Pilotní nasazení a Microsoft Defender for Cloud Apps
Platí pro:
- Microsoft Defender XDR
Tento článek obsahuje pracovní postup pro pilotní nasazení a nasazení Microsoft Defender for Cloud Apps ve vaší organizaci. Tato doporučení můžete využít k nasazení Microsoft Defender for Cloud Apps jako individuálního nástroje kybernetické bezpečnosti nebo jako součást komplexního řešení s Microsoft Defender XDR.
Tento článek předpokládá, že máte produkčního tenanta Microsoftu 365 a v tomto prostředí nasazujete a nasazujete Microsoft Defender for Cloud Apps. Tento postup zachová všechna nastavení a přizpůsobení, která nakonfigurujete během pilotního nasazení pro úplné nasazení.
Defender pro Office 365 přispívá k nulová důvěra (Zero Trust) architektuře tím, že pomáhá předcházet obchodním škodám způsobeným porušením zabezpečení nebo je omezit. Další informace najdete v tématu Prevence nebo omezení obchodních škod způsobených porušením zabezpečení v rámci přechodu microsoftu nulová důvěra (Zero Trust).
Kompletní nasazení pro Microsoft Defender XDR
Toto je článek 5 ze 6 série, který vám pomůže nasadit komponenty Microsoft Defender XDR, včetně vyšetřování incidentů a reakce na ně.
Články v této řadě odpovídají následujícím fázím kompletního nasazení:
| Fáze | Propojit |
|---|---|
| A. Spuštění pilotního nasazení | Spuštění pilotního nasazení |
| B. Pilotní nasazení a nasazení komponent Microsoft Defender XDR |
-
Pilotní nasazení a nasazení Defenderu for Identity - Pilotní nasazení a Defender pro Office 365 - Pilotní nasazení a nasazení Defenderu for Endpoint - Pilotní nasazení a nasazení Microsoft Defender for Cloud Apps (tento článek) |
| C. Prošetřování hrozeb a reakce na ně | Procvičte si šetření incidentů a reakce na ně |
Pilotní a nasazení pracovního postupu pro Defender for Cloud Apps
Následující diagram znázorňuje běžný proces nasazení produktu nebo služby v IT prostředí.
Začnete vyhodnocením produktu nebo služby a toho, jak budou fungovat ve vaší organizaci. Potom produkt nebo službu pilotujete s vhodně malou podmnožinou produkční infrastruktury pro testování, učení a přizpůsobení. Pak postupně navyšujte rozsah nasazení, dokud nebude pokryta celá vaše infrastruktura nebo organizace.
Tady je pracovní postup pro pilotní nasazení a nasazení Defender for Cloud Apps v produkčním prostředí.
Postupujte takto:
- Připojení k portálu Defender for Cloud Apps
- Integrace s Microsoft Defender for Endpoint
- Nasazení kolektoru protokolů do bran firewall a dalších proxy serverů
- Vytvoření pilotní skupiny
- Zjišťování a správa cloudových aplikací
- Konfigurace řízení podmíněného přístupu k aplikacím
- Použití zásad relací u cloudových aplikací
- Vyzkoušení dalších funkcí
Tady jsou doporučené kroky pro každou fázi nasazení.
| Fáze nasazení | Popis |
|---|---|
| Hodnotit | Proveďte vyhodnocení produktu pro Defender for Cloud Apps. |
| Pilot | Proveďte kroky 1 až 4 a potom 5 až 8 pro vhodnou podmnožinu cloudových aplikací v produkčním prostředí. |
| Úplné nasazení | Proveďte kroky 5 až 8 pro zbývající cloudové aplikace a upravte rozsah pro pilotní skupiny uživatelů nebo přidejte skupiny uživatelů tak, aby se rozšířily nad rámec pilotního nasazení a zahrnuly všechny uživatelské účty. |
Ochrana organizace před hackery
Defender for Cloud Apps poskytuje výkonnou ochranu sama o sobě. V kombinaci s dalšími funkcemi Microsoft Defender XDR ale Defender for Cloud Apps poskytuje data do sdílených signálů, které společně pomáhají zastavit útoky.
Tady je příklad kybernetického útoku a toho, jak ho komponenty Microsoft Defender XDR pomoct rozpoznat a zmírnit.
Defender for Cloud Apps zjistí neobvyklé chování, jako je například nemožné cestování, přístup k přihlašovacím údajům nebo neobvyklá aktivita stahování, sdílení souborů nebo přeposílání pošty, a zobrazí toto chování na portálu Defender for Cloud Apps. Defender for Cloud Apps také pomáhá zabránit laterálnímu pohybu hackerů a exfiltraci citlivých dat.
Microsoft Defender XDR koreluje signály ze všech komponent Microsoft Defender a poskytuje kompletní příběh útoku.
Defender for Cloud Apps role jako CASB
Zprostředkovatel zabezpečení cloudového přístupu (CASB) funguje jako vrátný, který v reálném čase zprostředkuje přístup mezi podnikovými uživateli a cloudovými prostředky, které používají, bez ohledu na to, kde se nacházejí vaši uživatelé, a bez ohledu na zařízení, které používají. Defender for Cloud Apps je CASB pro cloudové aplikace vaší organizace. Defender for Cloud Apps se nativně integruje s možnostmi zabezpečení Microsoftu, včetně Microsoft Defender XDR.
Bez Defender for Cloud Apps jsou cloudové aplikace používané vaší organizací nespravované a nechráněné.
Na obrázku:
- Používání cloudových aplikací organizací je nemonitorované a nechráněné.
- Toto použití spadá mimo ochranu dosaženou v rámci spravované organizace.
Pokud chcete zjistit cloudové aplikace používané ve vašem prostředí, můžete implementovat jednu nebo obě následující metody:
- Díky integraci s Microsoft Defender for Endpoint můžete rychle začít pracovat se službou Cloud Discovery. Tato nativní integrace umožňuje okamžitě začít shromažďovat data o cloudovém provozu napříč Windows 10 a Windows 11 zařízeními v síti i mimo ní.
- Pokud chcete zjistit všechny cloudové aplikace, ke kterému mají přístup všechna zařízení připojená k vaší síti, nasaďte kolektor protokolů Defender for Cloud Apps na brány firewall a další proxy servery. Toto nasazení pomáhá shromažďovat data z vašich koncových bodů a odesílá je do Defender for Cloud Apps k analýze. Defender for Cloud Apps se nativně integruje s některými proxy servery třetích stran, aby bylo k dispozici ještě více funkcí.
Tento článek obsahuje pokyny pro obě metody.
Krok 1. Připojení k portálu Defender for Cloud Apps
Informace o ověření licencování a připojení k portálu Defender for Cloud Apps najdete v tématu Rychlý start: Začínáme s Microsoft Defender for Cloud Apps.
Pokud se nemůžete okamžitě připojit k portálu, možná budete muset přidat IP adresu do seznamu povolených bran firewall. Informace o Defender for Cloud Apps najdete v tématu Základní nastavení.
Pokud potíže přetrvávají, přečtěte si téma Požadavky na síť.
Krok 2: Integrace s Microsoft Defender for Endpoint
Microsoft Defender for Cloud Apps se integruje s Microsoft Defender for Endpoint nativně. Integrace zjednodušuje zavedení Služby Cloud Discovery, rozšiřuje možnosti Cloud Discovery mimo vaši podnikovou síť a umožňuje šetření na základě zařízení. Tato integrace odhalí přístup ke cloudovým aplikacím a službám ze zařízení spravovaných it Windows 10 a Windows 11.
Pokud jste už nastavili Microsoft Defender for Endpoint, je konfigurace integrace s Defender for Cloud Apps přepínačem v Microsoft Defender XDR. Po zapnutí integrace se můžete vrátit na portál Defender for Cloud Apps a zobrazit bohatá data na řídicím panelu Cloud Discovery.
Pokud chcete tyto úlohy provést, přečtěte si téma integrace Microsoft Defender for Endpoint s Microsoft Defender for Cloud Apps.
Krok 3: Nasazení kolektoru protokolů Defender for Cloud Apps na brány firewall a další proxy servery
Pokud chcete získat pokrytí na všech zařízeních připojených k síti, nasaďte kolektor protokolů Defender for Cloud Apps na brány firewall a další proxy servery, abyste mohli shromažďovat data z koncových bodů a odesílat je do Defender for Cloud Apps k analýze.
Pokud používáte některou z následujících zabezpečených webových bran (SWG), Defender for Cloud Apps poskytuje bezproblémové nasazení a integraci:
- Zscaler
- iboss
- Corrata
- Zabezpečení Menlo
Další informace o integraci s těmito síťovými zařízeními najdete v tématu Nastavení Cloud Discovery.
Krok 4. Vytvoření pilotní skupiny – rozsah pilotního nasazení na určité skupiny uživatelů
Microsoft Defender for Cloud Apps umožňuje nastavit rozsah nasazení. Rozsah umožňuje vybrat určité skupiny uživatelů, které mají být monitorovány pro aplikace nebo vyloučeny z monitorování. Skupiny uživatelů můžete zahrnout nebo vyloučit. Pokud chcete nastavit rozsah pilotního nasazení, přečtěte si téma Vymezené nasazení.
Krok 5. Zjišťování a správa cloudových aplikací
Aby Defender for Cloud Apps poskytovaly maximální úroveň ochrany, musíte zjistit všechny cloudové aplikace ve vaší organizaci a spravovat, jak se používají.
Objevte cloudové aplikace
Prvním krokem při správě používání cloudových aplikací je zjištění, které cloudové aplikace vaše organizace používá. Tento další diagram znázorňuje, jak cloud Discovery funguje s Defender for Cloud Apps.
Na tomto obrázku jsou dvě metody, které se dají použít k monitorování síťového provozu a zjišťování cloudových aplikací používaných vaší organizací.
Cloud App Discovery se s Microsoft Defender for Endpoint integruje nativně. Defender for Endpoint hlásí cloudové aplikace a služby, ke které se přistupuje ze zařízení spravovaných it Windows 10 a Windows 11.
Pro pokrytí všech zařízení připojených k síti nainstalujete kolektor protokolů Defender for Cloud Apps na brány firewall a další proxy servery, aby shromažďovat data z koncových bodů. Kolektor odešle tato data do Defender for Cloud Apps k analýze.
Podívejte se na řídicí panel Cloud Discovery a podívejte se, jaké aplikace se ve vaší organizaci používají.
Řídicí panel Cloud Discovery je navržený tak, aby vám poskytl lepší přehled o tom, jak se cloudové aplikace ve vaší organizaci používají. Poskytuje rychlý přehled o tom, jaké druhy aplikací se používají, vaše otevřená upozornění a úrovně rizika aplikací ve vaší organizaci.
Pokud chcete začít používat řídicí panel Cloud Discovery, přečtěte si téma Práce se zjištěnými aplikacemi.
Správa cloudových aplikací
Až zjistíte cloudové aplikace a analyzujete, jak je vaše organizace používá, můžete začít spravovat cloudové aplikace, které zvolíte.
Na tomto obrázku:
- Používání některých aplikací je schváleno. Schválení je jednoduchý způsob, jak začít spravovat aplikace.
- Lepší viditelnost a kontrolu můžete zajistit propojením aplikací s konektory aplikací. Konektory aplikací používají rozhraní API poskytovatelů aplikací.
Správu aplikací můžete začít schvalováním, zrušením schválení nebo přímo blokováním aplikací. Pokud chcete začít spravovat aplikace, přečtěte si téma Řízení zjištěných aplikací.
Krok 6. Konfigurace řízení podmíněného přístupu k aplikacím
Jednou z nejvýkonnějších ochran, kterou můžete nakonfigurovat, je Řízení podmíněného přístupu k aplikacím. Tato ochrana vyžaduje integraci s Microsoft Entra ID. Umožňuje použít zásady podmíněného přístupu, včetně souvisejících zásad (například vyžadování zařízení, která jsou v pořádku), na cloudové aplikace, které jste schválili.
Možná už máte do tenanta Microsoft Entra přidané aplikace SaaS, které vynucují vícefaktorové ověřování a další zásady podmíněného přístupu. Microsoft Defender for Cloud Apps se nativně integruje s Microsoft Entra ID. Jediné, co musíte udělat, je nakonfigurovat zásadu v Microsoft Entra ID tak, aby používala řízení podmíněného přístupu k aplikacím v Defender for Cloud Apps. To směruje síťový provoz pro tyto spravované aplikace SaaS prostřednictvím Defender for Cloud Apps jako proxy, což Defender for Cloud Apps umožňuje monitorovat tento provoz a používat řízení relací.
Na tomto obrázku:
- Aplikace SaaS jsou integrované s tenantem Microsoft Entra. Tato integrace umožňuje Microsoft Entra ID vynucovat zásady podmíněného přístupu, včetně vícefaktorového ověřování.
- Do Microsoft Entra ID se přidají zásady pro směrování provozu aplikací SaaS do Defender for Cloud Apps. Zásada určuje, na které aplikace SaaS se mají tyto zásady použít. Jakmile Microsoft Entra ID vynucuje všechny zásady podmíněného přístupu, které se vztahují na tyto aplikace SaaS, Microsoft Entra ID pak směruje provoz relace (proxy servery) přes Defender for Cloud Apps.
- Defender for Cloud Apps tento provoz monitoruje a použije všechny zásady řízení relací, které nakonfigurovali správci.
Možná jste objevili a schválili cloudové aplikace pomocí Defender for Cloud Apps, které nebyly přidány do Microsoft Entra ID. Řízení podmíněného přístupu k aplikacím můžete využít tak, že tyto cloudové aplikace přidáte do tenanta Microsoft Entra a rozsah pravidel podmíněného přístupu.
Prvním krokem při používání Microsoft Defender for Cloud Apps ke správě aplikací SaaS je zjistit tyto aplikace a pak je přidat do tenanta Microsoft Entra. Pokud potřebujete pomoc se zjišťováním, přečtěte si téma Zjišťování a správa aplikací SaaS ve vaší síti. Po zjištění aplikací přidejte tyto aplikace do tenanta Microsoft Entra.
Tyto aplikace můžete začít spravovat pomocí následujících úloh:
- V Microsoft Entra ID vytvořte novou zásadu podmíněného přístupu a nakonfigurujte ji tak, aby používala řízení podmíněného přístupu k aplikacím. Tato konfigurace pomáhá přesměrovat požadavek na Defender for Cloud Apps. Můžete vytvořit jednu zásadu a přidat do nich všechny aplikace SaaS.
- Dále v Defender for Cloud Apps vytvořte zásady relací. Vytvořte jednu zásadu pro každý ovládací prvek, který chcete použít.
Další informace, včetně podporovaných aplikací a klientů, najdete v tématu Ochrana aplikací pomocí Microsoft Defender for Cloud Apps Řízení podmíněného přístupu k aplikacím.
Například zásady najdete v tématu Doporučené zásady Microsoft Defender for Cloud Apps pro aplikace SaaS. Tyto zásady vycházejí ze sady běžných zásad přístupu k identitám a zařízením , které se doporučují jako výchozí bod pro všechny zákazníky.
Krok 7. Použití zásad relací u cloudových aplikací
Microsoft Defender for Cloud Apps slouží jako reverzní proxy server a poskytuje přístup k schválených cloudovým aplikacím. Toto zřízení umožňuje Defender for Cloud Apps použít zásady relací, které nakonfigurujete.
Na obrázku:
- Přístup uživatelů a zařízení ve vaší organizaci ke schválených cloudovým aplikacím se směruje přes Defender for Cloud Apps.
- Tento přístup k proxy serveru umožňuje použít zásady relace.
- Cloudové aplikace, které jste neschválili nebo výslovně neschválené, se to netýká.
Zásady relací umožňují aplikovat parametry na způsob, jakým vaše organizace používá cloudové aplikace. Pokud například vaše organizace používá Salesforce, můžete nakonfigurovat zásady relace, které umožní přístup k datům vaší organizace v Salesforce jenom spravovaným zařízením. Jednodušším příkladem může být konfigurace zásady pro monitorování provozu z nespravovaných zařízení, abyste mohli před použitím přísnějších zásad analyzovat riziko tohoto provozu.
Další informace najdete v tématu Vytvoření zásad relací.
Krok 8. Vyzkoušení dalších funkcí
Tyto Defender for Cloud Apps kurzy vám pomůžou odhalit rizika a chránit vaše prostředí:
- Detekce podezřelých aktivit uživatelů
- Zkoumání rizikových uživatelů
- Zkoumání rizikových aplikací OAuth
- Zjišťování a ochrana citlivých informací
- Ochrana všech aplikací ve vaší organizaci v reálném čase
- Blokování stahování citlivých informací
- Ochrana souborů pomocí karantény správce
- Vyžadovat při rizikové akci stupňovanou ověřování
Další informace o rozšířeném vyhledávání Microsoft Defender for Cloud Apps dat najdete v tomto videu.
Integrace SIEM
Defender for Cloud Apps můžete integrovat s Microsoft Sentinel nebo obecnou službou pro správu událostí a informací o zabezpečení (SIEM) a umožnit tak centralizované monitorování výstrah a aktivit z připojených aplikací. S Microsoft Sentinel můžete komplexněji analyzovat události zabezpečení ve vaší organizaci a vytvářet playbooky pro efektivní a okamžitou reakci.
Microsoft Sentinel obsahuje konektor Defender for Cloud Apps. To vám umožní nejen získat přehled o vašich cloudových aplikacích, ale také získat sofistikované analýzy, které vám umožní identifikovat a bojovat proti kybernetickým hrozbám a řídit způsob, jakým se vaše data cestují. Další informace najdete v tématech Microsoft Sentinel integrace a Stream upozornění a protokoly Cloud Discovery z Defender for Cloud Apps do Microsoft Sentinel.
Informace o integraci se systémy SIEM třetích stran najdete v tématu Obecná integrace SIEM.
Další krok
Proveďte správu životního cyklu pro Defender for Cloud Apps.
Další krok pro kompletní nasazení Microsoft Defender XDR
Pokračujte v kompletním nasazení Microsoft Defender XDR pomocí funkce Prozkoumat a reagovat pomocí Microsoft Defender XDR.
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.