Pilotní nasazení a nasazení Microsoft Defenderu for Cloud Apps
Platí pro:
- Microsoft Defender XDR
Tento článek obsahuje pracovní postup pro pilotní nasazení a nasazení Microsoft Defenderu for Cloud Apps ve vaší organizaci. Tato doporučení můžete využít k nasazení Microsoft Defenderu for Cloud Apps jako individuálního nástroje pro kybernetickou bezpečnost nebo jako součást komplexního řešení pomocí Microsoft DefenderU XDR.
Tento článek předpokládá, že máte produkčního tenanta Microsoft 365 a v tomto prostředí nasazujete a nasazujete Microsoft Defender for Cloud Apps. Tento postup zachová všechna nastavení a přizpůsobení, která nakonfigurujete během pilotního nasazení pro úplné nasazení.
Defender pro Office 365 přispívá k architektuře nulové důvěryhodnosti tím, že pomáhá předcházet obchodním škodám způsobeným porušením zabezpečení nebo je omezit. Další informace najdete v tématu Prevence nebo omezení obchodních škod způsobených porušením zabezpečení v rámci přechodu na nulovou důvěryhodnost Microsoftu.
Kompletní nasazení pro Microsoft Defender XDR
Toto je článek 5 ze 6 série, který vám pomůže nasadit komponenty XDR v programu Microsoft Defender, včetně vyšetřování incidentů a reakce na ně.
Články v této řadě odpovídají následujícím fázím kompletního nasazení:
Fáze | Propojit |
---|---|
A. Spuštění pilotního nasazení | Spuštění pilotního nasazení |
B. Pilotní nasazení a nasazení komponent XDR v programu Microsoft Defender |
-
Pilotní nasazení a nasazení Defenderu for Identity - Pilotní nasazení Defenderu pro Office 365 - Pilotní nasazení a nasazení Defenderu for Endpoint - Pilotní nasazení a nasazení Microsoft Defenderu for Cloud Apps (tento článek) |
C. Prošetřování hrozeb a reakce na ně | Procvičte si šetření incidentů a reakce na ně |
Pilotní nasazení pracovního postupu pro Defender for Cloud Apps
Následující diagram znázorňuje běžný proces nasazení produktu nebo služby v IT prostředí.
Začnete vyhodnocením produktu nebo služby a toho, jak budou fungovat ve vaší organizaci. Potom produkt nebo službu pilotujete s vhodně malou podmnožinou produkční infrastruktury pro testování, učení a přizpůsobení. Pak postupně navyšujte rozsah nasazení, dokud nebude pokryta celá vaše infrastruktura nebo organizace.
Tady je pracovní postup pro pilotní nasazení Defenderu for Cloud Apps v produkčním prostředí.
Postupujte takto:
- Připojení k portálu Defender for Cloud Apps
- Integrace s Microsoft Defenderem for Endpoint
- Nasazení kolektoru protokolů do bran firewall a dalších proxy serverů
- Vytvoření pilotní skupiny
- Zjišťování a správa cloudových aplikací
- Konfigurace řízení podmíněného přístupu k aplikacím
- Použití zásad relací u cloudových aplikací
- Vyzkoušení dalších funkcí
Tady jsou doporučené kroky pro každou fázi nasazení.
Fáze nasazení | Popis |
---|---|
Hodnotit | Proveďte vyhodnocení produktu defenderu for Cloud Apps. |
Pilot | Proveďte kroky 1 až 4 a potom 5 až 8 pro vhodnou podmnožinu cloudových aplikací v produkčním prostředí. |
Úplné nasazení | Proveďte kroky 5 až 8 pro zbývající cloudové aplikace a upravte rozsah pro pilotní skupiny uživatelů nebo přidejte skupiny uživatelů tak, aby se rozšířily nad rámec pilotního nasazení a zahrnuly všechny uživatelské účty. |
Ochrana organizace před hackery
Defender for Cloud Apps poskytuje výkonnou ochranu sám o sobě. V kombinaci s dalšími funkcemi Microsoft Defenderu XDR ale Defender for Cloud Apps poskytuje data do sdílených signálů, které společně pomáhají zastavit útoky.
Tady je příklad kybernetického útoku a toho, jak ho komponenty XDR v programu Microsoft Defender pomáhají detekovat a zmírnit.
Defender for Cloud Apps detekuje neobvyklé chování, jako je například nemožné cestování, přístup k přihlašovacím údajům a neobvyklá aktivita stahování, sdílení souborů nebo přeposílání pošty, a zobrazuje toto chování na portálu Defender for Cloud Apps. Defender for Cloud Apps také pomáhá zabránit laterálnímu pohybu hackerů a exfiltraci citlivých dat.
