى مجموعة Azure AD المقترنة بنقطة البداية أو المؤسسة أو حماية الأمان المتخصصة.
لحماية البيانات عبر مجموعتك من تطبيقات SaaS، يوضح الرسم التخطيطي التالي نهج الوصول المشروط الضروري ل Azure AD بالإضافة إلى النهج المقترحة التي يمكنك إنشاؤها في Defender for Cloud Apps. في هذا المثال، تنطبق النهج التي تم إنشاؤها في Defender for Cloud Apps على جميع تطبيقات SaaS التي تديرها. وهي مصممة لتطبيق عناصر التحكم المناسبة استنادا إلى ما إذا كانت الأجهزة مدارة بالإضافة إلى تسميات الحساسية التي تم تطبيقها بالفعل على الملفات.
يسرد الجدول التالي نهج الوصول المشروط الجديد الذي يجب عليك إنشاؤه في Azure AD.
| مستوى الحماية | السياسات | معلومات إضافية |
|---|---|---|
| كافة مستويات الحماية | استخدام التحكم في تطبيق الوصول المشروط في Defender for Cloud Apps | يعمل هذا على تكوين IdP (Azure AD) للعمل مع Defender for Cloud Apps. |
يسرد هذا الجدول التالي أمثلة النهج الموضحة أعلاه التي يمكنك إنشاؤها لحماية جميع تطبيقات SaaS. تأكد من تقييم أهداف عملك وأمانك وتوافقك، ثم قم بإنشاء نهج توفر الحماية الأكثر ملاءمة للبيئة الخاصة بك.
| مستوى الحماية | السياسات |
|---|---|
| نقطة البداية | مراقبة نسبة استخدام الشبكة من الأجهزة غير المدارة إضافة حماية إلى تنزيلات الملفات من الأجهزة غير المدارة |
| Enterprise | حظر تنزيل الملفات المسماة بالملفات الحساسة أو المصنفة من الأجهزة غير المدارة (يوفر هذا الوصول إلى المستعرض فقط) |
| أمان متخصص | حظر تنزيل الملفات المسماة مصنفة من جميع الأجهزة (يوفر هذا الوصول إلى المستعرض فقط) |
للحصول على إرشادات من طرف إلى طرف لإعداد التحكم في تطبيق الوصول المشروط، راجع نشر عنصر تحكم تطبيق الوصول المشروط للتطبيقات المميزة. ترشدك هذه المقالة خلال عملية إنشاء نهج الوصول المشروط الضروري في Azure AD واختبار تطبيقات SaaS.
لمزيد من المعلومات، راجع حماية التطبيقات باستخدام Microsoft Defender for Cloud Apps التحكم بتطبيق الوصول المشروط.
ضبط الحماية لتطبيقات SaaS معينة
قد ترغب في تطبيق مراقبة وعناصر تحكم إضافية على تطبيقات SaaS معينة في بيئتك. يسمح لك Defender for Cloud Apps بإنجاز ذلك. على سبيل المثال، إذا تم استخدام تطبيق مثل Box بشكل كبير في بيئتك، فمن المنطقي تطبيق عناصر تحكم إضافية. أو، إذا كان قسم الشؤون القانونية أو المالية يستخدم تطبيق SaaS معينا لبيانات الأعمال الحساسة، يمكنك استهداف حماية إضافية لهذه التطبيقات.
على سبيل المثال، يمكنك حماية بيئة Box باستخدام هذه الأنواع من قوالب نهج الكشف عن الحالات الشاذة المضمنة:
- نشاط من عناوين IP مجهولة
- نشاط من بلد غير متكرر
- نشاط من عناوين IP المشبوهة
- السفر المستحيل
- النشاط الذي يقوم به المستخدم المنهي (يتطلب AAD (دليل Azure النشط) كمعرف)
- الكشف عن البرامج الضارة
- محاولات تسجيل الدخول الفاشلة المتعددة
- نشاط برامج الفدية الضارة
- تطبيق Oauth المحفوف بالمخاطر
- نشاط مشاركة الملفات غير المعتاد
هذه أمثلة. تتم إضافة قوالب نهج إضافية بشكل منتظم. للحصول على أمثلة حول كيفية تطبيق حماية إضافية على تطبيقات معينة، راجع حماية التطبيقات المتصلة.
يوضح كيف يساعد Defender for Cloud Apps في حماية بيئة Box أنواع عناصر التحكم التي يمكن أن تساعدك على حماية بيانات عملك في Box والتطبيقات الأخرى باستخدام البيانات الحساسة.
تكوين منع فقدان البيانات (DLP) للمساعدة في الامتثال للوائح حماية البيانات
يمكن أن يكون Defender for Cloud Apps أداة قيمة لتكوين الحماية للوائح الامتثال. في هذه الحالة، يمكنك إنشاء نهج محددة للبحث عن بيانات محددة تنطبق عليها اللوائح وتكوين كل نهج لاتخاذ الإجراء المناسب.
يوفر الرسم التوضيحي والجدول التاليان العديد من الأمثلة على النهج التي يمكن تكوينها للمساعدة في الامتثال للائحة العامة لحماية البيانات (GDPR). في هذه الأمثلة، تبحث النهج عن بيانات محددة. بناء على حساسية البيانات، يتم تكوين كل نهج لاتخاذ الإجراء المناسب.
| مستوى الحماية | نهج المثال |
|---|---|
| نقطة البداية | تنبيه عند مشاركة الملفات التي تحتوي على نوع المعلومات الحساسة هذا ("رقم بطاقة الائتمان") خارج المؤسسة >حظر تنزيلات الملفات التي تحتوي على نوع المعلومات الحساسة هذا ("رقم بطاقة الائتمان") إلى الأجهزة غير المدارة |
| Enterprise | حماية تنزيلات الملفات التي تحتوي على نوع المعلومات الحساسة هذا ("رقم بطاقة الائتمان") للأجهزة المدارة حظر تنزيلات الملفات التي تحتوي على نوع المعلومات الحساسة هذا ("رقم بطاقة الائتمان") إلى الأجهزة غير المدارة تنبيه عند تحميل ملف يحتوي على هذه التسميات إلى OneDrive for Business أو Box (بيانات العميل والموارد البشرية: بيانات الرواتب والموارد البشرية وبيانات الموظفين) |
| أمان متخصص | تنبيه عند تنزيل الملفات التي تحتوي على هذه التسمية ("مصنفة للغاية") إلى الأجهزة المدارة حظر تنزيلات الملفات باستخدام هذه التسمية ("مصنفة للغاية") للأجهزة غير المدارة |
الخطوات التالية
لمزيد من المعلومات حول استخدام Defender for Cloud Apps، راجع وثائق Microsoft Defender for Cloud Apps.
الملاحظات
إرسال الملاحظات وعرضها المتعلقة بـ