试点和部署Microsoft Defender for Cloud Apps

适用于：

• Microsoft Defender XDR

本文提供了在组织中试点和部署Microsoft Defender for Cloud Apps的工作流。 使用这些建议将Microsoft Defender for Cloud Apps加入为具有Microsoft Defender XDR的端到端解决方案的一部分。

本文假设你有一个生产Microsoft 365 租户，并且正在试点和部署此环境中的Microsoft Defender for Cloud Apps。 这种做法将维护在试点期间为 完整部署配置的任何设置和自定义项。

Defender for Office 365有助于防止或减少违规造成的业务损失，从而为零信任体系结构做出贡献。 有关详细信息，请参阅Microsoft零信任采用框架中的防止或减少违规业务造成的业务损失。

Microsoft Defender XDR的端到端部署

这是系列文章 5（共 6 篇），可帮助你部署Microsoft Defender XDR组件，包括调查和响应事件。

本系列文章对应于端到端部署的以下阶段：

阶段	链接
A. 启动试点	启动试点
B. 试点和部署Microsoft Defender XDR组件	- 试点和部署 Defender for Identity - 试点和部署Defender for Office 365 - 试点和部署 Defender for Endpoint - 本文) (试点和部署Microsoft Defender for Cloud Apps
C. 调查并响应威胁	实践事件调查和响应

试点和部署Defender for Cloud Apps工作流

下图演示了在 IT 环境中部署产品或服务的常见过程。

首先评估产品或服务及其在组织中的工作方式。 然后，使用适当的一小部分生产基础结构来试用产品或服务，以便进行测试、学习和自定义。 然后，逐步增加部署范围，直到涵盖整个基础结构或组织。

下面是在生产环境中试点和部署Defender for Cloud Apps的工作流。

请按照下列步骤操作：

1. 连接到Defender for Cloud Apps
2. 与 Microsoft Defender for Endpoint 集成
3. 在防火墙和其他代理上部署日志收集器
4. 创建试点组
5. 发现和管理云应用
6. 配置条件访问应用控制
7. 将会话策略应用到云应用
8. 试用其他功能

下面是每个部署阶段的建议步骤。

部署阶段	说明
评估	对Defender for Cloud Apps执行产品评估。
试点	针对生产环境中合适的云应用子集执行步骤 1-4 和步骤 5-8。
完全部署	对剩余的云应用执行步骤 5-8，调整试点用户组的范围，或添加用户组以扩展到试点之外，并包括所有用户帐户。

保护组织免受黑客攻击

Defender for Cloud Apps本身提供强大的保护。 但是，当与 Microsoft Defender XDR 的其他功能结合使用时，Defender for Cloud Apps向共享信号提供数据，共同帮助阻止攻击。

下面是网络攻击的示例，以及Microsoft Defender XDR组件如何帮助检测和缓解网络攻击。

Defender for Cloud Apps检测异常行为，例如不可能访问、凭据访问和异常下载、文件共享或邮件转发活动，并在Defender for Cloud Apps中显示这些行为。 Defender for Cloud Apps还有助于防止黑客的横向移动和敏感数据外泄。

Microsoft Defender XDR关联来自所有Microsoft Defender组件的信号，以提供完整的攻击情况。

Defender for Cloud Apps CASB 角色等

云访问安全代理 (CASB) 充当企业用户与其使用的云资源之间实时代理访问的守护程序，无论用户位于何处，也不管他们使用何种设备。 软件即服务 (SaaS) 应用在混合工作环境中无处不在，保护 SaaS 应用及其存储的重要数据对组织来说是一项重大挑战。

应用使用量的增加，加上员工访问公司外围外部的公司资源，也引入了新的攻击途径。 为了有效应对这些攻击，安全团队需要一种在云应用内保护其数据的方法，这种方法超出了传统的云访问安全代理 (CASB) 范围。

Microsoft Defender for Cloud Apps为 SaaS 应用程序提供全面保护，帮助你监视和保护以下功能领域的云应用数据：

• 基本的云访问安全代理 (CASB) 功能，例如影子 IT 发现、云应用使用情况的可见性、从云中的任何位置防范基于应用的威胁，以及信息保护和合规性评估。

• SaaS 安全态势管理 (SSPM) 功能，使安全团队能够改进组织的安全状况

• 高级威胁防护，作为Microsoft扩展检测和响应 (XDR) 解决方案的一部分，可跨高级攻击的完整杀伤链实现信号和可见性的强大关联

• 应用到应用保护，将核心威胁方案扩展到对关键数据和资源具有权限和特权的已启用 OAuth 的应用。

云应用发现方法

如果没有Defender for Cloud Apps，组织使用的云应用将不受管理且不受保护。 若要发现环境中使用的云应用，可以实现以下一种或两种方法：

• 通过与 Microsoft Defender for Endpoint 集成，通过 Cloud Discovery 快速启动和运行。 通过这种本机集成，可以立即开始跨Windows 10和Windows 11设备（在网络上和网络上）收集有关云流量的数据。
• 若要发现连接到网络的所有设备访问的所有云应用，请在防火墙和其他代理上部署Defender for Cloud Apps日志收集器。 此部署有助于从终结点收集数据，并将其发送到Defender for Cloud Apps进行分析。 Defender for Cloud Apps本机与某些第三方代理集成，以获取更多功能。

本文包含这两种方法的指南。

步骤 1. 连接到Defender for Cloud Apps

若要验证许可并连接到Defender for Cloud Apps，请参阅快速入门：Microsoft Defender for Cloud Apps入门。

如果无法立即连接到门户，则可能需要将 IP 地址添加到防火墙的允许列表。 有关详细信息，请参阅Defender for Cloud Apps的基本设置。

如果仍然遇到问题，请查看 网络要求。

步骤 2：与 Microsoft Defender for Endpoint 集成

Microsoft Defender for Cloud Apps本机与 Microsoft Defender for Endpoint 集成。 集成简化了 Cloud Discovery 的推出，将云发现功能扩展到企业网络之外，并支持基于设备的调查。 此集成显示从 IT 管理的Windows 10和Windows 11设备访问的云应用和服务。

如果已设置Microsoft Defender for Endpoint，则配置与 Defender for Cloud Apps 的集成是Microsoft Defender XDR中的一个切换。 启用集成后，可以返回到Defender for Cloud Apps并在 Cloud Discovery 仪表板中查看丰富的数据。

若要完成这些任务，请参阅将Microsoft Defender for Endpoint与Microsoft Defender for Cloud Apps集成。

步骤 3：在防火墙和其他代理上部署Defender for Cloud Apps日志收集器

• 若要覆盖连接到网络的所有设备，请在防火墙和其他代理上部署Defender for Cloud Apps日志收集器，以从终结点收集数据并将其发送到Defender for Cloud Apps进行分析。 有关详细信息，请参阅 配置连续报表的自动日志上传。

• Defender for Cloud Apps为常用云应用提供内置应用连接器。 这些连接器使用应用提供程序的 API 来更深入地了解和控制组织中使用这些应用的方式。 有关详细信息，请参阅使用Microsoft Defender for Cloud Apps连接应用以获取可见性和控制。

• 如果使用以下安全 Web 网关之一 (SWG) ，Defender for Cloud Apps可提供无缝部署和集成：

  • Zscaler
  • iboss
  • Corrata
  • Menlo Security
  • 开放系统

有关详细信息，请参阅 云应用发现概述。

步骤 4. 创建试点组 - 将试点部署范围限定为特定用户组

Microsoft Defender for Cloud Apps使你能够确定部署范围。 通过范围，你可以选择要监视应用或从监视中排除的特定用户组。 可以包括或排除用户组。

有关详细信息，请参阅 将部署范围限定为特定用户或用户组。

步骤 5. 发现和管理云应用

若要Defender for Cloud Apps提供最大保护量，必须发现组织中的所有云应用并管理其使用方式。

发现云应用

管理云应用使用的第一步是发现组织使用哪些云应用。 下图演示了云发现如何与Defender for Cloud Apps配合使用。

在此图中，有两种方法可用于监视网络流量和发现组织正在使用的云应用。

1. Cloud App Discovery 以本机方式与 Microsoft Defender for Endpoint 集成。 Defender for Endpoint 报告从 IT 管理的Windows 10和Windows 11设备访问的云应用和服务。

2. 为了覆盖连接到网络的所有设备，请在防火墙和其他代理上安装 Defender for Cloud Apps 日志收集器，以从终结点收集数据。 收集器将此数据发送到Defender for Cloud Apps进行分析。

查看 Cloud Discovery 仪表板，了解组织中正在使用的应用

云发现仪表板旨在让你更深入地了解组织中如何使用云应用。 它简要概述了正在使用的应用类型、打开的警报以及组织中应用的风险级别。

有关详细信息，请参阅使用云发现仪表板查看发现的应用。

管理云应用

发现云应用并分析组织如何使用这些应用后，即可开始管理所选的云应用。

在此图中，某些应用被批准使用。 批准是开始管理应用的一种简单方法。 有关详细信息，请参阅 治理发现的应用。

步骤 6. 配置条件访问应用控制

可以配置的最强大的保护之一是条件访问应用控制。 此保护需要与 Microsoft Entra ID 集成。 它允许将条件访问策略（包括相关策略 (（如要求设备) 正常）应用到已批准的云应用。

你可能已将 SaaS 应用添加到Microsoft Entra租户，以强制实施多重身份验证和其他条件访问策略。 Microsoft Defender for Cloud Apps本机与 Microsoft Entra ID 集成。 只需在 Microsoft Entra ID 中配置策略，以在 Defender for Cloud Apps 中使用条件访问应用控制。 这会通过代理Defender for Cloud Apps路由这些托管 SaaS 应用的网络流量，从而允许Defender for Cloud Apps监视此流量并应用会话控制。

在此图中：

• SaaS 应用与 Microsoft Entra 租户集成。 此集成允许Microsoft Entra ID强制实施条件访问策略，包括多重身份验证。
• 将策略添加到Microsoft Entra ID，以将 SaaS 应用的流量定向到Defender for Cloud Apps。 该策略指定要应用此策略的 SaaS 应用。 Microsoft Entra ID强制实施适用于这些 SaaS 应用的任何条件访问策略后，Microsoft Entra ID然后通过 Defender for Cloud Apps 定向 (代理) 会话流量。
• Defender for Cloud Apps监视此流量，并应用管理员配置的任何会话控制策略。

你可能已使用尚未添加到Microsoft Entra ID Defender for Cloud Apps发现并批准云应用。 通过将这些云应用添加到Microsoft Entra租户和条件访问规则的范围，可以利用条件访问应用控制。

使用 Microsoft Defender for Cloud Apps 管理 SaaS 应用的第一步是发现这些应用，然后将其添加到Microsoft Entra租户。 如果需要有关发现方面的帮助，请参阅 发现和管理网络中 SaaS 应用。 发现应用后，将这些应用添加到Microsoft Entra租户。

可以通过以下任务开始管理这些应用：

1. 在 Microsoft Entra ID 中，创建新的条件访问策略并将其配置为使用条件访问应用控制。此配置有助于将请求重定向到 Defender for Cloud Apps。 可以创建一个策略，并将所有 SaaS 应用添加到此策略。

2. 接下来，在 Defender for Cloud Apps 中创建会话策略。 为要应用的每个控件创建一个策略。 有关详细信息，包括支持的应用和客户端，请参阅创建Microsoft Defender for Cloud Apps会话策略。

有关示例策略，请参阅 SaaS 应用的建议Microsoft Defender for Cloud Apps策略。 这些策略基于一组 常见的标识和设备访问策略 ，建议作为所有客户的起点。

步骤 7. 将会话策略应用到云应用

配置会话策略后，将其应用于云应用，以提供对这些应用的受控访问权限。

在此图中：

• 从组织中的用户和设备访问批准的云应用是通过Defender for Cloud Apps路由的。
• 未批准或明确未批准的云应用不受影响。

会话策略允许将参数应用于组织使用云应用的方式。 例如，如果你的组织正在使用 Salesforce，则可以配置一个会话策略，该策略仅允许托管设备访问 Salesforce 中的组织数据。 一个更简单的示例是配置策略以监视来自非托管设备的流量，以便在应用更严格的策略之前分析此流量的风险。

有关详细信息，请参阅 Microsoft Defender for Cloud Apps 中的条件访问应用控制。

步骤 8. 试用其他功能

使用以下Defender for Cloud Apps文章来帮助你发现风险并保护环境：

• 检测可疑用户活动
• 调查有风险的用户
• 调查有风险的 OAuth 应用
• 发现和保护敏感信息
• 实时保护组织中的任何应用
• 阻止下载敏感信息
• 使用管理员隔离保护文件
• 要求在风险操作时进行升级身份验证

有关Microsoft Defender for Cloud Apps数据中的高级搜寻的详细信息，请参阅此视频。

SIEM 集成

可以将Defender for Cloud Apps与Microsoft Sentinel集成，作为Microsoft统一安全操作平台的一部分，或者将通用安全信息和事件管理 (SIEM) 服务集成，以便集中监视来自连接的应用的警报和活动。 借助Microsoft Sentinel，你可以更全面地分析整个组织的安全事件，并生成 playbook，以便进行有效和即时的响应。

Microsoft Sentinel包括 XDR 数据连接器Microsoft Defender，用于将来自Defender XDR（包括Defender for Cloud Apps）的所有信号Microsoft Sentinel。 将 Defender 门户中的统一安全操作平台用作单一平台， (SecOps) 进行端到端安全操作。

有关更多信息，请参阅：

• 将Microsoft Sentinel连接到Microsoft Defender门户
• Microsoft Sentinel集成
• 通用 SIEM 集成

后续步骤

对Defender for Cloud Apps执行生命周期管理。

Microsoft Defender XDR的端到端部署的下一步

使用Microsoft Defender XDR进行调查和响应，继续Microsoft Defender XDR的端到端部署。

提示

想要了解更多信息？ 请在我们的技术社区中与 Microsoft 安全社区互动：Microsoft Defender XDR 技术社区。