Pilottesta och distribuera Microsoft Defender for Cloud Apps
Gäller för:
- Microsoft Defender XDR
Den här artikeln innehåller ett arbetsflöde för att testa och distribuera Microsoft Defender for Cloud Apps i din organisation. Använd dessa rekommendationer för att publicera Microsoft Defender for Cloud Apps som en del av en lösning från slutpunkt till slutpunkt med Microsoft Defender XDR.
Den här artikeln förutsätter att du har en Microsoft 365-produktionsklientorganisation och pilottestar och distribuerar Microsoft Defender for Cloud Apps i den här miljön. Den här metoden underhåller alla inställningar och anpassningar som du konfigurerar under pilottestet för din fullständiga distribution.
Defender för Office 365 bidrar till en Nolltillit arkitektur genom att hjälpa till att förhindra eller minska affärsskador från ett intrång. Mer information finns i Avsnittet om att förhindra eller minska affärsskador från ett scenario med intrång i Microsoft Nolltillit-implementeringsramverket.
Distribution från slutpunkt till slutpunkt för Microsoft Defender XDR
Det här är artikel 5 av 6 i en serie som hjälper dig att distribuera komponenterna i Microsoft Defender XDR, inklusive att undersöka och åtgärda incidenter.
Artiklarna i den här serien motsvarar följande faser i distributionen från slutpunkt till slutpunkt:
| Fas | Länk |
|---|---|
| A. Starta piloten | Starta piloten |
| B. Pilottesta och distribuera Microsoft Defender XDR komponenter |
-
Pilottesta och distribuera Defender for Identity - Pilottesta och distribuera Defender för Office 365 - Pilottesta och distribuera Defender för Endpoint - Pilottesta och distribuera Microsoft Defender for Cloud Apps (den här artikeln) |
| C. Undersöka och svara på hot | Öva incidentundersökning och svar |
Pilottesta och distribuera arbetsflöde för Defender for Cloud Apps
Följande diagram illustrerar en gemensam process för att distribuera en produkt eller tjänst i en IT-miljö.
Du börjar med att utvärdera produkten eller tjänsten och hur den fungerar i din organisation. Sedan pilottestar du produkten eller tjänsten med en lämplig liten delmängd av produktionsinfrastrukturen för testning, inlärning och anpassning. Öka sedan distributionens omfattning gradvis tills hela infrastrukturen eller organisationen omfattas.
Här är arbetsflödet för att testa och distribuera Defender for Cloud Apps i produktionsmiljön.
Gör så här:
- Anslut till Defender for Cloud Apps
- Integrera med Microsoft Defender för Endpoint
- Distribuera logginsamlaren i dina brandväggar och andra proxyservrar
- Skapa en pilotgrupp
- Identifiera och hantera molnappar
- Konfigurera appkontroll för villkorlig åtkomst
- Tillämpa sessionsprinciper på molnappar
- Prova ytterligare funktioner
Här är de rekommenderade stegen för varje distributionsfas.
| Distributionssteg | Beskrivning |
|---|---|
| Evaluera | Utför produktutvärdering för Defender for Cloud Apps. |
| Pilot | Utför steg 1–4 och sedan 5–8 för en lämplig delmängd av molnappar i produktionsmiljön. |
| Fullständig distribution | Utför steg 5–8 för dina återstående molnappar, justera omfånget för pilotanvändargrupper eller lägga till användargrupper för att expandera bortom piloten och inkludera alla dina användarkonton. |
Skydda din organisation från hackare
Defender for Cloud Apps ger ett kraftfullt skydd på egen hand. Men i kombination med de andra funktionerna i Microsoft Defender XDR tillhandahåller Defender for Cloud Apps data i de delade signalerna som tillsammans hjälper till att stoppa attacker.
Här är ett exempel på en cyberattack och hur komponenterna i Microsoft Defender XDR hjälpa till att identifiera och minimera den.
Defender for Cloud Apps identifierar avvikande beteende som omöjlig resa, åtkomst till autentiseringsuppgifter och ovanlig nedladdning, filresurs eller vidarebefordran av e-post och visar dessa beteenden i Defender for Cloud Apps. Defender for Cloud Apps hjälper också till att förhindra lateral förflyttning av hackare och exfiltrering av känsliga data.
Microsoft Defender XDR korrelerar signalerna från alla Microsoft Defender komponenter för att ge den fullständiga attackberättelsen.
Defender for Cloud Apps roll som CASB och mycket mer
En molnåtkomstsäkerhetskoordinator (CASB) fungerar som en gatekeeper för att asynkronisera åtkomst i realtid mellan dina företagsanvändare och molnresurser som de använder, oavsett var användarna befinner sig och oavsett vilken enhet de använder. SaaS-appar (Programvara som en tjänst) är allmänt förekommande i hybridarbetsmiljöer, och att skydda SaaS-appar och de viktiga data de lagrar är en stor utmaning för organisationer.
Den ökade appanvändningen, i kombination med anställda som kommer åt företagsresurser utanför företagets perimeter, har också introducerat nya attackvektorer. För att effektivt bekämpa dessa attacker behöver säkerhetsteamen en metod som skyddar deras data i molnappar utöver det traditionella omfånget för molnåtkomstsäkerhetskoordinatorer (CASB).
Microsoft Defender for Cloud Apps ger fullständigt skydd för SaaS-program, vilket hjälper dig att övervaka och skydda dina molnappdata inom följande funktionsområden:
Grundläggande funktioner för cloud access security broker (CASB), till exempel Shadow IT-identifiering, insyn i användning av molnappar, skydd mot appbaserade hot var som helst i molnet samt utvärderingar av informationsskydd och efterlevnad.
SaaS SSPM-funktioner (Security Posture Management) gör det möjligt för säkerhetsteam att förbättra organisationens säkerhetsstatus
Avancerat skydd mot hot, som en del av Microsofts XDR-lösning (extended detection and response), vilket möjliggör kraftfull korrelation av signal och synlighet i hela killkedjan för avancerade attacker
App-till-app-skydd, utöka de grundläggande hotscenarierna till OAuth-aktiverade appar som har behörigheter och behörigheter till kritiska data och resurser.
Identifieringsmetoder för molnappar
Utan Defender for Cloud Apps är molnappar som används av din organisation ohanterade och oskyddade. Om du vill identifiera molnappar som används i din miljö kan du implementera en eller båda av följande metoder:
- Kom igång snabbt med Cloud Discovery genom att integrera med Microsoft Defender för Endpoint. Med den här interna integreringen kan du omedelbart börja samla in data om molntrafik i dina Windows 10 och Windows 11 enheter, på och utanför nätverket.
- Om du vill identifiera alla molnappar som nås av alla enheter som är anslutna till nätverket distribuerar du Defender for Cloud Apps logginsamlare i brandväggarna och andra proxyservrar. Den här distributionen hjälper dig att samla in data från dina slutpunkter och skickar dem till Defender for Cloud Apps för analys. Defender for Cloud Apps integreras internt med vissa proxyservrar från tredje part för ännu fler funktioner.
Den här artikeln innehåller vägledning för båda metoderna.
Steg 1. Anslut till Defender for Cloud Apps
Information om hur du verifierar licensiering och ansluter till Defender for Cloud Apps finns i Snabbstart: Kom igång med Microsoft Defender for Cloud Apps.
Om du inte omedelbart kan ansluta till portalen kan du behöva lägga till IP-adressen i listan över tillåtna i brandväggen. Mer information finns i Grundläggande konfiguration för Defender for Cloud Apps.
Om du fortfarande har problem kan du läsa Nätverkskrav.
Steg 2: Integrera med Microsoft Defender för Endpoint
Microsoft Defender for Cloud Apps integreras med Microsoft Defender för Endpoint internt. Integreringen förenklar distributionen av Cloud Discovery, utökar Cloud Discovery-funktionerna utanför företagets nätverk och möjliggör enhetsbaserad undersökning. Den här integreringen visar molnappar och tjänster som nås från IT-hanterade Windows 10 och Windows 11 enheter.
Om du redan har konfigurerat Microsoft Defender för Endpoint är konfiguration av integrering med Defender for Cloud Apps en växlingsknapp i Microsoft Defender XDR. När integreringen är aktiverad kan du återgå till Defender for Cloud Apps och visa omfattande data på Instrumentpanelen för cloud discovery.
Information om hur du utför dessa uppgifter finns i Integrera Microsoft Defender för Endpoint med Microsoft Defender for Cloud Apps.
Steg 3: Distribuera Defender for Cloud Apps logginsamlaren i dina brandväggar och andra proxyservrar
Om du vill ha täckning på alla enheter som är anslutna till nätverket distribuerar du Defender for Cloud Apps logginsamlare i brandväggarna och andra proxyservrar för att samla in data från dina slutpunkter och skicka dem till Defender for Cloud Apps för analys. Mer information finns i Konfigurera automatisk logguppladdning för kontinuerliga rapporter.
Defender for Cloud Apps tillhandahåller inbyggda appanslutningsprogram för populära molnappar. Dessa anslutningsappar använder API:erna för appleverantörer för att ge bättre insyn och kontroll över hur dessa appar används i din organisation. Mer information finns i Ansluta appar för att få synlighet och kontroll med Microsoft Defender for Cloud Apps.
Om du använder någon av följande säkra webbgatewayer (SWG) ger Defender for Cloud Apps sömlös distribution och integrering:
Mer information finns i Översikt över identifiering av molnappar.
Steg 4. Skapa en pilotgrupp – Begränsa pilotdistributionen till vissa användargrupper
Microsoft Defender for Cloud Apps gör att du kan begränsa distributionen. Med omfång kan du välja vissa användargrupper som ska övervakas för appar eller undantas från övervakning. Du kan inkludera eller exkludera användargrupper.
Mer information finns i Omfång för distributionen till specifika användare eller användargrupper.
Steg 5: Identifiera och hantera molnappar
För att Defender for Cloud Apps ska kunna ge maximalt skydd måste du identifiera alla molnappar i din organisation och hantera hur de används.
Identifiera molnappar
Det första steget för att hantera användningen av molnappar är att identifiera vilka molnappar som används av din organisation. Följande diagram illustrerar hur molnidentifiering fungerar med Defender for Cloud Apps.
I den här bilden finns det två metoder som kan användas för att övervaka nätverkstrafik och identifiera molnappar som används av din organisation.
Cloud App Discovery integreras med Microsoft Defender för Endpoint internt. Defender för Endpoint rapporterar molnappar och tjänster som nås från IT-hanterade Windows 10 och Windows 11 enheter.
För täckning på alla enheter som är anslutna till ett nätverk installerar du Defender for Cloud Apps logginsamlare i brandväggar och andra proxyservrar för att samla in data från slutpunkter. Insamlaren skickar dessa data till Defender for Cloud Apps för analys.
Visa Cloud Discovery-instrumentpanelen för att se vilka appar som används i din organisation
Instrumentpanelen för molnidentifiering är utformad för att ge dig mer inblick i hur molnappar används i din organisation. Den ger en översikt över vilka typer av appar som används, dina öppna aviseringar och risknivåerna för appar i din organisation.
Mer information finns i Visa identifierade appar med instrumentpanelen för molnidentifiering.
Hantera molnappar
När du har upptäckt molnappar och analyserat hur dessa appar används av din organisation kan du börja hantera molnappar som du väljer.
I den här bilden sanktioneras vissa appar för användning. Sanktionering är ett enkelt sätt att börja hantera appar. Mer information finns i Styra identifierade appar.
Steg 6. Konfigurera appkontroll för villkorlig åtkomst
Ett av de mest kraftfulla skydd som du kan konfigurera är appkontroll för villkorsstyrd åtkomst. Det här skyddet kräver integrering med Microsoft Entra ID. Det gör att du kan tillämpa principer för villkorsstyrd åtkomst, inklusive relaterade principer (som att kräva felfria enheter) för molnappar som du har sanktionerat.
Du kanske redan har lagt till SaaS-appar i din Microsoft Entra klientorganisation för att framtvinga multifaktorautentisering och andra principer för villkorlig åtkomst. Microsoft Defender for Cloud Apps integreras internt med Microsoft Entra ID. Allt du behöver göra är att konfigurera en princip i Microsoft Entra ID för att använda appkontrollen för villkorlig åtkomst i Defender for Cloud Apps. Detta dirigerar nätverkstrafik för dessa hanterade SaaS-appar via Defender for Cloud Apps som en proxy, vilket gör att Defender for Cloud Apps kan övervaka trafiken och tillämpa sessionskontroller.
I den här illustrationen:
- SaaS-appar är integrerade med Microsoft Entra klientorganisation. Med den här integreringen kan Microsoft Entra ID framtvinga principer för villkorlig åtkomst, inklusive multifaktorautentisering.
- En princip läggs till i Microsoft Entra ID för att dirigera trafik för SaaS-appar till Defender for Cloud Apps. Principen anger vilka SaaS-appar som principen ska tillämpas på. När Microsoft Entra ID tillämpar alla principer för villkorlig åtkomst som gäller för dessa SaaS-appar dirigerar Microsoft Entra ID (proxyservrar) sessionstrafiken via Defender for Cloud Apps.
- Defender for Cloud Apps övervakar trafiken och tillämpar alla principer för sessionskontroll som har konfigurerats av administratörer.
Du kanske har identifierat och sanktionerat molnappar med hjälp av Defender for Cloud Apps som inte har lagts till i Microsoft Entra ID. Du kan dra nytta av appkontrollen för villkorlig åtkomst genom att lägga till dessa molnappar i din Microsoft Entra klientorganisation och omfånget för dina regler för villkorsstyrd åtkomst.
Det första steget i att använda Microsoft Defender for Cloud Apps för att hantera SaaS-appar är att identifiera dessa appar och sedan lägga till dem i din Microsoft Entra klientorganisation. Om du behöver hjälp med identifiering läser du Identifiera och hantera SaaS-appar i nätverket. När du har identifierat appar lägger du till dessa appar i din Microsoft Entra klientorganisation.
Du kan börja hantera dessa appar med följande uppgifter:
I Microsoft Entra ID skapar du en ny princip för villkorlig åtkomst och konfigurerar den till Använd appkontroll för villkorsstyrd åtkomst. Den här konfigurationen hjälper till att omdirigera begäran till Defender for Cloud Apps. Du kan skapa en princip och lägga till alla SaaS-appar i den här principen.
Skapa sedan sessionsprinciper i Defender for Cloud Apps. Skapa en princip för varje kontroll som du vill tillämpa. Mer information, inklusive appar och klienter som stöds, finns i Skapa Microsoft Defender for Cloud Apps sessionsprinciper.
Exempelprinciper finns i Rekommenderade Microsoft Defender for Cloud Apps principer för SaaS-appar. Dessa principer bygger på en uppsättning vanliga principer för identitets- och enhetsåtkomst som rekommenderas som utgångspunkt för alla kunder.
Steg 7. Tillämpa sessionsprinciper på molnappar
När du har konfigurerat sessionsprinciper tillämpar du dem på dina molnappar för att ge kontrollerad åtkomst till dessa appar.
På bilden:
- Åtkomst till sanktionerade molnappar från användare och enheter i din organisation dirigeras via Defender for Cloud Apps.
- Molnappar som du inte har sanktionerat eller uttryckligen inte sanktionerat påverkas inte.
Med sessionsprinciper kan du använda parametrar för hur molnappar används av din organisation. Om din organisation till exempel använder Salesforce kan du konfigurera en sessionsprincip som endast tillåter hanterade enheter att komma åt organisationens data i Salesforce. Ett enklare exempel kan vara att konfigurera en princip för att övervaka trafik från ohanterade enheter så att du kan analysera risken för den här trafiken innan du tillämpar strängare principer.
Mer information finns i Appkontroll för villkorsstyrd åtkomst i Microsoft Defender for Cloud Apps.
Steg 8. Prova ytterligare funktioner
Använd de här Defender for Cloud Apps artiklarna för att identifiera risker och skydda din miljö:
- Identifiera misstänkt användaraktivitet
- Undersöka riskfyllda användare
- Undersöka riskfyllda OAuth-appar
- Identifiera och skydda känslig information
- Skydda alla appar i din organisation i realtid
- Blockera nedladdningar av känslig information
- Skydda dina filer med administratörskarantän
- Kräv stegvis autentisering vid riskfylld åtgärd
Mer information om avancerad jakt i Microsoft Defender for Cloud Apps data finns i den här videon.
SIEM-integrering
Du kan integrera Defender for Cloud Apps med Microsoft Sentinel som en del av Microsofts enhetliga plattform för säkerhetsåtgärder eller en allmän SIEM-tjänst (säkerhetsinformation och händelsehantering) för att möjliggöra centraliserad övervakning av aviseringar och aktiviteter från anslutna appar. Med Microsoft Sentinel kan du mer omfattande analysera säkerhetshändelser i organisationen och skapa spelböcker för effektiv och omedelbar respons.
Microsoft Sentinel innehåller en Microsoft Defender för XDR-dataanslutning för att ta alla signaler från Defender XDR, inklusive Defender for Cloud Apps, till Microsoft Sentinel. Använd den enhetliga säkerhetsåtgärdsplattformen i Defender-portalen som en enda plattform för säkerhetsåtgärder från slutpunkt till slutpunkt (SecOps).
Mer information finns i:
- Ansluta Microsoft Sentinel till Microsoft Defender-portalen
- Microsoft Sentinel integrering
- Allmän SIEM-integrering
Nästa steg
Utför livscykelhantering för Defender for Cloud Apps.
Nästa steg för distribution från slutpunkt till slutpunkt av Microsoft Defender XDR
Fortsätt distributionen av Microsoft Defender XDR från slutpunkt till slutpunkt med Undersök och svara med hjälp av Microsoft Defender XDR.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.