Пилотный и развертывание Microsoft Defender for Cloud Apps

Область применения:

• Microsoft Defender XDR

В этой статье представлен рабочий процесс для пилотного развертывания и развертывания Microsoft Defender for Cloud Apps в организации. Используйте эти рекомендации, чтобы подключить Microsoft Defender for Cloud Apps как часть комплексного решения с Microsoft Defender XDR.

В этой статье предполагается, что у вас есть рабочий клиент Microsoft 365 и вы выполняете пилотное развертывание Microsoft Defender for Cloud Apps в этой среде. Эта практика будет поддерживать все параметры и настройки, настроенные во время пилотного проекта для полного развертывания.

Defender для Office 365 вносит свой вклад в архитектуру "Никому не доверяй", помогая предотвратить или уменьшить ущерб для бизнеса в результате нарушения безопасности. Дополнительные сведения см. в статье Предотвращение или уменьшение ущерба для бизнеса в результате нарушения бизнес-сценария платформы внедрения "Никому не доверяй" (Майкрософт).

Комплексное развертывание для Microsoft Defender XDR

Это статья 5 из 6 в серии, помогающая развертывать компоненты Microsoft Defender XDR, включая расследование инцидентов и реагирование на них.

Статьи этой серии соответствуют следующим этапам комплексного развертывания:

Этап	Ссылка
О. Запуск пилотного проекта	Запуск пилотного проекта
Б. Пилотное развертывание и развертывание компонентов Microsoft Defender XDR	- Пилотное развертывание Defender для удостоверений - Пилотный и развертывание Defender для Office 365 - Пилотный проект и развертывание Defender для конечной точки - Пилотный и развертывание Microsoft Defender for Cloud Apps (эта статья)
C. Исследование угроз и реагирование на них	Практическое исследование инцидентов и реагирование на инциденты

Пилотный и развертывание рабочего процесса для Defender for Cloud Apps

На следующей схеме показан общий процесс развертывания продукта или службы в ИТ-среде.

Вы начинаете с оценки продукта или службы и того, как они будут работать в вашей организации. Затем вы пилотируете продукт или службу с подходящим небольшим подмножеством производственной инфраструктуры для тестирования, обучения и настройки. Затем постепенно увеличивайте область развертывания, пока не будет охвачена вся инфраструктура или организация.

Ниже приведен рабочий процесс для пилотного развертывания и развертывания Defender for Cloud Apps в рабочей среде.

Выполните следующие действия:

1. Подключение к Defender for Cloud Apps
2. Интеграция с Microsoft Defender для конечной точки
3. Развертывание сборщика журналов в брандмауэрах и других прокси-серверах
4. Создание пилотной группы
5. Обнаружение облачных приложений и управление ими
6. Настройка управления условным доступом к приложениям
7. Применение политик сеансов к облачным приложениям
8. Опробуйте дополнительные возможности

Ниже приведены рекомендуемые действия для каждого этапа развертывания.

Этап развертывания	Описание
Оценка	Оценка продукта для Defender for Cloud Apps.
Пилотный проект	Выполните шаги 1–4, а затем 5–8 для подходящего подмножества облачных приложений в рабочей среде.
Полное развертывание	Выполните шаги 5–8 для остальных облачных приложений, настроив область для пилотных групп пользователей или добавив группы пользователей, чтобы выйти за рамки пилотного проекта и включить все учетные записи пользователей.

Защита организации от хакеров

Defender for Cloud Apps обеспечивает мощную защиту. Однако в сочетании с другими возможностями Microsoft Defender XDR Defender for Cloud Apps предоставляет данные в общие сигналы, которые вместе помогают остановить атаки.

Ниже приведен пример кибератаки и того, как компоненты Microsoft Defender XDR помочь обнаружить и устранить ее.

Defender for Cloud Apps обнаруживает аномальное поведение, например невозможное перемещение, доступ к учетным данным и необычные действия скачивания, общей папки или пересылки почты, и отображает эти действия в Defender for Cloud Apps. Defender for Cloud Apps также помогает предотвратить боковое перемещение хакеров и кражу конфиденциальных данных.

Microsoft Defender XDR сопоставляет сигналы от всех компонентов Microsoft Defender, чтобы обеспечить полную историю атаки.

Defender for Cloud Apps роль casb и многое другое

Брокер безопасности доступа к облаку (CASB) выступает в качестве привратника для брокера доступа в режиме реального времени между корпоративными пользователями и облачными ресурсами, которые они используют, независимо от расположения пользователей и устройства, которое они используют. Приложения SaaS (программное обеспечение как услуга) повсеместно используются в гибридных рабочих средах, и защита приложений SaaS и важных данных, которые они хранят, является большой проблемой для организаций.

Рост использования приложений в сочетании с доступом сотрудников к ресурсам компании за пределами корпоративного периметра также привел к появлению новых векторов атак. Для эффективной борьбы с этими атаками группам безопасности нужен подход, который защищает свои данные в облачных приложениях за пределами традиционных область брокеров безопасности доступа к облаку (CASB).

Microsoft Defender for Cloud Apps обеспечивает полную защиту приложений SaaS, помогая отслеживать и защищать данные облачных приложений в следующих функциональных областях:

• Основные функции брокера безопасности доступа к облаку (CASB), такие как обнаружение теневых ИТ-ресурсов, видимость использования облачных приложений, защита от угроз на основе приложений из любого места в облаке, а также защита информации и оценка соответствия требованиям.

• Функции управления состоянием безопасности SaaS (SSPM), позволяющие группам безопасности улучшить состояние безопасности организации.

• Расширенная защита от угроз в рамках расширенного решения майкрософт по обнаружению и реагированию (XDR), обеспечивая эффективную корреляцию сигналов и видимости в полной цепочке завершения расширенных атак.

• Защита между приложениями, расширяющая основные сценарии угроз для приложений с поддержкой OAuth с разрешениями и привилегиями для критически важных данных и ресурсов.

Методы обнаружения облачных приложений

Без Defender for Cloud Apps облачные приложения, используемые вашей организацией, не управляются и не защищены. Чтобы обнаружить облачные приложения, используемые в вашей среде, можно реализовать один или оба следующих метода:

• Быстро приступить к работе с Cloud Discovery путем интеграции с Microsoft Defender для конечной точки. Эта встроенная интеграция позволяет сразу же начать сбор данных об облачном трафике по Windows 10 и Windows 11 устройствам в сети и вне сети.
• Чтобы обнаружить все облачные приложения, к которым обращаются все устройства, подключенные к сети, разверните сборщик журналов Defender for Cloud Apps в брандмауэрах и других прокси-серверах. Это развертывание помогает собирать данные из конечных точек и отправлять их в Defender for Cloud Apps для анализа. Defender for Cloud Apps изначально интегрируется с некоторыми сторонними прокси-серверами, чтобы получить еще больше возможностей.

В этой статье содержатся рекомендации по обоим методам.

Этап 1. Подключение к Defender for Cloud Apps

Сведения о проверке лицензирования и подключении к Defender for Cloud Apps см. в статье Краткое руководство. Начало работы с Microsoft Defender for Cloud Apps.

Если вы не можете подключиться к порталу сразу, может потребоваться добавить IP-адрес в список разрешенных брандмауэра. Дополнительные сведения см. в статье Базовая настройка для Defender for Cloud Apps.

Если у вас по-прежнему возникают проблемы, ознакомьтесь с требованиями к сети.

Шаг 2. Интеграция с Microsoft Defender для конечной точки

Microsoft Defender for Cloud Apps интегрируется с Microsoft Defender для конечной точки в собственном коде. Интеграция упрощает развертывание Cloud Discovery, расширяет возможности Cloud Discovery за пределы корпоративной сети и позволяет проводить исследования на основе устройств. Эта интеграция показывает, что доступ к облачным приложениям и службам осуществляется с управляемых ИТ-Windows 10 и Windows 11 устройств.

Если вы уже настроили Microsoft Defender для конечной точки, настройка интеграции с Defender for Cloud Apps является переключателем в Microsoft Defender XDR. После включения интеграции можно вернуться к Defender for Cloud Apps и просмотреть расширенные данные на панели мониторинга Cloud Discovery.

Сведения о выполнении этих задач см. в статье Интеграция Microsoft Defender для конечной точки с Microsoft Defender for Cloud Apps.

Шаг 3. Развертывание сборщика журналов Defender for Cloud Apps в брандмауэрах и других прокси-серверах

• Для покрытия на всех устройствах, подключенных к сети, разверните сборщик журналов Defender for Cloud Apps в брандмауэрах и других прокси-серверах, чтобы собрать данные из конечных точек и отправить их в Defender for Cloud Apps для анализа. Дополнительные сведения см. в разделе Настройка автоматической отправки журналов для непрерывных отчетов.

• Defender for Cloud Apps предоставляет встроенные соединители приложений для популярных облачных приложений. Эти соединители используют API поставщиков приложений, чтобы обеспечить большую видимость и контроль над тем, как эти приложения используются в вашей организации. Дополнительные сведения см. в разделе Подключение приложений для получения видимости и управления с помощью Microsoft Defender for Cloud Apps.

• Если вы используете один из следующих безопасных веб-шлюзов (SWG), Defender for Cloud Apps обеспечивает простое развертывание и интеграцию:

  • Zscaler
  • iboss
  • Коррата
  • Menlo Security
  • Открытые системы

Дополнительные сведения см. в статье Общие сведения об обнаружении облачных приложений.

Этап 4. Создание пилотной группы — область пилотного развертывания для определенных групп пользователей

Microsoft Defender for Cloud Apps позволяет область развертывание. Область позволяет выбрать определенные группы пользователей, которые будут отслеживаться для приложений или исключаться из мониторинга. Можно включить или исключить группы пользователей.

Дополнительные сведения см. в разделе Область развертывания для определенных пользователей или групп пользователей.

Этап 5. Обнаружение облачных приложений и управление ими

Чтобы Defender for Cloud Apps обеспечить максимальный объем защиты, необходимо обнаружить все облачные приложения в организации и управлять их использованием.

Обнаружение облачных приложений

Первый шаг к управлению использованием облачных приложений — определить, какие облачные приложения используются вашей организацией. На следующей схеме показано, как облачное обнаружение работает с Defender for Cloud Apps.

На этом рисунке можно использовать два метода для мониторинга сетевого трафика и обнаружения облачных приложений, используемых вашей организацией.

1. Cloud App Discovery интегрируется с Microsoft Defender для конечной точки в собственном коде. Defender для конечной точки сообщает об облачных приложениях и службах, доступ к которым осуществляется с управляемых ИТ-Windows 10 и Windows 11 устройств.

2. Для покрытия на всех устройствах, подключенных к сети, вы устанавливаете сборщик журналов Defender for Cloud Apps на брандмауэрах и других прокси-серверах для сбора данных из конечных точек. Сборщик отправляет эти данные в Defender for Cloud Apps для анализа.

Просмотрите панель мониторинга Cloud Discovery, чтобы узнать, какие приложения используются в вашей организации

Панель мониторинга cloud discovery предназначена для получения дополнительных сведений о том, как облачные приложения используются в вашей организации. Он содержит краткий обзор используемых приложений, открытых оповещений и уровней риска приложений в вашей организации.

Дополнительные сведения см. в разделе Просмотр обнаруженных приложений с помощью панели мониторинга cloud discovery.

Управление облачными приложениями

После того как вы обнаружите облачные приложения и проанализируете, как эти приложения используются в вашей организации, вы можете приступить к управлению выбранными облачными приложениями.

На этом рисунке некоторые приложения разрешены для использования. Санкционирование — это простой способ начать управление приложениями. Дополнительные сведения см. в разделе Управление обнаруженными приложениями.

Этап 6. Настройка управления условным доступом к приложениям

Одной из самых эффективных средств защиты, которые можно настроить, является управление условным доступом к приложениям. Для этой защиты требуется интеграция с Microsoft Entra ID. Она позволяет применять политики условного доступа, включая связанные политики (например, требование работоспособности устройств) к санкционированным облачным приложениям.

Возможно, в клиент Microsoft Entra уже добавлены приложения SaaS для применения многофакторной проверки подлинности и других политик условного доступа. Microsoft Defender for Cloud Apps изначально интегрируется с Microsoft Entra ID. Все, что вам нужно сделать, это настроить политику в Microsoft Entra ID для использования управления условным доступом приложений в Defender for Cloud Apps. Это маршрутизирует сетевой трафик для этих управляемых приложений SaaS через Defender for Cloud Apps в качестве прокси-сервера, что позволяет Defender for Cloud Apps отслеживать этот трафик и применять элементы управления сеансами.

На этой иллюстрации:

• Приложения SaaS интегрированы с клиентом Microsoft Entra. Эта интеграция позволяет Microsoft Entra ID применять политики условного доступа, включая многофакторную проверку подлинности.
• В Microsoft Entra ID добавляется политика для направления трафика приложений SaaS в Defender for Cloud Apps. Политика указывает, к каким приложениям SaaS следует применить эту политику. После Microsoft Entra ID принудительно применяет политики условного доступа, которые применяются к этим приложениям SaaS, Microsoft Entra ID затем направляет трафик сеанса через Defender for Cloud Apps (прокси-серверы).
• Defender for Cloud Apps отслеживает этот трафик и применяет все политики управления сеансами, настроенные администраторами.

Возможно, вы обнаружили и санкционировали облачные приложения с помощью Defender for Cloud Apps, которые не были добавлены в Microsoft Entra ID. Вы можете воспользоваться преимуществами управления условным доступом, добавив эти облачные приложения в клиент Microsoft Entra и область правил условного доступа.

Первым шагом в использовании Microsoft Defender for Cloud Apps для управления приложениями SaaS является обнаружение этих приложений и их добавление в клиент Microsoft Entra. Если вам нужна помощь с обнаружением, см. статью Обнаружение приложений SaaS в сети и управление ими. После обнаружения приложений добавьте эти приложения в клиент Microsoft Entra.

Вы можете начать управление этими приложениями с помощью следующих задач:

1. В Microsoft Entra ID создайте новую политику условного доступа и настройте ее для использования управления условным доступом для приложений. Эта конфигурация помогает перенаправить запрос на Defender for Cloud Apps. Вы можете создать одну политику и добавить в нее все приложения SaaS.

2. Затем в Defender for Cloud Apps создайте политики сеансов. Создайте одну политику для каждого элемента управления, который вы хотите применить. Дополнительные сведения, включая поддерживаемые приложения и клиенты, см. в статье Создание политик сеанса Microsoft Defender for Cloud Apps.

Примеры политик см. в статье Рекомендуемые политики Microsoft Defender for Cloud Apps для приложений SaaS. Эти политики создаются на основе набора общих политик доступа к удостоверениям и устройствам , которые рекомендуются в качестве отправной точки для всех клиентов.

Этап 7. Применение политик сеансов к облачным приложениям

После настройки политик сеанса примените их к облачным приложениям, чтобы предоставить управляемый доступ к этим приложениям.

На этом рисунке:

• Доступ к санкционированным облачным приложениям от пользователей и устройств в вашей организации направляется через Defender for Cloud Apps.
• Облачные приложения, которые не санкционированы или явно не санкционированы, не затрагиваются.

Политики сеансов позволяют применять параметры к использованию облачных приложений в организации. Например, если ваша организация использует Salesforce, можно настроить политику сеанса, которая разрешает доступ к данным вашей организации только управляемым устройствам в Salesforce. Более простым примером может быть настройка политики для мониторинга трафика с неуправляемых устройств, чтобы можно было проанализировать риск этого трафика перед применением более строгих политик.

Дополнительные сведения см. в статье Управление условным доступом к приложениям в Microsoft Defender for Cloud Apps.

Шаг 8. Опробуйте дополнительные возможности

Используйте эти Defender for Cloud Apps статьи, чтобы выявить риски и защитить среду:

• Обнаружение подозрительных действий пользователей
• Исследование рискованных пользователей
• Изучение рискованных приложений OAuth
• Обнаружение и защита конфиденциальной информации
• Защита любого приложения в организации в режиме реального времени
• Блокировать скачивание конфиденциальной информации
• Защита файлов с помощью карантина администратора
• Требовать поэтапной проверки подлинности при рискованном действии

Дополнительные сведения о расширенной охоте в Microsoft Defender for Cloud Apps данных см. в этом видео.

Интеграция SIEM

Вы можете интегрировать Defender for Cloud Apps с Microsoft Sentinel в рамках единой платформы управления безопасностью Майкрософт или универсальной службы управления информационной безопасностью и событиями безопасности (SIEM), чтобы обеспечить централизованный мониторинг оповещений и действий из подключенных приложений. С помощью Microsoft Sentinel вы можете более полно анализировать события безопасности в организации и создавать сборники схем для эффективного и немедленного реагирования.

Microsoft Sentinel включает в себя Microsoft Defender для соединителя данных XDR для переноса всех сигналов от Defender XDR, включая Defender for Cloud Apps, в Microsoft Sentinel. Используйте единую платформу операций безопасности на портале Defender в качестве единой платформы для комплексных операций безопасности (SecOps).

Дополнительные сведения см. в разделе:

• Подключение Microsoft Sentinel к порталу Microsoft Defender
• интеграция Microsoft Sentinel
• Интеграция общего решения SIEM

Следующее действие

Управление жизненным циклом для Defender for Cloud Apps.

Следующий шаг для комплексного развертывания Microsoft Defender XDR

Продолжайте комплексное развертывание Microsoft Defender XDR с помощью анализа и реагирования с помощью Microsoft Defender XDR.

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.