Никому не доверяй и Microsoft Defender for Cloud Apps

"Никому не доверяй" — это стратегия безопасности для разработки и реализации следующих наборов принципов безопасности:

Выполняйте проверку явным образом. Руководствуйтесь принципом минимальных прав. Предполагайте наличие бреши в системе безопасности
Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. Ограничьте доступ пользователей с помощью JIT/JEA, адаптивных политик на основе рисков и защиты данных. Минимизируйте область воздействия и сегментируйте доступ. Проверьте сквозное шифрование и используйте аналитику, чтобы получить представление о ситуации, выявить угрозы и улучшить защиту.

Microsoft Defender для облака приложения — это основной компонент стратегии "Никому не доверяй" и развертывания с Microsoft Defender. Microsoft Defender for Cloud Apps собирает сигналы об использовании облачных приложений в организации и защищает данные, передаваемые между вашей средой и этими приложениями, включая санкционированные и несанкционированные облачные приложения. Например, Microsoft Defender for Cloud Apps замечает аномальное поведение, такое как невозможное перемещение, доступ к учетным данным, а также необычные действия по скачиванию, общей папке или пересылке почты, и сообщает об этом группе безопасности для устранения рисков.

Мониторинг в рамках модели "Никому не доверяй"

При мониторинге "Никому не доверяй" используйте Defender for Cloud Apps для обнаружения и защиты приложений SaaS, используемых в организации, и развертывания политик, определяющих поведение пользователей в облаке.

Реагирование на угрозы с помощью аналитики поведения пользователей и сущностей Defender for Cloud Apps (UEBA) и обнаружения аномалий, защиты от вредоносных программ, защиты приложений OAuth, исследования инцидентов и исправления. Отслеживайте оповещения об аномалиях безопасности, например о невозможных перемещениях, подозрительных правилах для папки "Входящие" и программах-вымогателях. Сосредоточьтесь на определении шаблонов использования приложений, оценке уровней риска и готовности бизнеса приложений, предотвращении утечек данных в несоответствующих приложениях и ограничении доступа к регулируемым данным.

Используйте Defender for Cloud Apps, чтобы сообщить Microsoft Entra ID о том, что произошло с пользователем после того, как он прошел проверку подлинности и получил токен. Если шаблон пользователя начинает выглядеть подозрительно, например, если пользователь начинает скачивать гигабайты данных из OneDrive или отправлять спам в Exchange Online, уведомите Microsoft Entra ID о том, что пользователь скомпрометирован или высокий риск. При следующем запросе этого пользователя на доступ Microsoft Entra ID сможет корректно выполнить проверку пользователя или заблокировать его.

Безопасность IaaS и PaaS

Помимо приложений SaaS, Defender for Cloud Apps помогает повысить уровень безопасности для служб IaaS и PaaS, получая представление о конфигурации безопасности и состоянии соответствия требованиям на общедоступных облачных платформах. Это позволяет провести анализ состояния конфигурации платформы на основе рисков. Интегрируйте Microsoft Purview с Defender for Cloud Apps, чтобы помечать приложения и защитить данные в приложениях, предотвращая непреднамеренное воздействие конфиденциальной информации.

Дальнейшие действия

Узнайте больше о "Никому не доверяй", а также о том, как создать стратегию и архитектуру корпоративного уровня с помощью Центра руководства по принципу "Никому не доверяй".

Основные понятия и цели развертывания, ориентированные на приложения, см. в статье Защита приложений с использованием принципа "Никому не доверяй".

Дополнительные политики "Никому не доверяй" и рекомендации для приложений см. в следующих статьях:

Узнайте больше о других возможностях Microsoft 365, которые поддерживают стратегию и архитектуру "Никому не доверяй", в материале План развертывания "Никому не доверяй" с Microsoft 365.

Сведения о "Никому не доверяй" для служб Microsoft Defender см. в статье "Никому не доверяй" с Microsoft Defender.