Del via

Anbefalte fremgangsmåter for å beskytte organisasjonen med Defender for Cloud Apps

  • Artikkel

Denne artikkelen inneholder anbefalte fremgangsmåter for å beskytte organisasjonen ved hjelp av Microsoft Defender for Cloud Apps. Disse anbefalte fremgangsmåtene kommer fra vår erfaring med Defender for Cloud Apps og opplevelsene til kunder som deg.

De anbefalte fremgangsmåtene som beskrives i denne artikkelen, omfatter:

Oppdag og vurder skyapper

Integrering av Defender for Cloud Apps med Microsoft Defender for endepunkt gir deg muligheten til å bruke skyoppdagelse utover bedriftens nettverk eller sikre nettgatewayer. Med den kombinerte bruker- og enhetsinformasjonen kan du identifisere risikable brukere eller enheter, se hvilke apper de bruker, og undersøke nærmere i Defender for Endpoint-portalen.

Anbefalt fremgangsmåte: Aktiver Skygge-IT-søk ved hjelp av Defender for endepunkt
Detalj: Skyoppdagelse analyserer trafikklogger samlet inn av Defender for Endpoint og vurderer identifiserte apper mot skyappkatalogen for å gi samsvars- og sikkerhetsinformasjon. Ved å konfigurere skyoppdagelse får du innsyn i skybruk, Skygge IT og kontinuerlig overvåking av appene som ikke er helliggjort, som brukes av brukerne.
Hvis du vil ha mer informasjon, kan du gjøre følgende:

Anbefalt fremgangsmåte: Konfigurer policyer for appoppdagelse for proaktivt å identifisere risikable, ikke-kompatible og populære apper
Detaljer: Policyer for appoppdagelse gjør det enklere å spore de betydelige oppdagede programmene i organisasjonen for å hjelpe deg med å administrere disse programmene effektivt. Opprett policyer for å motta varsler når du oppdager nye apper som identifiseres som enten risikable, ikke-kompatible, populære eller høyt volum.
Hvis du vil ha mer informasjon, kan du gjøre følgende:

Anbefalt fremgangsmåte: Administrer OAuth-apper som er autorisert av brukerne
Detalj: Mange brukere gir tilfeldigvis OAuth tillatelser til tredjepartsapper for å få tilgang til kontoinformasjonen sin, og ved å gjøre dette, utilsiktet også gi tilgang til dataene i andre skyapper. IT har vanligvis ingen innsyn i disse appene, noe som gjør det vanskelig å veie sikkerhetsrisikoen for en app mot produktivitetsfordelen den tilbyr.

Defender for Cloud Apps gir deg muligheten til å undersøke og overvåke apptillatelsene brukerne har gitt. Du kan bruke denne informasjonen til å identifisere en potensielt mistenkelig app, og hvis du finner ut at den er risikabel, kan du forby tilgang til den.
Hvis du vil ha mer informasjon, kan du gjøre følgende:



Bruk skystyringspolicyer

Anbefalt fremgangsmåte: Merke apper og eksportere blokkskript
Detalj: Når du har gått gjennom listen over oppdagede apper i organisasjonen, kan du sikre miljøet mot uønsket appbruk. Du kan bruke den godkjente koden på apper som er godkjent av organisasjonen og ikke-helliggjort-merket for apper som ikke er det. Du kan overvåke apper som ikke er helliggjort, ved hjelp av søkefiltre eller eksportere et skript for å blokkere apper som ikke er helliggjort, ved hjelp av lokale sikkerhetsapparater. Ved hjelp av koder og eksportskript kan du organisere appene dine og beskytte miljøet ditt ved bare å tillate at sikre apper åpnes.
Hvis du vil ha mer informasjon, kan du gjøre følgende:

Begrens eksponering av delte data og fremtving samarbeidspolicyer

Anbefalt fremgangsmåte: Koble til Microsoft 365
Detalj: Hvis du kobler Microsoft 365 til Defender for Cloud Apps får du umiddelbar innsyn i brukernes aktiviteter, filer de har tilgang til, og gir styringshandlinger for Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange og Dynamics.
Hvis du vil ha mer informasjon, kan du gjøre følgende:

Anbefalt fremgangsmåte: Koble til appene dine
Detalj: Hvis du kobler appene til Defender for Cloud Apps får du forbedret innsikt i brukernes aktiviteter, trusselregistrering og styringsfunksjoner. Hvis du vil se hvilke tredjeparts app-API-er som støttes, kan du gå til Koble til apper.

Hvis du vil ha mer informasjon, kan du gjøre følgende:

Anbefalt fremgangsmåte: Opprett policyer for å fjerne deling med personlige kontoer
Detalj: Hvis du kobler Microsoft 365 til Defender for Cloud Apps får du umiddelbar innsyn i brukernes aktiviteter, filer de har tilgang til, og gir styringshandlinger for Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange og Dynamics.
Hvis du vil ha mer informasjon, kan du gjøre følgende:

Oppdag, klassifiser, merk og beskytt regulerte og sensitive data som er lagret i skyen

Anbefalt fremgangsmåte: Integrere med Microsoft Purview informasjonsbeskyttelse
Detalj: Integrering med Microsoft Purview informasjonsbeskyttelse gir deg muligheten til å bruke følsomhetsetiketter automatisk og eventuelt legge til krypteringsbeskyttelse. Når integreringen er aktivert, kan du bruke etiketter som en styringshandling, vise filer etter klassifisering, undersøke filer etter klassifiseringsnivå og opprette detaljerte policyer for å sikre at klassifiserte filer håndteres på riktig måte. Hvis du ikke aktiverer integreringen, kan du ikke dra nytte av muligheten til å skanne, merke og kryptere filer i skyen automatisk.
Hvis du vil ha mer informasjon, kan du gjøre følgende:

Anbefalt fremgangsmåte: Opprett policyer for dataeksponering
Detalj: Bruk filpolicyer til å oppdage informasjonsdeling og søke etter konfidensiell informasjon i skyappene. Opprett følgende filpolicyer for å varsle deg når dataeksponeringer oppdages:

  • Filer som deles eksternt som inneholder sensitive data
  • Filer som deles eksternt og merket som Konfidensielt
  • Filer som deles med uautoriserte domener
  • Beskytt sensitive filer på SaaS-apper

Hvis du vil ha mer informasjon, kan du gjøre følgende:

Anbefalt fremgangsmåte: Se gjennom rapporter på Filer-siden
Detalj: Når du har koblet til ulike SaaS-apper ved hjelp av appkoblinger, skanner Defender for Cloud Apps filer som er lagret av disse appene. Hver gang en fil endres, skannes den i tillegg på nytt. Du kan bruke Filer-siden til å forstå og undersøke datatypene som lagres i skyappene. Du kan filtrere etter domener, grupper, brukere, opprettelsesdato, filtype, filnavn og type, fil-ID, følsomhetsetikett og mer for å hjelpe deg med å undersøke. Når du bruker disse filtrene, får du kontroll over hvordan du velger å undersøke filer for å sikre at ingen av dataene er i fare. Når du har en bedre forståelse av hvordan dataene brukes, kan du opprette policyer for å søke etter sensitivt innhold i disse filene.
Hvis du vil ha mer informasjon, kan du gjøre følgende:



Fremtving DLP og samsvarspolicyer for data som er lagret i skyen

Anbefalt fremgangsmåte: Beskytt konfidensielle data fra å deles med eksterne brukere
Detalj: Opprett en filpolicy som oppdager når en bruker prøver å dele en fil med etiketten for konfidensiell følsomhet med noen utenfor organisasjonen, og konfigurer styringshandlingen for å fjerne eksterne brukere. Denne policyen sikrer at konfidensielle data ikke forlater organisasjonen, og at eksterne brukere ikke får tilgang til dem.
Hvis du vil ha mer informasjon, kan du gjøre følgende:



Blokker og beskytt nedlasting av sensitive data til uadministrerte eller risikable enheter

Anbefalt fremgangsmåte: Administrere og kontrollere tilgang til enheter med høy risiko
Detalj: Bruk appkontroll for betinget tilgang til å angi kontroller for SaaS-appene. Du kan opprette øktpolicyer for å overvåke økter med høy risiko og lav klarering. På samme måte kan du opprette øktpolicyer for å blokkere og beskytte nedlastinger av brukere som prøver å få tilgang til sensitive data fra uadministrerte eller risikable enheter. Hvis du ikke oppretter øktpolicyer for å overvåke økter med høy risiko, mister du muligheten til å blokkere og beskytte nedlastinger i nettklienten, samt muligheten til å overvåke økter med lav klarering både i Microsoft- og tredjepartsapper.
Hvis du vil ha mer informasjon, kan du gjøre følgende:



Sikre samarbeid med eksterne brukere ved å håndheve øktkontroller i sanntid

Anbefalt fremgangsmåte: Overvåk økter med eksterne brukere ved hjelp av appkontroll for betinget tilgang
Detalj: Hvis du vil sikre samarbeid i miljøet ditt, kan du opprette en øktpolicy for å overvåke økter mellom interne og eksterne brukere. Dette gir deg ikke bare muligheten til å overvåke økten mellom brukerne (og varsle dem om at øktaktivitetene deres overvåkes), men du kan også begrense bestemte aktiviteter. Når du oppretter øktpolicyer for å overvåke aktivitet, kan du velge appene og brukerne du vil overvåke.
Hvis du vil ha mer informasjon, kan du gjøre følgende:



Oppdage skytrusler, kompromitterte kontoer, ondsinnede innsidere og løsepengevirus

Anbefalt fremgangsmåte: Justere avvikspolicyer, angi IP-områder, sende tilbakemelding for varsler
Detalj: Policyer for avviksregistrering gir forhåndsdefinerte bruker- og enhetsatferdsanalyser (UEBA) og maskinlæring (ML), slik at du umiddelbart kan kjøre avansert trusselregistrering på tvers av skymiljøet.

Policyer for avviksregistrering utløses når det utføres uvanlige aktiviteter av brukerne i miljøet ditt. Defender for Cloud Apps kontinuerlig overvåker brukernes aktiviteter og bruker UEBA og ML til å lære og forstå den normale atferden til brukerne. Du kan justere policyinnstillingene slik at de passer organisasjonens krav, for eksempel kan du angi følsomheten for en policy, samt begrense en policy til en bestemt gruppe.

  • Tune og Policyer for avviksregistrering for omfang: Hvis du for eksempel vil redusere antall falske positiver i det umulige reisevarselet, kan du angi glidebryteren for følsomhet for policyen til lav. Hvis du har brukere i organisasjonen som er hyppige forretningsreisende, kan du legge dem til i en brukergruppe og velge den gruppen i omfanget av policyen.

  • Angi IP-områder: Defender for Cloud Apps kan identifisere kjente IP-adresser når IP-adresseområder er angitt. Når IP-adresseområder er konfigurert, kan du merke, kategorisere og tilpasse måten logger og varsler vises og undersøkes på. Å legge til IP-adresseområder bidrar til å redusere falske positive gjenkjenninger og forbedre nøyaktigheten til varsler. Hvis du velger å ikke legge til IP-adressene dine, kan du se et økt antall mulige falske positiver og varsler å undersøke.

  • Send tilbakemelding for varsler

    Når du lukker eller løser varsler, må du sørge for å sende tilbakemelding med grunnen til at du har avvist varselet eller hvordan det er løst. Denne informasjonen hjelper Defender for Cloud Apps med å forbedre varslene våre og redusere falske positiver.

Hvis du vil ha mer informasjon, kan du gjøre følgende:

Anbefalt fremgangsmåte: Oppdag aktivitet fra uventede plasseringer eller land/områder
Detalj: Opprett en aktivitetspolicy for å varsle deg når brukere logger på fra uventede steder eller land/områder. Disse varslene kan varsle deg om kanskje kompromitterte økter i miljøet ditt, slik at du kan oppdage og utbedre trusler før de oppstår.
Hvis du vil ha mer informasjon, kan du gjøre følgende:

Anbefalt fremgangsmåte: Opprett OAuth-apppolicyer
Detalj: Opprett en OAuth-apppolicy for å varsle deg når en OAuth-app oppfyller bestemte kriterier. Du kan for eksempel velge å bli varslet når en bestemt app som krever et høyt tilgangsnivå, ble åpnet av mer enn 100 brukere.
Hvis du vil ha mer informasjon, kan du gjøre følgende:



Bruk revisjonssporet for aktiviteter for rettsmedisinske undersøkelser

Anbefalt fremgangsmåte: Bruk revisjonssporet for aktiviteter når du undersøker varsler
Detalj: Varsler utløses når bruker-, administrator- eller påloggingsaktiviteter ikke overholder policyene dine. Det er viktig å undersøke varsler for å forstå om det er en mulig trussel i miljøet ditt.

Du kan undersøke et varsel ved å velge det på Varsler-siden og se gjennom revisjonssporet for aktiviteter relatert til dette varselet. Revisjonssporet gir deg innsyn i aktiviteter av samme type, samme bruker, samme IP-adresse og plassering, for å gi deg den generelle historien om et varsel. Hvis et varsel krever videre undersøkelser, kan du opprette en plan for å løse disse varslene i organisasjonen.

Når du lukker varsler, er det viktig å undersøke og forstå hvorfor de ikke har noen betydning, eller om de er falske positive. Hvis det er et stort volum av slike aktiviteter, kan du også vurdere å se gjennom og justere policyen som utløser varselet.
Hvis du vil ha mer informasjon, kan du gjøre følgende:



Sikre IaaS-tjenester og egendefinerte apper

Anbefalt fremgangsmåte: Koble til Azure, AWS og GCP
Detaljer: Hvis du kobler hver av disse skyplattformene til Defender for Cloud Apps kan du forbedre funksjonene for trusselregistrering. Ved å overvåke administrative aktiviteter og påloggingsaktiviteter for disse tjenestene, kan du oppdage og bli varslet om mulig brute force-angrep, ondsinnet bruk av en privilegert brukerkonto og andre trusler i miljøet ditt. Du kan for eksempel identifisere risikoer som uvanlige slettinger av virtuelle maskiner, eller til og med representasjonsaktiviteter i disse appene.
Hvis du vil ha mer informasjon, kan du gjøre følgende:

Anbefalt fremgangsmåte: Innebygde egendefinerte apper
Detalj: Hvis du vil få mer synlighet i aktiviteter fra bransjespesifikke apper, kan du legge inn egendefinerte apper for å Defender for Cloud Apps. Når egendefinerte apper er konfigurert, ser du informasjon om hvem som bruker dem, IP-adressene de brukes fra, og hvor mye trafikk som kommer inn og ut av appen.

I tillegg kan du gå om bord i en egendefinert app som en appkontrollapp for betinget tilgang for å overvåke øktene med lav klarering. Microsoft Entra ID apper registreres automatisk.

Hvis du vil ha mer informasjon, kan du gjøre følgende: