Поделиться через

Рекомендации по защите организации с помощью Defender for Cloud Apps

  • Статья

В этой статье приводятся рекомендации по защите организации с помощью Microsoft Defender for Cloud Apps. Эти рекомендации исходят из нашего опыта работы с Defender for Cloud Apps и опыта таких клиентов, как вы.

В этой статье рассматриваются следующие рекомендации:

Обнаружение и оценка облачных приложений

Интеграция Defender for Cloud Apps с Microsoft Defender для конечной точки позволяет использовать обнаружение облака за пределами корпоративной сети или защищенных веб-шлюзов. С помощью объединенных сведений о пользователях и устройствах можно определить пользователей или устройства, рискованных пользователей или устройств, узнать, какие приложения они используют, а также изучить дополнительные сведения на портале Defender для конечной точки.

Рекомендация. Включение обнаружения теневых ИТ с помощью Defender для конечной точки
Сведения. Cloud Discovery анализирует журналы трафика, собранные Defender для конечной точки, и оценивает обнаруженные приложения в каталоге облачных приложений для предоставления сведений о соответствии требованиям и безопасности. Настроив обнаружение в облаке, вы получите представление об использовании облака, теневой ИТ-среде и непрерывном мониторинге несанкционированных приложений, используемых пользователями.
Дополнительные сведения:

Рекомендация. Настройка политик обнаружения приложений для упреждающего выявления рискованных, несоответствующих и популярных приложений
Сведения. Политики обнаружения приложений упрощают отслеживание важных обнаруженных приложений в вашей организации, чтобы помочь вам эффективно управлять этими приложениями. Создавайте политики для получения оповещений при обнаружении новых приложений, которые определяются как рискованные, несоответствующие, трендовые или большие объемы.
Дополнительные сведения:

Рекомендация. Управление приложениями OAuth, авторизованными пользователями
Сведения. Многие пользователи случайно предоставляют разрешения OAuth сторонним приложениям на доступ к сведениям о своей учетной записи и при этом непреднамеренно также предоставляют доступ к своим данным в других облачных приложениях. Как правило, ИТ-служба не имеет видимости этих приложений, что затрудняет взвешивание рисков безопасности приложения с преимуществом производительности, которое оно обеспечивает.

Defender for Cloud Apps позволяет исследовать и отслеживать разрешения приложения, предоставленные пользователями. Эти сведения можно использовать для выявления потенциально подозрительного приложения и, если вы определите, что это рискованно, вы можете запретить доступ к нему.
Дополнительные сведения:

Применение политик управления облаком

Рекомендация. Добавление тегов к приложениям и экспорт сценариев блоков
Сведения. После просмотра списка обнаруженных приложений в вашей организации вы можете защитить свою среду от нежелательного использования приложений. Тег Санкционировано можно применить к приложениям, утвержденным вашей организацией, а тег Unsanctioned — к приложениям, которые не являются. Вы можете отслеживать несанкционированные приложения с помощью фильтров обнаружения или экспортировать скрипт для блокировки несанкционированных приложений с помощью локальных устройств безопасности. Использование тегов и скриптов экспорта позволяет упорядочивать приложения и защищать среду, разрешая доступ только к безопасным приложениям.
Дополнительные сведения:

Ограничение раскрытия общих данных и обеспечение соблюдения политик совместной работы

Рекомендация. Подключение Microsoft 365
Сведения. Подключение Microsoft 365 к Defender for Cloud Apps позволяет мгновенно отслеживать действия пользователей, файлы, к которым они обращаются, а также действия по управлению для Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange и Dynamics.
Дополнительные сведения:

Рекомендация. Подключение приложений
Сведения. Подключение приложений к Defender for Cloud Apps позволяет получить более подробную информацию о действиях пользователей, обнаружении угроз и возможностях управления. Чтобы узнать, какие API сторонних приложений поддерживаются, перейдите в раздел Подключение приложений.

