Del via

Bedste praksis for beskyttelse af din organisation med Defender for Cloud Apps

  • Artikel

Denne artikel indeholder de bedste fremgangsmåder til beskyttelse af din organisation ved hjælp af Microsoft Defender for Cloud Apps. Disse bedste fremgangsmåder kommer fra vores erfaring med Defender for Cloud Apps og oplevelserne hos kunder som dig.

De bedste fremgangsmåder, der beskrives i denne artikel, omfatter:

Find og vurder cloudapps

Integration af Defender for Cloud Apps med Microsoft Defender for Endpoint giver dig mulighed for at bruge cloudregistrering ud over virksomhedens netværk eller sikre webgateways. Med de kombinerede bruger- og enhedsoplysninger kan du identificere risikable brugere eller enheder, se, hvilke apps de bruger, og undersøge det nærmere på Defender for Endpoint-portalen.

Bedste praksis: Aktivér skygge-it-registrering ved hjælp af Defender for Endpoint
Detaljer: Cloudregistrering analyserer trafiklogge, der indsamles af Defender for Endpoint, og vurderer identificerede apps i forhold til kataloget over cloudapps for at levere oplysninger om overholdelse af angivne standarder og sikkerhed. Når du konfigurerer cloudregistrering, får du indsigt i cloudbrug, Shadow IT og løbende overvågning af de ikke-registrerede apps, der bruges af dine brugere.
Du kan få flere oplysninger:

Bedste praksis: Konfigurer politikker for appregistrering for proaktivt at identificere risikable, ikke-kompatible og populære apps
Detaljer: Politikker for appregistrering gør det nemmere at spore de vigtige fundne programmer i din organisation for at hjælpe dig med at administrere disse programmer effektivt. Opret politikker for at modtage beskeder, når du registrerer nye apps, der identificeres som enten risikable, ikke-kompatible, populære eller store mængder.
Du kan få flere oplysninger:

Bedste praksis: Administrer OAuth-apps, der er godkendt af dine brugere
Detaljer: Mange brugere giver afslappet OAuth-tilladelser til tredjepartsapps for at få adgang til deres kontooplysninger og dermed utilsigtet også give adgang til deres data i andre cloudapps. Normalt har it-afdelingen ingen synlighed i disse apps, hvilket gør det svært at afveje sikkerhedsrisikoen for en app i forhold til den produktivitetsfordel, den giver.

Defender for Cloud Apps giver dig mulighed for at undersøge og overvåge de apptilladelser, dine brugere har tildelt. Du kan bruge disse oplysninger til at identificere en potentielt mistænkelig app, og hvis du finder ud af, at den er risikabel, kan du forbyde adgang til den.
Du kan få flere oplysninger:



Anvend politikker for cloudstyring

Bedste praksis: Mærk apps, og eksportér blokscripts
Detaljer: Når du har gennemset listen over registrerede apps i din organisation, kan du beskytte dit miljø mod uønsket appbrug. Du kan anvende sanktioneringsmærket på apps, der er godkendt af din organisation, og mærket Ikke-sanktioneret på apps, der ikke er. Du kan overvåge ikke-registrerede apps ved hjælp af registreringsfiltre eller eksportere et script for at blokere ikke-registrerede apps ved hjælp af dine sikkerhedsapparater i det lokale miljø. Ved hjælp af mærker og eksportscripts kan du organisere dine apps og beskytte dit miljø ved kun at tillade, at der er adgang til sikre apps.
Du kan få flere oplysninger:

Begræns eksponering af delte data, og gennemtving samarbejdspolitikker

Bedste praksis: Opret forbindelse til Microsoft 365
Detaljer: Hvis du opretter forbindelse mellem Microsoft 365 og Defender for Cloud Apps får du øjeblikkeligt indblik i dine brugeres aktiviteter, filer, de har adgang til, og giver styringshandlinger for Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange og Dynamics.
Du kan få flere oplysninger:

Bedste praksis: Opret forbindelse til dine apps
Detaljer: Hvis du opretter forbindelse mellem dine apps og Defender for Cloud Apps får du bedre indsigt i dine brugeres aktiviteter, trusselsregistrering og styringsfunktioner. Hvis du vil se, hvilke tredjepartsapp-API'er der understøttes, skal du gå til Opret forbindelse til apps.

Du kan få flere oplysninger:

Bedste praksis: Opret politikker for at fjerne deling med personlige konti
Detaljer: Hvis du opretter forbindelse mellem Microsoft 365 og Defender for Cloud Apps får du øjeblikkeligt indblik i dine brugeres aktiviteter, filer, de har adgang til, og giver styringshandlinger for Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange og Dynamics.
Du kan få flere oplysninger:

Opdag, klassificer, mærk og beskyt regulerede og følsomme data, der er gemt i cloudmiljøet

Bedste praksis: Integrer med Microsoft Purview Information Protection
Detaljer: Integration med Microsoft Purview Information Protection giver dig mulighed for automatisk at anvende følsomhedsmærkater og eventuelt tilføje krypteringsbeskyttelse. Når integrationen er slået til, kan du anvende mærkater som en styringshandling, få vist filer efter klassificering, undersøge filer efter klassificeringsniveau og oprette detaljerede politikker for at sikre, at klassificerede filer håndteres korrekt. Hvis du ikke aktiverer integrationen, kan du ikke drage fordel af muligheden for automatisk at scanne, navngive og kryptere filer i cloudmiljøet.
Du kan få flere oplysninger:

Bedste praksis: Opret politikker for dataeksponering
Detaljer: Brug filpolitikker til at registrere deling af oplysninger og scanne for fortrolige oplysninger i dine cloudapps. Opret følgende filpolitikker for at advare dig, når der registreres dataeksponeringer:

  • Filer, der deles eksternt, og som indeholder følsomme data
  • Filer, der deles eksternt, og som er forsynet med mærkater som Fortroligt
  • Filer, der deles med uautoriserede domæner
  • Beskyt følsomme filer i SaaS-apps

Du kan få flere oplysninger:

Bedste praksis: Gennemse rapporter på siden Filer
Detaljer: Når du har oprettet forbindelse til forskellige SaaS-apps ved hjælp af app-connectors, scanner Defender for Cloud Apps filer, der er gemt af disse apps. Hver gang en fil ændres, scannes den desuden igen. Du kan bruge siden Filer til at forstå og undersøge de datatyper, der gemmes i dine cloudapps. Som en hjælp til at undersøge dette kan du filtrere efter domæner, grupper, brugere, oprettelsesdato, filtypenavn, filnavn og type, fil-id, følsomhedsmærkat med mere. Brug af disse filtre giver dig kontrol over, hvordan du vælger at undersøge filer for at sikre, at ingen af dine data er i fare. Når du har en bedre forståelse af, hvordan dine data bruges, kan du oprette politikker for at scanne efter følsomt indhold i disse filer.
Du kan få flere oplysninger:



Gennemtving DLP- og overholdelsespolitikker for data, der er gemt i cloudmiljøet

Bedste praksis: Beskyt fortrolige data mod at blive delt med eksterne brugere
Detaljer: Opret en filpolitik, der registrerer, når en bruger forsøger at dele en fil med følsomhedsmærkaten Fortroligt med en person uden for organisationen, og konfigurer dens styringshandling for at fjerne eksterne brugere. Denne politik sikrer, at dine fortrolige data ikke forlader din organisation, og at eksterne brugere ikke kan få adgang til dem.
Du kan få flere oplysninger:



Bloker og beskyt download af følsomme data til ikke-administrerede eller risikable enheder

Bedste praksis: Administrer og styr adgangen til højrisikoenheder
Detaljer: Brug appkontrolelementet Betinget adgang til at angive kontrolelementer i dine SaaS-apps. Du kan oprette sessionspolitikker for at overvåge dine sessioner med høj risiko og lav tillid. På samme måde kan du oprette sessionspolitikker for at blokere og beskytte downloads af brugere, der forsøger at få adgang til følsomme data fra ikke-administrerede eller risikable enheder. Hvis du ikke opretter sessionspolitikker for at overvåge sessioner med høj risiko, mister du muligheden for at blokere og beskytte downloads i webklienten samt muligheden for at overvåge sessioner med lav tillid både i Microsoft- og tredjepartsapps.
Du kan få flere oplysninger:



Beskyt samarbejde med eksterne brugere ved at gennemtvinge kontrolelementer for sessioner i realtid

Bedste praksis: Overvåg sessioner med eksterne brugere ved hjælp af appkontrol med betinget adgang
Detaljer: Hvis du vil sikre samarbejdet i dit miljø, kan du oprette en sessionspolitik for at overvåge sessioner mellem dine interne og eksterne brugere. Dette giver dig ikke kun mulighed for at overvåge sessionen mellem dine brugere (og give dem besked om, at deres sessionsaktiviteter overvåges), men det giver dig også mulighed for at begrænse bestemte aktiviteter. Når du opretter sessionspolitikker for at overvåge aktivitet, kan du vælge de apps og brugere, du vil overvåge.
Du kan få flere oplysninger:



Registrer skytrusler, kompromitterede konti, ondsindede insidere og ransomware

Bedste praksis: Finjuster politikker for uregelmæssigheder, angiv IP-intervaller, send feedback for beskeder
Detaljer: Politikker for registrering af uregelmæssigheder leverer køreklar bruger- og enhedsadfærdsanalyse (UEBA) og machine learning (ML), så du straks kan køre avanceret trusselsregistrering på tværs af dit cloudmiljø.

Politikker for registrering af uregelmæssigheder udløses, når der udføres usædvanlige aktiviteter af brugerne i dit miljø. Defender for Cloud Apps overvåger løbende dine brugeres aktiviteter og bruger UEBA og ML til at lære og forstå brugernes normale funktionsmåde. Du kan tilpasse politikindstillingerne, så de passer til organisationens krav, f.eks. du kan angive følsomheden for en politik samt angive en politik til en bestemt gruppe.

  • Tune and Scope Anomaly Detection Policies: Hvis du f.eks. vil reducere antallet af falske positiver inden for den umulige rejsebesked, kan du angive politikkens følsomhedsskyder til lav. Hvis du har brugere i din organisation, der ofte rejser i virksomheden, kan du føje dem til en brugergruppe og vælge den pågældende gruppe i området for politikken.

  • Angiv IP-intervaller: Defender for Cloud Apps kan identificere kendte IP-adresser, når IP-adresseintervaller er angivet. Når IP-adresseintervaller er konfigureret, kan du mærke, kategorisere og tilpasse den måde, logge og beskeder vises og undersøges på. Tilføjelse af IP-adresseområder hjælper med at reducere falske positive registreringer og forbedre nøjagtigheden af beskeder. Hvis du vælger ikke at tilføje dine IP-adresser, kan du se et øget antal mulige falske positiver og beskeder, der skal undersøges.

  • Send feedback for beskeder

    Når du afviser eller løser beskeder, skal du sørge for at sende feedback med årsagen til, at du afviste beskeden, eller hvordan den er blevet løst. Disse oplysninger hjælper Defender for Cloud Apps med at forbedre vores beskeder og reducere falske positiver.

Du kan få flere oplysninger:

Bedste praksis: Registrer aktivitet fra uventede placeringer eller lande/områder
Detaljer: Opret en aktivitetspolitik for at give dig besked, når brugerne logger på fra uventede placeringer eller lande/områder. Disse meddelelser kan advare dig om muligvis kompromitterede sessioner i dit miljø, så du kan registrere og afhjælpe trusler, før de opstår.
Du kan få flere oplysninger:

Bedste praksis: Opret OAuth-apppolitikker
Detaljer: Opret en OAuth-apppolitik for at give dig besked, når en OAuth-app opfylder visse kriterier. Du kan f.eks. vælge at få besked, når mere end 100 brugere har fået adgang til en bestemt app, der kræver et højt tilladelsesniveau.
Du kan få flere oplysninger:



Brug revisionssporet for aktiviteter i forbindelse med retsmedicinske undersøgelser

Bedste praksis: Brug revisionssporet for aktiviteter, når du undersøger beskeder
Detaljer: Beskeder udløses, når bruger-, administrator- eller logonaktiviteter ikke overholder dine politikker. Det er vigtigt at undersøge vigtige beskeder for at forstå, om der er en mulig trussel i dit miljø.

Du kan undersøge en besked ved at vælge den på siden Beskeder og gennemse overvågningssporet for aktiviteter, der relaterer til den pågældende besked. Overvågningssporet giver dig indblik i aktiviteter af samme type, samme bruger, samme IP-adresse og placering, så du får den overordnede historie om en besked. Hvis en besked kræver yderligere undersøgelse, skal du oprette en plan for at løse disse beskeder i din organisation.

Når du afviser beskeder, er det vigtigt at undersøge og forstå, hvorfor de ikke er vigtige, eller om de er falske positiver. Hvis der er en stor mængde af sådanne aktiviteter, kan du også overveje at gennemgå og justere den politik, der udløser beskeden.
Du kan få flere oplysninger:



Sikre IaaS-tjenester og brugerdefinerede apps

Bedste praksis: Opret forbindelse til Azure, AWS og GCP
Detaljer: Hvis du forbinder hver af disse cloudplatforme med Defender for Cloud Apps, hjælper det dig med at forbedre dine funktioner til trusselsregistreringer. Ved at overvåge administrative aktiviteter og logonaktiviteter for disse tjenester kan du registrere og få besked om mulige brute force-angreb, skadelig brug af en privilegeret brugerkonto og andre trusler i dit miljø. Du kan f.eks. identificere risici, f.eks. usædvanlige sletninger af VM'er eller endda repræsentationsaktiviteter i disse apps.
Du kan få flere oplysninger:

Bedste praksis: Onboard brugerdefinerede apps
Detaljer: Hvis du vil have yderligere indsigt i aktiviteter fra dine line of business-apps, kan du onboarde brugerdefinerede apps for at Defender for Cloud Apps. Når brugerdefinerede apps er konfigureret, kan du se oplysninger om, hvem der bruger dem, de IP-adresser, de bruges fra, og hvor meget trafik der kommer ind og ud af appen.

Derudover kan du onboarde en brugerdefineret app som en app til styring af betinget adgang for at overvåge deres sessioner med lav tillid. Microsoft Entra ID apps onboardes automatisk.

Du kan få flere oplysninger: