Doporučené zásady Microsoft Defender for Cloud Apps pro aplikace SaaS
Microsoft Defender for Cloud Apps staví na zásadách podmíněného přístupu Microsoft Entra a umožňuje monitorování a kontrolu podrobných akcí v reálném čase pomocí aplikací SaaS, jako je blokování stahování, nahrávání, kopírování a vkládání a tisku. Tato funkce přidává zabezpečení do relací, které představují inherentní riziko, například když k podnikovým prostředkům přistupují z nespravovaných zařízení nebo uživatelé typu host.
Defender for Cloud Apps se také nativně integruje s Microsoft Purview Information Protection a poskytuje kontrolu obsahu v reálném čase, která umožňuje najít citlivá data na základě typů citlivých informací a popisků citlivosti a provést odpovídající akce.
Tyto doprovodné materiály obsahují doporučení pro tyto scénáře:
- Přenesení aplikací SaaS do správy IT
- Ladění ochrany pro konkrétní aplikace SaaS
- Konfigurace ochrany před únikem informací (DLP) v Microsoft Purview za účelem zajištění souladu s předpisy o ochraně dat
Přenesení aplikací SaaS do správy IT
Prvním krokem při použití Defenderu for Cloud Apps ke správě aplikací SaaS je zjistit je a pak je přidat do tenanta Microsoft Entra. Pokud potřebujete pomoc se zjišťováním, přečtěte si téma Zjišťování a správa aplikací SaaS ve vaší síti. Po zjištění aplikací je přidejte do tenanta Microsoft Entra.
Tyto možnosti můžete začít spravovat následujícím způsobem:
- Nejprve v Microsoft Entra ID vytvořte novou zásadu podmíněného přístupu a nakonfigurujte ji na Použít řízení podmíněného přístupu k aplikacím. Tím se požadavek přesměruje na Defender for Cloud Apps. Můžete vytvořit jednu zásadu a přidat do nich všechny aplikace SaaS.
- Dále v Defenderu for Cloud Apps vytvořte zásady relací. Create jednu zásadu pro každý ovládací prvek, který chcete použít.
Oprávnění k aplikacím SaaS jsou obvykle založená na obchodní potřebě přístupu k aplikaci. Tato oprávnění můžou být vysoce dynamická. Použití zásad Defenderu for Cloud Apps zajišťuje ochranu dat aplikací bez ohledu na to, jestli jsou uživatelé přiřazeni ke skupině Microsoft Entra přidružené k výchozímu bodu, podnikové nebo specializované ochraně zabezpečení.
Pokud chcete chránit data ve vaší kolekci aplikací SaaS, následující diagram znázorňuje nezbytné Microsoft Entra zásady podmíněného přístupu a navrhované zásady, které můžete vytvořit v Defenderu for Cloud Apps. V tomto příkladu se zásady vytvořené v Defenderu for Cloud Apps vztahují na všechny aplikace SaaS, které spravujete. Jsou navržené tak, aby používaly příslušné ovládací prvky na základě toho, jestli se zařízení spravují, a také popisky citlivosti, které se už u souborů používají.
Následující tabulka uvádí nové zásady podmíněného přístupu, které musíte vytvořit v Microsoft Entra ID.
| Úroveň ochrany | Zásad | Další informace |
|---|---|---|
| Všechny úrovně ochrany | Použití řízení podmíněného přístupu k aplikacím v Defenderu for Cloud Apps | Tím nakonfigurujete zprostředkovatele identity (Microsoft Entra ID) tak, aby fungoval s Defenderem for Cloud Apps. |
V následující tabulce jsou uvedené výše uvedené ukázkové zásady, které můžete vytvořit k ochraně všech aplikací SaaS. Nezapomeňte vyhodnotit vlastní obchodní cíle, cíle zabezpečení a dodržování předpisů a pak vytvořit zásady, které poskytují nejvhodnější ochranu pro vaše prostředí.
| Úroveň ochrany | Zásad |
|---|---|
| Bodem | Monitorování provozu z nespravovaných zařízení Přidání ochrany ke stahování souborů z nespravovaných zařízení |
| Enterprise | Blokovat stahování souborů označených citlivými nebo klasifikovanými z nespravovaných zařízení (to poskytuje přístup jenom v prohlížeči) |
| Specializované zabezpečení | Blokovat stahování souborů označených klasifikovanými ze všech zařízení (to poskytuje přístup jenom v prohlížeči) |
Kompletní pokyny k nastavení řízení podmíněného přístupu k aplikacím najdete v tématu Nasazení řízení podmíněného přístupu k aplikacím pro vybrané aplikace. Tento článek vás provede procesem vytvoření nezbytných zásad podmíněného přístupu v Microsoft Entra ID a testování aplikací SaaS.
Další informace najdete v tématu Ochrana aplikací pomocí Microsoft Defender for Cloud Apps Řízení podmíněného přístupu k aplikacím.
Ladění ochrany pro konkrétní aplikace SaaS
U konkrétních aplikací SaaS ve vašem prostředí můžete chtít použít další monitorování a ovládací prvky. Defender for Cloud Apps vám to umožňuje. Pokud se například aplikace, jako je Box, ve vašem prostředí hodně používá, má smysl použít více ovládacích prvků. Nebo pokud vaše právní nebo finanční oddělení používá konkrétní aplikaci SaaS pro citlivá obchodní data, můžete těmto aplikacím zacílit další ochranu.
Prostředí Boxu můžete chránit například pomocí těchto typů předdefinovaných šablon zásad detekce anomálií:
- Aktivita z anonymních IP adres
- Aktivita z občasné země nebo oblasti
- Aktivita z podezřelých IP adres
- Nemožné cestování
- Aktivita prováděná ukončeným uživatelem (vyžaduje Microsoft Entra ID jako zprostředkovatele identity)
- Detekce malwaru
- Několik neúspěšných pokusů o přihlášení
- Aktivita ransomware
- Riziková aplikace Oauth
- Neobvyklá aktivita sdílené složky
Toto jsou příklady. Pravidelně se přidávají další šablony zásad. Příklady použití další ochrany u konkrétních aplikací najdete v tématu Ochrana připojených aplikací.
Informace o tom, jak Defender for Cloud Apps pomáhá chránit prostředí Boxu , ukazuje typy ovládacích prvků, které vám můžou pomoct chránit obchodní data v Boxu a dalších aplikacích s citlivými daty.
Konfigurace ochrany před únikem informací (DLP) za účelem zajištění souladu s předpisy na ochranu dat
Defender for Cloud Apps může být cenným nástrojem pro konfiguraci ochrany pro dodržování předpisů. V takovém případě vytvoříte konkrétní zásady, které vyhledávají konkrétní data, na která se vztahují předpisy, a nakonfigurujete každou zásadu tak, aby podnikla odpovídající opatření.
Následující obrázek a tabulka obsahují několik příkladů zásad, které je možné nakonfigurovat tak, aby pomáhaly dodržovat obecné nařízení o ochraně osobních údajů (GDPR). V těchto příkladech zásady hledají konkrétní data. V závislosti na citlivosti dat se každá zásada nakonfiguruje tak, aby podnikla odpovídající akce.
| Úroveň ochrany | Ukázkové zásady |
|---|---|
| Bodem | Upozornit, když se soubory obsahující tento typ citlivých informací ("číslo platební karty") sdílí mimo organizaci. Blokovat stahování souborů obsahujících tento typ citlivých informací ("číslo platební karty") do nespravovaných zařízení |
| Enterprise | Ochrana stahování souborů obsahujících tento typ citlivých informací ("číslo platební karty") do spravovaných zařízení Blokovat stahování souborů obsahujících tento typ citlivých informací ("číslo platební karty") do nespravovaných zařízení Upozornění, když se soubor s těmito popisky nahraje do OneDrive pro firmy nebo Boxu (zákaznická data, lidské zdroje: mzdové údaje, lidské zdroje, údaje o zaměstnancích) |
| Specializované zabezpečení | Upozornění, když se soubory s tímto popiskem ("Vysoce klasifikované") stáhnou do spravovaných zařízení Blokovat stahování souborů s tímto popiskem ("Vysoce klasifikovaná") do nespravovaných zařízení |
Další kroky
Další informace o používání Defenderu for Cloud Apps najdete v dokumentaci Microsoft Defender for Cloud Apps.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro