Esercitazione: Individuare e gestire shadow IT

Quando agli amministratori IT viene chiesto quante app cloud pensano che i dipendenti usino, in media 30 o 40, quando in realtà la media è di oltre 1.000 app separate usate dai dipendenti dell'organizzazione. Shadow IT consente di conoscere e identificare quali app vengono usate e qual è il livello di rischio. L'80% dei dipendenti usa app non approvate che nessuno ha esaminato e potrebbe non essere conforme ai criteri di sicurezza e conformità. Poiché i dipendenti possono accedere alle risorse e alle app dall'esterno della rete aziendale, non è più sufficiente avere regole e criteri nei firewall.

Questa esercitazione descrive come usare l'individuazione cloud per individuare le app in uso, esplorare il rischio di queste app, configurare i criteri per identificare le nuove app a rischio in uso e annullare l'approvazione di queste app per bloccarle in modo nativo usando il proxy o l'appliance firewall

• Individuare e identificare Shadow IT
• Valutare e analizzare
• Gestire le app
• Segnalazione avanzata dell'individuazione IT shadow
• Controllare le app approvate

Consiglio

Per impostazione predefinita, Defender for Cloud Apps non riesce a individuare le app non presenti nel catalogo.

Per visualizzare Defender for Cloud Apps dati per un'app che non è attualmente presente nel catalogo, è consigliabile controllare la roadmap o creare un'app personalizzata.

Come individuare e gestire Shadow IT nella rete

Usare questo processo per implementare l'individuazione cloud IT shadow nell'organizzazione.

Fase 1: Individuare e identificare Shadow IT

1. Individuare Shadow IT: identificare il comportamento di sicurezza dell'organizzazione eseguendo l'individuazione cloud nell'organizzazione per vedere cosa sta effettivamente accadendo nella rete. Per altre informazioni, vedere Configurare l'individuazione cloud. Questa operazione può essere eseguita usando uno dei metodi seguenti:

   • È possibile iniziare rapidamente a usare l'individuazione cloud integrando con Microsoft Defender per endpoint. Questa integrazione nativa consente di iniziare immediatamente a raccogliere dati sul traffico cloud attraverso i dispositivi Windows 10 e Windows 11, all'interno e all'esterno della rete.

   • Per la copertura in tutti i dispositivi connessi alla rete, è importante distribuire l'agente di raccolta log Defender for Cloud Apps nei firewall e in altri proxy per raccogliere dati dagli endpoint e inviarli a Defender for Cloud Apps per l'analisi.

   • Integrare Defender for Cloud Apps con il proxy. Defender for Cloud Apps si integra in modo nativo con alcuni proxy di terze parti, tra cui Zscaler.

   Poiché i criteri sono diversi tra gruppi di utenti, aree e gruppi aziendali, è possibile creare un report IT shadow dedicato per ognuna di queste unità. Per altre informazioni, vedere Creare report continui personalizzati.

   Ora che l'individuazione cloud è in esecuzione nella rete, esaminare i report continui generati e esaminare il dashboard di individuazione cloud per ottenere un quadro completo delle app usate nell'organizzazione. È consigliabile esaminarli per categoria, perché spesso si noterà che le app non approvate vengono usate per scopi aziendali legittimi che non sono stati risolti da un'app approvata.

2. Identificare i livelli di rischio delle app: usare il catalogo Defender for Cloud Apps per approfondire i rischi coinvolti in ogni app individuata. Il catalogo di app Defender per cloud include oltre 31.000 app valutate usando oltre 90 fattori di rischio. I fattori di rischio partono da informazioni generali sull'app (dove si trova la sede centrale dell'app, che è l'editore) e tramite misure e controlli di sicurezza (il supporto per la crittografia inattivi, fornisce un log di controllo dell'attività dell'utente). Per altre informazioni, vedere Utilizzo del punteggio di rischio,

   • Nel portale Microsoft Defender selezionare Cloud Discovery in App cloud. Passare quindi alla scheda App individuate . Filtrare l'elenco delle app individuate nell'organizzazione in base ai fattori di rischio di cui si è preoccupati. Ad esempio, è possibile usare filtri avanzati per trovare tutte le app con un punteggio di rischio inferiore a 8.

   • È possibile eseguire il drill-down nell'app per comprendere meglio la conformità selezionando il nome dell'app e quindi selezionando la scheda Info per visualizzare i dettagli sui fattori di rischio per la sicurezza dell'app.

Fase 2: Valutare e analizzare

1. Valutare la conformità: verificare se le app sono certificate come conformi agli standard dell'organizzazione, ad esempio HIPAA o SOC2.

   • Nel portale Microsoft Defender selezionare Cloud Discovery in App cloud. Passare quindi alla scheda App individuate . Filtrare l'elenco delle app individuate nell'organizzazione in base ai fattori di rischio di conformità di cui si è preoccupati. Ad esempio, usare la query suggerita per filtrare le app non conformi.

   • È possibile eseguire il drill-down nell'app per comprendere meglio la conformità selezionando il nome dell'app e quindi selezionando la scheda Info per visualizzare i dettagli sui fattori di rischio di conformità dell'app.

2. Analizzare l'utilizzo: ora che si sa se si vuole o meno usare l'app nell'organizzazione, si vuole analizzare come e chi la usa. Se viene usato solo in modo limitato nell'organizzazione, forse è ok, ma forse se l'uso sta crescendo si vuole ricevere una notifica in modo da poter decidere se si vuole bloccare l'app.

   • Nel portale Microsoft Defender selezionare Cloud Discovery in App cloud. Passare quindi alla scheda App individuate e quindi eseguire il drill-down selezionando l'app specifica da analizzare. La scheda Utilizzo consente di sapere quanti utenti attivi usano l'app e quanto traffico sta generando. Questo può già darti una buona immagine di ciò che sta accadendo con l'app. Quindi, se si vuole vedere chi, in particolare, usa l'app, è possibile eseguire il drill-down ulteriormente selezionando Total active users (Totale utenti attivi). Questo passaggio importante può fornire informazioni pertinenti, ad esempio se si scopre che tutti gli utenti di un'app specifica provengono dal reparto Marketing, è possibile che questa app sia necessaria per l'azienda e, se è rischiosa, è consigliabile parlare con loro di un'alternativa prima di bloccarla.

   • Approfondire ulteriormente l'analisi dell'uso delle app individuate. Visualizzare sottodomini e risorse per informazioni su attività specifiche, accesso ai dati e utilizzo delle risorse nei servizi cloud. Per altre informazioni, vedere Approfondimento sulle app individuate e Individuare le risorse e le app personalizzate.

3. Identificare le app alternative: usare il catalogo di app cloud per identificare app più sicure che ottengono funzionalità aziendali simili a quelle rilevate a rischio, ma conformi ai criteri dell'organizzazione. A tale scopo, è possibile usare i filtri avanzati per trovare app nella stessa categoria che soddisfano i diversi controlli di sicurezza.

Fase 3: Gestire le app

• Gestire le app cloud: Defender for Cloud Apps consente di gestire l'uso delle app nell'organizzazione. Dopo aver identificato i diversi modelli e comportamenti usati nell'organizzazione, è possibile creare nuovi tag di app personalizzati per classificare ogni app in base allo stato o alla giustificazione dell'azienda. Questi tag possono quindi essere usati per scopi di monitoraggio specifici, ad esempio per identificare il traffico elevato destinato alle app contrassegnate come app di archiviazione cloud rischiose. I tag dell'app possono essere gestiti in Impostazioni>App>cloud Cloud Discovery>App tag. Questi tag possono quindi essere usati in un secondo momento per filtrare le pagine di individuazione cloud e creare criteri usandoli.

• Gestire le app individuate usando Microsoft Entra Gallery: Defender for Cloud Apps usa anche l'integrazione nativa con Microsoft Entra ID per consentire di gestire le app individuate in Microsoft Entra Gallery. Per le app già visualizzate nella raccolta Microsoft Entra, è possibile applicare l'accesso Single Sign-On e gestire l'app con Microsoft Entra ID. A tale scopo, nella riga in cui viene visualizzata l'app pertinente scegliere i tre puntini alla fine della riga e quindi scegliere Gestisci app con Microsoft Entra ID.

  

• Monitoraggio continuo: dopo aver analizzato attentamente le app, è possibile impostare criteri che monitorano le app e forniscono il controllo dove necessario.

Ora è il momento di creare criteri in modo da poter essere automaticamente avvisati quando si verifica qualcosa di cui si è preoccupati. Ad esempio, è possibile creare un criterio di individuazione delle app che consenta di sapere quando si verifica un picco di download o traffico da un'app di cui si è preoccupati. A tale scopo, è consigliabile abilitare il comportamento anomalo nei criteri degli utenti individuati, nelcontrollo di conformità delle app di archiviazione cloud e nella nuova app rischiosa. È anche consigliabile impostare i criteri per inviare una notifica tramite posta elettronica. Per altre informazioni, vedere Informazioni di riferimento sui modelli di criteri, altre informazioni sui criteri di individuazione cloud e Configurare i criteri di individuazione delle app.

Esaminare la pagina degli avvisi e usare il filtro Tipo di criteri per esaminare gli avvisi di individuazione delle app. Per le app corrispondenti ai criteri di individuazione delle app, è consigliabile eseguire un'indagine avanzata per altre informazioni sulla giustificazione aziendale per l'uso dell'app, ad esempio contattando gli utenti dell'app. Ripetere quindi i passaggi della fase 2 per valutare il rischio dell'app. Determinare quindi i passaggi successivi per l'applicazione, se si approva l'uso in futuro o se si vuole bloccarla la prossima volta che un utente vi accede, nel qual caso è necessario contrassegnarla come non approvata in modo che possa essere bloccata usando il firewall, il proxy o il gateway Web sicuro. Per altre informazioni, vedere Integrare con Microsoft Defender per endpoint, Integrare con Zscaler, Integrare con iboss e Bloccare le app esportando uno script in blocchi.

Fase 4: Segnalazione avanzata dell'individuazione IT shadow

Oltre alle opzioni di report disponibili in Defender for Cloud Apps, è possibile integrare i log di individuazione cloud in Microsoft Sentinel per ulteriori indagini e analisi. Una volta che i dati sono in Microsoft Sentinel, è possibile visualizzarli nei dashboard, eseguire query usando il linguaggio di query Kusto, esportare query in Microsoft Power BI, integrarle con altre origini e creare avvisi personalizzati. Per altre informazioni, vedere integrazione Microsoft Sentinel.

Fase 5: Controllare le app approvate

1. Per abilitare il controllo delle app tramite API, connettere le app tramite API per il monitoraggio continuo.

2. Proteggere le app usando il controllo app per l'accesso condizionale.

La natura delle app cloud significa che vengono aggiornate quotidianamente e che le nuove app vengono visualizzate continuamente. Per questo motivo, i dipendenti usano continuamente nuove app ed è importante tenere traccia e rivedere e aggiornare i criteri, controllando le app che gli utenti usano, nonché i modelli di utilizzo e comportamento. È sempre possibile passare al dashboard di individuazione cloud e vedere quali nuove app vengono usate e seguire di nuovo le istruzioni in questo articolo per assicurarsi che l'organizzazione e i dati siano protetti.

Passaggi successivi

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.

Ulteriori informazioni

• Provare la guida interattiva: Individuare e gestire l'utilizzo delle app cloud con Microsoft Defender for Cloud Apps