Дополнительные сведения:

Рекомендация. Создание политик для удаления общего доступа с личными учетными записями
Сведения. Подключение Microsoft 365 к Defender for Cloud Apps позволяет мгновенно отслеживать действия пользователей, файлы, к которым они обращаются, а также действия по управлению для Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange и Dynamics.
Дополнительные сведения:

Обнаружение, классификация, применение меток и защита регламентированных и конфиденциальных данных, хранящихся в облаке

Рекомендация. Интеграция с Защита информации Microsoft Purview
Сведения. Интеграция с Защита информации Microsoft Purview позволяет автоматически применять метки конфиденциальности и при необходимости добавлять защиту шифрования. После включения интеграции вы можете применять метки в качестве действия управления, просматривать файлы по классификации, исследовать файлы по уровню классификации и создавать детализированные политики, чтобы обеспечить правильную обработку классифицированных файлов. Если не включить интеграцию, вы не сможете воспользоваться возможностью автоматического сканирования, маркировки и шифрования файлов в облаке.
Дополнительные сведения:

Рекомендация. Создание политик раскрытия данных
Сведения. Используйте политики файлов для обнаружения общего доступа к информации и проверки конфиденциальной информации в облачных приложениях. Создайте следующие политики файлов, чтобы оповещать вас при обнаружении уязвимостей данных:

  • Файлы, к которым предоставлен общий доступ извне, содержащие конфиденциальные данные
  • Файлы, к которым предоставлен общий доступ извне и помеченные как конфиденциальные
  • Файлы, к которым предоставлен общий доступ с неавторизованными доменами
  • Защита конфиденциальных файлов в приложениях SaaS

Дополнительные сведения:

Рекомендация. Просмотр отчетов на странице "Файлы "
Сведения. После подключения различных приложений SaaS с помощью соединителей приложений Defender for Cloud Apps сканирует файлы, хранящиеся в этих приложениях. Кроме того, при каждом изменении файла он сканируется снова. Вы можете использовать страницу Файлы , чтобы понять и изучить типы данных, хранящихся в облачных приложениях. Чтобы упростить исследование, можно фильтровать по доменам, группам, пользователям, дате создания, расширению, имени файла и типу, идентификатору файла, меткам конфиденциальности и многому другому. Использование этих фильтров позволяет управлять тем, как вы решили исследовать файлы, чтобы убедиться, что ни одна из ваших данных не подвержена риску. Получив лучшее представление о том, как используются данные, можно создать политики для проверки конфиденциального содержимого в этих файлах.
Дополнительные сведения:

Применение политики защиты от потери данных и политики соответствия требованиям для данных, хранящихся в облаке

Рекомендация. Защита конфиденциальных данных от совместного использования внешним пользователям
Сведения. Создайте политику файлов, которая определяет, когда пользователь пытается предоставить общий доступ к файлу с меткой конфиденциальности кому-либо из внешних по вашей организации, и настройте его действие управления для удаления внешних пользователей. Эта политика гарантирует, что конфиденциальные данные не покидают вашу организацию, а внешние пользователи не смогут получить к ним доступ.
Дополнительные сведения:

Блокировка и защита загрузки конфиденциальных данных на неуправляемых или опасных устройствах

Рекомендация. Управление доступом к устройствам с высоким риском и управление ими
Сведения. Используйте управление условным доступом к приложениям, чтобы задать элементы управления в приложениях SaaS. Вы можете создавать политики сеансов для мониторинга сеансов с высоким риском и низким уровнем доверия. Аналогичным образом можно создать политики сеансов для блокировки и защиты загрузки пользователями, пытающимися получить доступ к конфиденциальным данным с неуправляемых или рискованных устройств. Если не создавать политики сеансов для мониторинга сеансов с высоким риском, вы потеряете возможность блокировать и защищать загрузки в веб-клиенте, а также возможность отслеживать сеансы с низким уровнем доверия как в приложениях Майкрософт, так и в сторонних приложениях.
Дополнительные сведения:

Обеспечение безопасности совместной работы с внешними пользователями путем принудительного управления сеансами в режиме реального времени

Рекомендация. Мониторинг сеансов с внешними пользователями с помощью управления условным доступом к приложениям
Сведения. Чтобы обеспечить совместную работу в среде, можно создать политику сеансов для мониторинга сеансов между внутренними и внешними пользователями. Это не только дает возможность отслеживать сеанс между пользователями (и уведомлять их о том, что их действия сеанса отслеживаются), но также позволяет ограничить определенные действия. При создании политик сеанса для мониторинга активности можно выбрать приложения и пользователей, которые вы хотите отслеживать.
Дополнительные сведения:

Обнаружение облачных угроз, скомпрометированных учетных записей, злоумышленников внутри организаций и программ-шантажистов

Рекомендация. Настройка политик аномалий, настройка диапазонов IP-адресов, отправка отзывов для оповещений
Сведения. Политики обнаружения аномалий предоставляют встроенные функции аналитики поведения пользователей и сущностей (UEBA) и машинного обучения (ML), чтобы можно было немедленно запустить расширенное обнаружение угроз в облачной среде.

Политики обнаружения аномалий активируются при наличии необычных действий, выполняемых пользователями в вашей среде. Defender for Cloud Apps постоянно отслеживает действия пользователей и использует UEBA и ML для изучения и понимания нормального поведения пользователей. Вы можете настроить параметры политики в соответствии с требованиями организации, например задать конфиденциальность политики, а также область политики для определенной группы.

  • Настройка и область политик обнаружения аномалий. Например, чтобы уменьшить количество ложных срабатываний в оповещении о невозможности перемещения, можно установить ползунок конфиденциальности политики на низкое. Если в вашей организации есть пользователи, которые часто являются корпоративными путешественниками, вы можете добавить их в группу пользователей и выбрать эту группу в область политики.

  • Задать диапазоны IP-адресов: Defender for Cloud Apps может определять известные IP-адреса после установки диапазонов IP-адресов. С помощью настроенных диапазонов IP-адресов можно добавлять теги, классифицировать и настраивать способ отображения и изучения журналов и оповещений. Добавление диапазонов IP-адресов помогает уменьшить количество ложноположительных срабатываний и повысить точность оповещений. Если вы решили не добавлять IP-адреса, вы можете увидеть большее число возможных ложных срабатываний и оповещений для исследования.

  • Отправка отзывов для оповещений

    При закрытии или разрешении оповещений обязательно отправьте отзыв с причиной, по которой вы отклонили оповещение или как оно было разрешено. Эти сведения помогают Defender for Cloud Apps улучшить оповещения и уменьшить количество ложных срабатываний.

Дополнительные сведения:

Рекомендация. Обнаружение действий из непредвиденных расположений или стран или регионов
Сведения. Создайте политику действий, чтобы уведомлять вас о входе пользователей из непредвиденных расположений или стран или регионов. Эти уведомления могут предупреждать вас о возможных скомпрометированных сеансах в вашей среде, чтобы вы могли обнаруживать и устранять угрозы до их возникновения.
Дополнительные сведения:

Рекомендация. Создание политик приложений OAuth
Сведения. Создайте политику приложений OAuth, чтобы уведомлять вас о том, что приложение OAuth соответствует определенным критериям. Например, вы можете получать уведомления, когда к определенному приложению, которому требуется высокий уровень разрешений, обращались более 100 пользователей.
Дополнительные сведения:

Использование журнала аудита действий для криминалистических исследований

Рекомендация. Использование журнала аудита действий при исследовании оповещений
Сведения. Оповещения активируются, если действия пользователя, администратора или входа не соответствуют вашим политикам. Важно исследовать оповещения, чтобы понять, существует ли в вашей среде возможная угроза.

Вы можете исследовать оповещение , выбрав его на странице Оповещения и просмотрив журнал аудита действий, связанных с этим оповещением. Журнал аудита позволяет просматривать действия одного типа, одного пользователя, одного и того же IP-адреса и расположения, чтобы получить общую историю оповещения. Если оповещение требует дальнейшего изучения, создайте план для устранения этих оповещений в организации.

При закрытии оповещений важно изучить и понять, почему они не имеют значения или являются ли они ложными срабатываниями. При наличии большого объема таких действий также может потребоваться рассмотреть возможность просмотра и настройки политики, запускающей оповещение.
Дополнительные сведения:

Безопасные службы IaaS и пользовательские приложения

Рекомендация. Подключение Azure, AWS и GCP
Сведения. Подключение каждой из этих облачных платформ к Defender for Cloud Apps помогает улучшить возможности обнаружения угроз. Отслеживая действия администратора и входа в эти службы, вы можете обнаруживать и получать уведомления о возможных атаках методом подбора, злонамеренном использовании привилегированной учетной записи пользователя и других угрозах в вашей среде. Например, можно определить такие риски, как необычное удаление виртуальных машин или даже действия олицетворения в этих приложениях.
Дополнительные сведения:

Рекомендация. Подключение пользовательских приложений
Сведения. Чтобы получить дополнительную видимость действий из бизнес-приложений, вы можете подключить пользовательские приложения к Defender for Cloud Apps. После настройки пользовательских приложений вы увидите сведения о том, кто их использует, IP-адреса, с которых они используются, и сколько трафика поступает в приложение и из него.

Кроме того, вы можете подключить пользовательское приложение в качестве приложения управления условным доступом для мониторинга сеансов с низким уровнем доверия. Microsoft Entra ID приложения автоматически подключены.

Дополнительные сведения: