Нулевое доверие и Microsoft Defender для облака приложения

Zero Trust — это стратегия безопасности для разработки и реализации следующих принципов безопасности:

Прямая проверка Использование наименьших привилегий для доступа Предполагайте наличие бреши в системе безопасности
Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. Ограничьте доступ пользователей с помощью технологий JIT/JEA, а также адаптивных политик на основе рисков и средств защиты данных. Минимизируйте радиус поражения и возможность доступа к сегменту. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты.

Microsoft Defender для облака приложения — это основной компонент стратегии нулевого доверия и развертывания XDR с помощью XDR в Microsoft Defender. Microsoft Defender для облака Приложения собирают сигналы от использования облачных приложений вашей организации и защищают поток данных между вашей средой и этими приложениями, включая как санкционированные, так и неуправляемые облачные приложения. Например, Microsoft Defender для облака Приложения заметили аномальное поведение, например невозможное перемещение, доступ к учетным данным и необычный скачивание, общий файловый ресурс или действия пересылки почты и сообщает об этом команде безопасности для устранения неполадок.

Мониторинг нулевого доверия

При мониторинге нулевого доверия используйте Defender для облака Приложения для обнаружения и защиты приложений SaaS, используемых в организации, и развертывайте политики, определяющие поведение пользователей в облаке.

Отвечайте на угрозы с помощью аналитики поведения пользователей и сущностей приложений Defender для облака (UEBA) и обнаружения аномалий, защиты от вредоносных программ, защиты приложений OAuth, исследования инцидентов и исправления. Мониторинг оповещений о аномалиях безопасности, таких как невозможное путешествие, подозрительные правила папки "Входящие" и программ-шантажистов. Основное внимание уделите выявлению шаблонов использования приложений, оценке уровней риска и готовности бизнес-приложений, предотвращению утечки данных в несоответствующих приложениях и ограничению доступа к контролируемым данным.

Используйте Defender для облака Apps, чтобы сообщить идентификатору Microsoft Entra о том, что произошло с пользователем после проверки подлинности и получения маркера. Если шаблон пользователя начинает выглядеть подозрительно, например, если пользователь начинает скачивать гигабайты данных из OneDrive или начинает отправлять сообщения электронной почты нежелательной почты в Exchange Online, уведомляйте идентификатор Microsoft Entra, что пользователь, как представляется, скомпрометирован или высокий риск. При следующем запросе доступа от этого пользователя идентификатор Microsoft Entra может правильно выполнить действия, чтобы проверить пользователя или заблокировать их.

Безопасность IaaS и PaaS

Помимо приложений SaaS, Defender для облака Apps помогает укрепить уровень безопасности для служб IaaS и PaaS, получив представление о конфигурации безопасности и состоянии соответствия требованиям на общедоступных облачных платформах. Это позволяет исследовать состояние конфигурации всей платформы на основе рисков. Интеграция Microsoft Purview с Defender для облака Apps для маркировки приложений и защиты данных в приложениях, предотвращая непреднамеренное воздействие конфиденциальной информации.

Следующие шаги

Узнайте больше о нулевом доверии и о том, как создать стратегию и архитектуру корпоративного масштаба с помощью Центра рекомендаций по нулю доверия.

Основные понятия и цели развертывания, ориентированные на приложения, см. в разделе "Безопасные приложения с нулевым доверием".

Дополнительные политики нулевого доверия и рекомендации по приложениям см. в следующих статьях:

Узнайте больше о других возможностях Microsoft 365, которые способствуют строгой стратегии и архитектуре нулевого доверия с планом развертывания Zero Trust с помощью Microsoft 365.

Общие сведения о службах XDR в Microsoft Defender см. в разделе "Нулевое доверие" с помощью XDR в Microsoft Defender.