Jaa

Microsoft Defender for Cloud Apps pilottikoe ja käyttöönotto

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR

Tässä artikkelissa on työnkulku Microsoft Defender for Cloud Apps pilotointiin ja käyttöönottoon organisaatiossasi. Näiden suositusten avulla voit ottaa Microsoft Defender for Cloud Apps käyttöön yksittäisenä kyberturvallisuustyökaluna tai osana päästä päähän -ratkaisua, jossa on Microsoft Defender XDR.

Tässä artikkelissa oletetaan, että käytössäsi on Microsoft 365 -tuotantovuokraaja ja että olet luomassa ja ottamassa käyttöön Microsoft Defender for Cloud Apps tässä ympäristössä. Tämä käytäntö säilyttää kaikki pilottikokeilun aikana määrittämäsi asetukset ja mukautukset täyttä käyttöönottoa varten.

Defender for Office 365 edistää Zero Trust -suojausmalli arkkitehtuuria auttamalla estämään tai vähentämään murron aiheuttamia liiketoimintavaurioita. Lisätietoja on Microsoft Zero Trust -suojausmalli käyttöönoton viitekehyksen kohdassa Liiketoiminnan vahingoittumisen estäminen tai vähentäminen murron aiheuttamasta liiketoimintavahingosta.

Microsoft Defender XDR käyttöönotto päästä päähän

Tämä on sarjan artikkeli 5/6, jonka avulla voit ottaa käyttöön Microsoft Defender XDR osia, mukaan lukien tapausten tutkiminen ja niihin vastaaminen.

Kaavio, joka näyttää pilottikokeilun Microsoft Defender for Cloud Apps ja Microsoft Defender XDR käyttöönoton.

Tämän sarjan artikkelit vastaavat seuraavia päästä päähän -käyttöönoton vaiheita:

Vaihe Linkki
A. Käynnistä pilotti Käynnistä pilotti
B. Microsoft Defender XDR osien pilottikoe ja käyttöönotto - Defender for Identityn pilottikoe ja käyttöönotto

- Defender for Office 365 pilottikoe ja käyttöönotto

- Defender for Endpointin pilottikoe ja käyttöönotto

- Microsoft Defender for Cloud Apps pilottikoe ja käyttöönotto (tämä artikkeli)
C. Tutki uhkia ja reagoi niihin Tapausten tutkinnan ja reagointikäytännön harjoittaminen

Defender for Cloud Apps-työnkulun pilottikoe ja käyttöönotto

Seuraavassa kaaviossa esitetään yleinen prosessi tuotteen tai palvelun käyttöönottoon IT-ympäristössä.

Kaavio pilottikokeilun, arvioinnin ja käyttöönoton täysien käyttöönottovaiheiden kaaviosta.

Aloitat arvioimalla tuotetta tai palvelua ja sitä, miten se toimii organisaatiossasi. Sen jälkeen voit kokeilla tuotetta tai palvelua sopivan pienellä osajoukolla tuotantoinfrastruktuuristasi testausta, oppimista ja mukauttamista varten. Kasvata sitten käyttöönottoa asteittain, kunnes koko infrastruktuuri tai organisaatio on katettu.

Tässä on Defender for Cloud Apps pilotoinnin ja käyttöönoton työnkulku tuotantoympäristössäsi.

Kaavio, joka näyttää Microsoft Defender for Cloud Apps pilotti- ja käyttöönottotyönkulun.

Toimi seuraavasti:

  1. Yhteyden muodostaminen Defender for Cloud Apps portaaliin
  2. Integrointi Microsoft Defender for Endpoint kanssa
  3. Ota lokikeräin käyttöön palomuurissasi ja muissa välitysvälitystiloissasi
  4. Luo pilottiryhmä
  5. Pilvisovellusten etsiminen ja hallinta
  6. Määritä ehdollisten käyttöoikeuksien sovellusohjausobjekti
  7. Istuntokäytäntöjen käyttö pilvisovelluksissa
  8. Kokeile muita ominaisuuksia

Seuraavassa on kunkin käyttöönottovaiheen suositellut vaiheet.

Käyttöönottovaihe Kuvaus
Arvioida Suorita tuotteen arviointi Defender for Cloud Apps.
Lentäjä Suorita vaiheet 1–4 ja sitten 5–8 sopivalle pilvisovellusten osajoukolle tuotantoympäristössäsi.
Täysi käyttöönotto Suorita vaiheet 5–8 jäljelle jääville pilvisovelluksille säätämällä pilottikäyttäjäryhmien kopiointia tai lisäämällä käyttäjäryhmiä niin, että ne laajenevat pilottikokeilun ulkopuolelle ja sisältävät kaikki käyttäjätilisi.

