教程:发现和管理影子 IT
当询问 IT 管理员他们认为员工使用了多少个云应用时,通常他们会回答平均 30 或 40 个,而实际上组织的员工平均使用超过 1,000 个不同的应用。 影子 IT 帮助你准确了解和识别哪些应用正在使用,以及你的风险级别如何。80% 的员工使用了未获批准的应用,这些应用未经审核,可能不符合安全性和合规性策略。 而且由于你的员工可以从公司网络外部访问你的资源和应用,因此在防火墙上设置规则和策略不再足以提供有效保护。
在本教程中,你将学习如何使用 Cloud Discovery 来发现正在使用的应用、探查这些应用的风险、配置策略用于识别正在使用的具有风险的新应用,以及如何取消批准这些应用,以便使用代理或防火墙设备在本地阻止它们
提示
默认情况下,Defender for Cloud Apps 无法发现不在目录中的应用。
如何在网络中发现和管理影子 IT
使用此过程在组织中推出影子 IT Cloud Discovery。
阶段 1:发现并识别影子 IT
发现影子 IT:通过在组织中运行 Cloud Discovery,查看网络中的实际情况,从而确定组织的安全状况。 有关详细信息,请参阅设置 Cloud Discovery。 可使用以下方法来完成此操作:
通过与 Microsoft Defender for Endpoint 集成,快速启动和运行 Cloud Discovery。 通过这种本机集成,可以立即开始收集多台 Windows 10 和 Windows 11 设备的云流量数据(网上和网下)。
要覆盖连接到网络的所有设备,请务必在防火墙和其他代理上部署 Defender for Cloud Apps 日志收集器,以收集终结点中的数据,并将其发送至 Defender for Cloud Apps 以供分析。
将 Defender for Cloud Apps 与代理集成。 Defender for Cloud Apps 可与部分第三方代理(包括 Zscaler)进行本机集成。
由于不同用户组、区域和业务组的策略有所不同,因此可能需要为每个单元创建专用的影子 IT 报表。 有关详细信息,请参阅创建自定义连续报告。
现在已在网络中运行 Cloud Discovery,请查看生成的连续报表,并查看 Cloud Discovery 仪表板,以全面了解组织中正在使用的应用。 按类别来查看这些应用是一种不错的方法,因为未批准的应用通常会被用于处理批准的应用无法解决的合法、与工作相关的问题。
确定应用的风险级别:使用 Defender for Cloud Apps 目录,更深入了解每个发现的应用所涉及的风险。 Defender for Cloud Apps 目录包括使用 90 多个风险因素评估过的 31,000 多个应用。 风险因素从应用相关的常规信息开始(应用的总部在哪里、应用的发布者是谁),涵盖安全措施和控制(支持静态加密、提供用户活动的审核日志)。 有关详细信息,请参阅使用风险评分,
在 Microsoft Defender 门户的“云应用”下,选择“Cloud Discovery”。 然后转到“已发现应用”选项卡。按照你所关注的风险因素,对组织中已发现应用的列表进行筛选。 例如,可以使用高级筛选器查找风险评分低于 8 的所有应用。
可以通过选择应用名称,并选择“信息”选项卡来查看应用安全性风险因素的详细信息,深入探索该应用,了解有关其合规性的更多信息。
阶段 2:评估和分析
评估合规性:检查应用是否通过认证,符合组织的标准(例如 HIPAA 或 SOC2)。
在 Microsoft Defender 门户的“云应用”下,选择“Cloud Discovery”。 然后转到“已发现应用”选项卡。按照你所关注的符合性风险因素,对组织中已发现的应用的列表进行筛选。 例如,使用推荐的查询来筛选不符合的应用。
可以通过单击应用名称并单击“信息”选项卡来查看应用合规性风险因素的详细信息,深入探索该应用,了解有关其合规性的更多信息。
分析使用情况:现在,明确了是否想要在组织中使用此应用后,你希望调查该应用的使用方式和使用者。 如果该应用仅以一种受限的方式在组织中使用,则可能没有任何问题,但你可能想要在使用量增加时得到通知,以便能够决定是否要阻止该应用。
在 Microsoft Defender 门户的“云应用”下,选择“Cloud Discovery”。 然后转到“已发现应用”选项卡,通过选择要调查的特定应用向下钻取。 通过“使用”选项卡,可以了解使用该应用的活动用户数以及它所产生的流量。 这可以让你充分了解该应用的使用情况。 如果要专门查看使用该应用的用户,可以通过选择“总活动用户”进行更深入的探索。 这是一个可以提供相关信息的重要步骤,例如,如果发现特定应用的用户全部来自市场营销部门,则可能说明某项业务需要使用此应用,如果此应用存在风险,则应在阻止此应用之前与这些用户探讨替代方案。
调查已发现的应用的使用情况时,更深入地进行探索。 查看子域和资源,了解云服务中的特定活动、数据访问和资源使用情况。 有关详细信息,请参阅深入探索已发现的应用和发现资源和自定义应用。
确定替代应用:使用云应用目录来确定更安全的应用,这些替代应用可实现与检测到的风险应用类似的业务功能,但符合组织的策略。 为此,可以使用高级筛选器,在同一类别中查找符合不同安全控制措施的应用。
阶段 3:管理应用
管理云应用:Defender for Cloud Apps 可帮助你完成管理组织中的应用使用的过程。 识别组织中使用的不同模式和行为后,可以创建新的自定义应用标记,根据应用的工作状态或理由对每个应用进行分类。 稍后可将这些标记用于特定的监视目的,例如,识别流向被标记为风险性云存储应用的应用的大量流量。 可以在“设置”>“云应用”>“Cloud Discovery”>“应用标记”下管理应用标记。 然后可以使用这些标记在 Cloud Discovery 页面中进行筛选,并使用它们创建策略。
使用 Microsoft Entra 库管理已发现的应用:Defender for Cloud Apps 还利用本机集成的 Microsoft Entra ID,让你能够在 Microsoft Entra 库中管理已发现的应用。 对于已在 Microsoft Entra 库中显示的应用,可以应用单一登录,并使用 Microsoft Entra ID 来管理该应用。 为此,在显示相关应用的行中,选择行末尾的三个点,然后选择“使用 Microsoft Entra ID 管理应用”。
持续监视:现在,彻底调查应用后,你可能希望设置策略,用以监视应用并在必要时提供控制。
现在可以创建策略,以便在出现关注的情况时收到自动警报。 例如,你可能希望创建应用发现策略,以便在关注的应用中出现下载峰值或流量峰值时收到通知。 例如,应启用“发现的用户策略中的异常行为”、“云存储应用合规性检查”以及“新的风险应用”。 还应设置策略,以便通过电子邮件通知你。 有关详细信息,请参阅策略模板参考、Cloud Discovery 策略和配置应用发现策略。
查看警报页面,并使用“策略类型”筛选器来查看应用发现警报。 对于通过应用发现策略匹配的应用,建议执行高级调查(例如通过联系该应用的用户),详细了解使用该应用的合理业务理由。 然后,重复第 2 阶段中的步骤来评估应用的风险。 确定要对该应用程序执行的后续步骤,即是批准以后使用该应用程序还是在下一次用户访问该应用时阻止该应用,若要阻止该应用,则应将其标记为未批准,以便使用防火墙、代理或安全 Web 网关来阻止它。 有关详细信息,请参阅与 Microsoft Defender for Endpoint 集成、与 Zscaler 集成、与 iboss 集成和通过导出块脚本来阻止应用。
阶段 4:高级影子 IT 发现报告
除了 Defender for Cloud Apps 中提供的报告选项外,还可以将 Cloud Discovery 日志集成到 Microsoft Sentinel 中,以便进行进一步调查和分析。 数据集成到 Microsoft Sentinel 中后,你可在仪表板中查看数据、使用 Kusto 查询语言运行查询、将查询导出到 Microsoft Power BI、与其他源集成,并且创建自定义警报。 有关详细信息,请参阅 Microsoft Sentinel 集成。
阶段 5:控制批准的应用
要通过 API 启用应用控制, 请通过 API 连接应用以实现持续监视。
使用条件访问应用控制保护应用。
云应用的特性意味着它们会每天更新,随时都可能出现新的应用。 正因为如此,员工将不断地使用新应用,因此,请务必持续跟踪、审查和更新策略,检查用户使用的应用以及应用的使用情况和行为模式。 你可以始终转到 Cloud Discovery 仪表板并查看正在使用的新应用,然后再次按照本文中的说明来确保组织和数据得到保护。
后续步骤
如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。