Шаг 2. Создание политик приложений Defender для облака
Приложения SaaS играют ключевую роль в обеспечении доступности приложений и ресурсов с любого устройства с подключением к Интернету. Однако некоторые приложения могут представлять угрозу безопасности с потенциалом причинить значительный ущерб вашей организации, если они не обнаружены и не управляются. Вы должны иметь представление о приложениях, которые используются в вашей организации, чтобы защитить конфиденциальные данные и ресурсы.
Microsoft Defender для облака Приложения позволяют контролировать их с помощью комплексного контроля видимости, аудита и детализированных элементов управления конфиденциальными данными. Defender для облака Приложения имеют средства, которые помогают выявить теневые ИТ-ресурсы и оценить риск, позволяя применять политики и исследовать действия приложений. Он помогает в режиме реального времени контролировать доступ и предотвращать угрозы, чтобы переход вашей организации в облако стал более безопасным.
В этой статье содержатся рекомендации по следующим вопросам:
- Обнаружение облачных приложений
- Санкционировать облачные приложения
- Настройка управления условным доступом к приложению
- Использование соединителей приложений
- Применить элементы управления сеансом,
Если вы еще не настроили Defender для облака приложения, см. статью "Оценка Microsoft Defender для облака приложений".
Обнаружение облачных приложений
Без видимости приложений, используемых в вашей организации, вы не сможете правильно управлять и контролировать, как пользователи используют приложения и как приложения получают доступ к конфиденциальным данным и ресурсам.
Defender для облака Приложения имеют функцию Cloud Discovery, которая анализирует журналы трафика в каталоге приложений Microsoft Defender для облака более 31 000 облачных приложений. Приложения ранжируются и оцениваются на основе более чем 90 факторов риска и обеспечивают постоянную видимость использования облачных приложений, теневого ИТ-решения и риска, вызванного неизвестными и неуправляемыми приложениями.
На следующей схеме показаны компоненты обнаружения облачных приложений и два метода, используемые для мониторинга сетевого трафика и обнаружения облачных приложений, используемых в организации.
На этой схеме:
- Метод 1. Cloud App Discovery интегрируется с Microsoft Defender для конечной точки, которая сообщает облачным приложениям и службам, к которым осуществляется доступ с ит-управляемых ИТ-устройств Windows 10 и Windows 11.
- Метод 2. Для покрытия на всех устройствах, подключенных к сети, сборщик журналов Defender для облака Apps, установленный на брандмауэрах и прокси-серверах, собирает и отправляет данные из конечных точек в Defender для облака Приложения для анализа.
Используйте следующее руководство, чтобы использовать встроенные возможности в Defender для облака Apps для обнаружения приложений в вашей организации:
Санкционировать приложения
После просмотра списка обнаруженных приложений в вашей среде вы можете защитить среду, утвердив безопасные приложения (санкционированные) или запретив нежелательные приложения (несанкционные).
Дополнительные сведения см. в разделе "Санкционирование" или "отмена несанкционированного доступа к приложению".
Настройка управления условным доступом для защиты приложений
Политики условного доступа позволяют назначать элементы управления и требования определенным приложениям, действиям или условиям проверки подлинности. У вас есть возможность определить, какие пользователи или группы пользователей могут получить доступ к облачным приложениям, к которым они могут обращаться, и из каких расположений и сетей пользователь должен получить доступ. Дополнительные сведения см . в шаге 1 этого решения.
В сочетании с политиками условного доступа можно повысить безопасность облачных приложений, применяя элементы управления доступом и сеансами с помощью управления условным доступом. С помощью функции управления условным доступом к приложениям в Defender для облака приложения доступ пользователей и сеансы отслеживаются и контролируются в режиме реального времени на основе политик доступа и сеансов. Политики доступа и сеанса, настроенные на портале приложений Defender для облака, позволяют дополнительно уточнить фильтры и задать действия, которые могут выполнять пользователи.
Microsoft Defender для облака приложения изначально интегрируются с Microsoft Entra. При настройке политики в Microsoft Entra для использования управления приложениями условного доступа трафик облачных приложений направляется через Defender для облака приложения в качестве прокси-сервера, что позволяет Defender для облака приложениям отслеживать этот трафик и применять элементы управления сеансами.
На следующей схеме показано, как трафик облачных приложений направляется через Microsoft Entra и Defender для облака Apps.
На этой схеме:
- Microsoft Entra имеет политику управления приложениями условного доступа для трафика указанных и интегрированных приложений SaaS. Затем идентификатор Microsoft Entra направляет (прокси-серверы) трафик сеанса через Defender для облака приложения.
- Defender для облака Приложения отслеживают этот трафик и применяют политики управления сеансами.
Условный доступ определяет требования, которые необходимо выполнить, прежде чем пользователь сможет получить доступ к приложению. Управление условным доступом определяет, к каким приложениям пользователь может получить доступ, и набор действий, которые пользователь может предпринять во время сеанса после предоставления доступа.
Дополнительные сведения см. в разделе:
- Защита приложений с использованием Microsoft Defender для облачных приложений. Управление условным доступом к приложениям
- Интеграция идентификатора Microsoft Entra с элементом управления условным доступом
Использование соединителей приложений
соединитель приложений используют API поставщиков приложений, чтобы обеспечить большую видимость и контроль, Defender для облака Приложения над приложениями, используемыми в вашей организации. В зависимости от приложения, к которому вы подключаетесь, подключения приложений позволяют включить следующее:
- Сведения об учетной записи. Видимость пользователей, учетных записей, сведений о профиле, групп состояния (приостановлено, активно, отключено) и привилегий.
- Аудит тропы — видимость действий пользователей, действий администратора и действий входа.
- Управление учетными записями — возможность приостановки пользователей, отзыва паролей и других возможностей.
- Разрешения приложения. Видимость выданных токенов и их разрешений.
- Управление разрешениями приложения. Возможность удалять токены.
- Сканирование данных — сканирование неструктурированных данных с помощью двух процессов (периодически (каждые 12 часов) и в режиме реального времени (активируется при каждом обнаружении изменения).
- Управление данными — возможность карантина файлов, в том числе файлов в корзине и перезаписи файлов.
Дополнительные сведения см. в разделе "Подключение приложений".
Defender для облака Приложения обеспечивают сквозную защиту подключенных приложений с помощью интеграции с облаком и облаком. Соединители API и элементы управления доступом в режиме реального времени и сеанса, использующие элементы управления доступом к условному приложению.
Применить элементы управления сеансом,
Элементы управления сеансами позволяют применять параметры к использованию облачных приложений вашей организацией. Например, если ваша организация использует Salesforce, вы можете настроить политику сеанса, которая позволяет только зарегистрированным и управляемым устройствам получать доступ к данным Salesforce вашей организации. Более простой пример можно настроить политику для мониторинга трафика с неуправляемых устройств, чтобы проанализировать риск этого трафика перед применением более строгих политик.
Defender для облака документация по приложениям содержит следующие серии руководств, которые помогут вам обнаружить риски и защитить среду:
- Обнаружение подозрительного действия пользователя
- Изучение поведения пользователей, совершающих рискованные действия
- Изучение рискованных приложений OAuth
- Обнаружение и защита конфиденциальной информации
- Защита любого приложения в организации в режиме реального времени
- Блокировка скачивания конфиденциальной информации
- Защита файлов с помощью карантина администратора
- Требовать поэтапной проверки подлинности при рискованном действии
Следующий шаг
Перейдите к шагу 3 , чтобы развернуть защиту информации для приложений SaaS.