Sdílet prostřednictvím

Osvědčené postupy pro ochranu organizace pomocí Defender for Cloud Apps

  • Článek

Tento článek obsahuje osvědčené postupy pro ochranu organizace pomocí Microsoft Defender for Cloud Apps. Tyto osvědčené postupy vycházejí z našich zkušeností s Defender for Cloud Apps a zkušenostmi zákazníků, jako jste vy.

Mezi osvědčené postupy probírané v tomto článku patří:

Objevte a vyhodnoťte cloudové aplikace

Integrace Defender for Cloud Apps s Microsoft Defender for Endpoint vám umožní používat zjišťování cloudu mimo podnikovou síť nebo zabezpečené webové brány. S kombinovanými informacemi o uživateli a zařízení můžete identifikovat rizikové uživatele nebo zařízení, zjistit, jaké aplikace používají, a dále prozkoumat na portálu Defenderu for Endpoint.

Osvědčený postup: Povolení zjišťování stínového IT pomocí Defenderu for Endpoint
Podrobnosti: Cloud Discovery analyzuje protokoly provozu shromážděné defenderem for Endpoint a vyhodnocuje identifikované aplikace v katalogu cloudových aplikací a poskytuje informace o dodržování předpisů a zabezpečení. Konfigurací cloud discovery získáte přehled o využití cloudu, stínovém IT a průběžném monitorování neschválené aplikace používané vašimi uživateli.
Další informace:

Osvědčený postup: Konfigurace zásad zjišťování aplikací pro proaktivní identifikaci rizikových, nekompatibilních a populárních aplikací
Podrobnosti: Zásady zjišťování aplikací usnadňují sledování významných zjištěných aplikací ve vaší organizaci, aby vám pomohly tyto aplikace efektivně spravovat. Vytvořte zásady pro příjem upozornění při detekci nových aplikací, které jsou identifikované jako rizikové, nedodržující předpisy, populární nebo vysoce objemné.
Další informace:

Osvědčený postup: Správa aplikací OAuth, které jsou autorizovány vašimi uživateli
Podrobnosti: Mnoho uživatelů nechtěně uděluje aplikacím třetích stran oprávnění OAuth pro přístup k informacím o svém účtu a neúmyslně také uděluje přístup ke svým datům v jiných cloudových aplikacích. IT oddělení obvykle nemá o těchto aplikacích žádný přehled, což ztěžuje zvážení rizika zabezpečení aplikace proti výhodám produktivity, které poskytuje.

Defender for Cloud Apps vám poskytuje možnost prozkoumat a monitorovat oprávnění aplikací udělená vašimi uživateli. Tyto informace můžete použít k identifikaci potenciálně podezřelé aplikace, a pokud zjistíte, že je riziková, můžete k ní zakázat přístup.
Další informace:



Použití zásad správného řízení v cloudu

Osvědčený postup: Označování aplikací a export blokových skriptů
Podrobnosti: Po kontrole seznamu zjištěných aplikací ve vaší organizaci můžete své prostředí zabezpečit před nežádoucím použitím aplikací. Značku Sankcionované můžete použít u aplikací, které jsou schválené vaší organizací, a značku Neschválené u aplikací, které nejsou schválené. Neschválené aplikace můžete monitorovat pomocí filtrů zjišťování nebo exportovat skript a blokovat neschválené aplikace pomocí místních bezpečnostních zařízení. Pomocí značek a exportních skriptů můžete uspořádat aplikace a chránit vaše prostředí tím, že povolíte přístup jenom k bezpečným aplikacím.
Další informace:

Omezení ohrožení sdílených dat a vynucení zásad spolupráce

Osvědčený postup: Připojení Microsoftu 365
Podrobnosti: Připojení Microsoftu 365 k Defender for Cloud Apps vám poskytne okamžitý přehled o aktivitách uživatelů, souborech, ke kterým přistupují, a poskytuje akce zásad správného řízení pro Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange a Dynamics.
Další informace:

Osvědčený postup: Připojení aplikací
Podrobnosti: Připojení aplikací k Defender for Cloud Apps vám poskytne lepší přehled o aktivitách uživatelů, detekci hrozeb a možnostech zásad správného řízení. Pokud chcete zjistit, která rozhraní API aplikací třetích stran jsou podporovaná, přejděte na stránku Připojení aplikací.

