教程:实时保护组织中使用的任何应用
批准员工使用的应用通常会存储一些最敏感的公司数据和机密。 在现代工作场所中,用户会在许多有风险的情形下访问这些应用。 这些用户可能是您组织中的合作伙伴,您对其了解不多,也可能是使用非托管设备或来自公共 IP 地址的员工。 由于这种情况下存在广泛的风险,必须采用零信任策略。 通常,事后了解这些应用中的漏洞和数据丢失是不够的; 因此,必须实时解决或预防许多信息保护和网络威胁场景。
在本教程中,您将学习如何使用访问和会话控制来监视和控制对应用及其数据的访问。 自适应管理对数据的访问和缓解威胁,可让 Defender for Cloud Apps 保护最敏感的资产。 具体而言,我们将涵盖以下方案:
如何实时保护组织免受任何应用的侵害
使用此流程在组织中推出实时控制。
阶段 1:监视用户活动是否存在异常
部署应用:首先部署组织使用的重要应用。 通过本机与 Microsoft Entra 条件访问的集成,部署变得简单。 可通过执行以下步骤部署应用:
首先部署 Defender for Cloud Apps 提供的应用,以现时即用。 有关特别推荐的应用的列表,请参阅 支持的应用和客户端。
然后,对于 Defender for Cloud Apps 未提供的应用,请使用以下流程载入和部署任何应用。
应用一旦部署,就会受到实时监控,可以立即深入了解其活动和相关信息。 可以使用此信息来标识异常行为。
监控和调查:在 Defender for Cloud Apps 中,使用活动日志 监控和描述环境中应用使用的特征,并了解其风险。 可以使用搜索、筛选器和查询来缩小列出的活动范围,以快速识别有风险的活动。
阶段 2:在数据外泄时保护数据
许多组织主要关心的是如何防止数据外泄发生。 两个最大的风险是非管理的设备(可能不受 PIN 保护或可能包含恶意应用)以及 IT 部门几乎没有可见性和控制的访客用户。
部署应用后,可以通过利用本机与 Microsoft Intune 的集成(用于设备管理)、与 Microsoft Entra ID 的集成(用于用户组)和与Microsoft Purview Information Protection的集成(用于数据保护),轻松配置策略来减轻这两种风险。
- 减轻非管理的设备的风险:创建 会话策略,以标记 和保护仅供组织中的用户使用的高度机密文件。
- 减轻访客用户的风险:创建 会话策略,将自定义权限应用 于访客用户下载的文件。 例如,可以设置权限,以便访客用户只能访问受保护的文件。
阶段 3:防止未受保护的数据上传到应用
除了防止数据外泄外,组织通常还希望确保渗透到云应用的数据也安全。 常见的用例是用户尝试上传未正确标记的文件。
对于上面配置的任何应用,可以配置会话策略以防止上传未正确标记的文件,如下所示:
创建会话策略以 阻止上传标记错误的文件。
配置策略以显示 阻止消息,并说明如何更正标签然后重试。
以这种方式保护文件上传可确保保存到云的数据应用了正确的访问权限。 如果文件共享或丢失,只有授权用户才能访问该文件。