Pilot og udrul Microsoft Defender for Cloud Apps

Gælder for:

• Microsoft Defender XDR

Denne artikel indeholder en arbejdsproces til pilotering og installation af Microsoft Defender for Cloud Apps i din organisation. Brug disse anbefalinger til at onboarde Microsoft Defender for Cloud Apps som en del af en end-to-end-løsning med Microsoft Defender XDR.

I denne artikel antages det, at du har en Microsoft 365-produktionslejer og piloterer og udruller Microsoft Defender for Cloud Apps i dette miljø. Denne praksis bevarer alle indstillinger og tilpasninger, du konfigurerer under pilotprojektet for din fulde udrulning.

Defender for Office 365 bidrager til en Nul tillid arkitektur ved at hjælpe med at forhindre eller reducere forretningsskader som følge af et brud. Du kan få flere oplysninger under Forbyd eller reducer forretningsskader fra et forretningsscenarie for brud i Microsofts Nul tillid implementeringsrammer.

End-to-end-udrulning for Microsoft Defender XDR

Dette er artikel 5 af 6 i en serie, der kan hjælpe dig med at udrulle komponenterne i Microsoft Defender XDR, herunder undersøge og besvare hændelser.

Artiklerne i denne serie svarer til følgende faser i end-to-end-udrulningen:

Fase	Sammenkæde
En. Start piloten	Start piloten
B. Pilot og udrul Microsoft Defender XDR komponenter	- Pilot og udrul Defender for Identity - Pilot og udrul Defender for Office 365 - Pilot og udrul Defender for Endpoint - Pilot og installér Microsoft Defender for Cloud Apps (denne artikel)
C. Undersøg og reager på trusler	Øvelse af undersøgelse og svar på hændelser

Pilot og udrul arbejdsproces til Defender for Cloud Apps

I følgende diagram illustreres en almindelig proces til installation af et produkt eller en tjeneste i et it-miljø.

Du starter med at evaluere produktet eller tjenesten, og hvordan det fungerer i din organisation. Derefter kan du teste produktet eller tjenesten med et passende lille undersæt af din produktionsinfrastruktur til test, læring og tilpasning. Derefter skal du gradvist øge omfanget af udrulningen, indtil hele din infrastruktur eller organisation er dækket.

Her er arbejdsprocessen til pilotering og udrulning af Defender for Cloud Apps i dit produktionsmiljø.

Følg disse trin:

1. Opret forbindelse til Defender for Cloud Apps
2. Integrer med Microsoft Defender for Endpoint
3. Udrul logopsamleren på dine firewalls og andre proxyer
4. Opret en pilotgruppe
5. Find og administrer cloudapps
6. Konfigurer appkontrol for betinget adgang
7. Anvend sessionspolitikker på cloudapps
8. Prøv yderligere funktioner

Her er de anbefalede trin for hver udrulningsfase.

Udrulningsfase	Beskrivelse
Evaluere	Udfør produktevaluering for Defender for Cloud Apps.
Pilot	Udfør trin 1-4 og derefter 5-8 for et passende undersæt af cloudapps i dit produktionsmiljø.
Fuld udrulning	Udfør trin 5-8 for dine resterende cloudapps, juster området for pilotbrugergrupper eller tilføje brugergrupper for at udvide ud over pilotprojektet og inkludere alle dine brugerkonti.

Beskyttelse af din organisation mod hackere

Defender for Cloud Apps yder selv effektiv beskyttelse. Men når Defender for Cloud Apps kombineres med de andre funktioner i Microsoft Defender XDR, leverer Defender for Cloud Apps data til de delte signaler, som tilsammen hjælper med at stoppe angreb.

Her er et eksempel på et cyberangreb, og hvordan komponenterne i Microsoft Defender XDR hjælpe med at registrere og afhjælpe det.

Defender for Cloud Apps registrerer unormal adfærd som f.eks. umulig rejse, adgang til legitimationsoplysninger og usædvanlig download-, fildelings- eller mail videresendelsesaktivitet og viser disse funktionsmåder i Defender for Cloud Apps. Defender for Cloud Apps hjælper også med at forhindre tværgående flytning af hackere og eksfiltration af følsomme data.

Microsoft Defender XDR korrelerer signalerne fra alle Microsoft Defender komponenter for at levere hele angrebshistorien.

Defender for Cloud Apps rolle som CASB og meget mere

En CASB (Cloud Access Security Broker) fungerer som dørvogter til at formidle adgang i realtid mellem dine virksomhedsbrugere og cloudressourcer, de bruger, uanset hvor dine brugere er placeret, og uanset hvilken enhed de bruger. SaaS-apps (Software as a Service) er allestedsnærværende på tværs af hybride arbejdsmiljøer, og beskyttelse af SaaS-apps og de vigtige data, de gemmer, er en stor udfordring for organisationer.

Stigningen i appbrug kombineret med medarbejdere, der tilgår virksomhedsressourcer uden for virksomhedens perimeter, har også introduceret nye angrebsvektorer. For at kunne bekæmpe disse angreb effektivt har sikkerhedsteams brug for en tilgang, der beskytter deres data i cloudapps ud over det traditionelle omfang af sikkerhedsmæglere i cloudadgang.

Microsoft Defender for Cloud Apps giver fuld beskyttelse af SaaS-programmer, hvilket hjælper dig med at overvåge og beskytte dine cloudappdata på tværs af følgende funktionsområder:

• Grundlæggende CASB-funktionalitet (Cloud Access Security Broker), f.eks. Shadow IT Discovery, synlighed i brug af cloudapps, beskyttelse mod appbaserede trusler overalt i cloudmiljøet samt vurderinger af beskyttelse af oplysninger og overholdelse af angivne standarder.

• SaaS SSPM-funktioner (Security Posture Management), der gør det muligt for sikkerhedsteams at forbedre organisationens sikkerhedsholdning

• Avanceret trusselsbeskyttelse som en del af Microsofts udvidede registrerings- og svarløsning (XDR) giver mulighed for effektiv korrelation af signal og synlighed på tværs af hele kill-kæden af avancerede angreb

• App-to-app-beskyttelse, der udvider kernetrusselsscenarierne til OAuth-aktiverede apps, der har tilladelser og rettigheder til vigtige data og ressourcer.

Metoder til registrering af cloudapps

Uden Defender for Cloud Apps er cloudapps, der bruges af din organisation, ikke-administreret og ubeskyttet. Hvis du vil finde cloudapps, der bruges i dit miljø, kan du implementere en eller begge af følgende metoder:

• Kom hurtigt i gang med Cloud Discovery ved at integrere med Microsoft Defender for Endpoint. Med denne oprindelige integration kan du straks begynde at indsamle data om cloudtrafik på tværs af dine Windows 10 og Windows 11 enheder, på og uden for dit netværk.
• Hvis du vil finde alle cloudapps, der tilgås af alle enheder, der har forbindelse til dit netværk, skal du installere den Defender for Cloud Apps logopsamler på dine firewalls og andre proxyer. Denne installation hjælper med at indsamle data fra dine slutpunkter og sender dem til Defender for Cloud Apps til analyse. Defender for Cloud Apps integreres oprindeligt med nogle proxyer fra tredjepart for at få endnu flere funktioner.

Denne artikel indeholder en vejledning til begge metoder.

Trin 1. Opret forbindelse til Defender for Cloud Apps

Hvis du vil bekræfte licenser og oprette forbindelse til Defender for Cloud Apps, skal du se Hurtig start: Kom i gang med Microsoft Defender for Cloud Apps.

Hvis du ikke kan oprette forbindelse til portalen med det samme, skal du muligvis føje IP-adressen til listen over tilladte i din firewall. Du kan få flere oplysninger under Grundlæggende konfiguration af Defender for Cloud Apps.

Hvis du stadig har problemer, skal du gennemse Netværkskrav.

Trin 2: Integrer med Microsoft Defender for Endpoint

Microsoft Defender for Cloud Apps integreres med Microsoft Defender for Endpoint som standard. Integrationen forenkler udrulningen af Cloud Discovery, udvider Cloud Discovery-funktionerne ud over virksomhedens netværk og muliggør enhedsbaseret undersøgelse. Denne integration viser, at cloudapps og -tjenester tilgås fra it-administrerede Windows 10 og Windows 11 enheder.

Hvis du allerede har konfigureret Microsoft Defender for Endpoint, er konfiguration af integration med Defender for Cloud Apps en til/fra-knap i Microsoft Defender XDR. Når integrationen er slået til, kan du vende tilbage til Defender for Cloud Apps og få vist omfattende data i Dashboard til cloudregistrering.

Hvis du vil udføre disse opgaver, skal du se Integrer Microsoft Defender for Endpoint med Microsoft Defender for Cloud Apps.

Trin 3: Installer den Defender for Cloud Apps logopsamler på dine firewalls og andre proxyer

• Hvis du vil have dækning på alle enheder, der er tilsluttet dit netværk, skal du installere den Defender for Cloud Apps logopsamler på dine firewalls og andre proxyer for at indsamle data fra dine slutpunkter og sende dem til Defender for Cloud Apps til analyse. Du kan få flere oplysninger under Konfigurer automatisk logoverførsel for fortløbende rapporter.

• Defender for Cloud Apps indeholder indbyggede appconnectors til populære cloudapps. Disse connectorer bruger API'erne for appudbydere til at give større synlighed og kontrol over, hvordan disse apps bruges i din organisation. Du kan få flere oplysninger under Opret forbindelse til apps for at få synlighed og kontrol med Microsoft Defender for Cloud Apps.

• Hvis du bruger en af følgende SWG (Secure Web Gateways), leverer Defender for Cloud Apps problemfri udrulning og integration:

  • Zscaler
  • iboss
  • Korrugeret
  • Menlo Security
  • Åbne systemer

Du kan finde flere oplysninger under Oversigt over registrering af cloudapps.

Trin 4. Opret en pilotgruppe – gør udrulningen af pilotprojektet begrænset til bestemte brugergrupper

Microsoft Defender for Cloud Apps gør det muligt for dig at tilpasse udrulningen. Med scoping kan du vælge visse brugergrupper, der skal overvåges for apps eller udelukkes fra overvågning. Du kan inkludere eller udelade brugergrupper.

Du kan få flere oplysninger under Afgræn udrulningen til bestemte brugere eller brugergrupper.

Trin 5. Find og administrer cloudapps

Hvis Defender for Cloud Apps skal give den maksimale beskyttelse, skal du finde alle cloudapps i din organisation og administrere, hvordan de bruges.

Opdag cloudapps

Det første skridt til at administrere brugen af cloudapps er at finde ud af, hvilke cloudapps der bruges af din organisation. I følgende diagram illustreres det, hvordan cloudregistrering fungerer sammen med Defender for Cloud Apps.

I denne illustration er der to metoder, der kan bruges til at overvåge netværkstrafik og finde cloudapps, der bruges af din organisation.

1. Cloud App Discovery kan integreres med Microsoft Defender for Endpoint som standard. Defender for Endpoint rapporter cloudapps og -tjenester, der tilgås fra it-administrerede Windows 10 og Windows 11 enheder.

2. Hvis du vil have dækning på alle enheder, der er tilsluttet et netværk, skal du installere Defender for Cloud Apps logopsamler på firewalls og andre proxyer for at indsamle data fra slutpunkter. Indsamleren sender disse data for at Defender for Cloud Apps til analyse.

Få vist dashboardet Cloud Discovery for at se, hvilke apps der bruges i din organisation

Cloud discovery-dashboardet er designet til at give dig mere indsigt i, hvordan cloudapps bruges i din organisation. Den giver et hurtigt overblik over, hvilke typer apps der bruges, dine åbne beskeder og risikoniveauerne for apps i din organisation.

Du kan finde flere oplysninger under Få vist registrerede apps med cloudregistreringsdashboardet.

Administrer cloudapps

Når du har opdaget cloudapps og analyseret, hvordan disse apps bruges af din organisation, kan du begynde at administrere de cloudapps, du vælger.

I denne illustration er nogle apps sanktioneret til brug. Sanktionering er en nem måde at begynde at administrere apps på. Du kan finde flere oplysninger under Styr registrerede apps.

Trin 6. Konfigurer appkontrol for betinget adgang

En af de mest effektive beskyttelser, du kan konfigurere, er appkontrolelementet Betinget adgang. Denne beskyttelse kræver integration med Microsoft Entra ID. Den giver dig mulighed for at anvende politikker for betinget adgang, herunder relaterede politikker (f.eks. krav om sunde enheder), for cloudapps, du har sanktioneret.

Du har muligvis allerede føjet SaaS-apps til din Microsoft Entra lejer for at gennemtvinge multifaktorgodkendelse og andre politikker for betinget adgang. Microsoft Defender for Cloud Apps integreres oprindeligt med Microsoft Entra ID. Du skal kun konfigurere en politik i Microsoft Entra ID for at bruge appkontrolelementet Betinget adgang i Defender for Cloud Apps. Dette dirigerer netværkstrafik for disse administrerede SaaS-apps via Defender for Cloud Apps som en proxy, hvilket gør det muligt for Defender for Cloud Apps at overvåge denne trafik og anvende sessionskontrolelementer.

I denne illustration:

• SaaS-apps er integreret med den Microsoft Entra lejer. Denne integration gør det muligt for Microsoft Entra ID at gennemtvinge politikker for betinget adgang, herunder multifaktorgodkendelse.
• Der føjes en politik til Microsoft Entra ID for at dirigere trafik for SaaS-apps til Defender for Cloud Apps. Politikken angiver, hvilke SaaS-apps denne politik skal anvendes på. Når Microsoft Entra ID har håndhævet alle politikker for betinget adgang, der gælder for disse SaaS-apps, Microsoft Entra ID derefter dirigerer (proxyer) sessionens trafik gennem Defender for Cloud Apps.
• Defender for Cloud Apps overvåger denne trafik og anvender alle sessionskontrolpolitikker, der er konfigureret af administratorer.