Microsoft Defender XDR koreluje signály ze všech komponent Programu Microsoft Defender a poskytuje úplný příběh útoku.
Role Defenderu for Cloud Apps jako CASB
Zprostředkovatel zabezpečení cloudového přístupu (CASB) funguje jako vrátný, který v reálném čase zprostředkuje přístup mezi podnikovými uživateli a cloudovými prostředky, které používají, bez ohledu na to, kde se nacházejí vaši uživatelé, a bez ohledu na zařízení, které používají. Defender for Cloud Apps je casb pro cloudové aplikace vaší organizace. Defender for Cloud Apps se nativně integruje s funkcemi zabezpečení Microsoftu, včetně Microsoft DefenderU XDR.
Bez Defenderu for Cloud Apps jsou cloudové aplikace používané vaší organizací nespravované a nechráněné.
Na obrázku:
- Používání cloudových aplikací organizací je nemonitorované a nechráněné.
- Toto použití spadá mimo ochranu dosaženou v rámci spravované organizace.
Pokud chcete zjistit cloudové aplikace používané ve vašem prostředí, můžete implementovat jednu nebo obě následující metody:
- Integrace s Microsoft Defenderem for Endpoint vám umožňuje rychle začít pracovat s Cloud Discovery. Tato nativní integrace vám umožní okamžitě začít shromažďovat data o cloudovém provozu na zařízeních s Windows 10 a Windows 11 ve vaší síti i mimo ní.
- Pokud chcete zjistit všechny cloudové aplikace, ke kterému mají přístup všechna zařízení připojená k vaší síti, nasaďte kolektor protokolů Defender for Cloud Apps na brány firewall a další proxy servery. Toto nasazení pomáhá shromažďovat data z vašich koncových bodů a odesílá je do Defenderu for Cloud Apps k analýze. Defender for Cloud Apps se nativně integruje s některými proxy servery třetích stran, aby bylo ještě více funkcí.
Tento článek obsahuje pokyny pro obě metody.
Krok 1. Připojení k portálu Defender for Cloud Apps
Informace o ověření licencování a připojení k portálu Defender for Cloud Apps najdete v tématu Rychlý start: Začínáme s Microsoft Defenderem for Cloud Apps.
Pokud se nemůžete okamžitě připojit k portálu, možná budete muset přidat IP adresu do seznamu povolených bran firewall. Viz Základní nastavení defenderu for Cloud Apps.
Pokud potíže přetrvávají, přečtěte si téma Požadavky na síť.
Krok 2: Integrace s Microsoft Defenderem for Endpoint
Microsoft Defender for Cloud Apps se nativně integruje s Microsoft Defenderem for Endpoint. Integrace zjednodušuje zavedení Služby Cloud Discovery, rozšiřuje možnosti Cloud Discovery mimo vaši podnikovou síť a umožňuje šetření na základě zařízení. Tato integrace odhalí přístup ke cloudovým aplikacím a službám ze zařízení s Windows 10 a Windows 11 spravovaných IT.
Pokud jste už nastavili Microsoft Defender for Endpoint, konfigurace integrace s Defenderem for Cloud Apps je přepínač v Microsoft Defenderu XDR. Po zapnutí integrace se můžete vrátit na portál Defender for Cloud Apps a zobrazit bohatá data na řídicím panelu Cloud Discovery.
Pokud chcete tyto úlohy provést, přečtěte si téma Integrace Microsoft Defenderu for Endpoint s Microsoft Defenderem for Cloud Apps.
Krok 3: Nasazení kolektoru protokolů Defenderu for Cloud Apps na brány firewall a další proxy servery
Pokud chcete pokrytí na všech zařízeních připojených k vaší síti, nasaďte kolektor protokolů Defender for Cloud Apps na brány firewall a další proxy servery, abyste mohli shromažďovat data z vašich koncových bodů a odesílat je do Defenderu for Cloud Apps k analýze.
Pokud používáte jednu z následujících zabezpečených webových bran (SWG), Defender for Cloud Apps poskytuje bezproblémové nasazení a integraci:
- Zscaler
- iboss
- Corrata
- Zabezpečení Menlo
Další informace o integraci s těmito síťovými zařízeními najdete v tématu Nastavení Cloud Discovery.
Krok 4. Vytvoření pilotní skupiny – rozsah pilotního nasazení na určité skupiny uživatelů
Microsoft Defender for Cloud Apps umožňuje nastavit rozsah nasazení. Rozsah umožňuje vybrat určité skupiny uživatelů, které mají být monitorovány pro aplikace nebo vyloučeny z monitorování. Skupiny uživatelů můžete zahrnout nebo vyloučit. Pokud chcete nastavit rozsah pilotního nasazení, přečtěte si téma Vymezené nasazení.
Krok 5. Zjišťování a správa cloudových aplikací
Aby služba Defender for Cloud Apps poskytovala maximální úroveň ochrany, musíte zjistit všechny cloudové aplikace ve vaší organizaci a spravovat, jak se používají.
Objevte cloudové aplikace
Prvním krokem při správě používání cloudových aplikací je zjištění, které cloudové aplikace vaše organizace používá. Následující diagram znázorňuje, jak cloud Discovery funguje s Defenderem for Cloud Apps.
Na tomto obrázku jsou dvě metody, které se dají použít k monitorování síťového provozu a zjišťování cloudových aplikací používaných vaší organizací.
Cloud App Discovery se nativně integruje s Microsoft Defenderem for Endpoint. Defender for Endpoint hlásí cloudové aplikace a služby, ke které se přistupuje ze zařízení s Windows 10 a Windows 11 spravovaných IT.
Pro pokrytí na všech zařízeních připojených k síti nainstalujete kolektor protokolů Defender for Cloud Apps na brány firewall a další proxy servery, abyste mohli shromažďovat data z koncových bodů. Kolektor odešle tato data do Defenderu for Cloud Apps k analýze.
Podívejte se na řídicí panel Cloud Discovery a podívejte se, jaké aplikace se ve vaší organizaci používají.
Řídicí panel Cloud Discovery je navržený tak, aby vám poskytl lepší přehled o tom, jak se cloudové aplikace ve vaší organizaci používají. Poskytuje rychlý přehled o tom, jaké druhy aplikací se používají, vaše otevřená upozornění a úrovně rizika aplikací ve vaší organizaci.
Pokud chcete začít používat řídicí panel Cloud Discovery, přečtěte si téma Práce se zjištěnými aplikacemi.
Správa cloudových aplikací
Až zjistíte cloudové aplikace a analyzujete, jak je vaše organizace používá, můžete začít spravovat cloudové aplikace, které zvolíte.
Na tomto obrázku:
- Používání některých aplikací je schváleno. Schválení je jednoduchý způsob, jak začít spravovat aplikace.
- Lepší viditelnost a kontrolu můžete zajistit propojením aplikací s konektory aplikací. Konektory aplikací používají rozhraní API poskytovatelů aplikací.
Správu aplikací můžete začít schvalováním, zrušením schválení nebo přímo blokováním aplikací. Pokud chcete začít spravovat aplikace, přečtěte si téma Řízení zjištěných aplikací.
Krok 6. Konfigurace řízení podmíněného přístupu k aplikacím
Jednou z nejvýkonnějších ochran, kterou můžete nakonfigurovat, je Řízení podmíněného přístupu k aplikacím. Tato ochrana vyžaduje integraci s Microsoft Entra ID. Umožňuje použít zásady podmíněného přístupu, včetně souvisejících zásad (například vyžadování zařízení, která jsou v pořádku), na cloudové aplikace, které jste schválili.
Možná už máte do tenanta Microsoft Entra přidané aplikace SaaS, které vynucují vícefaktorové ověřování a další zásady podmíněného přístupu. Microsoft Defender for Cloud Apps se nativně integruje s ID Microsoft Entra. Jediné, co musíte udělat, je nakonfigurovat zásadu v Microsoft Entra ID tak, aby používala řízení podmíněného přístupu k aplikacím v Defenderu for Cloud Apps. To směruje síťový provoz pro tyto spravované aplikace SaaS přes Defender for Cloud Apps jako proxy server, který umožňuje Defenderu for Cloud Apps monitorovat tento provoz a používat řízení relací.
Na tomto obrázku:
- Aplikace SaaS jsou integrované s tenantem Microsoft Entra. Tato integrace umožňuje Microsoft Entra ID vynucovat zásady podmíněného přístupu, včetně vícefaktorového ověřování.
- Do Microsoft Entra ID se přidají zásady, které směrují provoz aplikací SaaS do Defenderu for Cloud Apps. Zásada určuje, na které aplikace SaaS se mají tyto zásady použít. Jakmile Microsoft Entra ID vynutí všechny zásady podmíněného přístupu, které se vztahují na tyto aplikace SaaS, Microsoft Entra ID pak přesměruje provoz relace (proxy servery) přes Defender for Cloud Apps.
- Defender for Cloud Apps monitoruje tento provoz a používá všechny zásady řízení relací, které nakonfigurovali správci.
Je možné, že jste pomocí Defenderu for Cloud Apps objevili a schválili cloudové aplikace, které nebyly přidány do Microsoft Entra ID. Řízení podmíněného přístupu k aplikacím můžete využít tak, že tyto cloudové aplikace přidáte do tenanta Microsoft Entra a rozsah pravidel podmíněného přístupu.
Prvním krokem při používání Microsoft Defenderu for Cloud Apps ke správě aplikací SaaS je zjistit tyto aplikace a pak je přidat do tenanta Microsoft Entra. Pokud potřebujete pomoc se zjišťováním, přečtěte si téma Zjišťování a správa aplikací SaaS ve vaší síti. Po zjištění aplikací přidejte tyto aplikace do tenanta Microsoft Entra.
Tyto aplikace můžete začít spravovat pomocí následujících úloh:
- V Microsoft Entra ID vytvořte novou zásadu podmíněného přístupu a nakonfigurujte ji tak, aby používala řízení podmíněného přístupu k aplikacím. Tato konfigurace pomáhá přesměrovat požadavek na Defender for Cloud Apps. Můžete vytvořit jednu zásadu a přidat do nich všechny aplikace SaaS.
- Dále v Defenderu for Cloud Apps vytvořte zásady relací. Vytvořte jednu zásadu pro každý ovládací prvek, který chcete použít.
Další informace, včetně podporovaných aplikací a klientů, najdete v tématu Ochrana aplikací pomocí Microsoft Defenderu for Cloud Apps Řízení podmíněného přístupu k aplikacím.
Například zásady najdete v tématu Doporučené zásady Microsoft Defenderu for Cloud Apps pro aplikace SaaS. Tyto zásady vycházejí ze sady běžných zásad přístupu k identitám a zařízením , které se doporučují jako výchozí bod pro všechny zákazníky.
Krok 7. Použití zásad relací u cloudových aplikací
Microsoft Defender for Cloud Apps slouží jako reverzní proxy server, který poskytuje přístup k schválených cloudovým aplikacím. Toto zřízení umožňuje Defenderu for Cloud Apps použít zásady relací, které nakonfigurujete.
Na obrázku:
- Přístup uživatelů a zařízení ve vaší organizaci ke schválených cloudovým aplikacím se směruje přes Defender for Cloud Apps.
- Tento přístup k proxy serveru umožňuje použít zásady relace.
- Cloudové aplikace, které jste neschválili nebo výslovně neschválené, se to netýká.
Zásady relací umožňují aplikovat parametry na způsob, jakým vaše organizace používá cloudové aplikace. Pokud například vaše organizace používá Salesforce, můžete nakonfigurovat zásady relace, které umožní přístup k datům vaší organizace v Salesforce jenom spravovaným zařízením. Jednodušším příkladem může být konfigurace zásady pro monitorování provozu z nespravovaných zařízení, abyste mohli před použitím přísnějších zásad analyzovat riziko tohoto provozu.
Další informace najdete v tématu Vytvoření zásad relací.
Krok 8. Vyzkoušení dalších funkcí
Tyto kurzy k Defenderu for Cloud Apps vám pomůžou odhalit rizika a chránit vaše prostředí:
- Detekce podezřelých aktivit uživatelů
- Zkoumání rizikových uživatelů
- Zkoumání rizikových aplikací OAuth
- Zjišťování a ochrana citlivých informací
- Ochrana všech aplikací ve vaší organizaci v reálném čase
- Blokování stahování citlivých informací
- Ochrana souborů pomocí karantény správce
- Vyžadovat při rizikové akci stupňovanou ověřování
Další informace o rozšířeném vyhledávání v datech Microsoft Defenderu for Cloud Apps najdete v tomto videu.
Integrace SIEM
Defender for Cloud Apps můžete integrovat se službou Microsoft Sentinel nebo obecnou službou pro správu událostí a informací o zabezpečení (SIEM) a umožnit tak centralizované monitorování výstrah a aktivit z připojených aplikací. Se službou Microsoft Sentinel můžete komplexněji analyzovat události zabezpečení ve vaší organizaci a vytvářet playbooky pro efektivní a okamžitou reakci.
Microsoft Sentinel zahrnuje konektor Defenderu for Cloud Apps. To vám umožní nejen získat přehled o vašich cloudových aplikacích, ale také získat sofistikované analýzy, které vám umožní identifikovat a bojovat proti kybernetickým hrozbám a řídit způsob, jakým se vaše data cestují. Další informace najdete v tématech Integrace služby Microsoft Sentinel a Streamování upozornění a protokolů Cloud Discovery z Defenderu for Cloud Apps do Microsoft Sentinelu.
Informace o integraci se systémy SIEM třetích stran najdete v tématu Obecná integrace SIEM.
Další krok
Proveďte správu životního cyklu pro Defender for Cloud Apps.
Další krok pro kompletní nasazení XDR v programu Microsoft Defender
Pokračujte v kompletním nasazení Microsoft DefenderU XDR pomocí funkce Prošetřete a reagujte pomocí Microsoft DefenderU XDR.
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.