Opplæring: Oppdag og administrer skygge-IT

Når IT-administratorer blir spurt om hvor mange skyapper de tror de ansatte bruker, sier de i gjennomsnitt 30 eller 40, når gjennomsnittet i virkeligheten er over 1000 separate apper som brukes av ansatte i organisasjonen. Shadow IT hjelper deg med å vite og identifisere hvilke apper som brukes, og hva risikonivået ditt er. 80 % av de ansatte bruker ikke-sanksjonerte apper som ingen har gjennomgått, og er kanskje ikke i samsvar med sikkerhets- og samsvarspolicyene dine. Og fordi de ansatte har tilgang til ressursene og appene dine utenfor bedriftsnettverket, er det ikke lenger nok å ha regler og policyer på brannmurene.

I denne opplæringen lærer du hvordan du bruker skyoppdagelse til å finne ut hvilke apper som brukes, utforske risikoen for disse appene, konfigurere policyer for å identifisere nye risikable apper som brukes, og til å oppheve helliggjøring av disse appene for å blokkere dem opprinnelig ved hjelp av proxy- eller brannmurapparatet

• Oppdag og identifiser Shadow IT
• Evaluere og analysere
• Administrer appene dine
• Avansert it-oppdagelsesrapportering for Skygge
• Kontrollere sanksjonerte apper

Tips

Som standard kan Defender for Cloud Apps ikke oppdage apper som ikke finnes i katalogen.

Hvis du vil se Defender for Cloud Apps data for en app som for øyeblikket ikke er i katalogen, anbefaler vi at du kontrollerer veikartet eller oppretter en egendefinert app.

Slik oppdager og administrerer du Shadow IT i nettverket

Bruk denne prosessen til å rulle ut Skygge-IT-skyoppdagelse i organisasjonen.

Fase 1: Oppdag og identifiser Shadow IT

1. Oppdag Shadow IT: Identifiser organisasjonens sikkerhetsstilling ved å kjøre skyoppdagelse i organisasjonen for å se hva som faktisk skjer i nettverket. Hvis du vil ha mer informasjon, kan du se Konfigurere skyoppdagelse. Dette kan gjøres ved hjelp av en av følgende metoder:

   • Kom raskt i gang med skyoppdagelse ved å integrere med Microsoft Defender for endepunkt. Med denne opprinnelige integreringen kan du umiddelbart begynne å samle inn data om skytrafikk på tvers av Windows 10 og Windows 11 enheter, både på og utenfor nettverket.

   • For dekning på alle enheter som er koblet til nettverket, er det viktig å distribuere Defender for Cloud Apps loggsamleren på brannmurene og andre proxyer for å samle inn data fra endepunktene og sende dem til Defender for Cloud Apps for analyse.

   • Integrer Defender for Cloud Apps med proxyen. Defender for Cloud Apps integreres opprinnelig med noen tredjeparts proxyer, inkludert Zscaler.

   Siden policyer er forskjellige på tvers av brukergrupper, områder og forretningsgrupper, kan det være lurt å opprette en dedikert Shadow IT-rapport for hver av disse enhetene. Hvis du vil ha mer informasjon, kan du se Opprette egendefinerte kontinuerlige rapporter.

   Nå som skyoppdagingen kjører på nettverket, kan du se på de kontinuerlige rapportene som genereres, og se på instrumentbordet for skyoppdagelse for å få et fullstendig bilde av hvilke apper som brukes i organisasjonen. Det er lurt å se på dem etter kategori, fordi du ofte vil oppdage at apper som ikke er sanksjonert, brukes til legitime arbeidsrelaterte formål som ikke ble adressert av en godkjent app.

2. Identifiser risikonivåene for appene dine: Bruk katalogen Defender for Cloud Apps til å fordype deg i risikoene som er involvert i hver oppdagede app. Katalogen defender for skyapp inkluderer over 31 000 apper som vurderes ved hjelp av over 90 risikofaktorer. Risikofaktorer starter fra generell informasjon om appen (hvor er appens hovedkvarter, hvem som er utgiveren), og gjennom sikkerhetstiltak og kontroller (støtte for kryptering i ro, gir en overvåkingslogg over brukeraktivitet). Hvis du vil ha mer informasjon, kan du se Arbeide med risikopoengsum,

   • Velg Cloud Discovery under Cloud Apps i Microsoft Defender Portal. Gå deretter til Fanen Oppdagede apper . Filtrer listen over apper som er oppdaget i organisasjonen, etter de risikofaktorene du er bekymret for. Du kan for eksempel bruke Avanserte filtre til å finne alle apper med en risikopoengsum som er lavere enn 8.

   • Du kan drille ned i appen for å forstå mer om samsvaret ved å velge appnavnet og deretter velge Informasjon-fanen for å se detaljer om appens sikkerhetsrisikofaktorer.

Fase 2: Evaluere og analysere

1. Evaluer samsvar: Kontroller om appene er sertifisert som samsvarende med organisasjonens standarder, for eksempel HIPAA eller SOC2.

   • Velg Cloud Discovery under Cloud Apps i Microsoft Defender Portal. Gå deretter til Fanen Oppdagede apper . Filtrer listen over apper som er oppdaget i organisasjonen, etter de forskriftssamsvarsrisikofaktorene du er bekymret for. Bruk for eksempel den foreslåtte spørringen til å filtrere ut ikke-kompatible apper.

   • Du kan drille ned i appen for å forstå mer om samsvaret ved å velge appnavnet og deretter velge Informasjon-fanen for å se detaljer om appens risikofaktorer for samsvar.

2. Analyser bruk: Nå som du vet om du vil at appen skal brukes i organisasjonen, bør du undersøke hvordan og hvem som bruker den. Hvis det bare brukes på en begrenset måte i organisasjonen, er det kanskje greit, men kanskje hvis bruken vokser, vil du bli varslet om det, slik at du kan avgjøre om du vil blokkere appen.

   • Velg Cloud Discovery under Cloud Apps i Microsoft Defender Portal. Gå deretter til Fanen Oppdagede apper , og drill ned ved å velge den bestemte appen du vil undersøke. Bruk-fanen gir deg beskjed om hvor mange aktive brukere som bruker appen, og hvor mye trafikk den genererer. Dette kan allerede gi deg et godt bilde av hva som skjer med appen. Hvis du vil se hvem som spesifikt bruker appen, kan du drille ned ytterligere ved å velge Totalt antall aktive brukere. Dette viktige trinnet kan gi deg relevant informasjon, for eksempel hvis du oppdager at alle brukerne av en bestemt app er fra markedsføringsavdelingen, er det mulig at det er et forretningsbehov for denne appen, og hvis det er risikabelt, bør du snakke med dem om et alternativ før du blokkerer den.

   • Dykk enda dypere når du undersøker bruken av oppdagede apper. Vis underdomener og ressurser for å lære om bestemte aktiviteter, datatilgang og ressursbruk i skytjenestene dine. Hvis du vil ha mer informasjon, kan du se Dypdykk i Oppdagede apper og Oppdag ressurser og egendefinerte apper.

3. Identifiser alternative apper: Bruk skyappkatalogen til å identifisere sikrere apper som oppnår lignende forretningsfunksjonalitet som de registrerte risikable appene, men som overholder organisasjonens retningslinjer. Du kan gjøre dette ved å bruke de avanserte filtrene til å finne apper i samme kategori som oppfyller de ulike sikkerhetskontrollene.

Fase 3: Administrer appene dine

• Administrer skyapper: Defender for Cloud Apps hjelper deg med prosessen for administrasjon av appbruk i organisasjonen. Når du har identifisert de ulike mønstrene og virkemåtene som brukes i organisasjonen, kan du opprette nye egendefinerte appkoder for å klassifisere hver app i henhold til forretningsstatus eller begrunnelse. Disse kodene kan deretter brukes til spesifikke overvåkingsformål, for eksempel identifisere høy trafikk som går til apper som er merket som risikable skylagringsapper. Appkoder kan administreres under Innstillinger>Cloud Apps>Cloud Discovery>App-koder. Disse kodene kan deretter brukes senere til filtrering på sidene for søk i skyen og opprette policyer ved hjelp av dem.

• Administrer oppdagede apper ved hjelp av Microsoft Entra Galleri: Defender for Cloud Apps bruker også den opprinnelige integreringen med Microsoft Entra ID, slik at du kan administrere de oppdagede appene i Microsoft Entra Galleri. For apper som allerede vises i galleriet Microsoft Entra, kan du bruke enkel pålogging og administrere appen med Microsoft Entra ID. Hvis du vil gjøre dette, velger du de tre prikkene på slutten av raden på raden der den relevante appen vises, og deretter velger du Administrer app med Microsoft Entra ID.

  

• Kontinuerlig overvåking: Nå som du har undersøkt appene grundig, kan det være lurt å angi policyer som overvåker appene og gir kontroll der det er nødvendig.

Nå er det på tide å opprette policyer, slik at du kan bli varslet automatisk når noe skjer som du er bekymret for. Du kan for eksempel opprette en policy for appoppdagelse som gir deg beskjed når det er en økning i nedlastinger eller trafikk fra en app du er bekymret for. For å oppnå dette bør du aktivere avvikende virkemåte i oppdagede brukeres policy, samsvarskontroll av skylagringsapp og ny risikabel app. Du bør også angi policyen for å varsle deg via e-post. Hvis du vil ha mer informasjon, kan du se referanse for policymaler, mer om policyer for søk i skyen og konfigurer policyer for appoppdagelse.

Se på varslingssiden, og bruk policytypefilteret til å se på varsler om appoppdagelse. For apper som samsvarte med policyene for appoppdagelse, anbefales det at du utfører en avansert undersøkelse for å lære mer om forretningsbegrunnelsen for å bruke appen, for eksempel ved å kontakte brukerne av appen. Deretter gjentar du trinnene i fase 2 for å evaluere risikoen for appen. Deretter bestemmer du de neste trinnene for programmet, enten du godkjenner bruk av det i fremtiden eller ønsker å blokkere det neste gang en bruker får tilgang til det, i så fall bør du merke det som ikke-helliggjort, slik at det kan blokkeres ved hjelp av brannmuren, proxyen eller sikker webgateway. Hvis du vil ha mer informasjon, kan du se Integrer med Microsoft Defender for endepunkt, Integrer med Zscaler, Integrer med iboss og Blokker apper ved å eksportere et blokkskript.

Fase 4: Avansert it-oppdagelsesrapportering for skygge

I tillegg til rapporteringsalternativene som er tilgjengelige i Defender for Cloud Apps, kan du integrere logger for søk i skyen i Microsoft Sentinel for videre undersøkelser og analyser. Når dataene er i Microsoft Sentinel, kan du vise dem i instrumentbord, kjøre spørringer ved hjelp av Kusto-spørringsspråk, eksportere spørringer til Microsoft Power BI, integrere med andre kilder og opprette egendefinerte varsler. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel integrering.

Fase 5: Kontrollere sanksjonerte apper

1. Hvis du vil aktivere appkontroll via API-er, kobler du til apper via API for kontinuerlig overvåking.

2. Beskytt apper ved hjelp av appkontroll for betinget tilgang.

Innholdet i skyapper betyr at de oppdateres daglig, og nye apper vises hele tiden. På grunn av dette bruker de ansatte kontinuerlig nye apper, og det er viktig å fortsette å spore og se gjennom og oppdatere policyene dine, kontrollere hvilke apper brukerne bruker, i tillegg til bruks- og atferdsmønstrene deres. Du kan alltid gå til instrumentbordet for søk i skyen og se hvilke nye apper som brukes, og følge instruksjonene i denne artikkelen på nytt for å sikre at organisasjonen og dataene dine er beskyttet.

Neste trinn

Anbefalte fremgangsmåter for å beskytte organisasjonen

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.