Rekommenderade Microsoft Defender för Cloud Apps-principer för SaaS-appar

Microsoft Defender för molnappar bygger på villkorsbaserade åtkomstprinciper i Azure AD för att aktivera övervakning i realtid och kontroll av detaljerade åtgärder med SaaS-appar, till exempel blockera nedladdningar, uppladdningar, kopiera och klistra in och skriva ut. Den här funktionen ger säkerhet till sessioner som medför risker, till exempel när företagsresurser används från ohanterade enheter eller av gästanvändare.

Defender för molnappar är också integrerat med Microsoft Information Protection, vilket ger kontroll av innehåll i realtid för att hitta känsliga data baserat på typer av känslig information och känslighetsetiketter och vidta lämpliga åtgärder.

Den här vägledningen innehåller rekommendationer för följande scenarier:

  • Lägga till SaaS-appar i IT-hantering
  • Justera skyddet för specifika SaaS-appar
  • Konfigurera skydd mot dataförlust (DLP) för att följa dataskyddsförordningen

Lägga till SaaS-appar i IT-hantering

Det första steget i att hantera SaaS-appar med Defender för molnappar är att upptäcka dem och sedan lägga till dem i Azure AD-klienten. Om du behöver hjälp med identifiering kan du gå till Upptäck och hantera SaaS-appar i ditt nätverk. När du har hittat appar kan du lägga till dem i Azure AD-klientorganisationen.

Du kan börja hantera dessa genom att göra följande:

  1. I Azure AD skapar du först en ny princip för villkorsstyrd åtkomst och konfigurerar den till "Använd villkorsstyrd åtkomstappkontroll". Begäran omdirigeras då till Defender för molnappar. Du kan skapa en princip och lägga till alla SaaS-appar till den här principen.
  2. Skapa sedan sessionsprinciper i Defender för molnappar. Skapa en princip för varje kontroll som du vill använda.

Behörigheter till SaaS-appar baseras vanligtvis på affärs behov för åtkomst till appen. De här behörigheterna kan vara mycket dynamiska. Användning av principer för Defender för molnappar säkerställer skydd till appdata, oavsett om användarna tilldelas till en Azure AD-grupp som är kopplad till startpunkt, företag eller specialiserade säkerhetsskydd.

I följande diagram visas de principer för villkorlig åtkomst i Azure AD plus föreslagna principer som du kan skapa i Defender för molnappar för att skydda data i din samling av SaaS-appar. I det här exemplet gäller principerna som skapats i Defender för molnappar för alla SaaS-appar som du hanterar. De är utformade för att tillämpa lämpliga kontroller baserat på huruvida enheter hanteras samt känslighetsetiketter som redan används i filer.

Principer för hantering av SaaS-appar i Defender för molnappar.

I följande tabell visas den nya villkorsstyrda åtkomstprincipen som du måste skapa i Azure AD.

Skyddsnivå Princip Mer information
Alla skyddsnivåer Använda appkontroll för villkorsstyrd åtkomst i Defender för molnappar Detta konfigurerar din IdP (Azure AD) att fungera med Defender för molnappar.

I nästa tabell visas exempelprinciperna som visas ovan som du kan skapa för att skydda alla SaaS-appar. Se till att utvärdera dina egna mål för företag, säkerhet och efterlevnad och sedan skapa principer som ger det mest lämpliga skyddet för din miljö.

Skyddsnivå Princip
Startpunkt Övervaka trafiken från ohanterade enheter

Skydda filnedladdningar från ohanterade enheter

Enterprise Blockera nedladdning av filer som är märkta med känsliga eller klassificerade från ohanterade enheter (detta ger endast åtkomst till webbläsaren)
Särskild säkerhet Blockera nedladdning av filer som klassificerats från alla enheter (detta ger endast åtkomst i webbläsaren)

Det finns en fullständig instruktioner för hur du inställningar för villkorsstyrd åtkomstappkontroll finns i Distribuera villkorsstyrd åtkomstappkontroll för aktuella program. I den här artikeln får du hjälp med att skapa den villkorsstyrda åtkomstprincipen i Azure AD och testa SaaS-appar.

Mer information finns i Skydda appar med Microsoft Defender för villkorsstyrd åtkomstkontroll för molnappar.

Justera skyddet för specifika SaaS-appar

Du kanske vill tillämpa ytterligare övervakning och kontroller på specifika SaaS-appar i din miljö. Med Defender för molnappar kan du göra detta. Om till exempel en app som Box används hårt i din miljö är det bra att tillämpa ytterligare kontroller. Om din juridiska eller finansiella avdelning använder en särskild SaaS-app för känsliga affärsdata kan du rikta ett extra skydd till dessa appar.

Du kan till exempel skydda Box-miljön med de här typerna av inbyggda principmallar för avvikande identifiering:

  • Aktivitet från anonyma IP-adresser
  • Aktivitet från det land du sällan använder
  • Aktivitet från misstänkta IP-adresser
  • Omöjligt att resa
  • Aktivitet som utförs av en uppsagd användare (kräver AAD som IdP)
  • Identifiering av skadlig programvara
  • Flera misslyckade inloggningsförsök
  • Utpressningstrojaner
  • Riskabel Oauth-app
  • Ovanlig fildelningsaktivitet

Det här är exempel. Ytterligare principmallar läggs till regelbundet. Exempel på hur du kan tillämpa ytterligare skydd på specifika appar finns i Skydda anslutna appar.

Hur Defender för molnappar hjälper till att skydda Box-miljön visar vilka typer av kontroller som kan hjälpa dig att skydda affärsdata i Box och andra appar med känsliga data.

Konfigurera skydd mot dataförlust (DLP) för att följa dataskyddsförordningen

Defender för molnappar kan vara ett värdefullt verktyg för att konfigurera skydd för efterlevnadsföreskrifter. I det här fallet skapar du specifika principer för att söka efter specifika data som en regel gäller för och konfigurera varje princip för att vidta lämpliga åtgärder.

Följande bild och tabell innehåller flera exempel på policyer som kan konfigureras för att hjälpa till att uppfylla dataskyddsförordningen (GDPR). I de här exemplen söker principer efter specifika data. Utifrån datakänsligheten är varje princip konfigurerad för att vidta lämpliga åtgärder.

Exempel på policyer för Defender för molnappar för skydd mot dataförlust.

Skyddsnivå Exempelprinciper
Startpunkt Varning när filer som innehåller den här typen av känslig information ("kreditkortsnummer") delas utanför organisationen

>Blockera hämtning av filer som innehåller den här typen av känslig information ("kreditkortsnummer") till ohanterade enheter

Enterprise Skydda nedladdningar av filer som innehåller den här typen av känslig information ("kreditkortsnummer") till hanterade enheter

Blockera filhämtningar som innehåller den här typen av känslig information ("Kreditkortsnummer") till ohanterade enheter

Avisering när en fil med på de här etiketterna laddas upp till OneDrive för företag eller Box (Kunddata, Personalavdelningen: Lönedata,Personalavdelningen, Personalinformation)

Särskild säkerhet Varning när filer med den här etiketten ("Mycket klassificerad") laddas ned till hanterade enheter

Blockera filnedladdningar med den här etiketten ("Mycket klassificerad") till ohanterade enheter

Nästa steg

Mer information om hur du använder Defender för molnappar finns i dokumentationen för Microsoft Defender för molnappar.