Pilotaż i wdrażanie Microsoft Defender for Cloud Apps
Dotyczy:
- Microsoft Defender XDR
Ten artykuł zawiera przepływ pracy na potrzeby pilotażu i wdrażania Microsoft Defender for Cloud Apps w organizacji. Skorzystaj z tych zaleceń, aby dołączyć Microsoft Defender for Cloud Apps jako część kompleksowego rozwiązania z Microsoft Defender XDR.
W tym artykule przyjęto założenie, że masz produkcyjną dzierżawę platformy Microsoft 365 i pilotujesz i wdrażasz Microsoft Defender for Cloud Apps w tym środowisku. Ta praktyka będzie obsługiwać wszelkie ustawienia i dostosowania skonfigurowane podczas pilotażu dla pełnego wdrożenia.
Ochrona usługi Office 365 w usłudze Defender przyczynia się do Zero Trust architektury, pomagając zapobiegać lub zmniejszać szkody biznesowe wynikające z naruszenia. Aby uzyskać więcej informacji, zobacz Scenariusz dotyczący zapobiegania lub zmniejszania szkód biznesowych spowodowanych naruszeniem zasad biznesowych w strukturze wdrażania Zero Trust firmy Microsoft.
Kompleksowe wdrożenie dla Microsoft Defender XDR
Jest to artykuł 5 z 6 serii, który ułatwia wdrażanie składników Microsoft Defender XDR, w tym badanie zdarzeń i reagowanie na nie.
Artykuły z tej serii odpowiadają następującym fazom kompleksowego wdrożenia:
| Faza | Link |
|---|---|
| Odp. Uruchamianie pilotażu | Uruchamianie pilotażu |
| B. Testowanie i wdrażanie składników Microsoft Defender XDR |
-
Pilotaż i wdrażanie usługi Defender for Identity - Pilotaż i wdrażanie Ochrona usługi Office 365 w usłudze Defender - Pilotaż i wdrażanie usługi Defender dla punktu końcowego - Pilotaż i wdrażanie Microsoft Defender for Cloud Apps (ten artykuł) |
| C. Badanie zagrożeń i odpowiadanie na nie | Badanie i reagowanie na zdarzenia praktyczne |
Pilotażowy i wdrażany przepływ pracy dla Defender for Cloud Apps
Na poniższym diagramie przedstawiono typowy proces wdrażania produktu lub usługi w środowisku IT.
Rozpoczynasz od oceny produktu lub usługi oraz sposobu jej działania w organizacji. Następnie pilotujesz produkt lub usługę za pomocą odpowiednio małego podzestawu infrastruktury produkcyjnej na potrzeby testowania, uczenia się i dostosowywania. Następnie stopniowo zwiększaj zakres wdrożenia, dopóki nie zostanie uwzględniona cała infrastruktura lub organizacja.
Oto przepływ pracy na potrzeby pilotażu i wdrażania Defender for Cloud Apps w środowisku produkcyjnym.
Wykonaj następujące czynności:
- Nawiązywanie połączenia z Defender for Cloud Apps
- Integracja z Ochrona punktu końcowego w usłudze Microsoft Defender
- Wdrażanie modułu zbierającego dzienniki w zaporach i innych serwerach proxy
- Tworzenie grupy pilotażowej
- Odnajdywanie aplikacji w chmurze i zarządzanie nimi
- Konfigurowanie kontroli aplikacji dostępu warunkowego
- Stosowanie zasad sesji do aplikacji w chmurze
- Wypróbuj dodatkowe możliwości
Poniżej przedstawiono zalecane kroki dla każdego etapu wdrażania.
| Etap wdrażania | Opis |
|---|---|
| Oceniać | Przeprowadzanie oceny produktu dla Defender for Cloud Apps. |
| Pilot | Wykonaj kroki 1–4, a następnie 5–8 dla odpowiedniego podzestawu aplikacji w chmurze w środowisku produkcyjnym. |
| Pełne wdrożenie | Wykonaj kroki 5–8 dla pozostałych aplikacji w chmurze, dostosowując zakres dla pilotażowych grup użytkowników lub dodając grupy użytkowników, aby rozszerzyć zakres poza pilotaż i uwzględnić wszystkie konta użytkowników. |
Ochrona organizacji przed hakerami
Defender for Cloud Apps zapewnia samodzielną zaawansowaną ochronę. Jednak w połączeniu z innymi możliwościami Microsoft Defender XDR Defender for Cloud Apps udostępnia dane do udostępnionych sygnałów, które razem pomagają zatrzymać ataki.
Oto przykład cyberataku i sposobu, w jaki składniki Microsoft Defender XDR pomagają go wykrywać i eliminować.
Defender for Cloud Apps wykrywa nietypowe zachowanie, takie jak niemożliwa podróż, dostęp poświadczeń i nietypowe działanie pobierania, udostępniania plików lub przekazywania poczty, i wyświetla te zachowania w Defender for Cloud Apps. Defender for Cloud Apps pomaga również zapobiegać przenoszeniu w poprzek przez hakerów i eksfiltracji poufnych danych.
Microsoft Defender XDR skoreluje sygnały ze wszystkich składników Microsoft Defender, aby zapewnić pełną historię ataku.
Defender for Cloud Apps roli jako casb i nie tylko
Broker zabezpieczeń dostępu do chmury (CASB) działa jako strażnik w celu brokera dostępu w czasie rzeczywistym między użytkownikami przedsiębiorstwa i zasobami w chmurze, z których korzystają, wszędzie tam, gdzie znajdują się użytkownicy i niezależnie od używanego urządzenia. Aplikacje typu oprogramowanie jako usługa (SaaS) są wszechobecne w hybrydowych środowiskach roboczych, a ochrona aplikacji SaaS i ważnych danych, które przechowują, jest dużym wyzwaniem dla organizacji.
Wzrost użycia aplikacji w połączeniu z pracownikami uzyskującymi dostęp do zasobów firmy poza obwodem firmy wprowadził również nowe wektory ataków. Aby skutecznie zwalczać te ataki, zespoły ds. zabezpieczeń potrzebują podejścia, które chroni dane w aplikacjach w chmurze poza tradycyjnym zakresem brokerów zabezpieczeń dostępu do chmury (CASB).
Microsoft Defender for Cloud Apps zapewnia pełną ochronę aplikacji SaaS, ułatwiając monitorowanie i ochronę danych aplikacji w chmurze w następujących obszarach funkcji:
Podstawowe funkcje brokera zabezpieczeń dostępu do chmury (CASB), takie jak odnajdywanie w tle it, wgląd w użycie aplikacji w chmurze, ochrona przed zagrożeniami opartymi na aplikacjach z dowolnego miejsca w chmurze oraz ocena ochrony informacji i zgodności.
Funkcje zarządzania stanem zabezpieczeń SaaS (SSPM), które umożliwiają zespołom ds. zabezpieczeń poprawę stanu zabezpieczeń organizacji
Zaawansowana ochrona przed zagrożeniami w ramach rozszerzonego rozwiązania firmy Microsoft do wykrywania i reagowania (XDR), umożliwiająca zaawansowaną korelację sygnału i widoczności w całym łańcuchu ataków zaawansowanych
Ochrona aplikacji do aplikacji, rozszerzając podstawowe scenariusze zagrożeń na aplikacje z obsługą protokołu OAuth, które mają uprawnienia i uprawnienia do krytycznych danych i zasobów.
Metody odnajdywania aplikacji w chmurze
Bez Defender for Cloud Apps aplikacje w chmurze używane przez organizację są niezarządzane i niechronione. Aby odnaleźć aplikacje w chmurze używane w twoim środowisku, można zaimplementować jedną lub obie z następujących metod:
- Szybkie rozpoczęcie pracy z usługą Cloud Discovery dzięki integracji z Ochrona punktu końcowego w usłudze Microsoft Defender. Ta natywna integracja umożliwia natychmiastowe rozpoczęcie zbierania danych dotyczących ruchu w chmurze na urządzeniach Windows 10 i Windows 11 w sieci i poza niej.
- Aby odnaleźć wszystkie aplikacje w chmurze dostępne dla wszystkich urządzeń połączonych z siecią, wdróż moduł zbierający dzienniki Defender for Cloud Apps w zaporach i innych serwerach proxy. To wdrożenie pomaga zbierać dane z punktów końcowych i wysyła je do Defender for Cloud Apps do analizy. Defender for Cloud Apps natywnie integruje się z niektórymi serwerami proxy innych firm, aby uzyskać jeszcze więcej możliwości.
Ten artykuł zawiera wskazówki dotyczące obu metod.
Krok nr 1. Nawiązywanie połączenia z Defender for Cloud Apps
Aby zweryfikować licencjonowanie i nawiązać połączenie z Defender for Cloud Apps, zobacz Szybki start: rozpoczynanie pracy z Microsoft Defender for Cloud Apps.
Jeśli nie możesz od razu nawiązać połączenia z portalem, może być konieczne dodanie adresu IP do listy dozwolonych zapory. Aby uzyskać więcej informacji, zobacz Konfiguracja podstawowa dla Defender for Cloud Apps.
Jeśli nadal występują problemy, zapoznaj się z wymaganiami dotyczącymi sieci.
Krok 2. Integracja z Ochrona punktu końcowego w usłudze Microsoft Defender
Microsoft Defender for Cloud Apps integruje się z Ochrona punktu końcowego w usłudze Microsoft Defender natywnie. Integracja upraszcza wdrażanie funkcji Cloud Discovery, rozszerza możliwości rozwiązania Cloud Discovery poza sieć firmową i umożliwia badanie na podstawie urządzeń. Ta integracja pokazuje, że dostęp do aplikacji i usług w chmurze jest uzyskiwany z zarządzanych przez IT urządzeń Windows 10 i Windows 11.
Jeśli już skonfigurowano Ochrona punktu końcowego w usłudze Microsoft Defender, konfigurowanie integracji z Defender for Cloud Apps jest przełącznikiem w Microsoft Defender XDR. Po włączeniu integracji możesz wrócić do Defender for Cloud Apps i wyświetlić bogate dane na pulpicie nawigacyjnym usługi Cloud Discovery.
Aby wykonać te zadania, zobacz Integrowanie Ochrona punktu końcowego w usłudze Microsoft Defender z Microsoft Defender for Cloud Apps.
Krok 3. Wdrażanie modułu zbierającego dzienniki Defender for Cloud Apps w zaporach i innych serwerach proxy
Aby uzyskać pokrycie na wszystkich urządzeniach połączonych z siecią, wdróż moduł zbierający dzienniki Defender for Cloud Apps w zaporach i innych serwerach proxy w celu zbierania danych z punktów końcowych i wysyłania ich do Defender for Cloud Apps w celu analizy. Aby uzyskać więcej informacji, zobacz Konfigurowanie automatycznego przekazywania dzienników dla raportów ciągłych.
Defender for Cloud Apps udostępnia wbudowane łączniki aplikacji dla popularnych aplikacji w chmurze. Te łączniki używają interfejsów API dostawców aplikacji, aby zapewnić większą widoczność i kontrolę nad sposobem używania tych aplikacji w organizacji. Aby uzyskać więcej informacji, zobacz Connect apps to get visibility and control with Microsoft Defender for Cloud Apps (Łączenie aplikacji w celu uzyskania widoczności i kontroli za pomocą Microsoft Defender for Cloud Apps).
Jeśli używasz jednej z następujących bezpiecznych bram sieci Web (SWG), Defender for Cloud Apps zapewnia bezproblemowe wdrażanie i integrację:
Aby uzyskać więcej informacji, zobacz Omówienie odnajdywania aplikacji w chmurze.
Krok nr 4. Tworzenie grupy pilotażowej — zakres wdrożenia pilotażowego dla określonych grup użytkowników
Microsoft Defender for Cloud Apps umożliwia określanie zakresu wdrożenia. Określenie zakresu umożliwia wybranie określonych grup użytkowników, które mają być monitorowane pod kątem aplikacji lub wykluczone z monitorowania. Możesz dołączyć lub wykluczyć grupy użytkowników.
Aby uzyskać więcej informacji, zobacz Zakres wdrożenia dla określonych użytkowników lub grup użytkowników.
Krok nr 5. Odnajdywanie aplikacji w chmurze i zarządzanie nimi
Aby Defender for Cloud Apps zapewnić maksymalną ochronę, musisz odnaleźć wszystkie aplikacje w chmurze w organizacji i zarządzać sposobem ich użycia.
Odnajdywanie aplikacji w chmurze
Pierwszym krokiem do zarządzania korzystaniem z aplikacji w chmurze jest odkrycie, które aplikacje w chmurze są używane przez organizację. Na poniższym diagramie pokazano, jak odnajdywanie w chmurze działa z Defender for Cloud Apps.
Na tej ilustracji przedstawiono dwie metody, których można użyć do monitorowania ruchu sieciego i odnajdywania aplikacji w chmurze używanych przez organizację.
Usługa Cloud App Discovery integruje się z Ochrona punktu końcowego w usłudze Microsoft Defender natywnie. Usługa Defender for Endpoint raportuje aplikacje i usługi w chmurze dostępne z zarządzanych przez IT urządzeń Windows 10 i Windows 11.
Aby uzyskać pokrycie na wszystkich urządzeniach połączonych z siecią, należy zainstalować moduł zbierający dzienniki Defender for Cloud Apps na zaporach i innych serwerach proxy w celu zbierania danych z punktów końcowych. Moduł zbierający wysyła te dane do Defender for Cloud Apps do analizy.
Wyświetl pulpit nawigacyjny usługi Cloud Discovery, aby zobaczyć, jakie aplikacje są używane w organizacji
Pulpit nawigacyjny odnajdywania w chmurze został zaprojektowany, aby zapewnić lepszy wgląd w sposób, w jaki aplikacje w chmurze są używane w organizacji. Zawiera on szybki przegląd rodzajów używanych aplikacji, otwartych alertów i poziomów ryzyka aplikacji w organizacji.
Aby uzyskać więcej informacji, zobacz Wyświetlanie odnalezionych aplikacji za pomocą pulpitu nawigacyjnego odnajdywania w chmurze.
Zarządzanie aplikacjami w chmurze
Po odnalezieniu aplikacji w chmurze i przeanalizowaniu sposobu, w jaki te aplikacje są używane przez organizację, możesz rozpocząć zarządzanie wybranymi aplikacjami w chmurze.
Na tej ilustracji niektóre aplikacje są usankcjonowane do użycia. Sankcjonowanie to prosty sposób na rozpoczęcie zarządzania aplikacjami. Aby uzyskać więcej informacji, zobacz Zarządzanie odnalezionych aplikacji.
Krok 6. Konfigurowanie kontroli aplikacji dostępu warunkowego
Jedną z najbardziej zaawansowanych ochrony, którą można skonfigurować, jest kontrola aplikacji dostępu warunkowego. Ta ochrona wymaga integracji z Tożsamość Microsoft Entra. Umożliwia stosowanie zasad dostępu warunkowego, w tym powiązanych zasad (takich jak wymaganie urządzeń w dobrej kondycji) do aplikacji w chmurze, które zostały zaakceptowane.
Aplikacje SaaS mogą już zostać dodane do dzierżawy Microsoft Entra w celu wymuszania uwierzytelniania wieloskładnikowego i innych zasad dostępu warunkowego. Microsoft Defender for Cloud Apps natywnie integruje się z Tożsamość Microsoft Entra. Wystarczy skonfigurować zasady w Tożsamość Microsoft Entra, aby używać kontroli aplikacji dostępu warunkowego w Defender for Cloud Apps. Powoduje to kierowanie ruchu sieciowego dla tych zarządzanych aplikacji SaaS za pośrednictwem Defender for Cloud Apps jako serwera proxy, co umożliwia Defender for Cloud Apps monitorowanie tego ruchu i stosowanie kontrolek sesji.
Na tej ilustracji:
- Aplikacje SaaS są zintegrowane z dzierżawą Microsoft Entra. Ta integracja umożliwia Tożsamość Microsoft Entra wymuszanie zasad dostępu warunkowego, w tym uwierzytelniania wieloskładnikowego.
- Zasady są dodawane do Tożsamość Microsoft Entra, aby kierować ruch aplikacji SaaS do Defender for Cloud Apps. Zasady określają, do których aplikacji SaaS mają być stosowane te zasady. Po Tożsamość Microsoft Entra wymusza wszelkie zasady dostępu warunkowego, które mają zastosowanie do tych aplikacji SaaS, Tożsamość Microsoft Entra następnie kieruje (serwery proxy) ruch sesji za pośrednictwem Defender for Cloud Apps.
- Defender for Cloud Apps monitoruje ten ruch i stosuje wszystkie zasady kontroli sesji skonfigurowane przez administratorów.
Być może aplikacje w chmurze zostały odnalezione i zaakceptowane przy użyciu Defender for Cloud Apps, które nie zostały dodane do Tożsamość Microsoft Entra. Możesz skorzystać z kontroli aplikacji dostępu warunkowego, dodając te aplikacje w chmurze do dzierżawy Microsoft Entra i zakresu reguł dostępu warunkowego.
Pierwszym krokiem przy użyciu Microsoft Defender for Cloud Apps do zarządzania aplikacjami SaaS jest odnalezienie tych aplikacji, a następnie dodanie ich do dzierżawy Microsoft Entra. Jeśli potrzebujesz pomocy dotyczącej odnajdywania, zobacz Odnajdywanie aplikacji SaaS i zarządzanie nimi w sieci. Po odnalezieniu aplikacji dodaj te aplikacje do dzierżawy Microsoft Entra.
Możesz rozpocząć zarządzanie tymi aplikacjami przy użyciu następujących zadań:
W Tożsamość Microsoft Entra utwórz nowe zasady dostępu warunkowego i skonfiguruj je tak, aby używały kontroli aplikacji dostępu warunkowego. Ta konfiguracja ułatwia przekierowanie żądania do Defender for Cloud Apps. Możesz utworzyć jedną zasadę i dodać wszystkie aplikacje SaaS do tych zasad.
Następnie w Defender for Cloud Apps utwórz zasady sesji. Utwórz jedną zasadę dla każdej kontrolki, którą chcesz zastosować. Aby uzyskać więcej informacji, w tym obsługiwane aplikacje i klientów, zobacz Tworzenie zasad sesji Microsoft Defender for Cloud Apps.
Aby uzyskać przykładowe zasady, zobacz Zalecane zasady Microsoft Defender for Cloud Apps dla aplikacji SaaS. Te zasady bazują na zestawie typowych zasad dostępu do tożsamości i urządzeń , które są zalecane jako punkt początkowy dla wszystkich klientów.
Krok 7. Stosowanie zasad sesji do aplikacji w chmurze
Po skonfigurowaniu zasad sesji zastosuj je do aplikacji w chmurze, aby zapewnić kontrolowany dostęp do tych aplikacji.
Na ilustracji:
- Dostęp do zaakceptowanych aplikacji w chmurze od użytkowników i urządzeń w organizacji jest kierowany przez Defender for Cloud Apps.
- Nie ma to wpływu na aplikacje w chmurze, które nie zostały zaakceptowane lub jawnie niezatwierdzone.
Zasady sesji umożliwiają stosowanie parametrów do sposobu, w jaki aplikacje w chmurze są używane przez organizację. Jeśli na przykład twoja organizacja korzysta z usługi Salesforce, można skonfigurować zasady sesji, które zezwalają tylko zarządzanym urządzeniom na dostęp do danych organizacji w usłudze Salesforce. Prostszym przykładem może być skonfigurowanie zasad w celu monitorowania ruchu z urządzeń niezarządzanych, dzięki czemu można analizować ryzyko związane z tym ruchem przed zastosowaniem bardziej rygorystycznych zasad.
Aby uzyskać więcej informacji, zobacz Kontrola aplikacji dostępu warunkowego w Microsoft Defender for Cloud Apps.
Krok 8. Wypróbuj dodatkowe możliwości
Skorzystaj z tych Defender for Cloud Apps artykułów, aby ułatwić wykrywanie ryzyka i ochronę środowiska:
- Wykrywanie podejrzanych działań użytkowników
- Badanie ryzykownych użytkowników
- Badanie ryzykownych aplikacji OAuth
- Odnajdywanie i ochrona poufnych informacji
- Ochrona dowolnej aplikacji w organizacji w czasie rzeczywistym
- Blokuj pobieranie informacji poufnych
- Ochrona plików przy użyciu kwarantanny administratora
- Wymagaj uwierzytelniania w stopniu podwyższonym po podjęciu ryzykownych działań
Aby uzyskać więcej informacji na temat zaawansowanego wyszukiwania zagrożeń w danych Microsoft Defender for Cloud Apps, zobacz ten film wideo.
Integracja zarządzania informacjami i zdarzeniami zabezpieczeń
Możesz zintegrować Defender for Cloud Apps z usługą Microsoft Sentinel w ramach ujednoliconej platformy operacji zabezpieczeń firmy Microsoft lub ogólnej usługi zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), aby umożliwić scentralizowane monitorowanie alertów i działań z połączonych aplikacji. Dzięki Microsoft Sentinel można bardziej kompleksowo analizować zdarzenia zabezpieczeń w całej organizacji i tworzyć podręczniki w celu zapewnienia skutecznej i natychmiastowej reakcji.
Microsoft Sentinel zawiera Microsoft Defender łącznika danych XDR, który umożliwia Microsoft Sentinel wszystkie sygnały z Defender XDR, w tym Defender for Cloud Apps. Użyj ujednoliconej platformy operacji zabezpieczeń w portalu usługi Defender jako jednej platformy do kompleksowych operacji zabezpieczeń (SecOps).
Więcej informacji można znaleźć w następujących artykułach:
- Łączenie Microsoft Sentinel z portalem Microsoft Defender
- integracja Microsoft Sentinel
- Ogólna integracja rozwiązania SIEM
Następny krok
Zarządzanie cyklem życia dla Defender for Cloud Apps.
Następny krok dla kompleksowego wdrożenia Microsoft Defender XDR
Kontynuuj kompleksowe wdrożenie Microsoft Defender XDR, sprawdzaj i odpowiadaj przy użyciu Microsoft Defender XDR.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.