Jaa

Organisaation suojaamisen parhaat käytännöt Defender for Cloud Apps avulla

  • Artikkeli

Tässä artikkelissa on parhaita käytäntöjä organisaatiosi suojaamiseen Microsoft Defender for Cloud Apps avulla. Nämä parhaat käytännöt ovat peräisin kokemuksestamme Defender for Cloud Apps ja sinunlaistesi asiakkaiden kokemuksista.

Tässä artikkelissa käsitellyt parhaat käytännöt ovat seuraavat:

Pilvisovellusten etsiminen ja arvioiminen

Integroimalla Defender for Cloud Apps Microsoft Defender for Endpoint voit käyttää pilvipalvelun etsintää yritysverkon tai suojattujen verkkoyhdyskäytävien ulkopuolella. Yhdistettyjen käyttäjä- ja laitetietojen avulla voit tunnistaa riskialttiita käyttäjiä tai laitteita, tarkastella heidän käyttämiään sovelluksia ja tutkia tarkemmin Defender for Endpoint -portaalissa.

Paras käytäntö: Ota varjo-IT-etsintä käyttöön Defender for Endpointin avulla
Tiedot: Pilvitietojen etsintä analysoi Defenderin päätepisteelle keräämiä liikennelokeja ja arvioi tunnistetut sovellukset pilvisovellusluettelosta vaatimustenmukaisuus- ja suojaustietojen tarjoamiseksi. Määrittämällä pilvipalvelun etsinnän saat näkyvyyden pilvipalvelun käyttöön, varjo-IT:hen ja käyttäjien käyttämien tukemattomien sovellusten jatkuvaan valvontaan.
Lisätietoja:

Paras käytäntö: Määritä sovellusten etsintäkäytännöt tunnistamaan ennakoivasti riskialttiit, yhteensopimattomat ja trendikkäät sovellukset
Tiedot: Sovellusten etsintäkäytäntöjen avulla on helpompi seurata organisaatiossasi löydettyjä merkittäviä sovelluksia, jotta voit hallita näitä sovelluksia tehokkaasti. Luo käytäntöjä ilmoitusten saamiseksi, kun havaitset uusia sovelluksia, jotka on tunnistettu joko riskialttiiksi, yhteensopimattomina, trendikkäiksi tai suuriksi sovelluksiksi.
Lisätietoja:

Paras käytäntö: hallitse OAuth-sovelluksia, jotka käyttäjät ovat myöntäneet
Tiedot: Monet käyttäjät myöntävät OAuth-käyttöoikeudet satunnaisesti kolmannen osapuolen sovelluksille tilitietojensa käyttämiseksi ja antavat näin vahingossa pääsyn tietoihinsa myös muissa pilvisovelluksissa. Yleensä IT-palvelulla ei ole näkyvyyttä näihin sovelluksiin, mikä vaikeuttaa sovelluksen tietoturvariskin punnitusta sen tarjoamien tuottavuushyötyjen kanssa.

Defender for Cloud Apps avulla voit tutkia ja valvoa käyttäjiesi myöntämia sovelluksen käyttöoikeuksia. Näiden tietojen avulla voit tunnistaa mahdollisesti epäilyttävän sovelluksen, ja jos päätät, että se on riskialtis, voit kieltää sen käytön.
Lisätietoja:

Pilvihallintokäytäntöjen käyttäminen

Paras käytäntö: Sovellusten merkitseminen tunnisteisiin ja lohkokomentosarjojen vieminen
Tiedot: Kun olet tarkistanut löydettyjen sovellusten luettelon organisaatiossasi, voit suojata ympäristösi ei-toivotulta sovellukselta. Voit käyttää Vahvistettu-tunnistetta sovelluksiin, jotka organisaatiosi on hyväksynyt, ja käyttämättömään tunnisteeseen sovelluksiin, jotka eivät ole. Voit valvoa tukemattomia sovelluksia etsintäsuodattimilla tai viedä komentosarjan estääksesi tukemattomat sovellukset paikallisilla suojauslaitteilla. Tunnisteiden ja vientikomentosarjojen avulla voit järjestellä sovelluksia ja suojata ympäristöäsi sallimalla vain turvalliset sovellukset.
Lisätietoja:

Rajoita jaettujen tietojen altistumista ja ota käyttöön yhteistyökäytäntöjä

Paras käytäntö: Yhdistä Microsoft 365
Tiedot: Microsoft 365:n yhdistäminen Defender for Cloud Apps antaa sinulle välittömän näkyvyyden käyttäjiesi toimintaan, tiedostoihin, joita he käyttävät, ja tarjoaa hallintotoimia Microsoft 365:lle, SharePointille, OneDrivelle, Teamsille, Power BI:lle, Exchangelle ja Dynamicsille.
Lisätietoja:

Paras käytäntö: Yhdistä sovelluksesi
Tiedot: Yhdistämällä sovelluksesi Defender for Cloud Apps saat entistä parempia merkityksellisiä tietoja käyttäjiesi toiminnoista, uhkien tunnistamisesta ja hallintotoiminnoista. Jos haluat nähdä, mitä kolmannen osapuolen sovelluksen ohjelmointirajapintoja tuetaan, siirry kohtaan Sovellusten yhdistäminen.

Lisätietoja:

Paras käytäntö: Luo käytäntöjä jakamisen poistamiseksi henkilökohtaisista tileistä
Tiedot: Microsoft 365:n yhdistäminen Defender for Cloud Apps antaa sinulle välittömän näkyvyyden käyttäjiesi toimintaan, tiedostoihin, joita he käyttävät, ja tarjoaa hallintotoimia Microsoft 365:lle, SharePointille, OneDrivelle, Teamsille, Power BI:lle, Exchangelle ja Dynamicsille.
Lisätietoja:

Etsi, luokittele, merkitse ja suojaa pilvipalveluun tallennettuja säänneltyjä ja luottamuksellisia tietoja

Paras käytäntö: integrointi Microsoft Purview Information Protection kanssa
Tiedot: integrointi Microsoft Purview Information Protection avulla voit ottaa luottamuksellisuustunnisteet käyttöön automaattisesti ja halutessasi lisätä salaussuojauksen. Kun integrointi on otettu käyttöön, voit käyttää tunnisteita hallintotoimena, tarkastella tiedostoja luokituksen mukaan, tutkia tiedostoja luokitustason mukaan ja luoda hajautettuja käytäntöjä sen varmistamiseksi, että salaisia tiedostoja käsitellään oikein. Jos et ota integrointia käyttöön, et voi hyötyä mahdollisuudesta tarkistaa, merkitä ja salata tiedostoja automaattisesti pilvipalvelussa.
Lisätietoja:

Paras käytäntö: tietojen altistumiskäytäntöjen luominen
Tiedot: Käytä tiedostokäytäntöjä tietojen jakamisen havaitsemiseen ja luottamuksellisten tietojen tarkistamiseen pilvisovelluksissa. Luo seuraavat tiedostokäytännöt, jotka ilmoittavat sinulle, kun tietoja havaitaan:

  • Ulkoisesti luottamuksellisia tietoja sisältävät jaetut tiedostot
  • Ulkoisesti ja luottamuksellisiksi merkityt tiedostot
  • Luvattomien toimialueiden kanssa jaetut tiedostot
  • Luottamuksellisten tiedostojen suojaaminen SaaS-sovelluksissa

Lisätietoja:

Paras käytäntö: Tarkastele raportteja Tiedostot-sivulla
Tiedot: Kun olet muodostanut yhteyden eri SaaS-sovelluksiin sovellusliitinten avulla, Defender for Cloud Apps tarkistaa näiden sovellusten tallentamat tiedostot. Lisäksi aina, kun tiedostoa muokataan, se tarkistetaan uudelleen. Tiedostot-sivun avulla voit ymmärtää ja tutkia pilvisovelluksiin tallennettavien tietojen tyyppejä. Voit tutkia asiaa suodattamalla esimerkiksi toimialueiden, ryhmien, käyttäjien, luontipäivämäärän, tunnisteen, tiedostonimen ja tyypin, tiedostotunnuksen ja luottamuksellisuustunnisteen mukaan. Näiden suodattimien avulla voit hallita sitä, miten päätät tutkia tiedostoja varmistaaksesi, että mikään tiedoistasi ei ole vaarassa. Kun ymmärrät paremmin, miten tietojasi käytetään, voit luoda käytäntöjä, joilla voit tarkistaa näiden tiedostojen luottamuksellisen sisällön.
Lisätietoja:

Pakota pilvipalveluun tallennettujen tietojen DLP- ja yhteensopivuuskäytännöt

Paras käytäntö: Luottamuksellisten tietojen jakaminen ulkoisille käyttäjille
Tiedot: Luo tiedostokäytäntö, joka havaitsee, kun käyttäjä yrittää jakaa tiedoston Luottamuksellinen-luottamuksellisuustunnisteella organisaatiosi ulkopuolisen henkilön kanssa, ja määritä sen hallintotoiminto ulkoisten käyttäjien poistamiseksi. Tämä käytäntö varmistaa, että luottamukselliset tietosi eivät poistu organisaatiostasi eivätkä ulkoiset käyttäjät voi käyttää niitä.
Lisätietoja:

Luottamuksellisten tietojen lataamisen estäminen ja suojaaminen hallitsemattomiin tai riskialttiisiin laitteisiin

Paras käytäntö: Suuren riskin laitteiden käytön hallinta ja hallinta
Tiedot: Määritä SaaS-sovellusten ohjausobjekteja ehdollisen käyttöoikeuden hallinnan avulla. Voit luoda istuntokäytäntöjä suuren riskin ja alhaisen luottamuksen istuntojen valvomiseksi. Voit myös luoda istuntokäytäntöjä estämään ja suojaamaan niiden käyttäjien latauksia, jotka yrittävät käyttää luottamuksellisia tietoja hallitsemattomista tai riskialttiista laitteista. Jos et luo istuntokäytäntöjä suuren riskin istuntojen valvomiseksi, menetät mahdollisuuden estää ja suojata latauksia verkkoasiakkaassa sekä mahdollisuuden valvoa heikkoluottamusistuntoa sekä Microsoftin että kolmannen osapuolen sovelluksissa.
Lisätietoja:

Suojattu yhteistyö ulkoisten käyttäjien kanssa valvomalla reaaliaikaisia istunnon ohjausobjekteja

Paras käytäntö: valvo istuntoja ulkoisten käyttäjien kanssa ehdollisen käyttöoikeuden sovellusohjausobjektin avulla
Tiedot: Voit suojata yhteistyön ympäristössä luomalla istuntokäytännön, jolla valvotaan sisäisten ja ulkoisten käyttäjien välisiä istuntoja. Tämän ansiosta voit valvoa käyttäjien välistä istuntoa (ja ilmoittaa, että heidän istunnon toimintojaan valvotaan), mutta voit myös rajoittaa tiettyjä toimintoja. Kun luot istuntokäytäntöjä toiminnan valvomiseksi, voit valita sovellukset ja käyttäjät, joita haluat valvoa.
Lisätietoja:

Tunnista pilviuhkia, vaarantuneita tilejä, haitallisia sisäpiiriläisiä ja kiristysohjelmia

Paras käytäntö: Poikkeamien käytäntöjen hienosäätäminen, IP-alueiden määrittäminen, palautteen lähettäminen hälytyksistä
Tiedot: Poikkeamien tunnistuskäytännöt tarjoavat valmiita käyttäjien ja entiteettien käyttäytymisanalytiikkaa (UEBA) ja koneoppimista, jotta voit välittömästi suorittaa kehittyneen uhkien tunnistamisen pilviympäristössäsi.

Poikkeamien tunnistuskäytännöt käynnistyvät, kun ympäristössäsi olevat käyttäjät suorittavat epätavallisia toimintoja. Defender for Cloud Apps valvoo jatkuvasti käyttäjiesi toimintaa ja käyttää UEBA:ta ja koneoppimista käyttäjien normaalin käyttäytymisen ymmärtämiseen. Voit hienosäätää käytäntöasetuksia organisaatiosi vaatimuksiin sopivaksi. Voit esimerkiksi määrittää käytännön luottamuksellisuusasetuksen sekä vaikutusalueen käytännölle tietylle ryhmälle.

  • Viritä ja scope Anomaly Detection Policies: Voit esimerkiksi vähentää virheellisten positiivisten positiivisten määrää mahdottoman matkahälytyksen sisällä määrittämällä käytännön luottamuksellisuusliukusäätimen alhaiseen arvoon. Jos organisaatiossasi on käyttäjiä, jotka ovat usein yritysmatkailijoita, voit lisätä heidät käyttäjäryhmään ja valita kyseisen ryhmän käytännön laajuudesta.

  • Määritä IP-alueet: Defender for Cloud Apps tunnistavat tunnetut IP-osoitteet, kun IP-osoitealueet on määritetty. Kun IP-osoitealueet on määritetty, voit merkitä, luokitella ja mukauttaa tapaa, jolla lokit ja hälytykset näytetään ja tutkitaan. IP-osoitealueiden lisääminen auttaa vähentämään false-positiivisia tunnistuksia ja parantamaan ilmoitusten tarkkuutta. Jos päätät olla lisäämättä IP-osoitteitasi, mahdollisten false-positiivisten ja hälytysten määrä saattaa kasvaa tutkimista varten.

  • Lähetä palautetta ilmoituksista

    Kun hylkäät tai ratkaiset hälytyksiä, muista lähettää palautetta sillä syyllä, miksi hylkäsit ilmoituksen tai miten se on ratkaistu. Nämä tiedot auttavat Defender for Cloud Apps parantamaan ilmoituksiamme ja vähentämään false-positiivisia arvoja.

Lisätietoja:

Paras käytäntö: havaitse odottamattomista sijainneista tai maista tai alueista peräisin olevan toiminnan havaitseminen
Tiedot: Luo toimintokäytäntö, joka ilmoittaa sinulle, kun käyttäjät kirjautuvat sisään odottamattomista sijainneista tai maista tai alueilta. Nämä ilmoitukset voivat varoittaa mahdollisesti vaarantuneita istuntoja ympäristössäsi, jotta voit tunnistaa ja korjata uhkia ennen niiden ilmenemistä.
Lisätietoja:

Paras käytäntö: OAuth-sovelluskäytäntöjen luominen
Tiedot: Luo OAuth-sovelluskäytäntö ilmoittamaan sinulle, kun OAuth-sovellus täyttää tietyt ehdot. Voit esimerkiksi halutessasi saada ilmoituksen, kun yli 100 käyttäjää on päästänyt tiettyyn yli 100 käyttäjään sovellukseen, joka edellyttää korkeaa käyttöoikeustasoa.
Lisätietoja:

Käytä toimintojen kirjausketjua rikosteknisessä tutkimuksessa

Paras käytäntö: käytä toimintojen kirjausketjua ilmoituksia tarkasteltaessa
Tiedot: Ilmoitukset käynnistyvät, kun käyttäjän, järjestelmänvalvojan tai kirjautumistoiminnot eivät ole käytäntöjen mukaisia. On tärkeää tutkia hälytyksiä sen selvittämiseksi, onko ympäristössäsi mahdollinen uhka.

Voit tutkia ilmoituksen valitsemalla sen Ilmoitukset-sivulta ja tarkastelemalla kyseiseen ilmoituksiin liittyvien toimien kirjausketjua. Kirjausketju antaa näkyvyyden samantyyppisiin toimintoihin, samalle käyttäjälle, samalle IP-osoitteelle ja sijainnille, jotta saat ilmoituksen yleisen tarinan. Jos hälytys edellyttää lisätutkimuksia, luo suunnitelma näiden hälytysten ratkaisemiseksi organisaatiossasi.

Kun hylkäät hälytyksiä, on tärkeää tutkia ja ymmärtää, miksi ne eivät ole tärkeitä tai ovatko ne vääriä positiivisia. Jos tällaisia toimintoja on paljon, kannattaa ehkä myös harkita hälytyksen käynnistävän käytännön tarkistamista ja säätämistä.
Lisätietoja:

Turvalliset IaaS-palvelut ja mukautetut sovellukset

Paras käytäntö: Azuren, AWS:n ja GCP:n yhdistäminen
Tiedot: yhdistämällä kunkin näistä pilvipalveluympäristöistä Defender for Cloud Apps voit parantaa uhkien tunnistamisen ominaisuuksia. Valvomalla näiden palveluiden järjestelmänvalvojan ja kirjautumisen toimintoja voit havaita ja saada ilmoituksen mahdollisesta raaka voimahyökkäyksestä, etuoikeutetun käyttäjätilin haitallisesta käytöstä ja muista uhista ympäristössäsi. Voit esimerkiksi tunnistaa riskejä, kuten näennäiskoneiden epätavalliset poistot tai jopa tekeytymistoiminnot näissä sovelluksissa.
Lisätietoja:

Paras käytäntö: Mukautettujen sovellusten käyttöönotto
Tiedot: Voit lisätä näkyvyyttä toimialasovellustesi toimintoihin perehdyttäen mukautettuja sovelluksia Defender for Cloud Apps. Kun mukautetut sovellukset on määritetty, näet tietoja siitä, ketkä käyttävät niitä, IP-osoitteet, joista niitä käytetään, ja kuinka paljon liikennettä tulee sovellukseen ja sovelluksesta.

Lisäksi voit lisätä mukautetun sovelluksen ehdollisen käyttöoikeussovelluksen hallintasovelluksena valvomaan heidän heikkoluottamusistuntojaan. Microsoft Entra ID sovellukset lisätään automaattisesti.

Lisätietoja: