Wat zijn Microsoft Defender for Cloud Apps procedures voor gegevensbeveiliging en privacy?
Notitie
De naam van Microsoft Cloud App Security is gewijzigd. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken werken we de schermafbeeldingen en instructies hier en op gerelateerde pagina's bij. Zie deze aankondiging voor meer informatie over de wijziging. Zie het Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.
Microsoft Defender for Cloud Apps maakt nu deel uit van Microsoft 365 Defender. Met de Microsoft 365 Defender-portal kunnen beveiligingsbeheerders hun beveiligingstaken op één locatie uitvoeren. Dit vereenvoudigt werkstromen en voegt de functionaliteit van de andere Microsoft 365 Defender-services toe. Microsoft 365 Defender is de thuisbasis voor het bewaken en beheren van beveiliging in uw Microsoft-identiteiten, gegevens, apparaten, apps en infrastructuur. Zie Microsoft Defender for Cloud Apps in Microsoft 365 Defender voor meer informatie over deze wijzigingen.
Notitie
Dit artikel bevat stappen voor als u persoonlijke gegevens van het apparaat of de service wilt verwijderen. Bovendien kunt u het gebruiken om uw verplichtingen met betrekking tot de AVG na te komen. Zie het gedeelte AVG van de Service Trust Portal als u op zoek bent naar algemene informatie over de AVG.
Microsoft Defender for Cloud Apps is een essentieel onderdeel van de Microsoft Cloud Security-stack. Het is een uitgebreide oplossing waarmee uw organisatie optimaal kan profiteren van de belofte van cloudtoepassingen. Defender voor Cloud Apps houdt u onder controle via uitgebreide zichtbaarheid, controle en gedetailleerde besturingselementen voor uw gevoelige gegevens.
Defender voor Cloud Apps beschikt over hulpprogramma's waarmee u schaduw-IT kunt ontdekken en risico's kunt beoordelen, terwijl u beleidsregels kunt afdwingen en activiteiten kunt onderzoeken. Hiermee kunt u de toegang in realtime beheren en bedreigingen stoppen, zodat uw organisatie veiliger naar de cloud kan gaan.
naleving van Defender voor Cloud apps
In een wereld waarin gegevensschendingen en aanvallen dagelijks voorkomen, is het essentieel dat organisaties een Cloud Access Security Broker (CASB) kiezen die alles in het werk stelt om hun gegevens te beschermen. Defender voor Cloud Apps, zoals alle Microsoft-cloudproducten en -services, is gebouwd om te voldoen aan de strenge beveiligings- en privacyvereisten van onze klanten.
Om organisaties te helpen voldoen aan nationale, regionale en branchespecifieke vereisten voor het verzamelen en gebruiken van gegevens van personen, biedt Defender voor Cloud Apps een uitgebreide set nalevingsaanbiedingen. De nalevingsaanbiedingen omvatten certificeringen en attestations.
Nalevingsframework en aanbiedingen
Defender voor Cloud Apps voldoet aan veel internationale en branchespecifieke nalevingsstandaarden, waaronder, maar niet beperkt tot:
| Organisatie | Titel | Beschrijving |
|---|---|---|
 |
CSA STAR Attestation | Azure en Intune zijn bekroond met Cloud Security Alliance STAR Attestation op basis van een onafhankelijke audit. |
 |
CSA STAR Certification | Azure, Intune en Power BI zijn bekroond met Cloud Security Alliance STAR-certificering op Gold-niveau. |
 |
EU-modelclausules | Microsoft biedt eu-standaardcontractbepalingen, garanties voor overdracht van persoonsgegevens. |
 |
HIPAA/HITECH | Microsoft biedt Health Insurance Portability & Accountability Act Business Associate Agreements (BAA's). |
 |
ISO 9001 | Microsoft is gecertificeerd voor de implementatie van deze kwaliteitsbeheerstandaarden. |
 |
ISO/IEC 27001 | Microsoft is gecertificeerd voor de implementatie van deze standaarden voor informatiebeveiligingsbeheer. |
 |
ISO/IEC 27018 | Microsoft was de eerste cloudprovider om zich te houden aan deze praktijkcode voor cloudprivacy. |
 |
PCI DSS | Azure voldoet aan de Data Security Standards Level 1-versie 3.1 van de betaalkaartindustrie. |
 |
SOC 1- en SOC 2 Type 2-rapporten | Microsoft-cloudservices voldoen aan de standaarden voor serviceorganisatiecontroles voor operationele beveiliging. |
|
SOC 3 | Microsoft-cloudservices voldoen aan de standaarden voor serviceorganisatiecontroles voor operationele beveiliging. |
 |
UK G-Cloud | De Crown Commercial Service heeft de classificatie van Microsoft-cloudservices vernieuwd naar Government Cloud v6. |
Ga naar Microsoft Compliance-aanbiedingen voor meer informatie.
Privacy
U bent de eigenaar van uw gegevens
In Defender voor Cloud Apps kunnen uw beheerders de identificeerbare persoonsgegevens bekijken die zijn opgeslagen in de service vanuit de portal met behulp van de zoekbalk.
Beheerders kunnen zoeken naar de metagegevens van een specifieke gebruiker of de activiteit van een gebruiker. Als u op een entiteit klikt, worden de gebruikers en accounts geopend. De pagina Gebruikers en accounts bevat uitgebreide informatie over de entiteit die wordt opgehaald uit verbonden cloudtoepassingen. Het biedt ook de activiteitengeschiedenis en beveiligingswaarschuwingen van de gebruiker met betrekking tot de gebruiker.
U bent eigenaar van uw gegevens en kunt op elk gewenst moment abonnementen opzeggen en het verwijderen van uw gegevens aanvragen. Als u uw abonnement niet verlengt, worden uw gegevens verwijderd binnen de tijdlijn die is opgegeven in de voorwaarden voor onlineservices.
Als u er ooit voor kiest om de service te beëindigen, kunt u uw gegevens bij u meenemen.
Defender voor Cloud Apps is de processor van uw gegevens
Defender voor Cloud Apps gebruikt uw gegevens alleen voor doeleinden die consistent zijn met het leveren van de services waarvoor u zich abonneert.
Als een overheid Microsoft benadert voor toegang tot uw gegevens, stuurt Microsoft het onderzoek waar mogelijk door naar u, de klant. Microsoft heeft juridische eisen betwist die niet geldig waren, waardoor de openbaarmaking van een overheidsaanvraag voor klantgegevens is verboden. Meer informatie over wie toegang heeft tot uw gegevens en over welke voorwaarden.
Privacybesturingselementen
- Met privacybesturingselementen kunt u configureren wie in uw organisatie toegang heeft tot de service en waartoe ze toegang hebben.
Persoonlijke gegevens bijwerken
Persoonsgegevens over gebruikers worden afgeleid van het object van de gebruiker in de gebruikte SaaS-toepassingen. Daarom worden wijzigingen in het gebruikersprofiel in deze toepassingen doorgevoerd in Defender voor Cloud Apps.
Locatie van gegevens
Defender voor Cloud Apps werkt momenteel in datacenters in de Europese Unie, het Verenigd Koninkrijk en het Verenigde Staten (elk een 'geo'). Klantgegevens die door de service worden verzameld, worden als volgt opgeslagen (a) voor klanten waarvan de tenants zijn ingericht in de Europese Unie of het Verenigd Koninkrijk, in de Europese Unie of het Verenigd Koninkrijk; (b) anders een datacenter in de geografische regio dat zich het dichtst bij de locatie bevindt waar de Azure Active Directory tenant van de klant is ingericht; of (c) als Defender voor Cloud Apps een andere onlineservice van Microsoft gebruikt (zoals Azure Active Directory of Azure CDN ) om dergelijke gegevens te verwerken, wordt de geolocatie van de gegevens gedefinieerd door de regels voor gegevensopslag van die andere onlineservice.
Notitie
Defender voor Cloud Apps maakt gebruik van Azure Data Centers over de hele wereld om geoptimaliseerde prestaties te bieden via geolocatie. Dit betekent dat de sessie van een gebruiker kan worden gehost buiten een bepaalde regio, afhankelijk van verkeerspatronen en hun locatie. Om uw privacy te beschermen, worden er echter geen sessiegegevens opgeslagen in deze datacenters.
Transparantie
Microsoft biedt transparantie over de procedures:
- Delen met u waar uw gegevens worden opgeslagen.
- Bevestigend dat uw gegevens alleen worden gebruikt om overeengekomen diensten te leveren.
- Opgeven hoe Microsoft-technici en goedgekeurde onderaannemers deze gegevens gebruiken om services te leveren.
Microsoft gebruikt strikte controles om de toegang tot klantgegevens te beheren, waarbij het laagste toegangsniveau wordt verleend dat is vereist voor het voltooien van belangrijke taken en het intrekken van toegang wanneer deze niet meer nodig is.
Gegevensbeveiliging
Defender voor Cloud Apps dwingt gegevensbeveiliging af tijdens de inhoudsinspectie. Bestandsinhoud wordt niet opgeslagen in het datacenter Defender voor Cloud Apps. Alleen de metagegevens van de bestandsrecords en eventuele overeenkomsten die zijn geïdentificeerd, worden opgeslagen.
Gegevensretentie
Defender voor Cloud Apps bewaart gegevens als volgt:
- Activiteitenlogboek: 180 dagen
- Detectiegegevens: 90 dagen
- Waarschuwingen: 180 dagen
- Beheerlogboek: 120 dagen
U vindt meer informatie over microsoft-gegevensprocedures door de onlineservicevoorwaarden te lezen.
Meer informatie over transparantie
Persoonlijke gegevens verwijderen
Nadat het account van een gebruiker is verwijderd uit een verbonden cloudtoepassing, wordt de kopie van de gegevens binnen twee jaar automatisch verwijderd Defender voor Cloud Apps.
Persoonlijke gegevens exporteren
Defender voor Cloud Apps biedt u de mogelijkheid om alle gebruikersactiviteit en beveiligingswaarschuwingsgegevens te exporteren naar CSV.
Gegevensstroom
Defender voor Cloud Apps biedt u het gemak van het werken met bepaalde gegevens, zoals waarschuwingen en activiteiten, zonder uw gebruikelijke beveiligingswerkstroom te verstoren. SecOps kan bijvoorbeeld liever waarschuwingen weergeven in het siem-product van hun voorkeur, zoals Microsoft Sentinel. Als u dergelijke werkstromen wilt inschakelen, maakt Defender voor Cloud Apps bij de integratie met Producten van Microsoft of derden bepaalde gegevens beschikbaar.
In de volgende tabel ziet u welke gegevens worden weergegeven voor elke productintegratie:
Microsoft-producten
| Product | Weergegeven gegevens | Configuration |
|---|---|---|
| Microsoft 365 Defender | Waarschuwingen en gebruikersactiviteiten | Automatisch ingeschakeld op Microsoft 365 Defender bij onboarding |
| Microsoft Sentinel | Waarschuwingen en detectiegegevens | Ingeschakeld in Defender voor Cloud-apps en geconfigureerd in Microsoft Sentinel |
| Microsoft Purview-nalevingsportal | Waarschuwingen voor Office 365 | Automatisch gestreamd naar Microsoft Purview-nalevingsportal |
| Microsoft Defender for Cloud | Waarschuwingen voor Azure | Standaard ingeschakeld in Defender voor Cloud-apps; kan worden uitgeschakeld in Microsoft Defender voor Cloud |
| Security-API voor Microsoft Graph | Waarschuwingen | Beschikbaar via Microsoft Graph beveiligings-API |
| Microsoft Power Automate | Waarschuwingen die worden verzonden om een geautomatiseerde stroom te activeren | Geconfigureerd in Defender voor Cloud-apps |
Producten van derden
| Integratietype | Weergegeven gegevens | Configuration |
|---|---|---|
| Een SIEM-agent gebruiken | Waarschuwingen en gebeurtenissen | Ingeschakeld en geconfigureerd in Defender voor Cloud-apps |
| De DEFENDER VOOR CLOUD Apps REST API gebruiken | Waarschuwingen en gebeurtenissen | Ingeschakeld en geconfigureerd in Defender voor Cloud-apps |
| ICAP-connector | Bestand voor DLP-scan | Ingeschakeld en geconfigureerd in Defender voor Cloud-apps |
Notitie
Andere producten kunnen Defender voor Cloud op rollen gebaseerde beveiligingsmachtigingen voor apps niet afdwingen om te bepalen wie toegang heeft tot welke gegevens. Zorg er daarom voor dat u begrijpt welke gegevens worden verzonden naar het product dat u wilt gebruiken en wie er toegang heeft.
Beveiliging
Versleuteling
Microsoft maakt gebruik van versleutelingstechnologie om uw gegevens in rust te beveiligen in een Microsoft-database en wanneer deze wordt verzonden tussen gebruikersapparaten en Defender voor Cloud Apps-datacenters. Bovendien wordt alle communicatie tussen Defender voor Cloud Apps en verbonden apps versleuteld via HTTPS.
Notitie
Defender voor Cloud Apps maakt gebruik van TLS-protocollen (Transport Layer Security) 1.2+ om best-in-class-versleuteling te bieden. Systeemeigen clienttoepassingen en -browsers die TLS 1.2+ niet ondersteunen, zijn niet toegankelijk wanneer deze zijn geconfigureerd met sessiebeheer. SaaS-apps die GEBRUIKMAKEN van TLS 1.1 of lager worden echter weergegeven in de browser met TLS 1.2+ wanneer ze zijn geconfigureerd met Defender voor Cloud-apps.
Identiteits- en toegangsbeheer
met Defender voor Cloud Apps kunt u de toegang van beheerders tot de portal beperken op basis van geolocatie met behulp van Azure Active Directory. Het is mogelijk om meervoudige verificatie te vereisen voor toegang tot de Defender voor Cloud Apps-portal met behulp van Azure Active Directory.
Machtigingen
Defender voor Cloud Apps ondersteunt op rollen gebaseerd toegangsbeheer. Office 365 en Azure Active Directory globale beheerders- en beveiligingsbeheerdersrollen hebben volledige toegang tot Defender voor Cloud apps en hebben beveiligingslezers leestoegang. Voor meer informatie.
Besturingselementen van klanten voor organisatiecompatibiliteit
Bereik voor implementatie
met Defender voor Cloud Apps kunt u de implementatie bepalen. Met bereik kunt u alleen specifieke groepen beheren met behulp van Defender voor Cloud Apps of specifieke groepen uitsluiten van Defender voor Cloud Apps-governance. Zie Bereikimplementatie voor meer informatie.
Anoniem maken
U kunt ervoor kiezen om Cloud Discovery-rapporten anoniem te houden. Nadat uw logboekbestanden zijn geüpload naar Microsoft Defender for Cloud Apps, worden alle gebruikersnaamgegevens vervangen door versleutelde gebruikersnamen. Voor specifieke beveiligingsonderzoeken kunt u de echte gebruikersnaam oplossen. Persoonlijke gegevens worden versleuteld met AES-128 met een speciale sleutel per tenant. Voor meer informatie.
Beveiliging en privacy voor Defender voor Cloud Apps voor de Amerikaanse overheid GCC High-klanten
Zie Enterprise Mobility + Security voor servicebeschrijvingen voor de Amerikaanse overheid voor informatie over nalevingsstandaarden voor Defender voor Cloud apps en de locatie van gegevens voor amerikaanse overheid GCC High-klanten.
Volgende stappen
- Overzicht van Defender voor Cloud-apps
- Documentatie voor Defender voor Cloud Apps
- Registreren voor Defender voor Cloud-apps
Krijg een gratis proefversie van Defender voor Cloud Apps en bekijk hoe deze voldoet aan uw zakelijke uitdagingen.