Kurz: Zjišťování a správa stínového IT

Když se správců IT zeptáte, kolik cloudových aplikací si myslí, že jejich zaměstnanci používají v průměru 30 nebo 40, ve skutečnosti je průměrně více než 1 000 samostatných aplikací, které používají zaměstnanci ve vaší organizaci. Stínové IT vám pomůže zjistit, které aplikace se používají a jaká je úroveň vašeho rizika. 80 % zaměstnanců používá neschvalované aplikace, které nikdo nekontroloval, a nemusí být v souladu s vašimi zásadami zabezpečení a dodržování předpisů. A protože vaši zaměstnanci mají přístup k vašim prostředkům a aplikacím mimo vaši podnikovou síť, nestačí už mít pravidla a zásady v bránách firewall.

V tomto kurzu se dozvíte, jak pomocí cloud discovery zjistit, které aplikace se používají, prozkoumat rizika těchto aplikací, nakonfigurovat zásady pro identifikaci nových rizikových aplikací, které se používají, a jak tyto aplikace zrušit, abyste je mohli nativně blokovat pomocí proxy serveru nebo zařízení brány firewall.

• Zjišťování a identifikace stínového IT
• Vyhodnocení a analýza
• Správa aplikací
• Pokročilé generování sestav zjišťování stínového IT
• Řízení schválených aplikací

Tip

Ve výchozím nastavení Defender for Cloud Apps nemůžou zjišťovat aplikace, které nejsou v katalogu.

Pokud chcete zobrazit Defender for Cloud Apps data pro aplikaci, která momentálně není v katalogu, doporučujeme zkontrolovat náš plán nebovytvořit vlastní aplikaci.

Jak zjistit a spravovat stínové IT v síti

Tento proces použijte k zavedení služby Shadow IT Cloud Discovery ve vaší organizaci.

Fáze 1: Zjišťování a identifikace stínového IT

1. Objevte stínové IT: Identifikujte stav zabezpečení vaší organizace spuštěním cloud discovery ve vaší organizaci, abyste viděli, co se ve vaší síti skutečně děje. Další informace najdete v tématu Nastavení cloud discovery. To lze provést pomocí některé z následujících metod:

   • Díky integraci s Microsoft Defender for Endpoint můžete rychle začít pracovat se službou Cloud Discovery. Tato nativní integrace umožňuje okamžitě začít shromažďovat data o cloudovém provozu napříč Windows 10 a Windows 11 zařízeními v síti i mimo ní.

   • Pro pokrytí všech zařízení připojených k síti je důležité nasadit kolektor protokolů Defender for Cloud Apps na brány firewall a další proxy servery, aby bylo možné shromažďovat data z vašich koncových bodů a odesílat je do Defender for Cloud Apps k analýze.

   • Integrujte Defender for Cloud Apps s proxy serverem. Defender for Cloud Apps se nativně integruje s některými proxy servery třetích stran, včetně Zscaler.

   Vzhledem k tomu, že se zásady napříč skupinami uživatelů, oblastmi a obchodními skupinami liší, můžete pro každou z těchto jednotek vytvořit vyhrazenou sestavu stínového IT. Další informace najdete v tématu Vytváření vlastních průběžných sestav.

   Když teď ve vaší síti běží Cloud Discovery, podívejte se na průběžné sestavy, které se generují, a na řídicí panel cloud discovery , abyste získali úplný přehled o tom, jaké aplikace se ve vaší organizaci používají. Je vhodné se na ně podívat podle kategorií, protože často zjistíte, že neschválené aplikace se používají k legitimním pracovním účelům, které schválená aplikace neřešila.

2. Identifikujte úrovně rizik vašich aplikací: Pomocí katalogu Defender for Cloud Apps se podrobněji seznámíte s riziky, která jsou spojená s jednotlivými zjištěnými aplikacemi. Katalog aplikací Defender pro cloud obsahuje více než 31 000 aplikací, které jsou hodnoceny pomocí více než 90 rizikových faktorů. Rizikové faktory začínají od obecných informací o aplikaci (kde je sídlo aplikace, kdo je vydavatelem) a prostřednictvím bezpečnostních opatření a kontrolních mechanismů (podpora šifrování neaktivních uložených dat poskytuje protokol auditu aktivit uživatelů). Další informace najdete v tématu Práce s rizikovým skóre.

