Pilotní nasazení a Microsoft Defender for Cloud Apps

Platí pro:

• Microsoft Defender XDR

Tento článek obsahuje pracovní postup pro pilotní nasazení a nasazení Microsoft Defender for Cloud Apps ve vaší organizaci. Tato doporučení použijte k nasazení Microsoft Defender for Cloud Apps jako součásti komplexního řešení s Microsoft Defender XDR.

Tento článek předpokládá, že máte produkčního tenanta Microsoftu 365 a v tomto prostředí nasazujete a nasazujete Microsoft Defender for Cloud Apps. Tento postup zachová všechna nastavení a přizpůsobení, která nakonfigurujete během pilotního nasazení pro úplné nasazení.

Defender pro Office 365 přispívá k nulová důvěra (Zero Trust) architektuře tím, že pomáhá předcházet obchodním škodám způsobeným porušením zabezpečení nebo je omezit. Další informace najdete v tématu Prevence nebo omezení obchodních škod způsobených porušením zabezpečení v rámci přechodu microsoftu nulová důvěra (Zero Trust).

Kompletní nasazení pro Microsoft Defender XDR

Toto je článek 5 ze 6 série, který vám pomůže nasadit komponenty Microsoft Defender XDR, včetně vyšetřování incidentů a reakce na ně.

Články v této řadě odpovídají následujícím fázím kompletního nasazení:

Fáze	Propojit
A. Spuštění pilotního nasazení	Spuštění pilotního nasazení
B. Pilotní nasazení a nasazení komponent Microsoft Defender XDR	- Pilotní nasazení a nasazení Defenderu for Identity - Pilotní nasazení a Defender pro Office 365 - Pilotní nasazení a nasazení Defenderu for Endpoint - Pilotní nasazení a nasazení Microsoft Defender for Cloud Apps (tento článek)
C. Prošetřování hrozeb a reakce na ně	Procvičte si šetření incidentů a reakce na ně

Pilotní a nasazení pracovního postupu pro Defender for Cloud Apps

Následující diagram znázorňuje běžný proces nasazení produktu nebo služby v IT prostředí.

Začnete vyhodnocením produktu nebo služby a toho, jak budou fungovat ve vaší organizaci. Potom produkt nebo službu pilotujete s vhodně malou podmnožinou produkční infrastruktury pro testování, učení a přizpůsobení. Pak postupně navyšujte rozsah nasazení, dokud nebude pokryta celá vaše infrastruktura nebo organizace.

Tady je pracovní postup pro pilotní nasazení a nasazení Defender for Cloud Apps v produkčním prostředí.

Postupujte takto:

1. Připojení k Defender for Cloud Apps
2. Integrace s Microsoft Defender for Endpoint
3. Nasazení kolektoru protokolů do bran firewall a dalších proxy serverů
4. Vytvoření pilotní skupiny
5. Zjišťování a správa cloudových aplikací
6. Konfigurace řízení podmíněného přístupu k aplikacím
7. Použití zásad relací u cloudových aplikací
8. Vyzkoušení dalších funkcí

Tady jsou doporučené kroky pro každou fázi nasazení.

Fáze nasazení	Popis
Hodnotit	Proveďte vyhodnocení produktu pro Defender for Cloud Apps.
Pilot	Proveďte kroky 1 až 4 a potom 5 až 8 pro vhodnou podmnožinu cloudových aplikací v produkčním prostředí.
Úplné nasazení	Proveďte kroky 5 až 8 pro zbývající cloudové aplikace a upravte rozsah pro pilotní skupiny uživatelů nebo přidejte skupiny uživatelů tak, aby se rozšířily nad rámec pilotního nasazení a zahrnuly všechny uživatelské účty.

Ochrana organizace před hackery

Defender for Cloud Apps poskytuje výkonnou ochranu sama o sobě. V kombinaci s dalšími funkcemi Microsoft Defender XDR ale Defender for Cloud Apps poskytuje data do sdílených signálů, které společně pomáhají zastavit útoky.