Další informace:

Osvědčený postup: Vytvoření zásad pro odebrání sdílení s osobními účty
Podrobnosti: Připojení Microsoftu 365 k Defender for Cloud Apps vám poskytne okamžitý přehled o aktivitách uživatelů, souborech, ke kterým přistupují, a poskytuje akce zásad správného řízení pro Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange a Dynamics.
Další informace:

Zjišťování, klasifikace, označování a ochrana regulovaných a citlivých dat uložených v cloudu

Osvědčený postup: Integrace s Microsoft Purview Information Protection
Podrobnosti: Integrace s Microsoft Purview Information Protection vám dává možnost automaticky použít popisky citlivosti a volitelně přidat ochranu šifrování. Po zapnutí integrace můžete použít popisky jako akci zásad správného řízení, zobrazit soubory podle klasifikace, zkoumat soubory podle úrovně klasifikace a vytvářet podrobné zásady, které zajistí správné zpracování klasifikovaných souborů. Pokud integraci nezapnete, nebudete moct využívat možnost automaticky prohledávat, označovat a šifrovat soubory v cloudu.
Další informace:

Osvědčený postup: Vytvoření zásad vystavení dat
Podrobnosti: Pomocí zásad souborů detekujte sdílení informací a vyhledávejte důvěrné informace v cloudových aplikacích. Vytvořte následující zásady souborů, které vás při zjištění ohrožení dat upozorní:

  • Externě sdílené soubory obsahující citlivá data
  • Soubory sdílené externě a označené jako důvěrné
  • Soubory sdílené s neautorizovanými doménami
  • Ochrana citlivých souborů v aplikacích SaaS

Další informace:

Osvědčený postup: Kontrola sestav na stránce Soubory
Podrobnosti: Po připojení různých aplikací SaaS pomocí konektorů aplikací Defender for Cloud Apps prohledává soubory uložené těmito aplikacemi. Kromě toho se při každé změně souboru znovu zkontroluje. Na stránce Soubory můžete porozumět typům dat uloženým v cloudových aplikacích a prozkoumat je. Abyste mohli lépe prozkoumat, můžete filtrovat podle domén, skupin, uživatelů, data vytvoření, přípony, názvu a typu souboru, ID souboru, popisku citlivosti a dalších. Pomocí těchto filtrů máte kontrolu nad tím, jak se rozhodnete soubory prozkoumat, abyste měli jistotu, že žádná z vašich dat nejsou ohrožená. Jakmile lépe pochopíte, jak se vaše data používají, můžete vytvořit zásady pro vyhledávání citlivého obsahu v těchto souborech.
Další informace:



Vynucení zásad ochrany před únikem informací a dodržování předpisů pro data uložená v cloudu

Osvědčený postup: Ochrana důvěrných dat před sdílením s externími uživateli
Podrobnosti: Vytvořte zásadu souborů, která zjistí, když se uživatel pokusí sdílet soubor s popiskem citlivosti důvěrné s někým externím ve vaší organizaci, a nakonfigurujte její akci zásad správného řízení tak, aby se externí uživatelé odebrali. Tato zásada zajišťuje, že vaše důvěrná data neopustí vaši organizaci a externí uživatelé k ní nebudou moct získat přístup.
Další informace:



Blokování a ochrana stahování citlivých dat do nespravovaných nebo rizikových zařízení

Osvědčený postup: Správa a řízení přístupu k vysoce rizikovým zařízením
Podrobnosti: K nastavení ovládacích prvků pro aplikace SaaS použijte řízení podmíněného přístupu k aplikacím. Můžete vytvořit zásady relací pro monitorování vysoce rizikových relací s nízkou důvěryhodností. Podobně můžete vytvořit zásady relací pro blokování a ochranu stahování uživateli, kteří se snaží získat přístup k citlivým datům z nespravovaných nebo rizikových zařízení. Pokud nevytvoříte zásady relací pro monitorování vysoce rizikových relací, ztratíte možnost blokovat a chránit stahování ve webovém klientovi a také možnost monitorovat relaci s nízkou důvěryhodností v aplikacích Microsoftu i aplikacích třetích stran.
Další informace:



Zabezpečení spolupráce s externími uživateli vynucením řízení relací v reálném čase

Osvědčený postup: Monitorování relací s externími uživateli pomocí řízení podmíněného přístupu aplikací
Podrobnosti: Pokud chcete zabezpečit spolupráci ve vašem prostředí, můžete vytvořit zásady relace pro monitorování relací mezi interními a externími uživateli. To vám umožňuje nejen monitorovat relaci mezi uživateli (a upozornit je, že se monitorují jejich aktivity relace), ale také vám to umožňuje omezit konkrétní aktivity. Při vytváření zásad relací pro monitorování aktivity můžete zvolit aplikace a uživatele, které chcete monitorovat.
Další informace:



Detekce cloudových hrozeb, ohrožených účtů, škodlivých insiderů a ransomwaru

Osvědčený postup: Ladění zásad anomálií, nastavení rozsahů IP adres, odeslání zpětné vazby pro výstrahy
Podrobnosti: Zásady detekce anomálií poskytují okamžitě rozšířenou detekci hrozeb ve vašem cloudovém prostředí.

Zásady detekce anomálií se aktivují, když uživatelé ve vašem prostředí provádějí neobvyklé aktivity. Defender for Cloud Apps nepřetržitě monitoruje aktivity uživatelů a pomocí UEBA a ML se učí a rozumí normálnímu chování uživatelů. Nastavení zásad můžete ladit tak, aby vyhovovala požadavkům vaší organizace. Můžete například nastavit citlivost zásad nebo nastavit obor zásad pro konkrétní skupinu.

  • Ladění a rozsah zásad detekce anomálií: Pokud chcete například snížit počet falešně pozitivních výsledků v rámci upozornění na nemožné cestování, můžete u zásady nastavit posuvník citlivosti na nízkou hodnotu. Pokud máte ve vaší organizaci uživatele, kteří často cestují do společnosti, můžete je přidat do skupiny uživatelů a vybrat tuto skupinu v rozsahu zásad.

  • Nastavit rozsahy IP adres: Defender for Cloud Apps dokáže identifikovat známé IP adresy po nastavení rozsahů IP adres. S nakonfigurovanými rozsahy IP adres můžete označit, zařadit do kategorií a přizpůsobit způsob, jakým se protokoly a výstrahy zobrazují a prošetřují. Přidání rozsahů IP adres pomáhá snížit počet falešně pozitivních detekcí a zlepšit přesnost upozornění. Pokud se rozhodnete nepřidávejte své IP adresy, může se zobrazit vyšší počet možných falešně pozitivních výsledků a výstrah, které je potřeba prošetřit.

  • Odeslání zpětné vazby k upozorněním

    Při zamítání nebo řešení upozornění nezapomeňte odeslat zpětnou vazbu s důvodem, proč jste upozornění zavřeli nebo jak se vyřešilo. Tyto informace pomáhají Defender for Cloud Apps zlepšovat naše výstrahy a snižovat počet falešně pozitivních výsledků.

Další informace:

Osvědčený postup: Detekce aktivity z neočekávaných míst nebo zemí nebo oblastí
Podrobnosti: Vytvořte zásadu aktivity, která vás upozorní, když se uživatelé přihlásí z neočekávaných míst nebo zemí nebo oblastí. Tato oznámení vás můžou upozornit na potenciálně ohrožené relace ve vašem prostředí, abyste mohli detekovat a napravit hrozby dříve, než k nim dojde.
Další informace:

Osvědčený postup: Vytvoření zásad aplikací OAuth
Podrobnosti: Vytvořte zásadu aplikace OAuth, která vás upozorní, když aplikace OAuth splňuje určitá kritéria. Můžete se například rozhodnout dostávat oznámení, když ke konkrétní aplikaci, která vyžaduje vysokou úroveň oprávnění, přistupuje více než 100 uživatelů.
Další informace:



Použití záznamu auditu aktivit pro forenzní vyšetřování

Osvědčený postup: Použití záznamu auditu aktivit při vyšetřování výstrah
Podrobnosti: Upozornění se aktivují, když aktivity uživatelů, správců nebo přihlašování nedodržují vaše zásady. Je důležité prošetřit výstrahy, abyste pochopili, jestli je ve vašem prostředí možná hrozba.

Výstrahu můžete prozkoumat tak, že ji vyberete na stránce Výstrahy a zkontrolujete záznam auditu aktivit souvisejících s danou výstrahou. Záznam pro audit poskytuje přehled o aktivitách stejného typu, stejného uživatele, stejné IP adresy a umístění, abyste měli celkový přehled o upozornění. Pokud výstraha vyžaduje další šetření, vytvořte plán řešení těchto upozornění ve vaší organizaci.

Při zamítání upozornění je důležité prověřit a pochopit, proč nejsou důležitá nebo jestli se jedná o falešně pozitivní výsledky. Pokud je takových aktivit velký objem, můžete také zvážit kontrolu a vyladění zásad, které výstrahu aktivují.
Další informace:



Zabezpečení služeb IaaS a vlastních aplikací

Osvědčený postup: Připojení Azure, AWS a GCP
Podrobnosti: Připojení každé z těchto cloudových platforem k Defender for Cloud Apps vám pomůže zlepšit možnosti detekce hrozeb. Monitorováním aktivit správy a přihlašování pro tyto služby můžete detekovat a dostávat oznámení o možném útoku hrubou silou, škodlivém použití privilegovaného uživatelského účtu a dalších hrozbách ve vašem prostředí. Můžete například identifikovat rizika, jako jsou neobvyklá odstranění virtuálních počítačů nebo dokonce aktivity zosobnění v těchto aplikacích.
Další informace:

Osvědčený postup: Onboarding vlastních aplikací
Podrobnosti: Pokud chcete získat další přehled o aktivitách z obchodních aplikací, můžete do Defender for Cloud Apps připojit vlastní aplikace. Po nakonfigurování vlastních aplikací uvidíte informace o tom, kdo je používá, JAKÉ IP adresy se používají a kolik provozu do a z aplikace přichází.

Kromě toho můžete nasadit vlastní aplikaci jako aplikaci pro řízení podmíněného přístupu k aplikacím a monitorovat její relace s nízkou důvěryhodností. Microsoft Entra ID aplikace se automaticky onboardují.

Další informace: