Rekommenderade Microsoft Defender för Cloud Apps-principer för SaaS-appar
Microsoft Defender for Cloud Apps bygger på Microsoft Entra principer för villkorsstyrd åtkomst för att aktivera övervakning och kontroll i realtid av detaljerade åtgärder med SaaS-appar, till exempel blockera nedladdningar, uppladdningar, kopiera och klistra in och skriva ut. Den här funktionen lägger till säkerhet för sessioner som medför inneboende risker, till exempel när företagsresurser används från ohanterade enheter eller av gästanvändare.
Defender för Cloud Apps integreras också internt med Microsoft Purview Information Protection, vilket ger innehållsgranskning i realtid för att hitta känsliga data baserat på typer av känslig information och känslighetsetiketter och för att vidta lämpliga åtgärder.
Den här vägledningen innehåller rekommendationer för dessa scenarier:
- Ta med SaaS-appar i IT-hantering
- Justera skyddet för specifika SaaS-appar
- Konfigurera Microsoft Purview dataförlustskydd (DLP) för att uppfylla dataskyddsreglerna
Ta med SaaS-appar i IT-hantering
Det första steget i att använda Defender för Cloud Apps för att hantera SaaS-appar är att identifiera dessa och sedan lägga till dem i din Microsoft Entra klientorganisation. Om du behöver hjälp med identifiering läser du Identifiera och hantera SaaS-appar i nätverket. När du har identifierat appar lägger du till dessa i din Microsoft Entra klientorganisation.
Du kan börja hantera dessa genom att göra följande:
- Börja med att skapa en ny princip för villkorlig åtkomst i Microsoft Entra ID och konfigurera den till "Använd appkontroll för villkorsstyrd åtkomst". Detta omdirigerar begäran till Defender för Cloud Apps. Du kan skapa en princip och lägga till alla SaaS-appar i den här principen.
- Skapa sedan sessionsprinciper i Defender för Cloud Apps. Skapa en princip för varje kontroll som du vill tillämpa.
Behörigheter till SaaS-appar baseras vanligtvis på företagets behov av åtkomst till appen. Dessa behörigheter kan vara mycket dynamiska. Användning av Defender för Cloud Apps-principer säkerställer skydd för appdata, oavsett om användare tilldelas till en Microsoft Entra grupp som är associerad med startpunkt, företag eller specialiserat säkerhetsskydd.
För att skydda data i din samling av SaaS-appar illustrerar följande diagram de nödvändiga Microsoft Entra princip för villkorsstyrd åtkomst plus föreslagna principer som du kan skapa i Defender för molnappar. I det här exemplet gäller principerna som skapats i Defender för molnappar för alla SaaS-appar som du hanterar. Dessa är utformade för att tillämpa lämpliga kontroller baserat på om enheter hanteras samt känslighetsetiketter som redan tillämpas på filer.
I följande tabell visas den nya princip för villkorlig åtkomst som du måste skapa i Microsoft Entra ID.
| Skyddsnivå | Politik | Mer information |
|---|---|---|
| Alla skyddsnivåer | Använda appkontroll för villkorsstyrd åtkomst i Defender för Cloud Apps | Detta konfigurerar din IdP (Microsoft Entra ID) så att den fungerar med Defender för Cloud Apps. |
I nästa tabell visas de exempelprinciper som visas ovan som du kan skapa för att skydda alla SaaS-appar. Se till att utvärdera dina egna affärs-, säkerhets- och efterlevnadsmål och skapa sedan principer som ger det lämpligaste skyddet för din miljö.
| Skyddsnivå | Politik |
|---|---|
| Utgångspunkt | Övervaka trafik från ohanterade enheter Lägga till skydd för filnedladdningar från ohanterade enheter |
| Enterprise | Blockera nedladdning av filer märkta med känsliga eller klassificerade från ohanterade enheter (detta ger endast åtkomst till webbläsaren) |
| Specialiserad säkerhet | Blockera nedladdning av filer märkta med klassificerade från alla enheter (detta ger endast åtkomst till webbläsaren) |
Instruktioner från slutpunkt till slutpunkt för att konfigurera appkontroll för villkorsstyrd åtkomst finns i Distribuera appkontroll för villkorsstyrd åtkomst för aktuella appar. Den här artikeln beskriver hur du skapar den nödvändiga principen för villkorlig åtkomst i Microsoft Entra ID och testar dina SaaS-appar.
Mer information finns i Skydda appar med Microsoft Defender for Cloud Apps appkontroll för villkorsstyrd åtkomst.
Justera skyddet för specifika SaaS-appar
Du kanske vill använda ytterligare övervakning och kontroller för specifika SaaS-appar i din miljö. Med Defender för Cloud Apps kan du göra detta. Om till exempel en app som Box används mycket i din miljö är det klokt att tillämpa fler kontroller. Eller om din juridiska avdelning eller ekonomiavdelning använder en specifik SaaS-app för känsliga affärsdata kan du rikta extra skydd mot dessa appar.
Du kan till exempel skydda din Box-miljö med de här typerna av inbyggda principmallar för avvikelseidentifiering:
- Aktivitet från anonyma IP-adresser
- Aktivitet från sällan förekommande land/region
- Aktivitet från misstänkta IP-adresser
- Omöjlig resa
- Aktivitet som utförs av avslutad användare (kräver Microsoft Entra ID som IdP)
- Identifiering av skadlig kod
- Flera misslyckade inloggningsförsök
- Utpressningstrojanaktivitet
- Riskfylld Oauth-app
- Ovanlig filresursaktivitet
Det här är exempel. Ytterligare principmallar läggs till regelbundet. Exempel på hur du tillämpar ytterligare skydd på specifika appar finns i Skydda anslutna appar.
Hur Defender för Cloud Apps hjälper dig att skydda din Box-miljö visar vilka typer av kontroller som kan hjälpa dig att skydda dina affärsdata i Box och andra appar med känsliga data.
Konfigurera dataförlustskydd (DLP) för att uppfylla dataskyddsreglerna
Defender för Cloud Apps kan vara ett värdefullt verktyg för att konfigurera skydd för efterlevnadsregler. I det här fallet skapar du specifika principer för att söka efter specifika data som en förordning gäller för och konfigurera varje princip för att vidta lämpliga åtgärder.
Följande bild och tabell innehåller flera exempel på principer som kan konfigureras för att uppfylla kraven i den allmänna dataskyddsförordningen (GDPR). I de här exemplen söker principer efter specifika data. Baserat på känsligheten för data är varje princip konfigurerad för att vidta lämpliga åtgärder.
| Skyddsnivå | Exempelprinciper |
|---|---|
| Utgångspunkt | Avisering när filer som innehåller den här typen av känslig information ("Kreditkortsnummer") delas utanför organisationen Blockera nedladdningar av filer som innehåller den här typen av känslig information ("Kreditkortsnummer") till ohanterade enheter |
| Enterprise | Skydda nedladdningar av filer som innehåller den här typen av känslig information ("Kreditkortsnummer") till hanterade enheter Blockera nedladdningar av filer som innehåller den här typen av känslig information ("Kreditkortsnummer") till ohanterade enheter Avisering när en fil med på dessa etiketter laddas upp till OneDrive för företag eller Box (kunddata, personalfrågor: Lönedata, personalfrågor, personaldata) |
| Specialiserad säkerhet | Avisering när filer med den här etiketten ("Högklassificerad") laddas ned till hanterade enheter Blockera nedladdningar av filer med den här etiketten ("Strikt klassificerad") till ohanterade enheter |
Nästa steg
Mer information om hur du använder Defender för Cloud Apps finns i Microsoft Defender for Cloud Apps dokumentation.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för