試驗和部署 Microsoft Defender for Cloud Apps

適用於：

• Microsoft Defender XDR

本文提供在組織中試驗和部署 Microsoft Defender for Cloud Apps 的工作流程。 使用這些建議將 Microsoft Defender for Cloud Apps 上線，作為端對端解決方案 Microsoft Defender 全面偵測回應 的一部分。

本文假設您有生產Microsoft 365 租使用者，並在此環境中試驗和部署 Microsoft Defender for Cloud Apps。 此做法會維護您在試驗期間為 完整部署所設定的任何設定和自定義。

適用於 Office 365 的 Defender 藉由協助防止或減少因缺口而造成的業務損害，為 零信任 架構做出貢獻。 如需詳細資訊，請參閱 Microsoft 零信任 採用架構中的防止或減少因外泄商務案例造成的業務損害。

Microsoft Defender 全面偵測回應 的端對端部署

這是系列文章 6 的第 5 篇文章，可協助您部署 Microsoft Defender 全面偵測回應 的元件，包括調查和回應事件。

本系列中的文章會對應至下列端對端部署階段：

階段	連結
答： 啟動試驗	啟動試驗
B. 試驗和部署 Microsoft Defender 全面偵測回應元件	- 試驗和部署適用於身分識別的Defender - 試驗和部署 適用於 Office 365 的 Defender - 試驗和部署適用於端點的Defender - 本文章 (試驗和部署 Microsoft Defender for Cloud Apps)
C. 調查和回應威脅	練習事件調查和回應

試驗和部署 Defender for Cloud Apps 的工作流程

下圖說明在IT環境中部署產品或服務的常見程式。

首先，您會評估產品或服務，以及其在組織內的運作方式。 然後，您可以使用適當的小型生產基礎結構子集來試驗產品或服務，以進行測試、學習和自定義。 然後，逐漸增加部署的範圍，直到涵蓋整個基礎結構或組織為止。

以下是在生產環境中試驗和部署 Defender for Cloud Apps 的工作流程。

依照下列步驟執行：

1. 線上到 Defender for Cloud Apps
2. 與 適用於端點的 Microsoft Defender整合
3. 在防火牆和其他 Proxy 上部署記錄收集器
4. 建立試驗群組
5. 探索和管理雲端應用程式
6. 設定條件式存取應用程控
7. 將會話原則套用至雲端應用程式
8. 試用其他功能

以下是每個部署階段的建議步驟。

部署階段	描述
評估	執行 Defender for Cloud Apps 的產品評估。
試驗	針對生產環境中適合的雲端應用程式子集，執行步驟 1-4 和 5-8。
完整部署	針對剩餘的雲端應用程式執行步驟 5-8、調整試驗使用者群組的範圍，或新增使用者群組，以擴充試驗以外的範圍，並包含所有用戶帳戶。

保護您的組織免於駭客的攻擊

Defender for Cloud Apps 自行提供強大的保護。 不過，結合 Microsoft Defender 全面偵測回應的其他功能時，Defender for Cloud Apps 將數據提供給共同訊號，以協助停止攻擊。

以下是網路攻擊的範例，以及 Microsoft Defender 全面偵測回應元件如何協助偵測並減輕攻擊。

Defender for Cloud Apps 會偵測異常行為，例如不可能移動、認證存取，以及不尋常的下載、檔案共享或郵件轉寄活動，並在 Defender for Cloud Apps 中顯示這些行為。 Defender for Cloud Apps 也有助於防止駭客橫向移動和敏感數據外流。

Microsoft Defender 全面偵測回應 將來自所有 Microsoft Defender元件的訊號相互關聯，以提供完整的攻擊案例。

Defender for Cloud Apps CASB 等角色

雲端存取安全性訊息代理程式 (CASB) 做為網關守衛，在您的企業使用者和他們使用的雲端資源之間，無論用戶位於何處，不論使用者使用的裝置為何，即時代理存取。 軟體即服務 (SaaS) 應用程式在混合式工作環境中普遍存在，而保護 SaaS 應用程式及其儲存的重要數據對組織而言是一大挑戰。