Tady je příklad kybernetického útoku a toho, jak ho komponenty Microsoft Defender XDR pomoct rozpoznat a zmírnit.

Defender for Cloud Apps detekuje neobvyklé chování, jako je například nemožné cestování, přístup k přihlašovacím údajům a neobvyklá aktivita stahování, sdílení souborů nebo přeposílání pošty, a zobrazuje toto chování v Defender for Cloud Apps. Defender for Cloud Apps také pomáhá zabránit laterálnímu pohybu hackerů a exfiltraci citlivých dat.

Microsoft Defender XDR koreluje signály ze všech komponent Microsoft Defender a poskytuje kompletní příběh útoku.

Defender for Cloud Apps role jako CASB a další

Zprostředkovatel zabezpečení cloudového přístupu (CASB) funguje jako vrátný, který v reálném čase zprostředkuje přístup mezi podnikovými uživateli a cloudovými prostředky, které používají, bez ohledu na to, kde se nacházejí vaši uživatelé, a bez ohledu na zařízení, které používají. Aplikace SaaS (software jako služba) jsou všudypřítomné napříč hybridními pracovními prostředími a ochrana aplikací SaaS a důležitých dat, která ukládají, je pro organizace velkou výzvou.

Nárůst využití aplikací v kombinaci se zaměstnanci, kteří přistupují k podnikovým prostředkům mimo firemní perimetr, také přináší nové vektory útoku. K efektivnímu boji proti těmto útokům potřebují bezpečnostní týmy přístup, který chrání jejich data v cloudových aplikacích nad rámec tradičního rozsahu zprostředkovatelů zabezpečení přístupu ke cloudu (CASB).

Microsoft Defender for Cloud Apps poskytuje úplnou ochranu aplikací SaaS a pomáhá monitorovat a chránit data cloudových aplikací v následujících oblastech funkcí:

• Základní funkce zprostředkovatele zabezpečení přístupu ke cloudu (CASB), jako je zjišťování stínového IT, přehled o využití cloudových aplikací, ochrana před hrozbami založenými na aplikacích odkudkoli v cloudu a ochrana informací a posouzení dodržování předpisů.

• Funkce saaS Security Posture Management (SSPM), které týmům zabezpečení umožňují zlepšit stav zabezpečení organizace

• Rozšířená ochrana před hrozbami jako součást řešení Rozšířené detekce a reakce (XDR) od Microsoftu, která umožňuje silnou korelaci signálu a viditelnosti v rámci celého řetězce ukončení pokročilých útoků.

• Ochrana mezi aplikacemi a rozšířením základních scénářů hrozeb na aplikace s podporou OAuth, které mají oprávnění a oprávnění k důležitým datům a prostředkům.

Metody Cloud App Discovery

Bez Defender for Cloud Apps jsou cloudové aplikace používané vaší organizací nespravované a nechráněné. Pokud chcete zjistit cloudové aplikace používané ve vašem prostředí, můžete implementovat jednu nebo obě následující metody:

• Díky integraci s Microsoft Defender for Endpoint můžete rychle začít pracovat se službou Cloud Discovery. Tato nativní integrace umožňuje okamžitě začít shromažďovat data o cloudovém provozu napříč Windows 10 a Windows 11 zařízeními v síti i mimo ní.
• Pokud chcete zjistit všechny cloudové aplikace, ke kterému mají přístup všechna zařízení připojená k vaší síti, nasaďte kolektor protokolů Defender for Cloud Apps na brány firewall a další proxy servery. Toto nasazení pomáhá shromažďovat data z vašich koncových bodů a odesílá je do Defender for Cloud Apps k analýze. Defender for Cloud Apps se nativně integruje s některými proxy servery třetích stran, aby bylo k dispozici ještě více funkcí.

Tento článek obsahuje pokyny pro obě metody.

Krok 1. Připojení k Defender for Cloud Apps

Informace o ověření licencování a připojení k Defender for Cloud Apps najdete v tématu Rychlý start: Začínáme s Microsoft Defender for Cloud Apps.

Pokud se nemůžete okamžitě připojit k portálu, možná budete muset přidat IP adresu do seznamu povolených bran firewall. Další informace najdete v tématu Základní nastavení Defender for Cloud Apps.

Pokud potíže přetrvávají, přečtěte si téma Požadavky na síť.

Krok 2: Integrace s Microsoft Defender for Endpoint

Microsoft Defender for Cloud Apps se integruje s Microsoft Defender for Endpoint nativně. Integrace zjednodušuje zavedení Služby Cloud Discovery, rozšiřuje možnosti Cloud Discovery mimo vaši podnikovou síť a umožňuje šetření na základě zařízení. Tato integrace odhalí přístup ke cloudovým aplikacím a službám ze zařízení spravovaných it Windows 10 a Windows 11.

Pokud jste už nastavili Microsoft Defender for Endpoint, je konfigurace integrace s Defender for Cloud Apps přepínačem v Microsoft Defender XDR. Po zapnutí integrace se můžete vrátit do Defender for Cloud Apps a zobrazit bohatá data na řídicím panelu Cloud Discovery.

Pokud chcete tyto úlohy provést, přečtěte si téma Integrace Microsoft Defender for Endpoint s Microsoft Defender for Cloud Apps.

Krok 3: Nasazení kolektoru protokolů Defender for Cloud Apps na brány firewall a další proxy servery

• Pokud chcete pokrytí na všech zařízeních připojených k vaší síti, nasaďte kolektor protokolů Defender for Cloud Apps na brány firewall a další proxy servery, abyste mohli shromažďovat data z koncových bodů a odesílat je do Defender for Cloud Apps k analýze. Další informace najdete v tématu Konfigurace automatického nahrávání protokolů pro průběžné sestavy.

• Defender for Cloud Apps poskytuje integrované konektory aplikací pro oblíbené cloudové aplikace. Tyto konektory používají rozhraní API poskytovatelů aplikací k zajištění lepší viditelnosti a kontroly nad tím, jak se tyto aplikace ve vaší organizaci používají. Další informace najdete v tématu Připojení aplikací k získání viditelnosti a řízení pomocí Microsoft Defender for Cloud Apps.

• Pokud používáte některou z následujících zabezpečených webových bran (SWG), Defender for Cloud Apps poskytuje bezproblémové nasazení a integraci:

  • Zscaler
  • iboss
  • Corrata
  • Zabezpečení Menlo
  • Open Systems

Další informace najdete v tématu Přehled služby Cloud App Discovery.

Krok 4. Vytvoření pilotní skupiny – rozsah pilotního nasazení na určité skupiny uživatelů

Microsoft Defender for Cloud Apps umožňuje nastavit rozsah nasazení. Rozsah umožňuje vybrat určité skupiny uživatelů, které mají být monitorovány pro aplikace nebo vyloučeny z monitorování. Skupiny uživatelů můžete zahrnout nebo vyloučit.

Další informace najdete v tématu Vymezení rozsahu nasazení na konkrétní uživatele nebo skupiny uživatelů.

Krok 5. Zjišťování a správa cloudových aplikací

Aby Defender for Cloud Apps poskytovaly maximální úroveň ochrany, musíte zjistit všechny cloudové aplikace ve vaší organizaci a spravovat, jak se používají.

Objevte cloudové aplikace

Prvním krokem při správě používání cloudových aplikací je zjištění, které cloudové aplikace vaše organizace používá. Následující diagram znázorňuje, jak cloud Discovery funguje s Defender for Cloud Apps.

Na tomto obrázku jsou dvě metody, které se dají použít k monitorování síťového provozu a zjišťování cloudových aplikací používaných vaší organizací.

1. Cloud App Discovery se s Microsoft Defender for Endpoint integruje nativně. Defender for Endpoint hlásí cloudové aplikace a služby, ke které se přistupuje ze zařízení spravovaných it Windows 10 a Windows 11.

2. Pro pokrytí všech zařízení připojených k síti nainstalujete kolektor protokolů Defender for Cloud Apps na brány firewall a další proxy servery, aby shromažďovat data z koncových bodů. Kolektor odešle tato data do Defender for Cloud Apps k analýze.

Podívejte se na řídicí panel Cloud Discovery a podívejte se, jaké aplikace se ve vaší organizaci používají.

Řídicí panel Cloud Discovery je navržený tak, aby vám poskytl lepší přehled o tom, jak se cloudové aplikace ve vaší organizaci používají. Poskytuje rychlý přehled o tom, jaké druhy aplikací se používají, vaše otevřená upozornění a úrovně rizika aplikací ve vaší organizaci.

Další informace najdete v tématu Zobrazení zjištěných aplikací pomocí řídicího panelu Cloud Discovery.

Správa cloudových aplikací

Až zjistíte cloudové aplikace a analyzujete, jak je vaše organizace používá, můžete začít spravovat cloudové aplikace, které zvolíte.

Na tomto obrázku jsou některé aplikace schváleny k použití. Schválení je jednoduchý způsob, jak začít spravovat aplikace. Další informace najdete v tématu Řízení zjištěných aplikací.

Krok 6. Konfigurace řízení podmíněného přístupu k aplikacím

Jednou z nejvýkonnějších ochrany, kterou můžete nakonfigurovat, je řízení podmíněného přístupu k aplikacím. Tato ochrana vyžaduje integraci s Microsoft Entra ID. Umožňuje použít zásady podmíněného přístupu, včetně souvisejících zásad (například vyžadování zařízení, která jsou v pořádku), na cloudové aplikace, které jste schválili.

Možná už máte do tenanta Microsoft Entra přidané aplikace SaaS, které vynucují vícefaktorové ověřování a další zásady podmíněného přístupu. Microsoft Defender for Cloud Apps se nativně integruje s Microsoft Entra ID. Jediné, co musíte udělat, je nakonfigurovat zásadu v Microsoft Entra ID tak, aby používala řízení podmíněného přístupu k aplikacím v Defender for Cloud Apps. To směruje síťový provoz pro tyto spravované aplikace SaaS prostřednictvím Defender for Cloud Apps jako proxy, což Defender for Cloud Apps umožňuje monitorovat tento provoz a používat řízení relací.

Na tomto obrázku:

• Aplikace SaaS jsou integrované s tenantem Microsoft Entra. Tato integrace umožňuje Microsoft Entra ID vynucovat zásady podmíněného přístupu, včetně vícefaktorového ověřování.
• Do Microsoft Entra ID se přidají zásady pro směrování provozu aplikací SaaS do Defender for Cloud Apps. Zásada určuje, na které aplikace SaaS se mají tyto zásady použít. Jakmile Microsoft Entra ID vynucuje všechny zásady podmíněného přístupu, které se vztahují na tyto aplikace SaaS, Microsoft Entra ID pak směruje provoz relace (proxy servery) přes Defender for Cloud Apps.
• Defender for Cloud Apps tento provoz monitoruje a použije všechny zásady řízení relací, které nakonfigurovali správci.

Možná jste objevili a schválili cloudové aplikace pomocí Defender for Cloud Apps, které nebyly přidány do Microsoft Entra ID. Řízení podmíněného přístupu k aplikacím můžete využít přidáním těchto cloudových aplikací do tenanta Microsoft Entra a rozsahu pravidel podmíněného přístupu.

Prvním krokem při používání Microsoft Defender for Cloud Apps ke správě aplikací SaaS je zjistit tyto aplikace a pak je přidat do tenanta Microsoft Entra. Pokud potřebujete pomoc se zjišťováním, přečtěte si téma Zjišťování a správa aplikací SaaS ve vaší síti. Po zjištění aplikací přidejte tyto aplikace do tenanta Microsoft Entra.

