教學課程:探索和管理影子 IT
當 IT 系統管理員被要求認為其員工使用多少個雲端應用程式時,平均表示 30 或 40,而實際上,貴組織中的員工所使用的平均值超過 1,000 個不同的應用程式。 影子IT可協助您知道並識別正在使用的應用程式,以及您的風險層級。80% 的員工使用未經審查且可能不符合您安全性與合規性原則的未經批准應用程式。 而且,因為您的員工可以從公司網路外部存取您的資源和應用程式,所以在防火牆上擁有規則和原則已不再足夠。
在本教學課程中,您將瞭解如何使用雲端探索來探索正在使用的應用程式、探索這些應用程式的風險、設定原則以識別正在使用的新具風險應用程式,以及取消批准這些應用程式,以原生方式使用您的 Proxy 或防火牆設備來封鎖它們
提示
根據預設,Defender for Cloud Apps 無法探索不在目錄中的應用程式。
若要查看目前不在目錄中的應用程式 Defender for Cloud Apps 數據,建議您檢查我們的藍圖或建立自定義應用程式。
如何探索和管理網路中的影子IT
使用此程式在您的組織中推出影子 IT 雲端探索。
階段 1:探索和識別影子 IT
探索陰影 IT:在組織中執行雲端探索來識別組織的安全性狀態,以查看網路中的實際狀況。 如需詳細資訊, 請參閱設定雲端探索。 這可以使用下列任何一種方法來完成:
藉由與 適用於端點的 Microsoft Defender整合,快速啟動並執行雲端探索。 此原生整合可讓您立即開始收集跨您網路上 Windows 10 和 Windows 11 裝置的雲端流量數據。
若要涵蓋所有連線到您網路的裝置,請務必在防火牆和其他 Proxy 上部署 Defender for Cloud Apps 記錄收集器,以從端點收集數據,並將其傳送至 Defender for Cloud Apps 進行分析。
整合 Defender for Cloud Apps 與您的 Proxy。 Defender for Cloud Apps 原生整合一些第三方 Proxy,包括 Zscaler。
由於原則在使用者群組、區域和商務群組之間不同,因此您可能想要為每個單元建立專用的影子 IT 報告。 如需詳細資訊,請 參閱建立自定義連續報告。
現在雲端探索正在您的網路上執行,請查看所產生的連續報告,並查看 雲端探索儀錶板 ,以完整了解組織中使用的應用程式。 最好依類別來查看它們,因為您通常會發現未獲批准的應用程式正用於合法的工作相關用途,而獲批准的應用程式並未處理這些用途。
識別應用程式的風險層級:使用 Defender for Cloud Apps 目錄深入瞭解每個探索到的應用程式所涉及的風險。 適用於雲端的 Defender 應用程式目錄包含超過 31,000 個使用超過 90 個風險因素進行評估的應用程式。 風險因素是從應用程式 (的一般信息開始,其中 是應用程式的總部、發行者) ,以及透過安全性措施和控制措施 (支援待用加密,提供用戶活動) 的稽核記錄。 如需詳細資訊,請 參閱使用風險分數,
在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [Cloud Discovery]。 然後移至 [探索到的 應用程式] 索引標籤 。根據您擔心的風險因素,篩選組織中探索到的應用程式清單。 例如,您可以使用進階 篩選 來尋找風險分數低於 8 的所有應用程式。
您可以選取應用程式名稱,然後選取 [ 資訊 ] 索引標籤來查看應用程式安全性風險因素的詳細數據,以深入瞭解應用程式的合規性。
階段 2:評估和分析
評估合規性:檢查應用程式是否已認證為符合貴組織的標準,例如 HIPAA 或 SOC2。
在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [Cloud Discovery]。 然後移至 [探索到的 應用程式] 索引標籤 。根據您所關心的合規性風險因素,篩選您組織中探索到的應用程式清單。 例如,使用建議的查詢來篩選出不符合規範的應用程式。
您可以選取應用程式名稱,然後選取 [ 資訊 ] 索引標籤來查看應用程式合規性風險因素的詳細數據,以深入瞭解應用程式的合規性。
分析使用方式:現在您知道是否要在組織中使用應用程式,您想要調查其使用方式和消費者。 如果只以有限的方式在您的組織中使用,或許沒問題,但如果使用量持續增加,您想要收到相關通知,以便您決定是否要封鎖應用程式。
在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [Cloud Discovery]。 然後移至 [探索到的 應用程式] 索引標籤,然後選取您想要調查的特定應用程式向下切入。 [ 使用量 ] 索引標籤可讓您知道有多少作用中的使用者正在使用應用程式,以及其所產生的流量。 這已經可以讓您充分瞭解應用程式發生的情況。 然後,如果您想要查看誰正在使用應用程式,您可以選取 [ 作用中用戶總數] 進一步向下切入。 這個重要步驟可提供您相關信息,例如,如果您發現特定應用程式的所有使用者都來自行銷部門,則此應用程式可能有商務需求,如果有風險,您應該先與他們討論替代專案,再加以封鎖。
調查探索到的應用程式使用時,更深入探討。 檢視子域和資源,以了解雲端服務中的特定活動、數據存取和資源使用量。 如需詳細資訊,請 參閱深入探討探索到的應用程式 和 探索資源和自定義應用程式。
識別替代應用程式:使用雲端應用程式目錄來識別更安全的應用程式,以達到與偵測到有風險的應用程式類似的商務功能,但確實符合貴組織的原則。 您可以使用進階篩選來尋找與不同安全性控制件相符之相同類別中的應用程式,來達成此目標。
階段3:管理您的應用程式
管理雲端應用程式:Defender for Cloud Apps 可協助您管理組織中應用程式使用的程式。 識別組織中使用的不同模式和行為之後,您可以建立新的自定義應用程式標籤,以便根據每個應用程式的商務狀態或理由來分類每個應用程式。 這些標籤可用於特定的監視用途,例如識別前往標記為有風險雲端記憶體應用程式之應用程式的高流量。 您可以在 [設定>Cloud Apps>Cloud Discovery> 應用程式標籤] 下管理應用程式標籤。 這些標籤稍後可用於在雲端探索頁面中進行篩選,並使用它們建立原則。
使用資源庫 Microsoft Entra 管理探索到的應用程式:Defender for Cloud Apps 也會使用其與 Microsoft Entra ID 的原生整合,讓您能夠在資源庫中管理探索到的應用程式 Microsoft Entra。 對於已出現在 Microsoft Entra 庫中的應用程式,您可以套用單一登錄,並使用 Microsoft Entra ID 來管理應用程式。 若要這樣做,請在相關應用程式出現的數據列上,選擇數據列結尾的三個點,然後選擇 [使用 Microsoft Entra ID 管理應用程式]。
持續監視:現在您已徹底調查應用程式,您可能想要設定原則來監視應用程式,並在需要時提供控制。
現在可以建立原則,讓您可以在發生您擔心的狀況時自動收到警示。 例如,您可能想要建立 應用程式探索原則 ,讓您知道何時從您關心的應用程式下載或流量突然增加。 若要達到此目的,您應該 在探索到的用戶原則、雲端 記憶體應用程式合規性檢查和 新增有風險的應用程式中啟用異常行為。 您也應該設定原則,以透過電子郵件通知您。 如需詳細資訊,請參閱 原則範本參考,深入瞭解 雲端探索原則 和設定 應用程式探索原則。
查看 [警示] 頁面,並使用 [ 原則類型 ] 篩選來查看應用程式探索警示。 針對與應用程式探索原則相符的應用程式,建議您進行進階調查,以深入瞭解使用應用程式的商業理由,例如連絡應用程式的使用者。 然後,重複階段 2 中的步驟,以評估應用程式的風險。 然後決定應用程式的後續步驟,不論您未來是否核准使用應用程式,還是想要在使用者下次存取應用程式時加以封鎖,在此情況下,您應該將它標記為未批准,以便使用您的防火牆、Proxy 或安全 Web 網關來封鎖它。 如需詳細資訊,請參閱與 適用於端點的 Microsoft Defender整合、與 Zscaler 整合、與 iboss 整合,以及透過導出區塊腳本封鎖應用程式。
階段 4:進階陰影 IT 探索報告
除了 Defender for Cloud Apps 中可用的報告選項之外,您還可以將雲端探索記錄整合到 Microsoft Sentinel,以進行進一步的調查和分析。 一旦數據在 Microsoft Sentinel 中,您就可以在儀錶板中檢視數據、使用 Kusto 查詢語言執行查詢、將查詢匯出至 Microsoft Power BI、與其他來源整合,以及建立自定義警示。 如需詳細資訊,請參閱 Microsoft Sentinel 整合。
階段5:控制獲批准的應用程式
若要透過 API 啟用應用程控,請 透過 API 連線應用程式 以進行持續監視。
使用 條件式存取應用程控來保護應用程式。
雲端應用程式的本質表示它們會每天更新,而新的應用程式會隨時出現。 因此,員工會持續使用新的應用程式,請務必持續追蹤和檢閱及更新您的原則、檢查使用者使用的應用程式,以及其使用方式和行為模式。 您一律可以移至雲端探索儀錶板,並查看正在使用哪些新的應用程式,並再次遵循本文中的指示,以確保您的組織和您的數據受到保護。
後續步驟
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。