Opetusohjelma: Varjo-IT:n löytäminen ja hallinta

Kun IT-järjestelmänvalvojilta kysytään, kuinka monta pilvisovellusta he luulevat työntekijöidensä käyttävän, keskimäärin 30 tai 40, kun todellisuudessa keskiarvo on yli 1 000 erillistä sovellusta, joita organisaatiosi työntekijät käyttävät. Varjo-IT auttaa sinua selvittämään ja tunnistamaan, mitä sovelluksia käytetään ja mikä on riskitasosi. 80 % työntekijöistä käyttää ei-hyväksyttyjä sovelluksia, joita kukaan ei ole tarkistanut ja jotka eivät ehkä ole suojaus- ja yhteensopivuuskäytäntöjen mukaisia. Ja koska työntekijäsi voivat käyttää resurssejasi ja sovelluksiasi yritysverkkosi ulkopuolelta, ei enää riitä, että palomuurisi käyttävät sääntöjä ja käytäntöjä.

Tässä opetusohjelmassa opit käyttämään pilvietsintää ja selvittämään, mitä sovelluksia käytetään, tutustumaan näiden sovellusten riskiin, määrittämään käytäntöjä, jotka tunnistavat uudet käytössä olevat riskialttiit sovellukset, sekä peruuttamaan näiden sovellusten käytön, jotta voit estää ne suoraan välityspalvelimen tai palomuurin avulla.

• Löydä varjo-IT ja tunnista se
• Arvioi ja analysoi
• Sovellusten hallinta
• Edistynyt varjostuksen IT-resurssienetsintäraportointi
• Pakotteiden kohteena olevien sovellusten hallinta

Vihje

oletusarvoisesti Defender for Cloud Apps eivät löydä sovelluksia, joita ei ole luettelossa.

Jos haluat nähdä Defender for Cloud Apps tietoja sovelluksesta, joka ei ole tällä hetkellä luettelossa, suosittelemme tarkistamaan etenemissuunnitelman tai luomaan mukautetun sovelluksen.

Varjo-IT:n löytäminen ja hallinta verkossa

Tämän prosessin avulla voit ottaa käyttöön varjostettu IT-pilvietsintä organisaatiossasi.

Vaihe 1: Varjo-IT:n etsiminen ja tunnistaminen

1. Tutustu varjo-IT:hen: Tunnista organisaatiosi suojausasente suorittamalla pilvietsintä organisaatiossasi, jotta näet, mitä verkossasi todella tapahtuu. Lisätietoja on kohdassa Pilvitietojen etsinnän määrittäminen. Tämä voidaan tehdä seuraavilla tavoilla:

   • Aloita pilvipalvelujen etsiminen nopeasti integroimalla Microsoft Defender for Endpoint. Tämän alkuperäisen integroinnin avulla voit välittömästi aloittaa tietojen keräämisen pilviliikenteestä Windows 10 ja Windows 11 laitteissa verkossasi ja sen ulkopuolella.

   • Kaikkien verkkoosi liitettyjen laitteiden kattavuuden vuoksi on tärkeää ottaa Defender for Cloud Apps lokinkeräin käyttöön palomuurissasi ja muissa välityspalveluissasi, jotta voit kerätä tietoja päätepisteistäsi ja lähettää ne Defender for Cloud Apps analysointia varten.

   • Integroi Defender for Cloud Apps välityspalvelimeen. Defender for Cloud Apps integroituu suoraan joihinkin kolmannen osapuolen välityspakkoihin, kuten Zscaleriin.

   Koska käytännöt eroavat eri käyttäjäryhmistä, alueista ja yritysryhmistä, haluat ehkä luoda erillisen varjo-IT-raportin kullekin näistä yksiköistä. Lisätietoja on artikkelissa Mukautettujen jatkuvien raporttien luominen.

   Nyt kun pilvipalvelun etsintä on käynnissä verkossasi, tarkastele jatkuvia raportteja, jotka luodaan, ja katso pilvihaun koontinäyttöä saadaksesi kokonaiskuvan siitä, mitä sovelluksia organisaatiossasi käytetään. Niitä kannattaa tarkastella luokan mukaan, koska huomaat usein, että ei-hyväksyttyjä sovelluksia käytetään laillisiin työhön liittyviin tarkoituksiin, joita ei ole käsitelty hyväksytyllä sovelluksella.

2. Tunnista sovelluksesi riskitasot: Defender for Cloud Apps-luettelon avulla voit perehtyä tarkemmin kuhunkin löydettyihin sovelluksiin liittyviä riskejä. Defender for Cloud -sovellusluettelo sisältää yli 31 000 sovellusta, jotka arvioidaan yli 90 riskitekijän avulla. Riskitekijät alkavat sovelluksen yleisistä tiedoista (joissa on sovelluksen pääkonttori, joka on julkaisija) sekä suojaustoimenpiteistä ja ohjausobjekteista (salauksen tuki levossa antaa valvontalokin käyttäjän toiminnasta). Lisätietoja on kohdassa Riskipisteiden käsitteleminen,

   • Valitse Microsoft Defender-portaalinPilvisovellukset-kohdastaCloud Discovery. Siirry sitten Löydettyjä sovelluksia -välilehteen . Suodata organisaatiossasi löytyneiden sovellusten luettelo riskitekijöiden mukaan, joista olet huolissasi. Voit esimerkiksi käyttää lisäsuodattimia löytääksesi kaikki sovellukset, joiden riskipistemäärä on pienempi kuin 8.

   • Voit porautua sovellukseen saadaksesi lisätietoja sen vaatimustenmukaisuudesta valitsemalla sovelluksen nimen ja valitsemalla sitten Tiedot-välilehden nähdäksesi tietoja sovelluksen tietoturvariskitekijöistä.

Vaihe 2: Arvioi ja analysoi

1. Arvioi vaatimustenmukaisuus: Tarkista, onko sovellukset sertifioitu organisaatiosi standardien mukaisiksi, kuten HIPAA tai SOC2.

   • Valitse Microsoft Defender-portaalinPilvisovellukset-kohdastaCloud Discovery. Siirry sitten Löydettyjä sovelluksia -välilehteen . Suodata organisaatiossasi löytyneiden sovellusten luetteloa vaatimustenmukaisuuden riskitekijöiden mukaan, joista olet huolissasi. Voit esimerkiksi suodattaa yhteensopimattomat sovellukset pois käyttämällä ehdotettua kyselyä.

   • Voit porautua sovellukseen saadaksesi lisätietoja sen vaatimustenmukaisuudesta valitsemalla sovelluksen nimen ja valitsemalla sitten Tiedot-välilehden nähdäksesi tietoja sovelluksen vaatimustenmukaisuuden riskitekijöistä.

2. Analysoi käyttöä: Nyt kun tiedät, haluatko käyttää sovellusta organisaatiossasi, haluat tutkia, miten ja kuka sitä käyttää. Jos sitä käytetään vain rajoitetulla tavalla organisaatiossasi, se voi olla ok, mutta ehkä jos käyttö kasvaa, haluat siitä ilmoituksen, jotta voit päättää, haluatko estää sovelluksen.

   • Valitse Microsoft Defender-portaalinPilvisovellukset-kohdastaCloud Discovery. Siirry sitten Löydettyjä sovelluksia -välilehteen ja poraudu alaspäin valitsemalla haluamasi sovellus. Käyttö-välilehden avulla tiedät, kuinka monta aktiivista käyttäjää käyttää sovellusta ja kuinka paljon liikennettä se luo. Tämä voi jo antaa sinulle hyvän kuvan siitä, mitä sovelluksessa tapahtuu. Jos haluat nähdä, kuka erityisesti käyttää sovellusta, voit porautua alaspäin valitsemalla Aktiivisten käyttäjien kokonaismäärä. Tämä tärkeä vaihe voi antaa sinulle olennaisia tietoja, esimerkiksi jos huomaat, että kaikki tietyn sovelluksen käyttäjät ovat markkinointiosastolta, on mahdollista, että tällä sovelluksella on liiketoimintatarve, ja jos se on riskialtista, sinun kannattaa keskustella heidän kanssaan vaihtoehdosta ennen sen estämistä.

   • Tutustu tarkemmin löydettyjen sovellusten käyttöön. Katso alitoimialueista ja resursseista lisätietoja tietyistä toiminnoista, tietojen käytöstä ja resurssien käytöstä pilvipalveluissasi. Katso lisätietoja artikkelista Tutustu tarkemmin löydettyihin sovelluksiin ja Resurssien ja mukautettujen sovellusten etsiminen.

3. Tunnista vaihtoehtoisia sovelluksia: Pilvisovellusluettelon avulla voit tunnistaa turvallisempia sovelluksia, jotka saavuttavat samanlaisia liiketoimintatoimintoja kuin havaitut riskialttiit sovellukset, mutta noudattavat organisaatiosi käytäntöä. Voit tehdä tämän käyttämällä kehittyneitä suodattimia löytääksesi sovelluksia samasta luokasta, joka vastaa erilaisia suojaustoimiasi.

Vaihe 3: Sovellusten hallinta

• Pilvisovellusten hallinta: Defender for Cloud Apps auttaa sinua sovellusten käytön hallintaprosessissa organisaatiossasi. Kun olet tunnistanut organisaatiossasi käytetyt mallit ja toimintatavat, voit luoda uusia mukautettuja sovellustunnisteita, jotta kukin sovellus voidaan luokitella sen liiketoiminnan tilan tai perustelun mukaan. Näitä tunnisteita voidaan sitten käyttää tiettyihin valvontatarkoituksiin, esimerkiksi tunnistamaan suuri liikenne, joka kulkee sovelluksiin, jotka on merkitty riskialttiiksi pilvitallennussovelluksiksi. Sovellustunnisteita voi hallita kohdassa Asetukset>Pilvisovellukset>Pilvipalvelun etsintäsovelluksen>tunnisteet. Näitä tunnisteita voidaan myöhemmin käyttää suodattamiseen pilvipalvelun etsintäsivuilla ja niiden avulla luotavien käytäntöjen luomiseen.

• Hallitse löydettyjä sovelluksia Microsoft Entra valikoiman avulla: Defender for Cloud Apps käyttää myös alkuperäistä integrointia Microsoft Entra ID kanssa, jotta voit hallita löydettyjä sovelluksia Microsoft Entra Valikoimassa. Microsoft Entra Galleryssa jo näkyvissä sovelluksissa voit käyttää kertakirjautumista ja hallita sovellusta Microsoft Entra ID avulla. Voit tehdä tämän valitsemalla rivillä, jossa asianmukainen sovellus näkyy, kolme pistettä rivin lopusta ja valitsemalla sitten Sovelluksen hallinta Microsoft Entra ID.

  

• Jatkuva valvonta: Nyt kun olet tutkinut sovellukset perusteellisesti, haluat ehkä määrittää käytännöt, jotka valvovat sovelluksia ja tarjoavat tarvittaessa hallintaa.

Nyt on aika luoda käytäntöjä, jotta saat automaattisesti ilmoituksen, kun jotakin tapahtuu, josta olet huolissasi. Saatat esimerkiksi haluta luoda sovelluksen etsintäkäytännön , joka kertoo sinulle, milloin sinua huolestuttavan sovelluksen lataukset tai liikenne ovat huipussaan. Tämän saavuttamiseksi sinun on otettava käyttöön Poikkeamat-toiminta löytynnyskäytännössä, pilvitallennustilan sovelluksen yhteensopivuustarkistus ja Uusi riskialtis sovellus. Määritä myös käytäntö ilmoittamaan sinulle sähköpostitse. Lisätietoja on artikkelissa Käytäntömalliviittaus, lisätietoja pilvitietojen etsintäkäytännöistä ja Sovellusten etsintäkäytäntöjen määrittäminen.

Tarkastele ilmoitussivua ja tarkastele sovelluksen etsintäilmoituksia Käytäntötyyppi-suodattimen avulla. Sovelluksille, jotka vastasivat sovelluksen etsintäkäytäntöjä, on suositeltavaa tutkia sovelluksen liiketoimintaperusteita tarkemmin esimerkiksi ottamalla yhteyttä sovelluksen käyttäjiin. Toista sitten vaiheen 2 vaiheet sovelluksen riskin arvioimiseksi. Määritä sitten seuraavat vaiheet sovellukselle, hyväksytkö sen käytön tulevaisuudessa vai haluatko estää sen, kun käyttäjä seuraavan kerran käyttää sitä, jolloin sinun pitäisi merkitä se ei-toimimattomaksi, jotta se voidaan estää palomuurin, välityspalvelimen tai suojatun verkkoyhdyskäytävän avulla. Lisätietoja on aiheessa Integrointi Microsoft Defender for Endpoint:n kanssa, Integrointi Z-asteikon kanssa, Integrointi ibossin kanssa ja Estä sovellukset viemällä lohkokomentosarja.

Vaihe 4: Varjostuksen IT-etsinnän edistymisraportointi

Defender for Cloud Apps käytettävissä olevien raportointivaihtoehtojen lisäksi voit integroida pilvitietojen etsintälokit Microsoft Sentinel tarkempaa tutkimusta ja analyysia varten. Kun tiedot ovat Microsoft Sentinel, voit tarkastella niitä koontinäytöissä, suorittaa kyselyitä Kusto-kyselykielellä, viedä kyselyt Microsoft Power BI:hin, integroida niitä muihin lähteisiin ja luoda mukautettuja ilmoituksia. Lisätietoja on kohdassa Microsoft Sentinel integrointi.

Vaihe 5: Pakotteiden kohteena olevien sovellusten hallinta

1. Voit ottaa sovellusten hallinnan käyttöön ohjelmointirajapinnoilla yhdistämällä sovelluksia ohjelmointirajapinnan kautta jatkuvaa valvontaa varten.

2. Suojaa sovelluksia ehdollisen käyttöoikeussovelluksen hallinnan avulla.

Pilvisovellusten luonteen vuoksi niitä päivitetään päivittäin ja uusia sovelluksia näytetään koko ajan. Tämän vuoksi työntekijät käyttävät jatkuvasti uusia sovelluksia, ja on tärkeää jatkaa käytäntöjen seuraamista, tarkistamista ja päivittämistä sekä tarkistaa, mitä sovelluksia käyttäjät käyttävät, sekä niiden käyttö- ja toimintamalleja. Voit aina siirtyä pilvitietojen etsinnän koontinäyttöön ja nähdä, mitä uusia sovelluksia käytetään, ja varmistaa organisaatiosi ja tietojesi suojaukset noudattamalla tämän artikkelin ohjeita uudelleen.

Seuraavat vaiheet

Organisaation suojaamisen parhaat käytännöt

Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.

Lisätietoja

• Kokeile vuorovaikutteista opasta: Tutustu pilvisovellusten käyttöön ja hallitse sitä Microsoft Defender for Cloud Apps