Du har muligvis opdaget og sanktioneret cloudapps ved hjælp af Defender for Cloud Apps, der ikke er føjet til Microsoft Entra ID. Du kan drage fordel af styringen af appen betinget adgang ved at føje disse cloudapps til din Microsoft Entra lejer og omfanget af dine regler for betinget adgang.

Det første trin i brugen af Microsoft Defender for Cloud Apps til at administrere SaaS-apps er at finde disse apps og derefter føje dem til din Microsoft Entra lejer. Hvis du har brug for hjælp til at finde, skal du se Find og administrer SaaS-apps i dit netværk. Når du har opdaget apps, kan du føje disse apps til din Microsoft Entra lejer.

Du kan begynde at administrere disse apps med følgende opgaver:

1. I Microsoft Entra ID skal du oprette en ny politik for betinget adgang og konfigurere den til at bruge appkontrolelementet Betinget adgang. Denne konfiguration hjælper med at omdirigere anmodningen til Defender for Cloud Apps. Du kan oprette én politik og føje alle SaaS-apps til denne politik.

2. Derefter skal du i Defender for Cloud Apps oprette sessionspolitikker. Opret én politik for hvert kontrolelement, du vil anvende. Du kan få flere oplysninger, herunder understøttede apps og klienter, under Opret Microsoft Defender for Cloud Apps sessionspolitikker.

Du kan se eksempelpolitikker under Anbefalede Microsoft Defender for Cloud Apps politikker for SaaS-apps. Disse politikker bygger på et sæt fælles politikker for identitet og enhedsadgang , der anbefales som udgangspunkt for alle kunder.

Trin 7. Anvend sessionspolitikker på cloudapps

Når du har konfigureret sessionspolitikker, kan du anvende dem på dine cloudapps for at give kontrolleret adgang til disse apps.

I illustrationen:

• Adgang til godkendte cloudapps fra brugere og enheder i din organisation dirigeres gennem Defender for Cloud Apps.
• Cloudapps, som du ikke har sanktioneret eller udtrykkeligt ikke harsaneret, påvirkes ikke.

Sessionspolitikker giver dig mulighed for at anvende parametre på, hvordan cloudapps bruges af din organisation. Hvis din organisation f.eks. bruger Salesforce, kan du konfigurere en sessionspolitik, der kun tillader administrerede enheder at få adgang til organisationens data på Salesforce. Et enklere eksempel kan være konfiguration af en politik til overvågning af trafik fra ikke-administrerede enheder, så du kan analysere risikoen for denne trafik, før du anvender strengere politikker.

Du kan få flere oplysninger under Appkontrol med betinget adgang i Microsoft Defender for Cloud Apps.

Trin 8. Prøv yderligere funktioner

Brug disse Defender for Cloud Apps artikler til at hjælpe dig med at finde risici og beskytte dit miljø:

• Registrer mistænkelig brugeraktivitet
• Undersøg risikable brugere
• Undersøg risikable OAuth-apps
• Find og beskyt følsomme oplysninger
• Beskyt alle apps i din organisation i realtid
• Bloker downloads af følsomme oplysninger
• Beskyt dine filer med administrator karantæne
• Kræv trinvis godkendelse ved risikobelagt handling

Du kan finde flere oplysninger om avanceret jagt i Microsoft Defender for Cloud Apps data i denne video.

SIEM-integration

Du kan integrere Defender for Cloud Apps med Microsoft Sentinel som en del af Microsofts platform til samlede sikkerhedshandlinger eller en generisk SIEM-tjeneste (Security Information and Event Management) for at aktivere centraliseret overvågning af beskeder og aktiviteter fra forbundne apps. Med Microsoft Sentinel kan du analysere sikkerhedshændelser mere omfattende på tværs af din organisation og oprette playbooks, så du kan reagere effektivt og øjeblikkeligt.

Microsoft Sentinel indeholder en Microsoft Defender til XDR-dataconnector til at overføre alle signaler fra Defender XDR, herunder Defender for Cloud Apps, til Microsoft Sentinel. Brug den samlede platform til sikkerhedshandlinger på Defender-portalen som en enkelt platform til komplette sikkerhedshandlinger (SecOps).

Du kan finde flere oplysninger under:

• Opret forbindelse Microsoft Sentinel til Microsoft Defender-portalen
• Microsoft Sentinel integration
• Generisk SIEM-integration

Næste trin

Udfør livscyklusstyring for Defender for Cloud Apps.

Næste trin til end-to-end-udrulning af Microsoft Defender XDR

Fortsæt din komplette installation af Microsoft Defender XDR med Undersøg, og besvar ved hjælp af Microsoft Defender XDR.

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.