Sdílet prostřednictvím


Pilotní nasazení a nasazení Microsoft Defenderu for Cloud Apps

Platí pro:

  • Microsoft Defender XDR

Tento článek obsahuje pracovní postup pro pilotní nasazení a nasazení Microsoft Defenderu for Cloud Apps ve vaší organizaci. Tato doporučení můžete využít k nasazení Microsoft Defenderu for Cloud Apps jako individuálního nástroje pro kybernetickou bezpečnost nebo jako součást komplexního řešení pomocí Microsoft DefenderU XDR.

Tento článek předpokládá, že máte produkčního tenanta Microsoft 365 a v tomto prostředí nasazujete a nasazujete Microsoft Defender for Cloud Apps. Tento postup zachová všechna nastavení a přizpůsobení, která nakonfigurujete během pilotního nasazení pro úplné nasazení.

Defender pro Office 365 přispívá k architektuře nulové důvěryhodnosti tím, že pomáhá předcházet obchodním škodám způsobeným porušením zabezpečení nebo je omezit. Další informace najdete v tématu Prevence nebo omezení obchodních škod způsobených porušením zabezpečení v rámci přechodu na nulovou důvěryhodnost Microsoftu.

Kompletní nasazení pro Microsoft Defender XDR

Toto je článek 5 ze 6 série, který vám pomůže nasadit komponenty XDR v programu Microsoft Defender, včetně vyšetřování incidentů a reakce na ně.

Diagram znázorňující Microsoft Defender for Cloud Apps v pilotním a nasazení procesu Microsoft Defender XDR

Články v této řadě odpovídají následujícím fázím kompletního nasazení:

Fáze Propojit
A. Spuštění pilotního nasazení Spuštění pilotního nasazení
B. Pilotní nasazení a nasazení komponent XDR v programu Microsoft Defender - Pilotní nasazení a nasazení Defenderu for Identity

- Pilotní nasazení Defenderu pro Office 365

- Pilotní nasazení a nasazení Defenderu for Endpoint

- Pilotní nasazení a nasazení Microsoft Defenderu for Cloud Apps (tento článek)
C. Prošetřování hrozeb a reakce na ně Procvičte si šetření incidentů a reakce na ně

Pilotní nasazení pracovního postupu pro Defender for Cloud Apps

Následující diagram znázorňuje běžný proces nasazení produktu nebo služby v IT prostředí.

Diagram fází pilotního nasazení, vyhodnocení a úplného přijetí nasazení

Začnete vyhodnocením produktu nebo služby a toho, jak budou fungovat ve vaší organizaci. Potom produkt nebo službu pilotujete s vhodně malou podmnožinou produkční infrastruktury pro testování, učení a přizpůsobení. Pak postupně navyšujte rozsah nasazení, dokud nebude pokryta celá vaše infrastruktura nebo organizace.

Tady je pracovní postup pro pilotní nasazení Defenderu for Cloud Apps v produkčním prostředí.

Diagram znázorňující pracovní postup pilotního nasazení pro Microsoft Defender for Cloud Apps

Postupujte takto:

  1. Připojení k portálu Defender for Cloud Apps
  2. Integrace s Microsoft Defenderem for Endpoint
  3. Nasazení kolektoru protokolů do bran firewall a dalších proxy serverů
  4. Vytvoření pilotní skupiny
  5. Zjišťování a správa cloudových aplikací
  6. Konfigurace řízení podmíněného přístupu k aplikacím
  7. Použití zásad relací u cloudových aplikací
  8. Vyzkoušení dalších funkcí

Tady jsou doporučené kroky pro každou fázi nasazení.

Fáze nasazení Popis
Hodnotit Proveďte vyhodnocení produktu defenderu for Cloud Apps.
Pilot Proveďte kroky 1 až 4 a potom 5 až 8 pro vhodnou podmnožinu cloudových aplikací v produkčním prostředí.
Úplné nasazení Proveďte kroky 5 až 8 pro zbývající cloudové aplikace a upravte rozsah pro pilotní skupiny uživatelů nebo přidejte skupiny uživatelů tak, aby se rozšířily nad rámec pilotního nasazení a zahrnuly všechny uživatelské účty.

Ochrana organizace před hackery

Defender for Cloud Apps poskytuje výkonnou ochranu sám o sobě. V kombinaci s dalšími funkcemi Microsoft Defenderu XDR ale Defender for Cloud Apps poskytuje data do sdílených signálů, které společně pomáhají zastavit útoky.

Tady je příklad kybernetického útoku a toho, jak ho komponenty XDR v programu Microsoft Defender pomáhají detekovat a zmírnit.

Diagram znázorňující, jak Microsoft Defender XDR zastaví řetěz hrozeb

Defender for Cloud Apps detekuje neobvyklé chování, jako je například nemožné cestování, přístup k přihlašovacím údajům a neobvyklá aktivita stahování, sdílení souborů nebo přeposílání pošty, a zobrazuje toto chování na portálu Defender for Cloud Apps. Defender for Cloud Apps také pomáhá zabránit laterálnímu pohybu hackerů a exfiltraci citlivých dat.

Microsoft Defender XDR koreluje signály ze všech komponent Programu Microsoft Defender a poskytuje úplný příběh útoku.

Role Defenderu for Cloud Apps jako CASB

Zprostředkovatel zabezpečení cloudového přístupu (CASB) funguje jako vrátný, který v reálném čase zprostředkuje přístup mezi podnikovými uživateli a cloudovými prostředky, které používají, bez ohledu na to, kde se nacházejí vaši uživatelé, a bez ohledu na zařízení, které používají. Defender for Cloud Apps je casb pro cloudové aplikace vaší organizace. Defender for Cloud Apps se nativně integruje s funkcemi zabezpečení Microsoftu, včetně Microsoft DefenderU XDR.

Bez Defenderu for Cloud Apps jsou cloudové aplikace používané vaší organizací nespravované a nechráněné.

Diagram znázorňující cloudové aplikace, které nejsou spravované a chráněné vaší organizací

Na obrázku:

  • Používání cloudových aplikací organizací je nemonitorované a nechráněné.
  • Toto použití spadá mimo ochranu dosaženou v rámci spravované organizace.

Pokud chcete zjistit cloudové aplikace používané ve vašem prostředí, můžete implementovat jednu nebo obě následující metody:

  • Integrace s Microsoft Defenderem for Endpoint vám umožňuje rychle začít pracovat s Cloud Discovery. Tato nativní integrace vám umožní okamžitě začít shromažďovat data o cloudovém provozu na zařízeních s Windows 10 a Windows 11 ve vaší síti i mimo ní.
  • Pokud chcete zjistit všechny cloudové aplikace, ke kterému mají přístup všechna zařízení připojená k vaší síti, nasaďte kolektor protokolů Defender for Cloud Apps na brány firewall a další proxy servery. Toto nasazení pomáhá shromažďovat data z vašich koncových bodů a odesílá je do Defenderu for Cloud Apps k analýze. Defender for Cloud Apps se nativně integruje s některými proxy servery třetích stran, aby bylo ještě více funkcí.

Tento článek obsahuje pokyny pro obě metody.

Krok 1. Připojení k portálu Defender for Cloud Apps

Informace o ověření licencování a připojení k portálu Defender for Cloud Apps najdete v tématu Rychlý start: Začínáme s Microsoft Defenderem for Cloud Apps.

Pokud se nemůžete okamžitě připojit k portálu, možná budete muset přidat IP adresu do seznamu povolených bran firewall. Viz Základní nastavení defenderu for Cloud Apps.

Pokud potíže přetrvávají, přečtěte si téma Požadavky na síť.

Krok 2: Integrace s Microsoft Defenderem for Endpoint

Microsoft Defender for Cloud Apps se nativně integruje s Microsoft Defenderem for Endpoint. Integrace zjednodušuje zavedení Služby Cloud Discovery, rozšiřuje možnosti Cloud Discovery mimo vaši podnikovou síť a umožňuje šetření na základě zařízení. Tato integrace odhalí přístup ke cloudovým aplikacím a službám ze zařízení s Windows 10 a Windows 11 spravovaných IT.

Pokud jste už nastavili Microsoft Defender for Endpoint, konfigurace integrace s Defenderem for Cloud Apps je přepínač v Microsoft Defenderu XDR. Po zapnutí integrace se můžete vrátit na portál Defender for Cloud Apps a zobrazit bohatá data na řídicím panelu Cloud Discovery.

Pokud chcete tyto úlohy provést, přečtěte si téma Integrace Microsoft Defenderu for Endpoint s Microsoft Defenderem for Cloud Apps.

Krok 3: Nasazení kolektoru protokolů Defenderu for Cloud Apps na brány firewall a další proxy servery

Pokud chcete pokrytí na všech zařízeních připojených k vaší síti, nasaďte kolektor protokolů Defender for Cloud Apps na brány firewall a další proxy servery, abyste mohli shromažďovat data z vašich koncových bodů a odesílat je do Defenderu for Cloud Apps k analýze.

Pokud používáte jednu z následujících zabezpečených webových bran (SWG), Defender for Cloud Apps poskytuje bezproblémové nasazení a integraci:

  • Zscaler
  • iboss
  • Corrata
  • Zabezpečení Menlo

Další informace o integraci s těmito síťovými zařízeními najdete v tématu Nastavení Cloud Discovery.

Krok 4. Vytvoření pilotní skupiny – rozsah pilotního nasazení na určité skupiny uživatelů

Microsoft Defender for Cloud Apps umožňuje nastavit rozsah nasazení. Rozsah umožňuje vybrat určité skupiny uživatelů, které mají být monitorovány pro aplikace nebo vyloučeny z monitorování. Skupiny uživatelů můžete zahrnout nebo vyloučit. Pokud chcete nastavit rozsah pilotního nasazení, přečtěte si téma Vymezené nasazení.

Krok 5. Zjišťování a správa cloudových aplikací

Aby služba Defender for Cloud Apps poskytovala maximální úroveň ochrany, musíte zjistit všechny cloudové aplikace ve vaší organizaci a spravovat, jak se používají.

Objevte cloudové aplikace

Prvním krokem při správě používání cloudových aplikací je zjištění, které cloudové aplikace vaše organizace používá. Následující diagram znázorňuje, jak cloud Discovery funguje s Defenderem for Cloud Apps.

Diagram znázorňující architekturu pro Microsoft Defender for Cloud Apps s cloud discovery

Na tomto obrázku jsou dvě metody, které se dají použít k monitorování síťového provozu a zjišťování cloudových aplikací používaných vaší organizací.

  1. Cloud App Discovery se nativně integruje s Microsoft Defenderem for Endpoint. Defender for Endpoint hlásí cloudové aplikace a služby, ke které se přistupuje ze zařízení s Windows 10 a Windows 11 spravovaných IT.

  2. Pro pokrytí na všech zařízeních připojených k síti nainstalujete kolektor protokolů Defender for Cloud Apps na brány firewall a další proxy servery, abyste mohli shromažďovat data z koncových bodů. Kolektor odešle tato data do Defenderu for Cloud Apps k analýze.

Podívejte se na řídicí panel Cloud Discovery a podívejte se, jaké aplikace se ve vaší organizaci používají.

Řídicí panel Cloud Discovery je navržený tak, aby vám poskytl lepší přehled o tom, jak se cloudové aplikace ve vaší organizaci používají. Poskytuje rychlý přehled o tom, jaké druhy aplikací se používají, vaše otevřená upozornění a úrovně rizika aplikací ve vaší organizaci.

Pokud chcete začít používat řídicí panel Cloud Discovery, přečtěte si téma Práce se zjištěnými aplikacemi.

Správa cloudových aplikací

Až zjistíte cloudové aplikace a analyzujete, jak je vaše organizace používá, můžete začít spravovat cloudové aplikace, které zvolíte.

Diagram znázorňující architekturu pro Microsoft Defender for Cloud Apps pro správu cloudových aplikací

Na tomto obrázku:

  • Používání některých aplikací je schváleno. Schválení je jednoduchý způsob, jak začít spravovat aplikace.
  • Lepší viditelnost a kontrolu můžete zajistit propojením aplikací s konektory aplikací. Konektory aplikací používají rozhraní API poskytovatelů aplikací.

Správu aplikací můžete začít schvalováním, zrušením schválení nebo přímo blokováním aplikací. Pokud chcete začít spravovat aplikace, přečtěte si téma Řízení zjištěných aplikací.

Krok 6. Konfigurace řízení podmíněného přístupu k aplikacím

Jednou z nejvýkonnějších ochran, kterou můžete nakonfigurovat, je Řízení podmíněného přístupu k aplikacím. Tato ochrana vyžaduje integraci s Microsoft Entra ID. Umožňuje použít zásady podmíněného přístupu, včetně souvisejících zásad (například vyžadování zařízení, která jsou v pořádku), na cloudové aplikace, které jste schválili.

Možná už máte do tenanta Microsoft Entra přidané aplikace SaaS, které vynucují vícefaktorové ověřování a další zásady podmíněného přístupu. Microsoft Defender for Cloud Apps se nativně integruje s ID Microsoft Entra. Jediné, co musíte udělat, je nakonfigurovat zásadu v Microsoft Entra ID tak, aby používala řízení podmíněného přístupu k aplikacím v Defenderu for Cloud Apps. To směruje síťový provoz pro tyto spravované aplikace SaaS přes Defender for Cloud Apps jako proxy server, který umožňuje Defenderu for Cloud Apps monitorovat tento provoz a používat řízení relací.

Diagram znázorňující architekturu pro Microsoft Defender for Cloud Apps s aplikacemi SaaS

Na tomto obrázku:

  • Aplikace SaaS jsou integrované s tenantem Microsoft Entra. Tato integrace umožňuje Microsoft Entra ID vynucovat zásady podmíněného přístupu, včetně vícefaktorového ověřování.
  • Do Microsoft Entra ID se přidají zásady, které směrují provoz aplikací SaaS do Defenderu for Cloud Apps. Zásada určuje, na které aplikace SaaS se mají tyto zásady použít. Jakmile Microsoft Entra ID vynutí všechny zásady podmíněného přístupu, které se vztahují na tyto aplikace SaaS, Microsoft Entra ID pak přesměruje provoz relace (proxy servery) přes Defender for Cloud Apps.
  • Defender for Cloud Apps monitoruje tento provoz a používá všechny zásady řízení relací, které nakonfigurovali správci.

Je možné, že jste pomocí Defenderu for Cloud Apps objevili a schválili cloudové aplikace, které nebyly přidány do Microsoft Entra ID. Řízení podmíněného přístupu k aplikacím můžete využít tak, že tyto cloudové aplikace přidáte do tenanta Microsoft Entra a rozsah pravidel podmíněného přístupu.

Prvním krokem při používání Microsoft Defenderu for Cloud Apps ke správě aplikací SaaS je zjistit tyto aplikace a pak je přidat do tenanta Microsoft Entra. Pokud potřebujete pomoc se zjišťováním, přečtěte si téma Zjišťování a správa aplikací SaaS ve vaší síti. Po zjištění aplikací přidejte tyto aplikace do tenanta Microsoft Entra.

Tyto aplikace můžete začít spravovat pomocí následujících úloh:

  1. V Microsoft Entra ID vytvořte novou zásadu podmíněného přístupu a nakonfigurujte ji tak, aby používala řízení podmíněného přístupu k aplikacím. Tato konfigurace pomáhá přesměrovat požadavek na Defender for Cloud Apps. Můžete vytvořit jednu zásadu a přidat do nich všechny aplikace SaaS.
  2. Dále v Defenderu for Cloud Apps vytvořte zásady relací. Vytvořte jednu zásadu pro každý ovládací prvek, který chcete použít.

Další informace, včetně podporovaných aplikací a klientů, najdete v tématu Ochrana aplikací pomocí Microsoft Defenderu for Cloud Apps Řízení podmíněného přístupu k aplikacím.

Například zásady najdete v tématu Doporučené zásady Microsoft Defenderu for Cloud Apps pro aplikace SaaS. Tyto zásady vycházejí ze sady běžných zásad přístupu k identitám a zařízením , které se doporučují jako výchozí bod pro všechny zákazníky.

Krok 7. Použití zásad relací u cloudových aplikací

Microsoft Defender for Cloud Apps slouží jako reverzní proxy server, který poskytuje přístup k schválených cloudovým aplikacím. Toto zřízení umožňuje Defenderu for Cloud Apps použít zásady relací, které nakonfigurujete.

Diagram znázorňující architekturu pro Microsoft Defender for Cloud Apps s řízením relací přístupu proxy serveru

Na obrázku:

  • Přístup uživatelů a zařízení ve vaší organizaci ke schválených cloudovým aplikacím se směruje přes Defender for Cloud Apps.
  • Tento přístup k proxy serveru umožňuje použít zásady relace.
  • Cloudové aplikace, které jste neschválili nebo výslovně neschválené, se to netýká.

Zásady relací umožňují aplikovat parametry na způsob, jakým vaše organizace používá cloudové aplikace. Pokud například vaše organizace používá Salesforce, můžete nakonfigurovat zásady relace, které umožní přístup k datům vaší organizace v Salesforce jenom spravovaným zařízením. Jednodušším příkladem může být konfigurace zásady pro monitorování provozu z nespravovaných zařízení, abyste mohli před použitím přísnějších zásad analyzovat riziko tohoto provozu.

Další informace najdete v tématu Vytvoření zásad relací.

Krok 8. Vyzkoušení dalších funkcí

Tyto kurzy k Defenderu for Cloud Apps vám pomůžou odhalit rizika a chránit vaše prostředí:

Další informace o rozšířeném vyhledávání v datech Microsoft Defenderu for Cloud Apps najdete v tomto videu.

Integrace SIEM

Defender for Cloud Apps můžete integrovat se službou Microsoft Sentinel nebo obecnou službou pro správu událostí a informací o zabezpečení (SIEM) a umožnit tak centralizované monitorování výstrah a aktivit z připojených aplikací. Se službou Microsoft Sentinel můžete komplexněji analyzovat události zabezpečení ve vaší organizaci a vytvářet playbooky pro efektivní a okamžitou reakci.

Diagram znázorňující architekturu pro Microsoft Defender for Cloud Apps s integrací SIEM

Microsoft Sentinel zahrnuje konektor Defenderu for Cloud Apps. To vám umožní nejen získat přehled o vašich cloudových aplikacích, ale také získat sofistikované analýzy, které vám umožní identifikovat a bojovat proti kybernetickým hrozbám a řídit způsob, jakým se vaše data cestují. Další informace najdete v tématech Integrace služby Microsoft Sentinel a Streamování upozornění a protokolů Cloud Discovery z Defenderu for Cloud Apps do Microsoft Sentinelu.

Informace o integraci se systémy SIEM třetích stran najdete v tématu Obecná integrace SIEM.

Další krok

Proveďte správu životního cyklu pro Defender for Cloud Apps.

Další krok pro kompletní nasazení XDR v programu Microsoft Defender

Pokračujte v kompletním nasazení Microsoft DefenderU XDR pomocí funkce Prošetřete a reagujte pomocí Microsoft DefenderU XDR.

Diagram, který znázorňuje šetření incidentů a reakce v rámci pilotního a nasazení procesu Microsoft Defender XDR

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.