應用程式使用量的增加，加上員工在公司周邊外部存取公司資源，也引進了新的攻擊媒介。 若要有效對抗這些攻擊，安全性小組需要一種方法來保護其在雲端應用程式中的數據，其超出傳統範圍的雲端存取安全性訊息代理程式， (CASB) 。

Microsoft Defender for Cloud Apps 提供 SaaS 應用程式的完整保護，協助您監視及保護下列功能區域的雲端應用程式資料：

• 基本雲端存取安全性訊息代理程式 (CASB) 功能，例如影子 IT 探索、雲端應用程式使用方式的可見度、從雲端的任何位置防範應用程式型威脅，以及資訊保護和合規性評估。

• SaaS 安全性狀態管理 (SSPM) 功能，可讓安全性小組改善組織的安全性狀態

• 進階威脅防護是 XDR) 解決方案 (擴充偵測和回應Microsoft的一部分，可在進階攻擊的完整終止鏈結上啟用訊號和可見性的強大相互關聯

• 應用程式對應用程式保護，將核心威脅案例延伸至具備重要數據和資源許可權且已啟用 OAuth 的應用程式。

雲端應用程式發現方法

如果沒有 Defender for Cloud Apps，組織所使用的雲端應用程式會不受管理且不受保護。 若要探索環境中使用的雲端應用程式，您可以實作下列其中一個或兩種方法：

• 藉由與 適用於端點的 Microsoft Defender 整合，快速啟動並執行 Cloud Discovery。 此原生整合可讓您立即開始收集跨 Windows 10 和 Windows 11 裝置的雲端流量數據，以及在網路上和網路外收集數據。
• 若要探索所有連線到您網路之裝置存取的所有雲端應用程式，請在防火牆和其他 Proxy 上部署 Defender for Cloud Apps 記錄收集器。 此部署可協助從您的端點收集數據，並將其傳送至 Defender for Cloud Apps 進行分析。 Defender for Cloud Apps 原生方式與某些第三方 Proxy 整合，以取得更多功能。

本文包含這兩種方法的指引。

步驟 1. 線上到 Defender for Cloud Apps

若要確認授權並連線到 Defender for Cloud Apps，請參閱快速入門：開始使用 Microsoft Defender for Cloud Apps。

如果您無法立即連線到入口網站，您可能需要將IP位址新增至防火牆的允許清單。 如需詳細資訊，請參閱 Defender for Cloud Apps 的基本設定。

如果您仍然遇到問題，請檢閱 網路需求。

步驟 2：與 適用於端點的 Microsoft Defender 整合

Microsoft Defender for Cloud Apps 以原生方式與 適用於端點的 Microsoft Defender 整合。 整合可簡化 Cloud Discovery 的推出、將 Cloud Discovery 功能延伸到公司網路之外，並啟用裝置型調查。 這項整合顯示從IT管理的 Windows 10和 Windows 11裝置存取的雲端應用程式和服務。

如果您已設定 適用於端點的 Microsoft Defender，則設定與 Defender for Cloud Apps的整合是 Microsoft Defender 全面偵測回應 的切換。 開啟整合之後，您可以返回 Defender for Cloud Apps，並在 Cloud Discovery 儀錶板中檢視豐富的數據。

若要完成這些工作，請參閱整合 適用於端點的 Microsoft Defender 與 Microsoft Defender for Cloud Apps。

步驟 3：在防火牆和其他 Proxy 上部署 Defender for Cloud Apps 記錄收集器

• 如需連線到網路之所有裝置的涵蓋範圍，請在防火牆和其他 Proxy 上部署 Defender for Cloud Apps 記錄收集器，以從您的端點收集數據，並將其傳送至 Defender for Cloud Apps 進行分析。 如需詳細資訊， 請參閱設定連續報告的自動記錄上傳。

• Defender for Cloud Apps 提供適用於熱門雲端應用程式的內建應用程式連接器。 這些連接器會使用應用程式提供者的 API，讓您更深入瞭解和控制這些應用程式在組織中的使用方式。 如需詳細資訊，請參閱連線應用程式以取得 Microsoft Defender for Cloud Apps 的可見度和控制。

• 如果您使用下列其中一個安全 Web 閘道 (SWG) ，Defender for Cloud Apps 提供順暢的部署和整合：

  • Zscaler
  • iboss
  • Corrata
  • Menlo Security
  • 開啟系統

如需詳細資訊，請參閱 雲端應用程式探索概觀。

步驟 4. 建立試驗群組 — 將試驗部署的範圍設定為特定使用者群組

Microsoft Defender for Cloud Apps 可讓您設定部署範圍。 範圍可讓您選取要監視應用程式或從監視中排除的特定使用者群組。 您可以包含或排除使用者群組。

如需詳細資訊，請參 閱將部署範圍設定為特定使用者或使用者群組。

步驟 5. 探索和管理雲端應用程式

若要 Defender for Cloud Apps 提供最大保護量，您必須探索組織中的所有雲端應用程式，並管理其使用方式。

探索雲端應用程式

管理雲端應用程式使用的第一個步驟是探索貴組織使用的雲端應用程式。 下圖說明雲端探索如何與 Defender for Cloud Apps 搭配運作。

在此圖中，有兩種方法可用來監視網路流量，以及探索組織正在使用的雲端應用程式。

1. Cloud App Discovery 會以原生方式與 適用於端點的 Microsoft Defender 整合。 適用於端點的 Defender 會報告從 IT 管理的 Windows 10 和 Windows 11 裝置存取的雲端應用程式和服務。

2. 如需連線到網路之所有裝置的涵蓋範圍，您可以在防火牆和其他 Proxy 上安裝 Defender for Cloud Apps 記錄收集器，以從端點收集數據。 收集器會將此數據傳送至 Defender for Cloud Apps 進行分析。

檢視 Cloud Discovery 儀錶板，以查看組織中正在使用的應用程式

雲端探索儀錶板的設計目的是要讓您深入瞭解雲端應用程式在組織中的使用方式。 它提供一個概觀，概略說明正在使用的應用程式種類、您開啟的警示，以及組織中應用程式的風險層級。

如需詳細資訊，請 參閱使用雲端探索儀錶板檢視探索到的應用程式。

管理雲端應用程式

探索雲端應用程式並分析組織如何使用這些應用程式之後，您可以開始管理您選擇的雲端應用程式。

在此圖中，某些應用程式獲批准使用。 批准是開始管理應用程式的簡單方式。 如需詳細資訊，請參閱 治理探索到的應用程式。

步驟 6. 設定條件式存取應用程控

您可以設定的最強大保護之一是條件式存取應用程控。 此保護需要與 Microsoft Entra ID整合。 它可讓您將條件式存取原則，包括相關的原則 (，例如要求狀況良好的裝置) ，套用至您已批准的雲端應用程式。

您可能已將 SaaS 應用程式新增至 Microsoft Entra 租使用者，以強制執行多重要素驗證和其他條件式存取原則。 Microsoft Defender for Cloud Apps 原生方式與 Microsoft Entra ID 整合。 您必須做的就是在 Microsoft Entra ID 中設定原則，以在 Defender for Cloud Apps 中使用條件式存取應用程控。 這會透過 Defender for Cloud Apps 作為 Proxy 來路由傳送這些受控 SaaS 應用程式的網路流量，讓 Defender for Cloud Apps 監視此流量並套用會話控件。

在此圖例中：

• SaaS 應用程式會與 Microsoft Entra 租使用者整合。 此整合可讓 Microsoft Entra ID 強制執行條件式存取原則，包括多重要素驗證。
• 系統會將原則新增至 Microsoft Entra ID，以將 SaaS 應用程式的流量導向 Defender for Cloud Apps。 原則會指定要套用此原則的 SaaS 應用程式。 在 Microsoft Entra ID 強制執行套用至這些 SaaS 應用程式的任何條件式存取原則之後，Microsoft Entra ID 然後透過 Defender for Cloud Apps 將 (proxy) 會話流量。
• Defender for Cloud Apps 監視此流量，並套用系統管理員所設定的任何會話控制原則。

