Cуществует способ заблокировать определённые приложения, которые вы не хотите, чтобы использовали ваши сотрудники. Если вы пользуетесь Microsoft 365, есть такой продукт, как Defender for Cloud Apps, и он умеет делать именно это — и даже больше. Об этом мы и поговорим в сегодняшней статье.
Возможности Microsoft Defender for Cloud Apps
Очень часто бизнес-заказчики спрашивают:
«Можно ли отследить, какие облачные приложения используют сотрудники?»
«Можно ли заблокировать определённые приложения?»
Ответ — да, и поможет в этом Defender for Cloud Apps, который входит в пакет Microsoft Defender for Business. Он может:
-
отслеживать облачные приложения,
-
выявлять потенциальные угрозы безопасности,
-
автоматизировать реакции на инциденты.
Вопрос лицензирования
К сожалению, в лицензии Microsoft 365 Business Premium доступна только урезанная версия Defender for Cloud Apps. Полный функционал доступен в:
-
Microsoft 365 E5 ,
-
или можно добавить Enterprise Mobility + Security E5 (EMS E5) — к Business Premium.
Обнаружение облачных приложений (Cloud App Discovery)
Это первая ключевая функция. Она позволяет обнаруживать все облачные приложения, которые реально используются в вашей организации — не только те, что «официально разрешены». Обычно компании удивляются, когда узнают, что, например, их сотрудники используют Dropbox или другие сторонние сервисы.
Существует два способа использования:
-
Через лог-файлы брандмауэров (доступно в Business Premium),
-
Интеграция с Defender for Endpoint (нужен E5/EMS E5) — это лучший вариант, дающий автоматические отчёты в реальном времени.
Каталог облачных приложений (Cloud App Catalog)
Microsoft проверила более 30 000 облачных приложений и присвоила каждой оценку риска по 90 критериям — от безопасности до юридических требований. Вы можете:
-
разрешить приложение (sanctioned),
-
запретить (unsanctioned),
-
отслеживать (monitored).
Например:
-
Dropbox можно пометить как monitored — разрешён, но с предупреждением.
-
Box можно полностью запретить — доступ будет блокироваться на уровне Defender for Endpoint.
Блокировка приложений в реальном времени
На компьютере пользователя, если он попытается зайти на сайт запрещённого приложения (например, box.com), он получит сообщение:
«Этот сайт заблокирован вашей организацией».
В случае приложений с пометкой monitored (например, Dropbox), пользователь может временно обойти блокировку, но на ограниченное время (например, 1 час).
Политики безопасности
Defender for Cloud Apps поддерживает гибкие политики, например:
-
Невозможное перемещение (Impossible Travel) — если пользователь вошёл в систему во Львове, а через 10 минут — в Киеве.
-
Подозрительная переадресация почты — если кто-то настроил пересылку писем на внешний адрес.
Политики позволяют:
-
Отправлять уведомления ИТ-отделу,
-
Автоматически блокировать пользователя,
-
Установить высокий уровень риска пользователя в Azure AD,
-
И многое другое.
Подведение итогов
Defender for Cloud Apps — мощный инструмент для контроля и обеспечения безопасности в облачной среде Microsoft 365. Он помогает:
-
Выявлять несанкционированные приложения,
-
Блокировать потенциально опасные сервисы,
-
Реагировать на подозрительное поведение автоматически.