   • Na portálu Microsoft Defender v části Cloud Apps vyberte Cloud Discovery. Pak přejděte na kartu Zjištěné aplikace . Vyfiltrujte seznam aplikací zjištěných ve vaší organizaci podle rizikových faktorů, které vás zajímají. Pomocí rozšířených filtrů můžete například najít všechny aplikace s rizikovým skóre nižším než 8.

   • Můžete přejít k podrobnostem aplikace, abyste lépe pochopili její dodržování předpisů, a to tak, že vyberete název aplikace a pak vyberete kartu Informace , kde se zobrazí podrobnosti o rizikových faktorech zabezpečení aplikace.

Fáze 2: Vyhodnocení a analýza

1. Vyhodnocení dodržování předpisů: Zkontrolujte, jestli jsou aplikace certifikované jako vyhovující standardům vaší organizace, jako je HIPAA nebo SOC2.

   • Na portálu Microsoft Defender v části Cloud Apps vyberte Cloud Discovery. Pak přejděte na kartu Zjištěné aplikace . Vyfiltrujte seznam aplikací zjištěných ve vaší organizaci podle rizikových faktorů dodržování předpisů, které vás zajímají. Pomocí navrhovaného dotazu můžete například vyfiltrovat nekompatibilní aplikace.

   • Můžete přejít k podrobnostem aplikace, abyste lépe pochopili její dodržování předpisů, a to tak, že vyberete název aplikace a pak vyberete kartu Informace , kde se zobrazí podrobnosti o rizikových faktorech dodržování předpisů aplikace.

2. Analýza využití: Teď, když víte, jestli chcete aplikaci používat ve vaší organizaci, chcete zjistit, jak a kdo ji používá. Pokud se používá jenom omezeně ve vaší organizaci, možná je to v pořádku, ale možná pokud se používání rozšiřuje, budete o tom dostávat upozornění, abyste se mohli rozhodnout, jestli chcete aplikaci zablokovat.

   • Na portálu Microsoft Defender v části Cloud Apps vyberte Cloud Discovery. Pak přejděte na kartu Zjištěné aplikace a pak přejděte k podrobnostem výběrem konkrétní aplikace, kterou chcete prozkoumat. Na kartě Využití se dozvíte, kolik aktivních uživatelů aplikaci používá a kolik provozu generuje. To vám už může poskytnout dobrou představu o tom, co se s aplikací děje. Pokud chcete zjistit, kdo konkrétně aplikaci používá, můžete přejít k podrobnostem výběrem celkového počtu aktivních uživatelů. Tento důležitý krok vám může poskytnout relevantní informace, například pokud zjistíte, že všichni uživatelé konkrétní aplikace pocházejí z marketingového oddělení, je možné, že je pro tuto aplikaci obchodní potřeba, a pokud je riziková, měli byste se s nimi před jejím blokováním obrátit na alternativní řešení.

   • Při zkoumání použití zjištěných aplikací se ponořte ještě hlouběji. Zobrazte subdomény a prostředky, kde se dozvíte o konkrétních aktivitách, přístupu k datům a využití prostředků ve vašich cloudových službách. Další informace najdete v tématech Podrobné informace o zjištěných aplikacích a Zjišťování prostředků a vlastních aplikacích.

3. Identifikace alternativních aplikací: Pomocí katalogu cloudových aplikací identifikujte bezpečnější aplikace, které dosahují podobných obchodních funkcí jako zjištěné rizikové aplikace, ale splňují zásady vaší organizace. Můžete to provést pomocí rozšířených filtrů a najít aplikace ve stejné kategorii, které splňují vaše různé bezpečnostní prvky.

Fáze 3: Správa aplikací

• Správa cloudových aplikací: Defender for Cloud Apps vám pomůže s procesem správy používání aplikací ve vaší organizaci. Po identifikaci různých vzorů a chování používaných ve vaší organizaci můžete vytvořit nové vlastní značky aplikací a klasifikovat jednotlivé aplikace podle jejího obchodního stavu nebo odůvodnění. Tyto značky se pak dají použít ke konkrétním účelům monitorování, například k identifikaci vysokého provozu směřujícího do aplikací, které jsou označené jako rizikové aplikace cloudového úložiště. Značky aplikací je možné spravovat v části Nastavení>Značky aplikací Cloud Discovery> CloudApps>. Tyto značky pak můžete později použít k filtrování na stránkách cloud discovery a k vytváření zásad pomocí nich.

• Správa zjištěných aplikací pomocí galerie Microsoft Entra: Defender for Cloud Apps také využívá nativní integraci s Microsoft Entra ID, abyste mohli spravovat zjištěné aplikace v galerii Microsoft Entra. U aplikací, které se už zobrazují v galerii Microsoft Entra, můžete použít jednotné přihlašování a spravovat aplikaci pomocí Microsoft Entra ID. Uděláte to tak, že na řádku, kde se příslušná aplikace zobrazí, vyberete tři tečky na konci řádku a pak zvolíte Spravovat aplikaci pomocí Microsoft Entra ID.

  

• Průběžné monitorování: Teď, když jste aplikace důkladně prozkoumali, můžete chtít nastavit zásady, které monitorují aplikace a poskytují kontrolu tam, kde je to potřeba.

Teď je čas vytvořit zásady, abyste mohli být automaticky upozorněni, když se stane něco, co vás znepokojuje. Můžete například chtít vytvořit zásadu zjišťování aplikací , která vás upozorní, když dojde k prudkému nárůstu stahování nebo provozu z aplikace, o kterou máte obavy. Abyste toho dosáhli, měli byste povolit neobvyklé chování v zásadách zjištěných uživatelů, kontrole dodržování předpisů aplikací cloudového úložiště a nové rizikové aplikaci. Měli byste také nastavit zásadu tak, aby vás upozorňovat e-mailem. Další informace najdete v tématech Referenční informace k šablonám zásad, další informace o zásadách cloud discovery a Konfiguraci zásad zjišťování aplikací.

Podívejte se na stránku upozornění a pomocí filtru Typ zásad se podívejte na upozornění zjišťování aplikací. U aplikací, které odpovídají vašim zásadám zjišťování aplikací, doporučujeme provést pokročilé šetření, abyste se dozvěděli více o obchodním odůvodnění používání aplikace, například kontaktováním uživatelů aplikace. Potom zopakujte kroky ve fázi 2 a vyhodnoťte riziko aplikace. Pak určete další kroky pro aplikaci, jestli v budoucnu schvalujete použití aplikace nebo jestli ji chcete při příštím přístupu uživatele zablokovat. V takovém případě byste ji měli označit jako neschválené, aby bylo možné ji zablokovat pomocí brány firewall, proxy serveru nebo zabezpečené webové brány. Další informace najdete v tématech Integrace s Microsoft Defender for Endpoint, Integrace se Zscaler, Integrace s iboss a Blokování aplikací exportem blokovacího skriptu.

Fáze 4: Rozšířené generování sestav stínového zjišťování IT

Kromě možností vytváření sestav dostupných v Defender for Cloud Apps můžete integrovat protokoly cloud discovery do Microsoft Sentinel pro účely dalšího šetření a analýzy. Jakmile jsou data v Microsoft Sentinel, můžete je zobrazit na řídicích panelech, spouštět dotazy pomocí dotazovacího jazyka Kusto, exportovat dotazy do Microsoft Power BI, integrovat je s jinými zdroji a vytvářet vlastní upozornění. Další informace najdete v tématu integrace Microsoft Sentinel.

Fáze 5: Řízení schválených aplikací

1. Pokud chcete povolit řízení aplikací prostřednictvím rozhraní API, připojte aplikace přes rozhraní API pro průběžné monitorování.

2. Chraňte aplikace pomocí řízení podmíněného přístupu k aplikacím.

Povaha cloudových aplikací znamená, že se aktualizují každý den a nové aplikace se zobrazují pořád. Z tohoto důvodu zaměstnanci neustále používají nové aplikace a je důležité neustále sledovat a kontrolovat a aktualizovat zásady a kontrolovat, které aplikace vaši uživatelé používají, a také jejich způsoby používání a chování. Kdykoli můžete přejít na řídicí panel Cloud Discovery, podívat se, jaké nové aplikace se používají, a znovu postupovat podle pokynů v tomto článku, abyste měli jistotu, že vaše organizace a vaše data jsou chráněná.

Další kroky

Osvědčené postupy pro ochranu organizace

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.

Další informace

• Vyzkoušejte našeho interaktivního průvodce: Zjišťování a správa využití cloudových aplikací pomocí Microsoft Defender for Cloud Apps