Udostępnij za pośrednictwem

Najlepsze rozwiązania dotyczące ochrony organizacji za pomocą Defender for Cloud Apps

  • Artykuł

Ten artykuł zawiera najlepsze rozwiązania dotyczące ochrony organizacji przy użyciu Microsoft Defender for Cloud Apps. Te najlepsze rozwiązania pochodzą z naszego doświadczenia z Defender for Cloud Apps i doświadczeniami klientów takich jak Ty.

Najlepsze rozwiązania omówione w tym artykule obejmują:

Odnajdywanie i ocenianie aplikacji w chmurze

Integracja Defender for Cloud Apps z Ochrona punktu końcowego w usłudze Microsoft Defender umożliwia korzystanie z odnajdywania w chmurze poza siecią firmową lub bezpiecznymi bramami internetowymi. Dzięki połączonym informacjom o użytkowniku i urządzeniu możesz zidentyfikować ryzykownych użytkowników lub urządzenia, zobaczyć, jakich aplikacji używają, i zbadać dokładniej w portalu usługi Defender for Endpoint.

Najlepsze rozwiązanie: włączanie odnajdywania it w tle przy użyciu usługi Defender for Endpoint
Szczegóły: funkcja odnajdywania w chmurze analizuje dzienniki ruchu zbierane przez usługę Defender for Endpoint i ocenia zidentyfikowane aplikacje względem katalogu aplikacji w chmurze w celu zapewnienia zgodności i informacji o zabezpieczeniach. Konfigurując odnajdywanie w chmurze, uzyskujesz wgląd w korzystanie z chmury, w tle it i ciągłe monitorowanie niesankcjonowanych aplikacji używanych przez użytkowników.
Aby uzyskać więcej informacji:

Najlepsze rozwiązanie: konfigurowanie zasad odnajdywania aplikacji w celu proaktywnego identyfikowania ryzykownych, niezgodnych i popularnych aplikacji
Szczegóły: Zasady odnajdywania aplikacji ułatwiają śledzenie znaczących odnalezionych aplikacji w organizacji, aby ułatwić wydajne zarządzanie tymi aplikacjami. Utwórz zasady, aby otrzymywać alerty podczas wykrywania nowych aplikacji, które są identyfikowane jako ryzykowne, niezgodne, popularne lub duże.
Aby uzyskać więcej informacji:

Najlepsze rozwiązanie: zarządzanie aplikacjami OAuth autoryzowanymi przez użytkowników
Szczegóły: Wielu użytkowników od niechcenia przyznaje aplikacjom innych firm uprawnienia OAuth w celu uzyskania dostępu do informacji o koncie, a w ten sposób nieumyślnie udziela dostępu do swoich danych w innych aplikacjach w chmurze. Zwykle it nie ma wglądu w te aplikacje, co utrudnia ważenie ryzyka bezpieczeństwa aplikacji w stosunku do korzyści produktywności, które zapewnia.

Defender for Cloud Apps umożliwia badanie i monitorowanie uprawnień aplikacji przyznanych użytkownikom. Te informacje umożliwiają zidentyfikowanie potencjalnie podejrzanej aplikacji, a jeśli stwierdzisz, że jest ona ryzykowna, możesz zablokować dostęp do niej.
Aby uzyskać więcej informacji:

Stosowanie zasad ładu w chmurze

Najlepsze rozwiązanie: tagowanie aplikacji i eksportowanie skryptów blokowych
Szczegóły: po przejrzeniu listy odnalezionych aplikacji w organizacji możesz zabezpieczyć środowisko przed niepożądanym użyciem aplikacji. Tag Zaakceptowane można zastosować do aplikacji zatwierdzonych przez organizację i tagu Unsanctioned do aplikacji, które nie są. Możesz monitorować niesankcjonowane aplikacje przy użyciu filtrów odnajdywania lub eksportować skrypt w celu blokowania niesankcjonowanych aplikacji przy użyciu lokalnych urządzeń zabezpieczeń. Używanie tagów i skryptów eksportowania umożliwia organizowanie aplikacji i ochronę środowiska przez zezwolenie na dostęp tylko do bezpiecznych aplikacji.
Aby uzyskać więcej informacji:

Ograniczanie ekspozycji udostępnionych danych i wymuszanie zasad współpracy

Najlepsze rozwiązanie: Łączenie z platformą Microsoft 365
Szczegóły: łączenie platformy Microsoft 365 z usługą Defender for Cloud Apps zapewnia natychmiastowy wgląd w działania użytkowników, pliki, do których uzyskują dostęp, oraz zapewnia akcje ładu dla platformy Microsoft 365, sharepoint, onedrive, teams, power bi, exchange i dynamics.
Aby uzyskać więcej informacji:

Najlepsze rozwiązanie: łączenie aplikacji
Szczegóły: Łączenie aplikacji z Defender for Cloud Apps zapewnia lepszy wgląd w działania użytkowników, wykrywanie zagrożeń i możliwości ładu. Aby zobaczyć, które interfejsy API aplikacji innych firm są obsługiwane, przejdź do pozycji Połącz aplikacje.

Aby uzyskać więcej informacji:

Najlepsze rozwiązanie: tworzenie zasad w celu usunięcia udostępniania przy użyciu kont osobistych
Szczegóły: łączenie platformy Microsoft 365 z usługą Defender for Cloud Apps zapewnia natychmiastowy wgląd w działania użytkowników, pliki, do których uzyskują dostęp, oraz zapewnia akcje ładu dla platformy Microsoft 365, sharepoint, onedrive, teams, power bi, exchange i dynamics.
Aby uzyskać więcej informacji:

Odnajdywanie, klasyfikowanie, etykietowanie i ochrona danych regulowanych i poufnych przechowywanych w chmurze

Najlepsze rozwiązanie: integracja z Microsoft Purview Information Protection
Szczegóły: integracja z Microsoft Purview Information Protection zapewnia możliwość automatycznego stosowania etykiet poufności i opcjonalnego dodawania ochrony szyfrowania. Po włączeniu integracji można zastosować etykiety jako akcję ładu, wyświetlać pliki według klasyfikacji, badać pliki według poziomu klasyfikacji i tworzyć szczegółowe zasady, aby upewnić się, że pliki sklasyfikowane są prawidłowo obsługiwane. Jeśli integracja nie zostanie włączona, nie możesz skorzystać z możliwości automatycznego skanowania, etykietowania i szyfrowania plików w chmurze.
Aby uzyskać więcej informacji:

Najlepsze rozwiązanie: tworzenie zasad ekspozycji na dane
Szczegóły: użyj zasad plików do wykrywania udostępniania informacji i skanowania w poszukiwaniu poufnych informacji w aplikacjach w chmurze. Utwórz następujące zasady plików, aby otrzymywać alerty w przypadku wykrycia ekspozycji danych:

  • Pliki udostępnione zewnętrznie zawierające dane poufne
  • Pliki udostępnione zewnętrznie i oznaczone jako poufne
  • Pliki udostępnione nieautoryzowanym domenom
  • Ochrona poufnych plików w aplikacjach SaaS

Aby uzyskać więcej informacji:

Najlepsze rozwiązanie: przeglądanie raportów na stronie Pliki
Szczegóły: po połączeniu różnych aplikacji SaaS przy użyciu łączników aplikacji Defender for Cloud Apps skanuje pliki przechowywane przez te aplikacje. Ponadto za każdym razem, gdy plik jest modyfikowany, jest on ponownie skanowany. Możesz użyć strony Pliki , aby zrozumieć i zbadać typy danych przechowywanych w aplikacjach w chmurze. Aby ułatwić badanie, możesz filtrować według domen, grup, użytkowników, daty utworzenia, rozszerzenia, nazwy i typu pliku, identyfikatora pliku, etykiety poufności i innych. Użycie tych filtrów umożliwia kontrolowanie sposobu badania plików w celu upewnienia się, że żadne dane nie są zagrożone. Po lepszym zrozumieniu sposobu użycia danych można utworzyć zasady skanowania pod kątem poufnej zawartości w tych plikach.
Aby uzyskać więcej informacji:

Wymuszanie zasad DLP i zgodności danych przechowywanych w chmurze

Najlepsze rozwiązanie: ochrona poufnych danych przed udostępnianiem użytkownikom zewnętrznym
Szczegóły: utwórz zasady plików, które wykrywają, kiedy użytkownik próbuje udostępnić plik z etykietą Poufności poufności osobie zewnętrznej organizacji, i skonfiguruj jego akcję ładu w celu usunięcia użytkowników zewnętrznych. Te zasady zapewniają, że poufne dane nie opuszczają organizacji, a użytkownicy zewnętrzni nie mogą uzyskać do nich dostępu.
Aby uzyskać więcej informacji:

Blokuj i chroń pobieranie poufnych danych na urządzenia niezarządzane lub ryzykowne

Najlepsze rozwiązanie: zarządzanie dostępem do urządzeń wysokiego ryzyka i kontrolowanie go
Szczegóły: użyj kontroli aplikacji dostępu warunkowego, aby ustawić kontrolki w aplikacjach SaaS. Możesz utworzyć zasady sesji w celu monitorowania sesji wysokiego ryzyka i niskiego zaufania. Podobnie można tworzyć zasady sesji, aby blokować i chronić pliki do pobrania przez użytkowników próbujących uzyskać dostęp do poufnych danych z urządzeń niezarządzanych lub ryzykownych. Jeśli nie utworzysz zasad sesji w celu monitorowania sesji wysokiego ryzyka, utracisz możliwość blokowania i ochrony pobierania w kliencie internetowym, a także możliwość monitorowania sesji o niskim poziomie zaufania zarówno w aplikacjach firmy Microsoft, jak i w aplikacjach innych firm.
Aby uzyskać więcej informacji:

Zabezpieczanie współpracy z użytkownikami zewnętrznymi przez wymuszanie kontrolek sesji w czasie rzeczywistym

Najlepsze rozwiązanie: monitorowanie sesji z użytkownikami zewnętrznymi przy użyciu kontroli aplikacji dostępu warunkowego
Szczegóły: Aby zabezpieczyć współpracę w środowisku, można utworzyć zasady sesji do monitorowania sesji między użytkownikami wewnętrznymi i zewnętrznymi. Dzięki temu można nie tylko monitorować sesję między użytkownikami (i powiadamiać ich o monitorowaniu działań sesji), ale także ograniczyć określone działania. Podczas tworzenia zasad sesji do monitorowania aktywności można wybrać aplikacje i użytkowników, które chcesz monitorować.
Aby uzyskać więcej informacji:

Wykrywanie zagrożeń w chmurze, naruszeń kont, złośliwych wewnętrznych i oprogramowania wymuszającego okup

Najlepsze rozwiązanie: dostrajanie zasad anomalii, ustawianie zakresów adresów IP, wysyłanie opinii o alertach
Szczegóły: Zasady wykrywania anomalii zapewniają wbudowaną analizę zachowań użytkowników i jednostek (UEBA) oraz uczenie maszynowe (ML), dzięki czemu można natychmiast uruchomić zaawansowane wykrywanie zagrożeń w środowisku chmury.

Zasady wykrywania anomalii są wyzwalane w przypadku nietypowych działań wykonywanych przez użytkowników w środowisku. Defender for Cloud Apps stale monitoruje działania użytkowników i korzysta z interfejsu UEBA i uczenia maszynowego, aby poznać i zrozumieć normalne zachowanie użytkowników. Możesz dostosować ustawienia zasad, aby dopasować je do wymagań organizacji, na przykład możesz ustawić czułość zasad, a także określić zakres zasad dla określonej grupy.

  • Dostrajanie i określanie zakresu zasad wykrywania anomalii: na przykład aby zmniejszyć liczbę wyników fałszywie dodatnich w ramach alertu o niemożliwym ruchu, można ustawić suwak poufności zasad na niski. Jeśli masz użytkowników w swojej organizacji, którzy często podróżują firmowo, możesz dodać ich do grupy użytkowników i wybrać tę grupę w zakresie zasad.

  • Ustaw zakresy adresów IP: Defender for Cloud Apps może identyfikować znane adresy IP po ustawieniu zakresów adresów IP. Po skonfigurowaniu zakresów adresów IP można tagować, kategoryzować i dostosowywać sposób wyświetlania i badania dzienników i alertów. Dodanie zakresów adresów IP pomaga zmniejszyć liczbę wykrywania fałszywie dodatniego i zwiększyć dokładność alertów. Jeśli nie chcesz dodawać adresów IP, może zostać wyświetlona zwiększona liczba możliwych wyników fałszywie dodatnich i alertów do zbadania.

  • Wysyłanie opinii o alertach

    Podczas odrzucania lub rozwiązywania alertów należy wysłać opinię z przyczyną odrzucenia alertu lub sposobem jego rozwiązania. Te informacje ułatwiają Defender for Cloud Apps ulepszanie alertów i zmniejszanie liczby fałszywych alarmów.

Aby uzyskać więcej informacji:

Najlepsze rozwiązanie: wykrywanie aktywności z nieoczekiwanych lokalizacji lub krajów/regionów
Szczegóły: utwórz zasady działania, aby powiadomić Użytkownika, gdy użytkownicy logują się z nieoczekiwanych lokalizacji lub krajów/regionów. Te powiadomienia mogą ostrzegać o ewentualnych naruszeniach zabezpieczeń sesji w środowisku, dzięki czemu można wykrywać i korygować zagrożenia przed ich wystąpieniem.
Aby uzyskać więcej informacji:

Najlepsze rozwiązanie: tworzenie zasad aplikacji OAuth
Szczegóły: utwórz zasady aplikacji OAuth, aby powiadomić Cię, gdy aplikacja OAuth spełnia określone kryteria. Na przykład możesz zdecydować się na powiadomienie, gdy do określonej aplikacji wymagającej wysokiego poziomu uprawnień uzyskuje dostęp ponad 100 użytkowników.
Aby uzyskać więcej informacji:

Korzystanie ze ścieżki inspekcji działań na potrzeby badań kryminalistycznych

Najlepsze rozwiązanie: używanie dziennika inspekcji działań podczas badania alertów
Szczegóły: Alerty są wyzwalane, gdy działania użytkownika, administratora lub logowania nie są zgodne z zasadami. Ważne jest, aby zbadać alerty, aby zrozumieć, czy istnieje możliwe zagrożenie w środowisku.

Alert można zbadać, wybierając go na stronie Alerty i przeglądając dziennik inspekcji działań związanych z tym alertem. Dziennik inspekcji zapewnia wgląd w działania tego samego typu, tego samego użytkownika, tego samego adresu IP i lokalizacji, aby zapewnić ogólną historię alertu. Jeśli alert wymaga dalszego zbadania, utwórz plan rozwiązywania tych alertów w organizacji.

Podczas odrzucania alertów należy zbadać i zrozumieć, dlaczego nie mają znaczenia lub czy są fałszywie dodatnie. Jeśli istnieje duża liczba takich działań, warto również rozważyć przejrzenie i dostrojenie zasad wyzwalających alert.
Aby uzyskać więcej informacji:

Zabezpieczanie usług IaaS i aplikacji niestandardowych

Najlepsze rozwiązanie: łączenie platformy Azure, usług AWS i GCP
Szczegóły: Połączenie każdej z tych platform w chmurze z Defender for Cloud Apps pomaga ulepszyć możliwości wykrywania zagrożeń. Monitorując działania administracyjne i logowania dla tych usług, można wykrywać i powiadamiać o możliwych atakach siłowych, złośliwym użyciu uprzywilejowanego konta użytkownika i innych zagrożeniach w środowisku. Można na przykład zidentyfikować zagrożenia, takie jak nietypowe usunięcie maszyn wirtualnych, a nawet działania personifikacji w tych aplikacjach.
Aby uzyskać więcej informacji:

Najlepsze rozwiązanie: dołączanie aplikacji niestandardowych
Szczegóły: aby uzyskać dodatkowy wgląd w działania z aplikacji biznesowych, możesz dołączyć aplikacje niestandardowe do Defender for Cloud Apps. Po skonfigurowaniu aplikacji niestandardowych zostaną wyświetlone informacje o tym, kto z nich korzysta, adresy IP, z których są używane, oraz o tym, ile ruchu dociera do aplikacji i z niej wychodzi.

Ponadto możesz dołączyć aplikację niestandardową jako aplikację kontroli dostępu warunkowego w celu monitorowania sesji niskiego zaufania. Tożsamość Microsoft Entra aplikacje są automatycznie dołączane.

Aby uzyskać więcej informacji: