Поделиться через


Шаг 2. Создание политик приложений Defender для облака

Приложения SaaS играют ключевую роль в обеспечении доступности приложений и ресурсов с любого устройства с подключением к Интернету. Однако некоторые приложения могут представлять угрозу безопасности с потенциалом причинить значительный ущерб вашей организации, если они не обнаружены и не управляются. Вы должны иметь представление о приложениях, которые используются в вашей организации, чтобы защитить конфиденциальные данные и ресурсы.

Microsoft Defender для облака Приложения позволяют контролировать их с помощью комплексного контроля видимости, аудита и детализированных элементов управления конфиденциальными данными. Defender для облака Приложения имеют средства, которые помогают выявить теневые ИТ-ресурсы и оценить риск, позволяя применять политики и исследовать действия приложений. Он помогает в режиме реального времени контролировать доступ и предотвращать угрозы, чтобы переход вашей организации в облако стал более безопасным.

В этой статье содержатся рекомендации по следующим вопросам:

  • Обнаружение облачных приложений
  • Санкционировать облачные приложения
  • Настройка управления условным доступом к приложению
  • Использование соединителей приложений
  • Применить элементы управления сеансом,

Если вы еще не настроили Defender для облака приложения, см. статью "Оценка Microsoft Defender для облака приложений".

Обнаружение облачных приложений

Без видимости приложений, используемых в вашей организации, вы не сможете правильно управлять и контролировать, как пользователи используют приложения и как приложения получают доступ к конфиденциальным данным и ресурсам.

Defender для облака Приложения имеют функцию Cloud Discovery, которая анализирует журналы трафика в каталоге приложений Microsoft Defender для облака более 31 000 облачных приложений. Приложения ранжируются и оцениваются на основе более чем 90 факторов риска и обеспечивают постоянную видимость использования облачных приложений, теневого ИТ-решения и риска, вызванного неизвестными и неуправляемыми приложениями.

На следующей схеме показаны компоненты обнаружения облачных приложений и два метода, используемые для мониторинга сетевого трафика и обнаружения облачных приложений, используемых в организации.

Схема компонентов обнаружения облачных приложений для трафика облачных приложений, проходящих через Defender для конечной точки или локальных брандмауэров или прокси-серверов.

На этой схеме:

  • Метод 1. Cloud App Discovery интегрируется с Microsoft Defender для конечной точки, которая сообщает облачным приложениям и службам, к которым осуществляется доступ с ит-управляемых ИТ-устройств Windows 10 и Windows 11.
  • Метод 2. Для покрытия на всех устройствах, подключенных к сети, сборщик журналов Defender для облака Apps, установленный на брандмауэрах и прокси-серверах, собирает и отправляет данные из конечных точек в Defender для облака Приложения для анализа.

Используйте следующее руководство, чтобы использовать встроенные возможности в Defender для облака Apps для обнаружения приложений в вашей организации:

Санкционировать приложения

После просмотра списка обнаруженных приложений в вашей среде вы можете защитить среду, утвердив безопасные приложения (санкционированные) или запретив нежелательные приложения (несанкционные).

Дополнительные сведения см. в разделе "Санкционирование" или "отмена несанкционированного доступа к приложению".

Настройка управления условным доступом для защиты приложений

Политики условного доступа позволяют назначать элементы управления и требования определенным приложениям, действиям или условиям проверки подлинности. У вас есть возможность определить, какие пользователи или группы пользователей могут получить доступ к облачным приложениям, к которым они могут обращаться, и из каких расположений и сетей пользователь должен получить доступ. Дополнительные сведения см . в шаге 1 этого решения.

В сочетании с политиками условного доступа можно повысить безопасность облачных приложений, применяя элементы управления доступом и сеансами с помощью управления условным доступом. С помощью функции управления условным доступом к приложениям в Defender для облака приложения доступ пользователей и сеансы отслеживаются и контролируются в режиме реального времени на основе политик доступа и сеансов. Политики доступа и сеанса, настроенные на портале приложений Defender для облака, позволяют дополнительно уточнить фильтры и задать действия, которые могут выполнять пользователи.

Microsoft Defender для облака приложения изначально интегрируются с Microsoft Entra. При настройке политики в Microsoft Entra для использования управления приложениями условного доступа трафик облачных приложений направляется через Defender для облака приложения в качестве прокси-сервера, что позволяет Defender для облака приложениям отслеживать этот трафик и применять элементы управления сеансами.

На следующей схеме показано, как трафик облачных приложений направляется через Microsoft Entra и Defender для облака Apps.

Схема, показывающая, как трафик облачных приложений перемещается через Microsoft Entra и Defender для облака Apps при настройке политик управления приложениями условного доступа.

На этой схеме:

  • Microsoft Entra имеет политику управления приложениями условного доступа для трафика указанных и интегрированных приложений SaaS. Затем идентификатор Microsoft Entra направляет (прокси-серверы) трафик сеанса через Defender для облака приложения.
  • Defender для облака Приложения отслеживают этот трафик и применяют политики управления сеансами.

Условный доступ определяет требования, которые необходимо выполнить, прежде чем пользователь сможет получить доступ к приложению. Управление условным доступом определяет, к каким приложениям пользователь может получить доступ, и набор действий, которые пользователь может предпринять во время сеанса после предоставления доступа.

Дополнительные сведения см. в разделе:

Использование соединителей приложений

соединитель приложений используют API поставщиков приложений, чтобы обеспечить большую видимость и контроль, Defender для облака Приложения над приложениями, используемыми в вашей организации. В зависимости от приложения, к которому вы подключаетесь, подключения приложений позволяют включить следующее:

  • Сведения об учетной записи. Видимость пользователей, учетных записей, сведений о профиле, групп состояния (приостановлено, активно, отключено) и привилегий.
  • Аудит тропы — видимость действий пользователей, действий администратора и действий входа.
  • Управление учетными записями — возможность приостановки пользователей, отзыва паролей и других возможностей.
  • Разрешения приложения. Видимость выданных токенов и их разрешений.
  • Управление разрешениями приложения. Возможность удалять токены.
  • Сканирование данных — сканирование неструктурированных данных с помощью двух процессов (периодически (каждые 12 часов) и в режиме реального времени (активируется при каждом обнаружении изменения).
  • Управление данными — возможность карантина файлов, в том числе файлов в корзине и перезаписи файлов.

Дополнительные сведения см. в разделе "Подключение приложений".

Defender для облака Приложения обеспечивают сквозную защиту подключенных приложений с помощью интеграции с облаком и облаком. Соединители API и элементы управления доступом в режиме реального времени и сеанса, использующие элементы управления доступом к условному приложению.

Применить элементы управления сеансом,

Элементы управления сеансами позволяют применять параметры к использованию облачных приложений вашей организацией. Например, если ваша организация использует Salesforce, вы можете настроить политику сеанса, которая позволяет только зарегистрированным и управляемым устройствам получать доступ к данным Salesforce вашей организации. Более простой пример можно настроить политику для мониторинга трафика с неуправляемых устройств, чтобы проанализировать риск этого трафика перед применением более строгих политик.

Defender для облака документация по приложениям содержит следующие серии руководств, которые помогут вам обнаружить риски и защитить среду:

Следующий шаг

Схема шагов по интеграции и защите приложений SaaS с высоким уровнем безопасности шага 3.

Перейдите к шагу 3 , чтобы развернуть защиту информации для приложений SaaS.