您可能已使用尚未新增至 Microsoft Entra ID 的 Defender for Cloud Apps 來探索並批准雲端應用程式。 您可以將這些雲端應用程式新增至 Microsoft Entra 租使用者，以及條件式存取規則的範圍，以利用條件式存取應用程控。

使用 Microsoft Defender for Cloud Apps 來管理 SaaS 應用程式的第一個步驟是探索這些應用程式，然後將它們新增至您的 Microsoft Entra 租使用者。 如果您需要探索的協助，請參閱 探索和管理您網路中的 SaaS 應用程式。 探索到應用程式之後，請將這些應用程式新增至您的 Microsoft Entra 租使用者。

您可以使用下列工作開始管理這些應用程式：

1. 在 Microsoft Entra ID 中，建立新的條件式存取原則，並將它設定為使用條件式存取應用程控。此設定有助於將要求重新導向至 Defender for Cloud Apps。 您可以建立一個原則，並將所有 SaaS 應用程式新增至此原則。

2. 接下來，在 Defender for Cloud Apps 中建立會話原則。 為您想要套用的每個控件建立一個原則。 如需詳細資訊，包括支援的應用程式和用戶端，請參閱建立 Microsoft Defender for Cloud Apps 工作階段原則。

如需範例原則，請參閱 SaaS 應用程式的建議 Microsoft Defender for Cloud Apps 原則。 這些原則是以一組 常見的身分識別和裝置存取原則 為基礎，建議作為所有客戶的起點。

步驟 7. 將會話原則套用至雲端應用程式

設定工作階段原則之後，請將它們套用至您的雲端應用程式，以提供這些應用程式的受控存取權。

在此圖例中：

• 從組織中的使用者和裝置存取獲批准的雲端應用程式，會透過 Defender for Cloud Apps 路由傳送。
• 您尚未獲批准或明確不批准的雲端應用程式不會受到影響。

會話原則可讓您將參數套用至組織使用雲端應用程式的方式。 例如，如果您的組織使用 Salesforce，您可以設定會話原則，只允許受管理的裝置存取您組織在 Salesforce 的數據。 較簡單的範例是設定原則來監視來自非受控裝置的流量，讓您可以先分析此流量的風險，再套用更嚴格的原則。

如需詳細資訊，請參閱 Microsoft Defender for Cloud Apps 中的條件式存取應用程控。

步驟 8. 試用其他功能

使用下列 Defender for Cloud Apps 文章，協助您探索風險並保護您的環境：

• 偵測可疑的用戶活動
• 調查有風險的使用者
• 調查有風險的 OAuth 應用程式
• 探索及保護敏感性資訊
• 即時保護組織中的任何應用程式
• 封鎖敏感性信息的下載
• 使用系統管理員隔離來保護您的檔案
• 需要在有風險的動作時進行逐步驗證

如需 Microsoft Defender for Cloud Apps 數據中進階搜捕的詳細資訊，請參閱這段影片。

SIEM 整合

您可以將 Defender for Cloud Apps 與 Microsoft Sentinel 整合，作為Microsoft統一安全性作業平臺的一部分，或是 SIEM) 服務 (一般安全性資訊和事件管理，以便集中監視來自已連線應用程式的警示和活動。 透過 Microsoft Sentinel，您可以更全面地分析整個組織的安全性事件，並建置劇本以取得有效且立即的回應。

Microsoft Sentinel 包含 XDR 資料連接器的 Microsoft Defender，可將來自 Defender 全面偵測回應 的所有訊號，包括 Defender for Cloud Apps，帶入 Microsoft Sentinel。 使用Defender入口網站中的統一安全性作業平臺作為端對端安全性作業的單一平臺， (SecOps) 。

如需詳細資訊，請參閱：

• 將 Microsoft Sentinel 連線至 Microsoft Defender 入口網站
• Microsoft Sentinel整合
• 一般 SIEM 整合

下一步

執行 Defender for Cloud Apps的生命週期管理。

Microsoft Defender 全面偵測回應 端對端部署的下一個步驟

使用 Microsoft Defender 全面偵測回應，繼續進行 Microsoft Defender 全面偵測回應 的端對端部署。

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。