Zelfstudie: Het downloaden van gevoelige informatie blokkeren

Notitie

De naam van de Microsoft Cloud App Security. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken werken we de schermopnamen en instructies hier en op gerelateerde pagina's bij. Zie deze aankondiging voor meer informatie over de wijziging. Zie de Microsoft Ignite-beveiligingsblog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

De IT-beheerder van tegenwoordig is vastgelopen tussen een steen en een harde plek. U wilt ervoor zorgen dat uw werknemers productief kunnen zijn. Dit betekent dat werknemers toegang hebben tot apps, zodat ze op elk moment vanaf elk apparaat kunnen werken. U wilt echter de activa van het bedrijf beveiligen, met inbegrip van bedrijfseigen en bevoegde informatie. Hoe kunt u werknemers toegang geven tot uw cloud-apps terwijl uw gegevens worden beschermd? In deze zelfstudie kunt u downloads blokkeren door gebruikers die toegang hebben tot uw gevoelige gegevens in zakelijke cloud-apps vanaf onmanagede apparaten of locaties buiten het bedrijfsnetwerk.

In deze zelfstudie leert u het volgende:

De bedreiging

Een account manager in uw organisatie wil in het weekend iets in Salesforce controleren op hun persoonlijke laptop. De Salesforce-gegevens kunnen creditcardgegevens of persoonlijke gegevens van klanten bevatten. De thuis-pc is onmanaged. Als ze documenten downloaden van Salesforce naar de pc, is deze mogelijk geïnfecteerd met malware. Als het apparaat zoek raakt of wordt gestolen, is het mogelijk niet beveiligd met een wachtwoord en heeft iedereen die het apparaat vindt toegang tot gevoelige informatie.

De oplossing

Beperk uw organisatie door het gebruik van cloud-apps met elke IdP-oplossing en de Defender voor Cloud Apps te App-beheer voor voorwaardelijke toegang.

Vereisten

  • Een geldige licentie voor Azure AD Premium P1 licentie of de licentie die is vereist voor uw id-provideroplossing (IdP)

  • Configureer een cloud-app voor eenmalige aanmelding met behulp van een van de volgende verificatieprotocollen:

    IdP Protocollen
    Azure AD SAML 2.0 of OpenID Verbinding maken
    Anders SAML 2.0
  • Zorg ervoor dat de app is geïmplementeerd in Defender voor Cloud Apps

Een beleid voor het downloaden van blokken maken voor niet-beherende apparaten

Defender voor Cloud Apps-sessiebeleid kunt u een sessie beperken op basis van de apparaattoestand. Als u het beheer van een sessie wilt uitvoeren met het apparaat als voorwaarde, maakt u zowel een beleid voor voorwaardelijke toegang als een sessiebeleid.

Stap 1: uw IdP configureren voor gebruik met Defender voor Cloud Apps

Zorg ervoor dat u uw IdP-oplossing als volgt hebt geconfigureerd voor Defender voor Cloud Apps:

Nadat u deze taak hebt doorlopen, gaat u naar de Defender voor Cloud Apps-portal en maakt u een sessiebeleid voor het controleren en beheren van bestanddownloads in de sessie.

Stap 2: een sessiebeleid maken

  1. Selecteer in Defender voor Cloud Apps-portal de optie Beheer gevolgd door Beleidsregels.

  2. Selecteer op de pagina Beleid de optie Beleid maken gevolgd door Sessiebeleid.

  3. Geef op de pagina Sessiebeleid maken uw beleid een naam en beschrijving. Bijvoorbeeld Downloads van Salesforce blokkeren voor niet-beherende apparaten.

  4. Wijs de ernst van het beleid en categorie toe.

  5. Voor het type sessiebeheer selecteert u Bestand downloaden van beheer (met inspectie). Met deze instelling kunt u alles bewaken wat uw gebruikers doen in een Salesforce-sessie en hebt u de controle om downloads in realtime te blokkeren en te beveiligen.

  6. Selecteer onder Activiteitsbron in de sectie Activiteiten die overeenkomen met alle volgende secties de filters:

    • Apparaattag: Selecteer Is niet gelijk aan. en selecteer vervolgens Intune compatibel, hybrideAzure AD-lid of geldig clientcertificaat. Uw selectie is afhankelijk van de methode die in uw organisatie wordt gebruikt voor het identificeren van beheerde apparaten.

    • App: Selecteer de app die u wilt controleren.

    • Gebruikers: selecteer de gebruikers die u wilt bewaken.

  7. U kunt ook de downloads blokkeren voor locaties die geen deel uitmaken van uw bedrijfsnetwerk. Stel onder Activiteitsbron in de sectie Activiteiten die overeenkomen met alle volgende filters de volgende filters in:

    • IP-adres of locatie: u kunt een van deze twee parameters gebruiken om niet-zakelijke of onbekende locaties te identificeren, van waaruit een gebruiker mogelijk toegang probeert te krijgen tot gevoelige gegevens.

    Notitie

    Als u downloads van zowel onmanagede apparaten als niet-zakelijke locaties wilt blokkeren, moet u twee sessiebeleidsregels maken. Eén beleid stelt de activiteitsbron in met behulp van de locatie. Het andere beleid stelt de activiteitsbron in op niet-mande apparaten.

    • App: Selecteer de app die u wilt controleren.

    • Gebruikers: selecteer de gebruikers die u wilt bewaken.

  8. Stel onder Activiteitsbron in de sectie Bestanden die overeenkomen met alle volgende filters de volgende filters in:

    • Gevoeligheidslabels: als u Microsoft Information Protection gebruikt, filtert u de bestanden op basis van een Microsoft Information Protection gevoeligheidslabel.

    • Selecteer Bestandsnaam ofBestandstype om beperkingen toe te passen op basis van de bestandsnaam of het type.

  9. Schakel Inhoudsinspectie in om de interne DLP in staat te stellen uw bestanden te scannen op gevoelige inhoud.

  10. Selecteer onder Acties de optie Blokkeren. Pas het blokkeringsbericht aan dat uw gebruikers krijgen wanneer ze bestanden niet kunnen downloaden.

  11. Stel de waarschuwingen in die u wilt ontvangen wanneer het beleid wordt afgestemd. U kunt een limiet instellen zodat u niet te veel waarschuwingen ontvangt. Selecteer of u de waarschuwingen wilt ontvangen als een e-mailbericht, sms-bericht of beide.

  12. Selecteer Maken.

Uw beleid valideren

  1. Meld u aan bij de app om het downloaden van geblokkeerde bestanden te simuleren vanaf een niet-mand apparaat of een niet-bedrijfsnetwerklocatie. Probeer vervolgens een bestand te downloaden.

  2. Het bestand moet worden geblokkeerd en u ontvangt het bericht dat u hebt ingesteld onder Blokberichten aanpassen.

  3. Selecteer in Defender voor Cloud Apps-portal de optie Beheer gevolgd door Beleid en selecteer vervolgens het beleid dat u hebt gemaakt om het beleidsrapport weer te geven. Binnenkort wordt er een overeenkomst met het sessiebeleid weergegeven.

  4. In het beleidsrapport kunt u zien welke aanmeldingen zijn omgeleid naar Microsoft Defender for Cloud Apps voor sessiebeheer en welke bestanden zijn gedownload of geblokkeerd voor de bewaakte sessies.

Volgende stappen

Als u problemen hebt, kunnen we u helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.