使用 Defender for Cloud Apps 保護組織的最佳做法
本文提供使用 Microsoft Defender for Cloud Apps 保護組織的最佳做法。 這些最佳做法來自於我們在 Defender for Cloud Apps 的經驗,以及像您一樣的客戶體驗。
本文中討論的最佳做法包括:
探索及評估雲端應用程式
Defender for Cloud Apps 與 適用於端點的 Microsoft Defender整合可讓您使用公司網路以外的雲端探索或安全的Web閘道。 透過結合的使用者和裝置資訊,您可以識別有風險的使用者或裝置、查看他們使用的應用程式,以及在適用於端點的 Defender 入口網站中進一步調查。
最佳做法:使用適用於端點的Defender啟用影子IT探索
詳細數據:雲端探索會分析適用於端點的 Defender 所收集的流量記錄,並針對雲端應用程式目錄評估已識別的應用程式,以提供合規性和安全性資訊。 藉由設定雲端探索,您可以看到雲端使用、影子 IT,以及持續監視使用者所使用的未批准應用程式。
如需詳細資訊:
最佳做法:設定應用程式探索原則,以主動識別有風險、不符合規範且有趨勢的應用程式
詳細數據:應用程式探索原則可讓您更輕鬆地追蹤組織中探索到的重要應用程式,以協助您有效率地管理這些應用程式。 建立原則,以在偵測識別為具風險、不符合規範、趨勢或大量的新應用程式時接收警示。
如需詳細資訊:
最佳做法:管理用戶授權的 OAuth 應用程式
詳細數據:許多用戶會隨意地將 OAuth 許可權授與第三方應用程式,以存取其帳戶資訊,而在這樣做時,也會不小心將數據的存取權授與其他雲端應用程式。 通常,IT 無法看到這些應用程式,因此很難根據應用程式所提供的生產力優勢來權衡應用程式的安全性風險。
Defender for Cloud Apps 可讓您調查及監視使用者授與的應用程式許可權。 您可以使用此資訊來識別潛在的可疑應用程式,而且如果您判斷有風險,您可以禁止存取它。
如需詳細資訊:
套用雲端控管原則
最佳做法:標記應用程式和匯出區塊腳本
詳細數據:檢閱組織中探索到的應用程式清單之後,您可以保護您的環境,避免不必要的應用程式使用。 您可以將 [ 獲批准的 標籤] 套用至組織核准的應用程式,並將 [未批准 ] 標籤套用至未核准的應用程式。 您可以使用探索篩選器來監視未批准的應用程式,或匯出腳本來封鎖使用內部部署安全性設備的未批准應用程式。 使用標籤和匯出文稿可讓您組織應用程式,並僅允許存取安全的應用程式來保護您的環境。
如需詳細資訊:
限制共用資料的暴露程度,並強制執行共同作業原則
最佳做法:連線Microsoft 365
詳細數據:將 Microsoft 365 連線到 Defender for Cloud Apps 可讓您立即查看使用者的活動、他們存取的檔案,並提供 Microsoft 365、SharePoint、OneDrive、Teams、Power BI、Exchange 和 Dynamics 的治理動作。
如需詳細資訊:
最佳做法:連線您的應用程式
詳細數據:將您的應用程式連線到 Defender for Cloud Apps 可讓您更深入瞭解用戶的活動、威脅偵測和治理功能。 若要查看支援哪些第三方應用程式 API,請移至 連線應用程式。
如需詳細資訊:
最佳做法:建立原則以移除與個人帳戶的共用
詳細數據:將 Microsoft 365 連線到 Defender for Cloud Apps 可讓您立即查看使用者的活動、他們存取的檔案,並提供 Microsoft 365、SharePoint、OneDrive、Teams、Power BI、Exchange 和 Dynamics 的治理動作。
如需詳細資訊:
探索、分類、標記和保護儲存在雲端受管制的敏感性資料
最佳做法:與 Microsoft Purview 資訊保護 整合
詳細數據:與 Microsoft Purview 資訊保護 整合可讓您自動套用敏感度標籤,並選擇性地新增加密保護。 一旦開啟整合,您就可以將標籤套用為治理動作、依分類檢視檔案、依分類層級調查檔案,以及建立細微的原則,以確保分類的檔案已正確處理。 如果您未開啟整合,則無法受益於在雲端中自動掃描、標記和加密檔案的能力。
如需詳細資訊:
最佳做法:建立數據曝光原則
詳細數據:使用檔案原則來偵測雲端應用程式中的資訊共用和掃描機密資訊。 建立下列檔案原則,以在偵測到數據暴露時發出警示:
- 外部共享的檔案,其中包含敏感數據
- 在外部共用並標示為機密的檔案
- 與未經授權網域共用的檔案
- 保護 SaaS 應用程式上的敏感性檔案
如需詳細資訊:
最佳做法:檢閱 [檔案 ] 頁面中的報表
詳細數據:使用應用程式連接器連接各種 SaaS 應用程式之後,Defender for Cloud Apps 掃描這些應用程式所儲存的檔案。 此外,每次修改檔案時,都會再次掃描檔案。 您可以使用 [檔案] 頁面來瞭解及調查儲存在雲端應用程式中的數據類型。 為了協助您調查,您可以依網域、群組、使用者、建立日期、擴展名、檔名和類型、檔案標識碼、敏感度標籤等進行篩選。 使用這些篩選條件可讓您控制如何選擇調查檔案,以確保沒有任何數據有風險。 一旦您更了解數據的使用方式,就可以建立原則來掃描這些檔案中的敏感性內容。
如需詳細資訊:
針對儲存在雲端的資料強制執行 DLP 和合規性原則
最佳做法:防止機密數據與外部用戶共用
詳細數據:建立檔案原則,以偵測使用者何時嘗試與組織外部人員共用具有 機密 敏感度標籤的檔案,並設定其治理動作以移除外部使用者。 此原則可確保您的機密數據不會離開您的組織,且外部用戶無法取得其存取權。
如需詳細資訊:
禁止和防止將敏感性資料下載至未受管理或有風險的裝置
最佳做法:管理和控制對高風險裝置的存取
詳細數據:使用條件式存取應用程控來設定 SaaS 應用程式上的控制件。 您可以建立會話原則來監視高風險、低信任的會話。 同樣地,您可以建立會話原則,以封鎖和保護嘗試從非受控或具風險裝置存取敏感數據的用戶下載。 如果您未建立會話原則來監視高風險會話,您將無法封鎖和保護 Web 用戶端中的下載,以及監視Microsoft和第三方應用程式中低信任會話的能力。
如需詳細資訊:
強制執行即時工作階段控制,保護與外部使用者之間的共同作業
最佳做法:使用條件式存取應用程控來監視與外部使用者的會話
詳細數據:若要保護環境中的共同作業,您可以建立會話原則來監視內部和外部使用者之間的會話。 這不僅可讓您監視使用者 (之間的會話,並通知他們其會話活動正受到監視) ,也可讓您限制特定活動。 建立工作階段原則來監視活動時,您可以選擇您想要監視的應用程式和使用者。
如需詳細資訊:
偵測雲端威脅、帳戶遭入侵、惡意內部人員及勒索軟體
最佳做法:調整異常原則、設定IP範圍、傳送警示的意見反應
詳細數據:異常偵測原則 (UEBA) 和機器學習 (ML) 提供現成的使用者和實體行為分析,讓您可以立即在雲端環境中執行進階威脅偵測。
當您環境中的使用者執行異常活動時,就會觸發異常偵測原則。 Defender for Cloud Apps 持續監視使用者的活動,並使用 UEBA 和 ML 來瞭解並了解使用者的正常行為。 您可以調整原則設定以符合組織需求,例如,您可以設定原則的敏感度,以及將原則的範圍設定為特定群組。
微調和範圍異常偵測原則:例如,若要減少不可能移動警示內的誤判數目,您可以將原則的敏感度滑桿設定為低。 如果您的組織中有經常成為公司常客的使用者,您可以將他們新增至使用者群組,並在原則範圍中選取該群組。
設定IP範圍:設定IP位址範圍之後,Defender for Cloud Apps 可以識別已知的IP位址。 設定IP位址範圍之後,您可以標記、分類及自訂記錄和警示的顯示和調查方式。 新增IP位址範圍有助於減少誤判偵測,並改善警示的精確度。 如果您選擇不新增IP位址,您可能會看到增加的可能誤判和警示數目要調查。
傳送警示的意見反應
關閉或解決警示時,請務必傳送意見反應,其中包含您關閉警示的原因或解決方式。 這項資訊可協助 Defender for Cloud Apps 改善我們的警示,並減少誤判。
如需詳細資訊:
- 取得立即的行為分析和異常偵測
- 使用 IP 範圍和標記 (部分機器翻譯)
最佳做法:偵測來自非預期位置或國家/地區的活動
詳細數據:建立活動原則,以在使用者從非預期的位置或國家/地區登入時通知您。 這些通知可以警示您環境中可能遭到入侵的會話,以便在威脅發生之前偵測並補救威脅。
如需詳細資訊:
最佳做法:建立 OAuth 應用程式原則
詳細數據:建立 OAuth 應用程式原則,以在 OAuth 應用程式符合特定準則時通知您。 例如,當超過 100 位使用者存取需要高許可權等級的特定應用程式時,您可以選擇收到通知。
如需詳細資訊:
使用活動的稽核線索來啟動鑒識調查
最佳做法:調查警示時使用活動的稽核線索
詳細數據:當使用者、系統管理員或登入活動不符合您的原則時,就會觸發警示。 請務必調查警示,以瞭解您的環境中是否有可能的威脅。
您可以在 [警示 ] 頁面上 選取警示,並檢閱與該警示相關的活動稽核線索,以調查警示。 稽核線索可讓您查看相同類型、相同使用者、相同IP位址和位置的活動,以提供警示的整體案例。 如果警示需要進一步調查,請建立計劃來解決組織中的這些警示。
關閉警示時,請務必調查並瞭解其不重要的原因,或是否為誤判。 如果有大量這類活動,您可能也想要考慮檢閱和調整觸發警示的原則。
如需詳細資訊:
保護 IaaS 服務和自訂應用程式
最佳做法:連線 Azure、AWS 和 GCP
詳細數據:將這些雲端平臺連線到 Defender for Cloud Apps 可協助您改善威脅偵測功能。 藉由監視這些服務的系統管理和登入活動,您可以偵測並收到有關可能的暴力密碼破解攻擊、惡意使用特殊許可權用戶帳戶,以及環境中其他威脅的通知。 例如,您可以識別風險,例如異常刪除 VM,或甚至是這些應用程式中的模擬活動。
如需詳細資訊:
- 將 Azure 連線至 Microsoft Defender for Cloud Apps
- 將 Amazon Web Services 連線至 Microsoft Defender for Cloud Apps
- 將Google Workspace 連線至 Microsoft Defender for Cloud Apps
最佳做法:將自定義應用程序上線
詳細數據:若要進一步瞭解企業營運應用程式的活動,您可以將自定義應用程式上線以 Defender for Cloud Apps。 設定自訂應用程式之後,您會看到有關誰在使用它們、正在使用它們的IP位址,以及有多少流量進出應用程式的相關信息。
此外,您可以將自定義應用程式上線作為條件式存取應用程控應用程式,以監視其低信任的會話。 Microsoft Entra ID 應用程式會自動上線。
如需詳細資訊: