Microsoft Defender for Cloud Apps pilottikoe ja käyttöönotto
Koskee seuraavia:
- Microsoft Defender XDR
Tässä artikkelissa on työnkulku Microsoft Defender for Cloud Apps pilotointiin ja käyttöönottoon organisaatiossasi. Näiden suositusten avulla voit ottaa Microsoft Defender for Cloud Apps käyttöön osana päästä päähän -ratkaisua, jossa on Microsoft Defender XDR.
Tässä artikkelissa oletetaan, että käytössäsi on Microsoft 365 -tuotantovuokraaja ja että olet luomassa ja ottamassa käyttöön Microsoft Defender for Cloud Apps tässä ympäristössä. Tämä käytäntö säilyttää kaikki pilottikokeilun aikana määrittämäsi asetukset ja mukautukset täyttä käyttöönottoa varten.
Defender for Office 365 edistää Zero Trust -suojausmalli arkkitehtuuria auttamalla estämään tai vähentämään murron aiheuttamia liiketoimintavaurioita. Lisätietoja on Microsoft Zero Trust -suojausmalli käyttöönoton viitekehyksen kohdassa Liiketoiminnan vahingoittumisen estäminen tai vähentäminen murron aiheuttamasta liiketoimintavahingosta.
Microsoft Defender XDR käyttöönotto päästä päähän
Tämä on sarjan artikkeli 5/6, jonka avulla voit ottaa käyttöön Microsoft Defender XDR osia, mukaan lukien tapausten tutkiminen ja niihin vastaaminen.
Tämän sarjan artikkelit vastaavat seuraavia päästä päähän -käyttöönoton vaiheita:
| Vaihe | Linkki |
|---|---|
| A. Käynnistä pilotti | Käynnistä pilotti |
| B. Microsoft Defender XDR osien pilottikoe ja käyttöönotto |
-
Defender for Identityn pilottikoe ja käyttöönotto - Defender for Office 365 pilottikoe ja käyttöönotto - Defender for Endpointin pilottikoe ja käyttöönotto - Microsoft Defender for Cloud Apps pilottikoe ja käyttöönotto (tämä artikkeli) |
| C. Tutki uhkia ja reagoi niihin | Tapausten tutkinnan ja reagointikäytännön harjoittaminen |
Defender for Cloud Apps-työnkulun pilottikoe ja käyttöönotto
Seuraavassa kaaviossa esitetään yleinen prosessi tuotteen tai palvelun käyttöönottoon IT-ympäristössä.
Aloitat arvioimalla tuotetta tai palvelua ja sitä, miten se toimii organisaatiossasi. Sen jälkeen voit kokeilla tuotetta tai palvelua sopivan pienellä osajoukolla tuotantoinfrastruktuuristasi testausta, oppimista ja mukauttamista varten. Kasvata sitten käyttöönottoa asteittain, kunnes koko infrastruktuuri tai organisaatio on katettu.
Tässä on Defender for Cloud Apps pilotoinnin ja käyttöönoton työnkulku tuotantoympäristössäsi.
Toimi seuraavasti:
- Yhdistä Defender for Cloud Apps
- Integrointi Microsoft Defender for Endpoint kanssa
- Ota lokikeräin käyttöön palomuurissasi ja muissa välitysvälitystiloissasi
- Luo pilottiryhmä
- Pilvisovellusten etsiminen ja hallinta
- Ehdollisen käyttöoikeussovelluksen hallinnan määrittäminen
- Istuntokäytäntöjen käyttö pilvisovelluksissa
- Kokeile muita ominaisuuksia
Seuraavassa on kunkin käyttöönottovaiheen suositellut vaiheet.
| Käyttöönottovaihe | Kuvaus |
|---|---|
| Arvioida | Suorita tuotteen arviointi Defender for Cloud Apps. |
| Lentäjä | Suorita vaiheet 1–4 ja sitten 5–8 sopivalle pilvisovellusten osajoukolle tuotantoympäristössäsi. |
| Täysi käyttöönotto | Suorita vaiheet 5–8 jäljelle jääville pilvisovelluksille säätämällä pilottikäyttäjäryhmien kopiointia tai lisäämällä käyttäjäryhmiä niin, että ne laajenevat pilottikokeilun ulkopuolelle ja sisältävät kaikki käyttäjätilisi. |
Organisaation suojaaminen hakkereilta
Defender for Cloud Apps tarjoaa tehokkaan suojan. Kun se yhdistetään Microsoft Defender XDR muihin ominaisuuksiin, Defender for Cloud Apps kuitenkin antaa jaettuihin signaaleihin tietoja, jotka yhdessä auttavat pysäyttämään hyökkäykset.
Tässä on esimerkki kyberhyökkäyksestä ja siitä, miten Microsoft Defender XDR osat auttavat sen havaitsemisessa ja lieventämisessä.
Defender for Cloud Apps havaitsee poikkeavan toiminnan, kuten mahdottoman matkustamisen, tunnistetietojen käytön ja epätavallisen lataamisen, tiedostojen jakamisen tai edelleenlähetystoiminnan, ja näyttää nämä toiminnot Defender for Cloud Apps. Defender for Cloud Apps auttaa myös estämään hakkereiden sivuttaista liikkumista ja luottamuksellisten tietojen suodatusta.
Microsoft Defender XDR korreloi kaikkien Microsoft Defender osien signaalit ja tarjoaa koko hyökkäystarinan.
Defender for Cloud Apps rooli CASB:nä ja paljon muuta
Pilvipalvelujen käytön suojauksen välittäjä (CASB) toimii portinvartijana ja välittää käyttöoikeuden reaaliajassa yrityksesi käyttäjien ja heidän käyttämien pilviresurssien välillä, riippumatta siitä, missä käyttäjät sijaitsevat ja mitä laitetta he käyttävät. Ohjelmisto palveluna (SaaS) -sovellukset ovat kaikkialla hybridityöympäristöissä, ja SaaS-sovellusten ja niiden tallentamien tärkeiden tietojen suojaaminen on suuri haaste organisaatioille.
Sovellusten käytön kasvu yhdistettynä siihen, että työntekijät käyttävät yrityksen resursseja yrityksen ulkopuolella, on myös ottanut käyttöön uusia hyökkäysvektoreita. Näiden hyökkäysten torjumiseksi tehokkaasti tietoturvatiimit tarvitsevat lähestymistavan, joka suojaa heidän tietojaan pilvisovelluksissa perinteisen pilvipalvelun käytön suojauksen välittäjien (CASB) ulkopuolelle.
Microsoft Defender for Cloud Apps tarjoaa SaaS-sovellusten täyden suojauksen, jonka avulla voit valvoa ja suojata pilvipalvelusovelluksen tietoja kaikilla seuraavilla ominaisuusalueilla:
Pilvipalvelujen käytön suojauksen välittäjän (CASB) perustoiminnot, kuten varjo-IT-etsintä, näkyvyys pilvisovellusten käyttöön, suojaus sovelluspohjaisia uhkia vastaan missä tahansa pilvipalvelussa sekä tietojen suojaus- ja yhteensopivuusarvioinnit.
SaaS Security Posture Management (SSPM) -ominaisuudet, joiden avulla suojaustiimit voivat parantaa organisaation suojausasennon
Edistynyt uhkien suojaus osana Microsoftin laajennettua tunnistus- ja reagointiratkaisua, joka mahdollistaa signaalin ja näkyvyyden tehokkaan korrelaation edistyneiden hyökkäysten täydellisessä tappoketjussa
Sovellusten suojaus, joka laajentaa uhkaskenaariot OAuth-sovelluksissa, joilla on oikeudet kriittisiin tietoihin ja resursseihin.
Pilvisovellusten etsintämenetelmät
Ilman Defender for Cloud Apps organisaatiosi käyttämät pilvisovellukset ovat hallitsemattomia ja suojaamattomia. Jos haluat löytää ympäristössäsi käytettyjä pilvisovelluksia, voit käyttää jompaakumpaa tai molempia seuraavista menetelmistä:
- Aloita Cloud Discoveryn käyttö nopeasti integroimalla Microsoft Defender for Endpoint. Tämän alkuperäisen integroinnin avulla voit välittömästi aloittaa tietojen keräämisen pilviliikenteestä Windows 10 ja Windows 11 laitteissa verkossasi ja sen ulkopuolella.
- Jos haluat löytää kaikki kaikkien verkkoosi yhdistettyjen laitteiden käyttämät pilvisovellukset, ota Defender for Cloud Apps lokinkeräin käyttöön palomuurissasi ja muissa välityssovelluksissasi. Tämä käyttöönotto auttaa keräämään tietoja päätepisteistä ja lähettämään ne Defender for Cloud Apps analysointia varten. Defender for Cloud Apps integroituu suoraan joihinkin kolmannen osapuolen välityspalvelinten kanssa entistä enemmän ominaisuuksia varten.
Tässä artikkelissa on ohjeita molempiin menetelmiin.
Vaihe 1: Yhdistä Defender for Cloud Apps
Jos haluat tarkistaa käyttöoikeudet ja muodostaa yhteyden Defender for Cloud Apps, katso Pikaopas: Microsoft Defender for Cloud Apps käytön aloittaminen.
Jos et pysty heti muodostamaan yhteyttä portaaliin, sinun on ehkä lisättävä IP-osoite sallittujen luetteloon palomuurista. Lisätietoja on artikkelissa Defender for Cloud Apps perusasetukset.
Jos sinulla on edelleen ongelmia, tarkista verkon vaatimukset.
Vaihe 2: Integrointi Microsoft Defender for Endpoint kanssa
Microsoft Defender for Cloud Apps integroituu Microsoft Defender for Endpoint kanssa suoraan. Integrointi yksinkertaistaa Cloud Discoveryn käyttöönottoa, laajentaa Cloud Discovery -ominaisuuksia yritysverkon ulkopuolelle ja mahdollistaa laitepohjaisen tutkimuksen. Tämä integrointi paljastaa, että pilvisovelluksia ja -palveluita käytetään IT-hallituista Windows 10 ja Windows 11 laitteista.
Jos olet jo määrittänyt Microsoft Defender for Endpoint, integroinnin määrittäminen Defender for Cloud Apps kanssa on vaihtopainike Microsoft Defender XDR. Kun integrointi on otettu käyttöön, voit palata Defender for Cloud Apps ja tarkastella monipuolisia tietoja Cloud Discovery Dashboardissa.
Jos haluat suorittaa nämä tehtävät, katso Microsoft Defender for Endpoint integrointi Microsoft Defender for Cloud Apps kanssa.
Vaihe 3: Defender for Cloud Apps log collectorin käyttöönotto palomuurissasi ja muissa välityspalvelinissasi
Ota Defender for Cloud Apps log collector käyttöön palomuurissasi ja muissa välityslaitteissasi, jotta voit kerätä tietoja päätepisteistäsi ja lähettää ne Defender for Cloud Apps analysointia varten. Lisätietoja on kohdassa Automaattisen lokin lataamisen määrittäminen jatkuville raporteille.
Defender for Cloud Apps tarjoaa sisäänrakennetut sovellusliittimet suosituille pilvisovelluksille. Nämä liittimet käyttävät sovellustarjoajien ohjelmointirajapintoja parantaakseen näkyvyyttä ja hallitakseen sitä, miten näitä sovelluksia käytetään organisaatiossasi. Lisätietoja on artikkelissa Sovellusten yhdistäminen näkyvyyden ja hallinnan saamiseksi Microsoft Defender for Cloud Apps avulla.
Jos käytät jotakin seuraavista suojatuista verkkoyhdyskäytäviä (SWG), Defender for Cloud Apps mahdollistaa saumattoman käyttöönoton ja integroinnin:
Lisätietoja on pilvisovellusten etsinnän yleiskatsauksessa.
Vaihe 4: Luo pilottiryhmä – Käytä pilottikokeilun laajuutta tiettyihin käyttäjäryhmiin
Microsoft Defender for Cloud Apps mahdollistaa käyttöönoton laajuuden. Scopingin avulla voit valita tiettyjä käyttäjäryhmiä, joita valvotaan sovellusten osalta tai jotka jätetään valvonnan ulkopuolelle. Voit sisällyttää tai jättää pois käyttäjäryhmiä.
Lisätietoja on kohdassa Käyttöönoton laajuus tietyille käyttäjille tai käyttäjäryhmille.
Vaihe 5: Pilvisovellusten etsiminen ja hallinta
Jotta Defender for Cloud Apps tarjoaa mahdollisimman paljon suojausta, sinun on löydettävä kaikki organisaatiosi pilvisovellukset ja hallittava, miten niitä käytetään.
Tutustu pilvisovelluksiin
Ensimmäinen vaihe pilvisovellusten käytön hallinnassa on selvittää, mitä pilvisovelluksia organisaatiosi käyttää. Seuraava kaavio havainnollistaa, miten pilvipalvelun etsintä toimii Defender for Cloud Apps kanssa.
Tässä kuvassa on kaksi tapaa, joilla voidaan valvoa verkkoliikennettä ja löytää organisaatiosi käyttämiä pilvisovelluksia.
Cloud App Discovery integroituu Microsoft Defender for Endpoint kanssa suoraan. Defender for Endpoint raportoi pilvisovelluksista ja palveluista, joita käytetään IT-hallittujen Windows 10 ja Windows 11 laitteissa.
Kaikkien verkkoon liitettyjen laitteiden kattavuutta varten asennat Defender for Cloud Apps log collectorin palomuuriin ja muihin välitystietoihin tietojen keräämiseksi päätepisteistä. Keräystoiminto lähettää nämä tiedot Defender for Cloud Apps analysoitaessa.
Tarkastele Cloud Discovery -koontinäyttöä nähdäksesi, mitä sovelluksia organisaatiossasi käytetään
Pilvitietolöydös-koontinäyttö on suunniteltu antamaan lisätietoja siitä, miten pilvisovelluksia käytetään organisaatiossasi. Se tarjoaa yleiskatsauksen käytössä olevien sovellusten tyypeistä, avoimista ilmoituksista ja organisaatiosi sovellusten riskitasoista yhdellä silmäyksellä.
Lisätietoja on kohdassa Löydettyjen sovellusten tarkasteleminen pilven resurssienetsinnän koontinäytön avulla.
Pilvisovellusten hallinta
Kun olet löytänyt pilvisovelluksia ja analysoinut, miten organisaatiosi käyttää näitä sovelluksia, voit alkaa hallita valitsemiasi pilvisovelluksia.
Tässä kuvassa jotkin sovellukset on hyväksytty käytettäväksi. Pakotteiden hyväksyminen on yksinkertainen tapa aloittaa sovellusten hallinta. Lisätietoja on kohdassa Hallinnoi löydettyjä sovelluksia.
Vaihe 6. Ehdollisen käyttöoikeussovelluksen hallinnan määrittäminen
Yksi tehokkaimmista suojauksista, jonka voit määrittää, on Ehdollinen käyttöoikeus -sovelluksen hallinta. Tämä suojaus edellyttää integrointia Microsoft Entra ID kanssa. Sen avulla voit käyttää ehdollisia käyttöoikeuskäytäntöjä, mukaan lukien liittyvät käytännöt (kuten terveellisten laitteiden vaatiminen) pilvisovelluksiin, jotka olet hyväksynyt.
Microsoft Entra vuokraajaan on ehkä jo lisätty SaaS-sovelluksia monimenetelmäisen todentamisen ja muiden ehdollisten käyttöoikeuskäytäntöjen pakottamiseksi. Microsoft Defender for Cloud Apps integroituu suoraan Microsoft Entra ID kanssa. Sinun täytyy vain määrittää käytäntö Microsoft Entra ID, jotta voit käyttää ehdollisten käyttöoikeuksien sovellusten hallintaa Defender for Cloud Apps. Tämä reitittää näiden hallittujen SaaS-sovellusten verkkoliikenteen Defender for Cloud Apps kautta välityspalvelimena, jolloin Defender for Cloud Apps voivat valvoa tätä liikennettä ja ottaa käyttöön istunnon ohjausobjekteja.
Tässä kuvassa:
- SaaS-sovellukset on integroitu Microsoft Entra vuokraajaan. Tämän integroinnin avulla Microsoft Entra ID voivat pakottaa ehdollisia käyttöoikeuskäytäntöjä, mukaan lukien monimenetelmäinen todentaminen.
- Microsoft Entra ID lisätään käytäntö, joka ohjaa SaaS-sovellusten liikenteen Defender for Cloud Apps. Käytäntö määrittää, mihin SaaS-sovelluksiin tämä käytäntö otetaan käyttöön. Kun Microsoft Entra ID pakottaa näihin SaaS-sovelluksiin sovellettavat ehdolliset käyttöoikeuskäytännöt, Microsoft Entra ID ohjaa sitten (välityskäyttäjät) istuntoliikenteen Defender for Cloud Apps läpi.
- Defender for Cloud Apps valvoo tätä liikennettä ja ottaa käyttöön kaikki järjestelmänvalvojien määrittämät istunnon hallintakäytännöt.
Olet ehkä löytänyt ja hyväksynyt pilvisovelluksia käyttämällä Defender for Cloud Apps, joita ei ole lisätty Microsoft Entra ID. Voit hyödyntää ehdollisten käyttöoikeuksien sovellusten hallintaa lisäämällä nämä pilvisovellukset Microsoft Entra vuokraajaan ja ehdollisen käyttöoikeuden sääntöjen laajuuden.
Kun käytät Microsoft Defender for Cloud Apps SaaS-sovelluksia, ensimmäisessä vaiheessa tutustut näihin sovelluksiin ja lisäät ne sitten Microsoft Entra vuokraajaan. Jos tarvitset apua etsinnässä, katso SaaS-sovellusten etsiminen ja hallinta verkossasi. Kun olet löytänyt sovelluksia, lisää nämä sovellukset Microsoft Entra vuokraajaan.
Voit aloittaa näiden sovellusten hallinnan seuraavilla tehtävillä:
Luo Microsoft Entra ID uusi ehdollinen käyttöoikeuskäytäntö ja määritä se käyttämään ehdollisen käyttöoikeuden sovelluksen hallintaa. Tämä määritys auttaa ohjaamaan pyynnön uudelleen Defender for Cloud Apps. Voit luoda yhden käytännön ja lisätä kaikki SaaS-sovellukset tähän käytäntöön.
Luo seuraavaksi istuntokäytännöt Defender for Cloud Apps. Luo yksi käytäntö kullekin ohjausobjektille, jota haluat käyttää. Lisätietoja, kuten tuetut sovellukset ja asiakkaat, on kohdassa Microsoft Defender for Cloud Apps istuntokäytäntöjen luominen.
Mallikäytännöt ovat kohdassa SaaS-sovellusten suositellut Microsoft Defender for Cloud Apps käytännöt. Nämä käytännöt perustuvat yleisiin käyttäjätietojen ja laitteiden käyttökäytäntöihin , joita suositellaan aloituspisteeksi kaikille asiakkaille.
Vaihe 7. Istuntokäytäntöjen käyttö pilvisovelluksissa
Kun istuntokäytännöt on määritetty, ota ne käyttöön pilvisovelluksissasi, jotta voit tarjota hallitun pääsyn kyseisiin sovelluksiin.
Kuvassa:
- Pakotteiden kohteena olevien pilvisovellusten käyttöoikeus organisaatiosi käyttäjiltä ja laitteilta reititetään Defender for Cloud Apps kautta.
- Tämä ei vaikuta pilvisovelluksiin, joita et ole nimenomaisesti hyväksynyt tai joita ei ole nimenomaisesti hyväksytty.
Istuntokäytäntöjen avulla voit käyttää parametreja siihen, miten organisaatiosi käyttää pilvisovelluksia. Jos organisaatiosi esimerkiksi käyttää Salesforcea, voit määrittää istuntokäytännön, joka sallii vain hallittujen laitteiden käyttää organisaatiosi tietoja Salesforcessa. Yksinkertaisempi esimerkki voisi olla käytännön määrittäminen valvomaan liikennettä hallitsemattomista laitteista, jotta voit analysoida liikenteen riskejä ennen tiukempien käytäntöjen käyttämistä.
Lisätietoja on Microsoft Defender for Cloud Apps kohdassa Ehdollisten käyttöoikeuksien sovellusten hallinta.
Vaihe 8. Kokeile muita ominaisuuksia
Näiden Defender for Cloud Apps artikkelien avulla voit löytää riskejä ja suojata ympäristöäsi:
- Tunnista epäilyttävä käyttäjän toiminta
- Riskialttiiden käyttäjien tutkiminen
- Riskialttiiden OAuth-sovellusten tutkiminen
- Luottamuksellisten tietojen etsiminen ja suojaaminen
- Suojaa mikä tahansa organisaatiosi sovellus reaaliaikaisesti
- Luottamuksellisten tietojen lataamisen estäminen
- Tiedostojen suojaaminen järjestelmänvalvojan karanteenin avulla
- Edellytä vaiheittaista todentamista riskialttiiden toimien yhteydessä
Lisätietoja kehittyneestä metsästyksestä Microsoft Defender for Cloud Apps tiedoissa on tässä videossa.
SIEM-integrointi
Voit integroida Defender for Cloud Apps Microsoft Sentinel kanssa osana Microsoftin yhtenäistä suojaustoimintoympäristöä tai yleistä suojaustieto- ja tapahtumahallintapalvelua (SIEM), jotta yhdistettyjen sovellusten ilmoituksia ja toimintoja voidaan valvoa keskitetysti. Microsoft Sentinel avulla voit analysoida organisaatiosi suojaustapahtumia kattavammin ja luoda pelikirjoja, jotta ne voivat toimia tehokkaasti ja välittömästi.
Microsoft Sentinel sisältää Microsoft Defender XDR-tietoliittimelle kaikkien signaalien tuomiseksi Defender XDR, mukaan lukien Defender for Cloud Apps, Microsoft Sentinel. Käytä Defender-portaalin yhdistettyä suojaustoimintojen ympäristöä yksittäisenä alustana päästä päähän -suojaustoimintoja (SecOps) varten.
Lisätietoja on seuraavissa artikkeleissa:
- Microsoft Sentinel yhdistäminen Microsoft Defender portaaliin
- Microsoft Sentinel integrointi
- Yleinen SIEM-integrointi
Seuraavat vaiheet
Suorita Defender for Cloud Apps elinkaaren hallinta.
Seuraava vaihe Microsoft Defender XDR käyttöönottoa varten.
Jatka Microsoft Defender XDR käyttöönottoa päästä päähän -toiminnolla tutki ja vastaa käyttämällä Microsoft Defender XDR.
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.