Tyto aplikace můžete začít spravovat pomocí následujících úloh:

1. V Microsoft Entra ID vytvořte novou zásadu podmíněného přístupu a nakonfigurujte ji tak, aby používala řízení podmíněného přístupu k aplikacím. Tato konfigurace pomáhá přesměrovat požadavek na Defender for Cloud Apps. Můžete vytvořit jednu zásadu a přidat do nich všechny aplikace SaaS.

2. Dále v Defender for Cloud Apps vytvořte zásady relací. Vytvořte jednu zásadu pro každý ovládací prvek, který chcete použít. Další informace, včetně podporovaných aplikací a klientů, najdete v tématu Vytvoření zásad Microsoft Defender for Cloud Apps relací.

Ukázkové zásady najdete v tématu Doporučené zásady Microsoft Defender for Cloud Apps pro aplikace SaaS. Tyto zásady vycházejí ze sady běžných zásad přístupu k identitám a zařízením , které se doporučují jako výchozí bod pro všechny zákazníky.

Krok 7. Použití zásad relací u cloudových aplikací

Jakmile budete mít nakonfigurované zásady relací, použijte je na cloudové aplikace, abyste k těmto aplikacím poskytli řízený přístup.

Na obrázku:

• Přístup uživatelů a zařízení ve vaší organizaci ke schválených cloudovým aplikacím se směruje přes Defender for Cloud Apps.
• Cloudové aplikace, které jste neschválili nebo výslovně neschválené, se to netýká.

Zásady relací umožňují aplikovat parametry na způsob, jakým vaše organizace používá cloudové aplikace. Pokud například vaše organizace používá Salesforce, můžete nakonfigurovat zásady relace, které umožní přístup k datům vaší organizace v Salesforce jenom spravovaným zařízením. Jednodušším příkladem může být konfigurace zásady pro monitorování provozu z nespravovaných zařízení, abyste mohli před použitím přísnějších zásad analyzovat riziko tohoto provozu.

Další informace najdete v tématu Řízení podmíněného přístupu k aplikacím v Microsoft Defender for Cloud Apps.

Krok 8. Vyzkoušení dalších funkcí

Tyto Defender for Cloud Apps články vám pomůžou odhalit rizika a chránit vaše prostředí:

• Detekce podezřelých aktivit uživatelů
• Zkoumání rizikových uživatelů
• Zkoumání rizikových aplikací OAuth
• Zjišťování a ochrana citlivých informací
• Ochrana všech aplikací ve vaší organizaci v reálném čase
• Blokování stahování citlivých informací
• Ochrana souborů pomocí karantény správce
• Vyžadovat při rizikové akci stupňovanou ověřování

Další informace o rozšířeném vyhledávání Microsoft Defender for Cloud Apps dat najdete v tomto videu.

Integrace SIEM

Defender for Cloud Apps můžete integrovat se službou Microsoft Sentinel jako součást sjednocené platformy operací zabezpečení microsoftu nebo obecné služby pro správu událostí a informací o zabezpečení (SIEM) a umožnit tak centralizované monitorování výstrah a aktivit z připojených aplikací. S Microsoft Sentinel můžete komplexněji analyzovat události zabezpečení ve vaší organizaci a vytvářet playbooky pro efektivní a okamžitou reakci.

Microsoft Sentinel obsahuje Microsoft Defender pro datový konektor XDR, který přenese všechny signály z Defender XDR, včetně Defender for Cloud Apps, do Microsoft Sentinel. Použijte jednotnou platformu operací zabezpečení na portálu Defender jako jedinou platformu pro komplexní operace zabezpečení (SecOps).

Další informace najdete tady:

• Připojení Microsoft Sentinel k portálu Microsoft Defender
• integrace Microsoft Sentinel
• Obecná integrace SIEM

Další krok

Proveďte správu životního cyklu pro Defender for Cloud Apps.

Další krok pro kompletní nasazení Microsoft Defender XDR

Pokračujte v kompletním nasazení Microsoft Defender XDR pomocí funkce Prozkoumat a reagovat pomocí Microsoft Defender XDR.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.