建议的适用于 SaaS 应用的 Microsoft Defender for Cloud Apps 策略
Microsoft Defender for Cloud Apps基于Microsoft Entra条件访问策略,通过 SaaS 应用实现对精细操作的实时监视和控制,例如阻止下载、上传、复制和粘贴以及打印。 此功能为具有固有风险的会话(例如,从非托管设备或来宾用户访问公司资源时)增加了安全性。
Defender for Cloud Apps 还与 Microsoft Purview 信息保护 进行本机集成,提供实时内容检查,以便根据敏感信息类型和敏感度标签查找敏感数据,并采取适当措施。
本指南包括针对以下方案的建议:
- 将 SaaS 应用引入 IT 管理
- 优化针对特定 SaaS 应用的保护
- 配置 Microsoft Purview 数据丢失防护 (DLP) 以帮助遵守数据保护法规
将 SaaS 应用引入 IT 管理
使用 Defender for Cloud Apps 管理 SaaS 应用的第一步是发现这些应用,然后将其添加到Microsoft Entra租户。 如果需要有关发现方面的帮助,请参阅 发现和管理网络中 SaaS 应用。 发现应用后,将这些应用添加到Microsoft Entra租户。
可以通过执行以下操作开始管理这些内容:
- 首先,在 Microsoft Entra ID 中,创建新的条件访问策略并将其配置为“使用条件访问应用控制”。这会将请求重定向到 Defender for Cloud Apps。 可以创建一个策略,并将所有 SaaS 应用添加到此策略。
- 接下来,在 Defender for Cloud Apps 中创建会话策略。 Create要应用的每个控件的一个策略。
SaaS 应用的权限通常基于对应用的访问权限的业务需求。 这些权限可以是高度动态的。 使用 Defender for Cloud Apps 策略可确保对应用数据的保护,无论用户是分配到与起点、企业还是专用安全保护关联的Microsoft Entra组。
为了保护 SaaS 应用集合中的数据,下图演示了必要的Microsoft Entra条件访问策略,以及可在 Defender for Cloud Apps 中创建的建议策略。 在此示例中,在 Defender for Cloud Apps 中创建的策略适用于你管理的所有 SaaS 应用。 这些标签旨在根据是否管理设备以及已应用于文件的敏感度标签来应用适当的控制。
下表列出了必须在 Microsoft Entra ID 中创建的新条件访问策略。
| 保护级别 | Policy | 更多信息 |
|---|---|---|
| 所有保护级别 | 在 Defender for Cloud Apps 中使用条件访问应用控制 | 这会将 IdP (Microsoft Entra ID) 配置为使用 Defender for Cloud Apps。 |
下表列出了上面演示的示例策略,可以创建这些策略来保护所有 SaaS 应用。 请务必评估自己的业务、安全性和合规性目标,然后创建为环境提供最合适的保护的策略。
| 保护级别 | Policy |
|---|---|
| 起点 | 监视来自非托管设备的流量 为从非托管设备下载文件添加保护 |
| 企业版 | 阻止从非托管设备下载标记为敏感或分类的文件, (这仅提供浏览器访问权限) |
| 专用安全性 | 阻止从所有设备下载标有分类的文件, (这仅提供浏览器访问权限) |
有关设置条件访问应用控制的端到端说明,请参阅 为特色应用部署条件访问应用控制。 本文将指导你完成在Microsoft Entra ID中创建必要的条件访问策略并测试 SaaS 应用的过程。
有关详细信息,请参阅使用Microsoft Defender for Cloud Apps条件访问应用控制保护应用。
优化针对特定 SaaS 应用的保护
你可能想要将其他监视和控制应用于环境中的特定 SaaS 应用。 Defender for Cloud Apps 允许你完成此操作。 例如,如果在环境中大量使用 Box 等应用,则应用更多控件是有意义的。 或者,如果你的法律或财务部门正在对敏感的业务数据使用特定的 SaaS 应用,则可以针对这些应用提供额外的保护。
例如,可以使用以下类型的内置异常情况检测策略模板来保护 Box 环境:
- 来自匿名 IP 地址的活动
- 来自不常见国家/地区的活动
- 来自可疑 IP 地址的活动
- 不可能旅行
- 终止的用户 (执行的活动需要Microsoft Entra ID为 IdP)
- 恶意软件检测
- 多个失败登录尝试
- 勒索软件活动
- 风险 Oauth 应用
- 异常的文件共享活动
下面是一些示例。 会定期添加其他策略模板。 有关如何对特定应用应用应用附加保护的示例,请参阅 保护连接的应用。
Defender for Cloud Apps 如何帮助保护 Box 环境 演示了有助于保护 Box 中业务数据以及使用敏感数据的其他应用中的控件类型。
(DLP) 配置数据丢失防护,以帮助遵守数据保护法规
Defender for Cloud Apps 是配置符合性法规保护的宝贵工具。 在这种情况下,需要创建特定策略来查找适用于法规的特定数据,并配置每个策略以采取适当的操作。
下图和表提供了几个策略示例,这些策略可以配置为帮助遵守 GDPR) 的一般数据保护条例 (。 在这些示例中,策略查找特定数据。 根据数据的敏感性,每个策略都配置为采取适当的操作。
| 保护级别 | 示例策略 |
|---|---|
| 起点 | 当包含此敏感信息类型 (“信用卡号”) 的文件在组织外部共享时发出警报 阻止将包含此敏感信息类型 (“信用卡号”的文件 ) 下载到非托管设备 |
| 企业版 | 保护包含此敏感信息类型 (“信用卡号”) 到托管设备的下载 阻止将包含此敏感信息类型 (“信用卡号”的文件 ) 下载到非托管设备 将带有这些标签的文件上传到 OneDrive for Business 或 Box 时发出警报, (客户数据、人力资源:薪酬数据、人力资源、员工数据) |
| 专用安全性 | 将带有此标签的文件 (“高度分类”) 下载到托管设备时发出警报 阻止将此标签 (“高度分类”的文件下载 ) 到非托管设备 |
后续步骤
有关使用 Defender for Cloud Apps 的详细信息,请参阅Microsoft Defender for Cloud Apps文档。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