Organisaation suojaaminen hakkereilta

Defender for Cloud Apps tarjoaa tehokkaan suojan. Kun se yhdistetään Microsoft Defender XDR muihin ominaisuuksiin, Defender for Cloud Apps kuitenkin antaa jaettuihin signaaleihin tietoja, jotka yhdessä auttavat pysäyttämään hyökkäykset.

Tässä on esimerkki kyberhyökkäyksestä ja siitä, miten Microsoft Defender XDR osat auttavat sen havaitsemisessa ja lieventämisessä.

Kaavio, joka näyttää, miten Microsoft Defender XDR lopettaa uhkaketjun.

Defender for Cloud Apps havaitsee poikkeavan toiminnan, kuten mahdottoman matkustamisen, tunnistetietojen käytön ja epätavallisen lataamisen, tiedostojen jakamisen tai edelleenlähetystoiminnan, ja näyttää nämä toiminnot Defender for Cloud Apps portaalissa. Defender for Cloud Apps auttaa myös estämään hakkereiden sivuttaista liikkumista ja luottamuksellisten tietojen suodatusta.

Microsoft Defender XDR korreloi kaikkien Microsoft Defender osien signaalit ja tarjoaa koko hyökkäystarinan.

Defender for Cloud Apps rooli CASB:nä

Pilvipalvelujen käytön suojauksen välittäjä (CASB) toimii portinvartijana ja välittää käyttöoikeuden reaaliajassa yrityksesi käyttäjien ja heidän käyttämien pilviresurssien välillä, riippumatta siitä, missä käyttäjät sijaitsevat ja mitä laitetta he käyttävät. Defender for Cloud Apps on organisaatiosi pilvisovellusten CASB. Defender for Cloud Apps integroituu suoraan Microsoftin suojausominaisuuksiin, kuten Microsoft Defender XDR.

Ilman Defender for Cloud Apps organisaatiosi käyttämät pilvisovellukset ovat hallitsemattomia ja suojaamattomia.

Kaavio, joka näyttää pilvisovellukset, joita organisaatiosi ei hallitse ja suojaa.

Kuvassa:

  • Organisaation pilvisovellusten käyttöä ei valvota ja se on suojaamaton.
  • Tämä käyttö ei kuulu hallitun organisaation sisällä saavutettuihin suojaukseen.

Jos haluat löytää ympäristössäsi käytettyjä pilvisovelluksia, voit käyttää jompaakumpaa tai molempia seuraavista menetelmistä:

  • Aloita Cloud Discoveryn käyttö nopeasti integroimalla Microsoft Defender for Endpoint. Tämän alkuperäisen integroinnin avulla voit välittömästi aloittaa tietojen keräämisen pilviliikenteestä Windows 10 ja Windows 11 laitteissa verkossasi ja sen ulkopuolella.
  • Jos haluat löytää kaikki kaikkien verkkoosi yhdistettyjen laitteiden käyttämät pilvisovellukset, ota Defender for Cloud Apps lokinkeräin käyttöön palomuurissasi ja muissa välityssovelluksissasi. Tämä käyttöönotto auttaa keräämään tietoja päätepisteistä ja lähettämään ne Defender for Cloud Apps analysointia varten. Defender for Cloud Apps integroituu suoraan joihinkin kolmannen osapuolen välityspalvelinten kanssa entistä enemmän ominaisuuksia varten.

Tässä artikkelissa on ohjeita molempiin menetelmiin.

Vaihe 1: Yhteyden muodostaminen Defender for Cloud Apps portaaliin

Jos haluat tarkistaa käyttöoikeudet ja muodostaa yhteyden Defender for Cloud Apps portaaliin, katso Pikaopas: Microsoft Defender for Cloud Apps käytön aloittaminen.

Jos et pysty heti muodostamaan yhteyttä portaaliin, sinun on ehkä lisättävä IP-osoite sallittujen luetteloon palomuurista. Katso Defender for Cloud Apps perusasetukset.

Jos sinulla on edelleen ongelmia, tarkista verkon vaatimukset.

Vaihe 2: Integrointi Microsoft Defender for Endpoint kanssa

Microsoft Defender for Cloud Apps integroituu Microsoft Defender for Endpoint kanssa suoraan. Integrointi yksinkertaistaa Cloud Discoveryn käyttöönottoa, laajentaa Cloud Discovery -ominaisuuksia yritysverkon ulkopuolelle ja mahdollistaa laitepohjaisen tutkimuksen. Tämä integrointi paljastaa, että pilvisovelluksia ja -palveluita käytetään IT-hallituista Windows 10 ja Windows 11 laitteista.

Jos olet jo määrittänyt Microsoft Defender for Endpoint, integroinnin määrittäminen Defender for Cloud Apps kanssa on vaihtopainike Microsoft Defender XDR. Kun integrointi on otettu käyttöön, voit palata Defender for Cloud Apps portaaliin ja tarkastella monipuolisia tietoja Cloud Discovery Dashboardissa.

Jos haluat suorittaa nämä tehtävät, katso Microsoft Defender for Endpoint integrointi Microsoft Defender for Cloud Apps kanssa.

Vaihe 3: Defender for Cloud Apps log collectorin käyttöönotto palomuurissasi ja muissa välityspalvelinissasi

Ota Defender for Cloud Apps log collector käyttöön palomuurissasi ja muissa välityslaitteissasi, jotta voit kerätä tietoja päätepisteistäsi ja lähettää ne Defender for Cloud Apps analysointia varten.

Jos käytät jotakin seuraavista suojatuista verkkoyhdyskäytäviä (SWG), Defender for Cloud Apps mahdollistaa saumattoman käyttöönoton ja integroinnin:

  • Z-skaala
  • iboss
  • Corrata
  • Menlo Security

Lisätietoja näiden verkkolaitteiden integroinnista on kohdassa Cloud Discoveryn määrittäminen.

Vaihe 4: Luo pilottiryhmä – Käytä pilottikokeilun laajuutta tiettyihin käyttäjäryhmiin

Microsoft Defender for Cloud Apps mahdollistaa käyttöönoton laajuuden. Scopingin avulla voit valita tiettyjä käyttäjäryhmiä, joita valvotaan sovellusten osalta tai jotka jätetään valvonnan ulkopuolelle. Voit sisällyttää tai jättää pois käyttäjäryhmiä. Lisätietoja pilottikäyttöönoton laajuudesta on kohdassa Laajuus käyttöönotto.

Vaihe 5: Pilvisovellusten etsiminen ja hallinta

Jotta Defender for Cloud Apps tarjoaa mahdollisimman paljon suojausta, sinun on löydettävä kaikki organisaatiosi pilvisovellukset ja hallittava, miten niitä käytetään.

Tutustu pilvisovelluksiin

Ensimmäinen vaihe pilvisovellusten käytön hallinnassa on selvittää, mitä pilvisovelluksia organisaatiosi käyttää. Seuraavassa kaaviossa havainnollistetaan, miten pilvipalvelun etsintä toimii Defender for Cloud Apps kanssa.

Kaavio, joka näyttää Microsoft Defender for Cloud Apps arkkitehtuurin pilvietsinnän avulla.

Tässä kuvassa on kaksi tapaa, joilla voidaan valvoa verkkoliikennettä ja löytää organisaatiosi käyttämiä pilvisovelluksia.

  1. Cloud App Discovery integroituu Microsoft Defender for Endpoint kanssa suoraan. Defender for Endpoint raportoi pilvisovelluksista ja palveluista, joita käytetään IT-hallittujen Windows 10 ja Windows 11 laitteissa.

  2. Kaikkien verkkoon liitettyjen laitteiden kattavuutta varten asennat Defender for Cloud Apps log collectorin palomuuriin ja muihin välitystietoihin tietojen keräämiseksi päätepisteistä. Keräystoiminto lähettää nämä tiedot Defender for Cloud Apps analysoitaessa.

Tarkastele Cloud Discovery -koontinäyttöä nähdäksesi, mitä sovelluksia organisaatiossasi käytetään

Cloud Discovery -koontinäyttö on suunniteltu antamaan lisätietoja siitä, miten pilvisovelluksia käytetään organisaatiossasi. Se tarjoaa yleiskatsauksen käytössä olevien sovellusten tyypeistä, avoimista ilmoituksista ja organisaatiosi sovellusten riskitasoista yhdellä silmäyksellä.

Aloita Cloud Discovery -koontinäytön käyttäminen artikkelista Löydettyjen sovellusten käyttäminen.

Pilvisovellusten hallinta

Kun olet löytänyt pilvisovelluksia ja analysoinut, miten organisaatiosi käyttää näitä sovelluksia, voit alkaa hallita valitsemiasi pilvisovelluksia.

Kaavio, joka näyttää Microsoft Defender for Cloud Apps arkkitehtuurin pilvisovellusten hallintaan.

Tässä kuvassa:

  • Jotkin sovellukset on hyväksytty käytettäväksi. Pakotteiden hyväksyminen on yksinkertainen tapa aloittaa sovellusten hallinta.
  • Voit ottaa käyttöön suuremman näkyvyyden ja hallinnan yhdistämällä sovelluksia sovellusliittimillä. Sovellusliittimet käyttävät sovelluspalvelujen tarjoajien ohjelmointirajapintoja.

Voit aloittaa sovellusten hallinnan hyväksymällä, peruuttamalla tai suoraan estämällä sovelluksia. Jos haluat aloittaa sovellusten hallinnan, katso Kohta Hallinnoi löydettyjä sovelluksia.

Vaihe 6. Määritä ehdollisten käyttöoikeuksien sovellusohjausobjekti

Yksi tehokkaimmista suojauksista, jonka voit määrittää, on ehdollisten käyttöoikeuksien sovellusten hallinta. Tämä suojaus edellyttää integrointia Microsoft Entra ID kanssa. Sen avulla voit käyttää ehdollisia käyttöoikeuskäytäntöjä, mukaan lukien liittyvät käytännöt (kuten terveellisten laitteiden vaatiminen) pilvisovelluksiin, jotka olet hyväksynyt.

Microsoft Entra vuokraajaan on ehkä jo lisätty SaaS-sovelluksia monimenetelmäisen todentamisen ja muiden ehdollisten käyttöoikeuskäytäntöjen pakottamiseksi. Microsoft Defender for Cloud Apps integroituu suoraan Microsoft Entra ID kanssa. Sinun täytyy vain määrittää käytäntö Microsoft Entra ID, jotta voit käyttää ehdollisten käyttöoikeuksien sovellusten ohjausobjektia Defender for Cloud Apps. Tämä reitittää näiden hallittujen SaaS-sovellusten verkkoliikenteen Defender for Cloud Apps kautta välityspalvelimena, jolloin Defender for Cloud Apps voivat valvoa tätä liikennettä ja ottaa käyttöön istunnon ohjausobjekteja.

Kaavio, joka näyttää Microsoft Defender for Cloud Apps arkkitehtuurin SaaS-sovelluksilla.

Tässä kuvassa:

  • SaaS-sovellukset on integroitu Microsoft Entra vuokraajaan. Tämän integroinnin avulla Microsoft Entra ID voivat pakottaa ehdollisia käyttöoikeuskäytäntöjä, mukaan lukien monimenetelmäinen todentaminen.
  • Microsoft Entra ID lisätään käytäntö, joka ohjaa SaaS-sovellusten liikenteen Defender for Cloud Apps. Käytäntö määrittää, mihin SaaS-sovelluksiin tämä käytäntö otetaan käyttöön. Kun Microsoft Entra ID pakottaa näihin SaaS-sovelluksiin sovellettavat ehdolliset käyttöoikeuskäytännöt, Microsoft Entra ID ohjaa sitten (välityskäyttäjät) istuntoliikenteen Defender for Cloud Apps läpi.
  • Defender for Cloud Apps valvoo tätä liikennettä ja ottaa käyttöön kaikki järjestelmänvalvojien määrittämät istunnon hallintakäytännöt.

Olet ehkä löytänyt ja hyväksynyt pilvisovelluksia käyttämällä Defender for Cloud Apps, joita ei ole lisätty Microsoft Entra ID. Voit hyödyntää ehdollisten käyttöoikeuksien sovellusten hallintaa lisäämällä nämä pilvisovellukset Microsoft Entra vuokraajaan ja ehdollisen käyttöoikeuden sääntöjen laajuuteen.

Kun käytät Microsoft Defender for Cloud Apps SaaS-sovelluksia, ensimmäisessä vaiheessa tutustut näihin sovelluksiin ja lisäät ne sitten Microsoft Entra vuokraajaan. Jos tarvitset apua etsinnässä, katso SaaS-sovellusten etsiminen ja hallinta verkossasi. Kun olet löytänyt sovelluksia, lisää nämä sovellukset Microsoft Entra vuokraajaan.

Voit aloittaa näiden sovellusten hallinnan seuraavilla tehtävillä:

  1. Luo Microsoft Entra ID uusi ehdollinen käyttöoikeuskäytäntö ja määritä se käyttämään ehdollisten käyttöoikeuksien sovellusten hallintaa. Tämä määritys auttaa ohjaamaan pyynnön uudelleen Defender for Cloud Apps. Voit luoda yhden käytännön ja lisätä kaikki SaaS-sovellukset tähän käytäntöön.
  2. Luo seuraavaksi istuntokäytännöt Defender for Cloud Apps. Luo yksi käytäntö kullekin ohjausobjektille, jota haluat käyttää.

Lisätietoja, kuten tuetut sovellukset ja asiakkaat, on artikkelissa Sovellusten suojaaminen ehdollisten käyttöoikeuksien Microsoft Defender for Cloud Apps avulla.

Katso esimerkiksi käytännöt artikkelista SaaS-sovellusten suositellut Microsoft Defender for Cloud Apps käytännöt. Nämä käytännöt perustuvat yleisiin käyttäjätietojen ja laitteiden käyttökäytäntöihin , joita suositellaan aloituspisteeksi kaikille asiakkaille.

Vaihe 7. Istuntokäytäntöjen käyttö pilvisovelluksissa

Microsoft Defender for Cloud Apps toimii käänteisenä välityspalvelimena tarjoten välityspalvelimen käyttöoikeuden valtuutettuihin pilvisovelluksiin. Tämän säännöksen avulla Defender for Cloud Apps voivat ottaa käyttöön määrittämäsi istuntokäytännöt.

Kaavio, joka näyttää Microsoft Defender for Cloud Apps arkkitehtuurin välityspalvelimen käyttöoikeuksien istunnon hallinnalla.

Kuvassa:

  • Pakotteiden kohteena olevien pilvisovellusten käyttöoikeus organisaatiosi käyttäjiltä ja laitteilta reititetään Defender for Cloud Apps kautta.
  • Tämä välityspalvelinkäyttö sallii istuntokäytäntöjen käyttämisen.
  • Tämä ei vaikuta pilvisovelluksiin, joita et ole nimenomaisesti hyväksynyt tai joita ei ole nimenomaisesti hyväksytty.

Istuntokäytäntöjen avulla voit käyttää parametreja siihen, miten organisaatiosi käyttää pilvisovelluksia. Jos organisaatiosi esimerkiksi käyttää Salesforcea, voit määrittää istuntokäytännön, joka sallii vain hallittujen laitteiden käyttää organisaatiosi tietoja Salesforcessa. Yksinkertaisempi esimerkki voisi olla käytännön määrittäminen valvomaan liikennettä hallitsemattomista laitteista, jotta voit analysoida liikenteen riskejä ennen tiukempien käytäntöjen käyttämistä.

Lisätietoja on kohdassa Istuntokäytäntöjen luominen.

Vaihe 8. Kokeile muita ominaisuuksia

Näiden Defender for Cloud Apps opetusohjelmien avulla voit löytää riskejä ja suojata ympäristöäsi:

Lisätietoja kehittyneestä metsästyksestä Microsoft Defender for Cloud Apps tiedoissa on tässä videossa.

SIEM-integrointi

Voit integroida Defender for Cloud Apps Microsoft Sentinel tai yleisten suojaustietojen ja tapahtumienhallintapalvelun (SIEM) kanssa, jotta yhdistettyjen sovellusten hälytyksiä ja toimintoja voidaan valvoa keskitetysti. Microsoft Sentinel avulla voit analysoida organisaatiosi suojaustapahtumia kattavammin ja luoda pelikirjoja, jotta ne voivat toimia tehokkaasti ja välittömästi.

Kaavio, joka näyttää Microsoft Defender for Cloud Apps siem-integroinnin arkkitehtuurin.

Microsoft Sentinel sisältää Defender for Cloud Apps-liittimen. Näin voit paitsi saada näkyvyyttä pilvisovelluksiin myös saada kehittyneitä analyysejä kyberuhkia tunnistamalla ja torjumalla sekä hallitsemalla tietojesi kulkua. Lisätietoja on kohdassa Microsoft Sentinel integrointi ja Stream hälytykset sekä Cloud Discovery -lokit Defender for Cloud Apps Microsoft Sentinel.

Lisätietoja integroinnista kolmannen osapuolen SIEM-järjestelmiin on kohdassa Yleinen SIEM-integrointi.

Seuraavat vaiheet

Suorita Defender for Cloud Apps elinkaaren hallinta.

Seuraava vaihe Microsoft Defender XDR käyttöönottoa varten.

Jatka Microsoft Defender XDR käyttöönottoa päästä päähän -toiminnolla tutki ja vastaa käyttämällä Microsoft Defender XDR.

Kaavio, joka näyttää tapausten tutkinnan ja käsittelyn pilottikokeessa ja Microsoft Defender XDR käyttöönoton prosessissa.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.