Delen via

Aanbevolen procedures voor het beveiligen van uw organisatie met Defender for Cloud Apps

  • Artikel

Dit artikel bevat aanbevolen procedures voor het beveiligen van uw organisatie met behulp van Microsoft Defender for Cloud Apps. Deze best practices komen uit onze ervaring met Defender for Cloud Apps en de ervaringen van klanten zoals u.

De aanbevolen procedures die in dit artikel worden besproken, zijn onder andere:

Cloud-apps detecteren en evalueren

Als u Defender for Cloud Apps integreert met Microsoft Defender voor Eindpunt, kunt u clouddetectie buiten uw bedrijfsnetwerk gebruiken of beveiligde webgateways gebruiken. Met de gecombineerde gebruikers- en apparaatgegevens kunt u riskante gebruikers of apparaten identificeren, zien welke apps ze gebruiken en verder onderzoeken in de Defender voor Eindpunt-portal.

Best practice: Schaduw-IT-detectie inschakelen met defender voor eindpunt
Detail: Cloud Discovery analyseert verkeerslogboeken die zijn verzameld door Defender for Endpoint en beoordeelt geïdentificeerde apps aan de cloud-app-catalogus om nalevings- en beveiligingsinformatie te verstrekken. Door clouddetectie te configureren, krijgt u inzicht in cloudgebruik, Schaduw-IT en continue bewaking van de niet-sanctioned apps die door uw gebruikers worden gebruikt.
Voor meer informatie:

Best practice: App Discovery-beleid configureren om riskante, niet-compatibele en trending apps proactief te identificeren
Details: App Discovery-beleid maakt het gemakkelijker om de belangrijke gedetecteerde toepassingen in uw organisatie bij te houden, zodat u deze toepassingen efficiënt kunt beheren. Maak beleid om waarschuwingen te ontvangen bij het detecteren van nieuwe apps die zijn geïdentificeerd als riskant, niet-compatibel, trending of hoog volume.
Voor meer informatie:

Best practice: OAuth-apps beheren die zijn geautoriseerd door uw gebruikers
Detail: Veel gebruikers verlenen toevallig OAuth-machtigingen aan apps van derden voor toegang tot hun accountgegevens en geven daardoor onbedoeld ook toegang tot hun gegevens in andere cloud-apps. Meestal heeft IT geen inzicht in deze apps, waardoor het moeilijk is om het beveiligingsrisico van een app af te wegen tegen het productiviteitsvoordeel dat deze biedt.

Defender for Cloud Apps biedt u de mogelijkheid om de app-machtigingen die uw gebruikers hebben verleend te onderzoeken en te bewaken. U kunt deze informatie gebruiken om een mogelijk verdachte app te identificeren en, als u vaststelt dat deze riskant is, kunt u de toegang tot deze app verbieden.
Voor meer informatie:

Beleid voor cloudgovernance toepassen

Best practice: Apps taggen en blokscripts exporteren
Detail: Nadat u de lijst met gedetecteerde apps in uw organisatie hebt bekeken, kunt u uw omgeving beveiligen tegen ongewenst app-gebruik. U kunt de tag Goedgekeurd toepassen op apps die zijn goedgekeurd door uw organisatie en de tag Niet-goedgekeurd op apps die dat niet zijn. U kunt niet-sanctioned apps bewaken met behulp van detectiefilters of een script exporteren om niet-sanctioneerde apps te blokkeren met uw on-premises beveiligingsapparaten. Met tags en exportscripts kunt u uw apps organiseren en uw omgeving beveiligen door alleen toegang te verlenen tot veilige apps.
Voor meer informatie:

Blootstelling van gedeelde gegevens beperken en samenwerkingsbeleid afdwingen

Best practice: Verbinding maken met Microsoft 365
Details: Microsoft 365 verbinden met Defender for Cloud Apps geeft u direct inzicht in de activiteiten van uw gebruikers, bestanden die ze openen en biedt beheeracties voor Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange en Dynamics.
Voor meer informatie:

Best practice: Uw apps verbinden
Detail: door uw apps te verbinden met Defender for Cloud Apps krijgt u meer inzicht in de activiteiten, detectie van bedreigingen en governancemogelijkheden van uw gebruikers. Als u wilt zien welke app-API's van derden worden ondersteund, gaat u naar Apps verbinden.

Voor meer informatie:

Best practice: Beleid maken om delen met persoonlijke accounts te verwijderen
Details: Microsoft 365 verbinden met Defender for Cloud Apps geeft u direct inzicht in de activiteiten van uw gebruikers, bestanden die ze openen en biedt beheeracties voor Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange en Dynamics.
Voor meer informatie:

Ontdek, classificeer, label en bescherm gereguleeerde en vertrouwelijke gegevens die zijn opgeslagen in de cloud

Best practice: Integreren met Microsoft Purview Informatiebeveiliging
Detail: integratie met Microsoft Purview Informatiebeveiliging biedt u de mogelijkheid om automatisch vertrouwelijkheidslabels toe te passen en optioneel versleutelingsbeveiliging toe te voegen. Zodra de integratie is ingeschakeld, kunt u labels toepassen als een governance-actie, bestanden bekijken op classificatie, bestanden onderzoeken op classificatieniveau en gedetailleerd beleid maken om ervoor te zorgen dat geclassificeerde bestanden correct worden verwerkt. Als u de integratie niet inschakelt, kunt u niet profiteren van de mogelijkheid om bestanden in de cloud automatisch te scannen, labelen en versleutelen.
Voor meer informatie:

Best practice: Beleid voor gegevensblootstelling maken
Details: Gebruik bestandsbeleid om het delen van gegevens te detecteren en te scannen op vertrouwelijke informatie in uw cloud-apps. Maak het volgende bestandsbeleid om u te waarschuwen wanneer gegevensblootstelling wordt gedetecteerd:

  • Extern gedeelde bestanden met gevoelige gegevens
  • Bestanden die extern worden gedeeld en zijn gelabeld als Vertrouwelijk
  • Bestanden die worden gedeeld met niet-geautoriseerde domeinen
  • Gevoelige bestanden in SaaS-apps beveiligen

Voor meer informatie:

Best practice: Rapporten controleren op de pagina Bestanden
Detail: zodra u verschillende SaaS-apps hebt verbonden met behulp van app-connectors, scant Defender for Cloud Apps bestanden die door deze apps zijn opgeslagen. Bovendien wordt elke keer dat een bestand wordt gewijzigd, het opnieuw gescand. U kunt de pagina Bestanden gebruiken om inzicht te krijgen in en te onderzoeken welke typen gegevens in uw cloud-apps worden opgeslagen. Om u te helpen bij het onderzoeken kunt u filteren op domeinen, groepen, gebruikers, aanmaakdatum, extensie, bestandsnaam en type, bestands-id, vertrouwelijkheidslabel en meer. Als u deze filters gebruikt, hebt u de controle over hoe u bestanden wilt onderzoeken om ervoor te zorgen dat geen van uw gegevens risico loopt. Zodra u meer inzicht hebt in hoe uw gegevens worden gebruikt, kunt u beleid maken om te scannen op gevoelige inhoud in deze bestanden.
Voor meer informatie:

DLP- en nalevingsbeleid afdwingen voor gegevens die zijn opgeslagen in de cloud

Best practice: Vertrouwelijke gegevens beveiligen tegen delen met externe gebruikers
Details: Maak een bestandsbeleid dat detecteert wanneer een gebruiker probeert een bestand met het vertrouwelijkheidslabel Vertrouwelijk te delen met iemand buiten uw organisatie, en configureer de governance-actie om externe gebruikers te verwijderen. Dit beleid zorgt ervoor dat uw vertrouwelijke gegevens uw organisatie niet verlaten en dat externe gebruikers er geen toegang toe kunnen krijgen.
Voor meer informatie:

Het downloaden van gevoelige gegevens naar onbeheerde of riskante apparaten blokkeren en beveiligen

Best practice: Toegang tot apparaten met een hoog risico beheren en beheren
Details: App-beheer voor voorwaardelijke toegang gebruiken om besturingselementen in te stellen voor uw SaaS-apps. U kunt sessiebeleid maken om uw sessies met een hoog risico en een laag vertrouwensrelatie te bewaken. Op dezelfde manier kunt u sessiebeleid maken om downloads te blokkeren en te beveiligen door gebruikers die toegang proberen te krijgen tot gevoelige gegevens van onbeheerde of riskante apparaten. Als u geen sessiebeleid maakt om sessies met een hoog risico te bewaken, verliest u de mogelijkheid om downloads in de webclient te blokkeren en te beveiligen, evenals de mogelijkheid om sessies met een laag vertrouwen te bewaken, zowel in Microsoft- als apps van derden.
Voor meer informatie:

Samenwerking met externe gebruikers beveiligen door realtime sessiebesturingselementen af te dwingen

Best practice: Sessies met externe gebruikers bewaken met app-beheer voor voorwaardelijke toegang
Detail: om de samenwerking in uw omgeving te beveiligen, kunt u een sessiebeleid maken om sessies tussen uw interne en externe gebruikers te bewaken. Dit biedt u niet alleen de mogelijkheid om de sessie tussen uw gebruikers te bewaken (en hen te informeren dat hun sessieactiviteiten worden bewaakt), maar u kunt ook specifieke activiteiten beperken. Wanneer u sessiebeleid maakt om activiteiten te bewaken, kunt u de apps en gebruikers kiezen die u wilt bewaken.
Voor meer informatie:

Cloudbedreigingen, gecompromitteerde accounts, kwaadwillende insiders en ransomware detecteren

Best practice: Anomaliebeleid afstemmen, IP-bereiken instellen, feedback verzenden voor waarschuwingen
Detail: Anomaliedetectiebeleid biedt out-of-the-box UEBA (UEBA) en machine learning (ML), zodat u onmiddellijk geavanceerde detectie van bedreigingen in uw cloudomgeving kunt uitvoeren.

Anomaliedetectiebeleid wordt geactiveerd wanneer er ongebruikelijke activiteiten worden uitgevoerd door de gebruikers in uw omgeving. Defender for Cloud Apps controleert voortdurend de activiteiten van uw gebruikers en gebruikt UEBA en ML om het normale gedrag van uw gebruikers te leren en te begrijpen. U kunt beleidsinstellingen afstemmen op de vereisten van uw organisatie. U kunt bijvoorbeeld de gevoeligheid van een beleid instellen en een beleid instellen op een specifieke groep.

  • Beleid voor anomaliedetectie afstemmen en bereiken: Als u bijvoorbeeld het aantal fout-positieven in de waarschuwing voor onmogelijke reizen wilt verminderen, kunt u de gevoeligheidsschuifregelaar van het beleid instellen op laag. Als u gebruikers in uw organisatie hebt die vaak zakelijke reizigers zijn, kunt u deze toevoegen aan een gebruikersgroep en die groep selecteren in het bereik van het beleid.

  • IP-bereiken instellen: Defender for Cloud Apps kunt bekende IP-adressen identificeren zodra IP-adresbereiken zijn ingesteld. Als IP-adresbereiken zijn geconfigureerd, kunt u de manier waarop logboeken en waarschuwingen worden weergegeven en onderzocht taggen, categoriseren en aanpassen. Het toevoegen van IP-adresbereiken helpt fout-positieve detecties te verminderen en de nauwkeurigheid van waarschuwingen te verbeteren. Als u ervoor kiest om uw IP-adressen niet toe te voegen, ziet u mogelijk een verhoogd aantal mogelijke fout-positieven en waarschuwingen om te onderzoeken.

  • Feedback verzenden voor waarschuwingen

    Wanneer u waarschuwingen sluit of oplost, moet u feedback verzenden met de reden waarom u de waarschuwing hebt verwijderd of hoe deze is opgelost. Deze informatie helpt Defender for Cloud Apps om onze waarschuwingen te verbeteren en fout-positieven te verminderen.

Voor meer informatie:

Best practice: Activiteit detecteren van onverwachte locaties of landen/regio's
Details: maak een activiteitsbeleid om u te informeren wanneer gebruikers zich aanmelden vanaf onverwachte locaties of landen/regio's. Deze meldingen kunnen u waarschuwen voor mogelijk aangetaste sessies in uw omgeving, zodat u bedreigingen kunt detecteren en herstellen voordat ze optreden.
Voor meer informatie:

Best practice: OAuth-app-beleid maken
Detail: maak een OAuth-app-beleid om u te informeren wanneer een OAuth-app aan bepaalde criteria voldoet. U kunt er bijvoorbeeld voor kiezen om een melding te ontvangen wanneer een specifieke app waarvoor een hoog machtigingsniveau is vereist, is geopend door meer dan 100 gebruikers.
Voor meer informatie:

De audittrail van activiteiten gebruiken voor forensisch onderzoek

Aanbevolen procedure: Gebruik de audittrail van activiteiten bij het onderzoeken van waarschuwingen
Details: er worden waarschuwingen geactiveerd wanneer gebruikers-, beheerders- of aanmeldingsactiviteiten niet voldoen aan uw beleid. Het is belangrijk om waarschuwingen te onderzoeken om te begrijpen of er een mogelijke bedreiging in uw omgeving is.

U kunt een waarschuwing onderzoeken door deze te selecteren op de pagina Waarschuwingen en het audittrail van activiteiten met betrekking tot die waarschuwing te bekijken. De audittrail geeft u inzicht in activiteiten van hetzelfde type, dezelfde gebruiker, hetzelfde IP-adres en dezelfde locatie, om u het algemene verhaal van een waarschuwing te bieden. Als een waarschuwing verder onderzoek rechtvaardigt, maakt u een plan om deze waarschuwingen in uw organisatie op te lossen.

Wanneer u waarschuwingen negeert, is het belangrijk om te onderzoeken en te begrijpen waarom ze niet van belang zijn of dat ze fout-positieven zijn. Als er een groot aantal van dergelijke activiteiten is, kunt u ook overwegen om het beleid te controleren en af te stemmen om de waarschuwing te activeren.
Voor meer informatie:

IaaS-services en aangepaste apps beveiligen

Best practice: Verbinding maken met Azure, AWS en GCP
Detail: het verbinden van elk van deze cloudplatforms met Defender for Cloud Apps helpt u bij het verbeteren van de mogelijkheden voor het detecteren van bedreigingen. Door beheer- en aanmeldingsactiviteiten voor deze services te bewaken, kunt u mogelijke brute force-aanvallen, kwaadwillend gebruik van een bevoegde gebruikersaccount en andere bedreigingen in uw omgeving detecteren en op de hoogte worden gesteld. U kunt bijvoorbeeld risico's identificeren, zoals ongebruikelijke verwijderingen van VM's of zelfs imitatieactiviteiten in deze apps.
Voor meer informatie:

Best practice: Aangepaste apps onboarden
Details: Als u extra inzicht wilt krijgen in activiteiten van uw Line-Of-Business-apps, kunt u aangepaste apps onboarden voor Defender for Cloud Apps. Zodra aangepaste apps zijn geconfigureerd, ziet u informatie over wie ze gebruikt, de IP-adressen waarvan ze worden gebruikt en hoeveel verkeer de app binnenkomt en uitkomt.

Daarnaast kunt u een aangepaste app onboarden als app-beheer-app voor voorwaardelijke toegang om hun sessies met weinig vertrouwen te bewaken. Microsoft Entra ID apps worden automatisch onboarding uitgevoerd.

Voor meer informatie: