Tutorial: Download de informação sensível

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

O administrador de TI de hoje está preso entre uma rocha e um lugar duro. Quer permitir que os seus empregados sejam produtivos. Isto significa permitir que os colaboradores acedam a apps para que possam trabalhar a qualquer momento, a partir de qualquer dispositivo. No entanto, pretende proteger os bens da empresa, incluindo informações próprias e privilegiadas. Como pode permitir que os colaboradores acedam às suas aplicações na nuvem enquanto protegem os seus dados? Este tutorial permite bloquear downloads por utilizadores que tenham acesso aos seus dados sensíveis em aplicações de nuvem empresarial a partir de dispositivos não geridos ou de localizações de rede fora das empresas.

Neste tutorial, irá aprender a:

A ameaça

Um gestor de conta na sua organização quer verificar algo na Salesforce a partir de casa durante o fim de semana, no seu portátil pessoal. Os dados da Salesforce podem incluir informações do cartão de crédito do cliente ou informações pessoais. O PC doméstico não é gerido. Se descarregarem documentos da Salesforce para o PC, pode estar infetado com malware. Se o dispositivo for perdido ou roubado, pode não estar protegido por palavra-passe e qualquer pessoa que o encontre tenha acesso a informações sensíveis.

A solução

Proteja a sua organização monitorizando e controlando o uso de aplicações em nuvem com qualquer solução IdP e Cloud App Security's Conditional Access App Control.

Pré-requisitos

  • Uma licença válida para Azure AD Premium P1 licença, ou a licença exigida pela solução do seu fornecedor de identidade (IdP)

  • Configure uma aplicação em nuvem para SSO utilizando um dos seguintes protocolos de autenticação:

    URL de Protocolos
    Azure AD SAML 2.0 ou Ligação OpenID
    Outro SAML 2.0
  • Certifique-se de que a aplicação está implantada para Cloud App Security

Criar uma política de descarregamento de blocos para dispositivos não geridos

Cloud App Security políticas de sessão permitem restringir uma sessão com base no estado do dispositivo. Para realizar o controlo de uma sessão usando o seu dispositivo como condição, crie uma política de acesso condicional e uma política de sessão.

Passo 1: Configurar o seu IdP para trabalhar com Cloud App Security

Certifique-se de que configura a sua solução IdP para trabalhar com Cloud App Security, da seguinte forma:

Depois de completar esta tarefa, vá ao portal Cloud App Security e crie uma política de sessão para monitorizar e controlar os downloads de ficheiros na sessão.

Passo 2: Criar uma política de sessão

  1. No portal Cloud App Security, selecione Controlo seguido de Políticas.

  2. Na página Políticas, clique em Criar a política seguida pela política de Sessão.

  3. Na página política de sessão Criar, dê à sua política um nome e descrição. Por exemplo, o Block descarrega da Salesforce para dispositivos não geridos.

  4. Atribuir uma gravidade e categoria de política.

  5. Para o tipo de controlo 'Sessão', selecione Download de ficheiros de controlo (com inspeção). Esta definição dá-lhe a capacidade de monitorizar tudo o que os seus utilizadores fazem numa sessão de Salesforce e dá-lhe controlo para bloquear e proteger os downloads em tempo real.

  6. Sob a origem da Atividade nas Atividades que correspondem a todas as seguintes secções, selecione os filtros:

    • Etiqueta do dispositivo: Select Não é igual. e, em seguida, selecione Intune compliant, Hybrid AD ad , ou Certificado de cliente Válido. A sua seleção depende do método utilizado na sua organização para identificar dispositivos geridos.

    • App: Selecione a aplicação que pretende controlar.

    • Utilizadores: Selecione os utilizadores que pretende monitorizar.

  7. Em alternativa, pode bloquear os downloads para locais que não fazem parte da sua rede corporativa. No âmbito da Atividade, na secção Atividade que corresponde a todas as seguintes secções, definir os seguintes filtros:

    • Endereço IP ou Localização: Pode utilizar qualquer um destes dois parâmetros para identificar locais não corporativos ou desconhecidos, a partir dos quais um utilizador pode estar a tentar aceder a dados sensíveis.

    Nota

    Se quiser bloquear downloads de dispositivos não geridos e locais não corporativos, tem de criar duas políticas de sessão. Uma apólice define a fonte de atividade utilizando o local. A outra política define a fonte de atividade para dispositivos não geridos.

    • App: Selecione a aplicação que pretende controlar.

    • Utilizadores: Selecione os utilizadores que pretende monitorizar.

  8. Sob a origem da atividade nos Ficheiros que correspondem a todas as seguintes secções, desacione os seguintes filtros:

    • Etiquetas de classificação: Se utilizar etiquetas de classificação da Proteção de Informação Azure, filtre os ficheiros com base numa etiqueta específica de classificação de proteção da informação Azure.

    • Selecione nome de ficheiro ou tipo de ficheiro para aplicar restrições com base no nome ou tipo de ficheiro.

  9. Ativar a inspeção de conteúdo para permitir que o DLP interno digitalize os seus ficheiros para obter conteúdo sensível.

  10. Em Ações, selecione bloco. Personalize a mensagem de bloqueio que os seus utilizadores recebem quando não conseguem descarregar ficheiros.

  11. Desa estade os alertas que pretende receber quando a apólice estiver compatível. Pode definir um limite para não receber muitos alertas. Selecione se deve receber os alertas como uma mensagem de correio eletrónico, mensagem de texto ou ambos.

  12. Clique em Criar

Validar a sua política

  1. Para simular o download de ficheiros bloqueados, a partir de um dispositivo não gerido ou de uma localização de rede não corporativa, inscreva-se na aplicação. Então, tente descarregar um ficheiro.

  2. O ficheiro deve ser bloqueado e deve receber a mensagem que definiu sob mensagens de blocos personalizadas.

  3. No portal Cloud App Security, clique em Controlo seguido de Políticas e, em seguida, clique na política que criou para ver o relatório de política. Um jogo de política de sessão deve aparecer em breve.

  4. No relatório de política, pode ver quais os logins redirecionados para Microsoft Cloud App Security para controlo de sessão, e quais os ficheiros que foram descarregados ou bloqueados a partir das sessões monitorizadas.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.