Pilot og udrul Microsoft Defender for Cloud Apps
Gælder for:
- Microsoft Defender XDR
Denne artikel indeholder en arbejdsproces til pilotering og installation af Microsoft Defender for Cloud Apps i din organisation. Du kan bruge disse anbefalinger til at onboarde Microsoft Defender for Cloud Apps som et individuelt cybersikkerhedsværktøj eller som en del af en end-to-end-løsning med Microsoft Defender XDR.
I denne artikel antages det, at du har en Microsoft 365-produktionslejer og piloterer og udruller Microsoft Defender for Cloud Apps i dette miljø. Denne praksis bevarer alle indstillinger og tilpasninger, du konfigurerer under pilotprojektet for din fulde udrulning.
Defender for Office 365 bidrager til en Zero Trust-arkitektur ved at hjælpe med at forhindre eller reducere forretningsskader som følge af et brud. Du kan få flere oplysninger under Forbyd eller reducer forretningsskader fra et forretningsscenarie for brud i Microsoft Zero Trust-adoptionsstrukturen.
End-to-end-installation af Microsoft Defender XDR
Dette er artikel 5 af 6 i en serie, der kan hjælpe dig med at udrulle komponenterne i Microsoft Defender XDR, herunder undersøge og besvare hændelser.
Artiklerne i denne serie svarer til følgende faser i end-to-end-udrulningen:
| Fase | Sammenkæde |
|---|---|
| En. Start piloten | Start piloten |
| B. Pilot og udrul Microsoft Defender XDR-komponenter |
-
Pilot og udrul Defender for Identity - Pilot og udrul Defender til Office 365 - Pilot og udrul Defender for Endpoint - Pilot og udrul Microsoft Defender for Cloud Apps (denne artikel) |
| C. Undersøg og reager på trusler | Øvelse af undersøgelse og svar på hændelser |
Pilot og udrul arbejdsproces for Defender for Cloud Apps
I følgende diagram illustreres en almindelig proces til installation af et produkt eller en tjeneste i et it-miljø.
Du starter med at evaluere produktet eller tjenesten, og hvordan det fungerer i din organisation. Derefter kan du teste produktet eller tjenesten med et passende lille undersæt af din produktionsinfrastruktur til test, læring og tilpasning. Derefter skal du gradvist øge omfanget af udrulningen, indtil hele din infrastruktur eller organisation er dækket.
Her er arbejdsprocessen til pilotering og installation af Defender for Cloud Apps i dit produktionsmiljø.
Følg disse trin:
- Opret forbindelse til Defender for Cloud Apps-portalen
- Integrer med Microsoft Defender for Endpoint
- Udrul logopsamleren på dine firewalls og andre proxyer
- Opret en pilotgruppe
- Find og administrer cloudapps
- Konfigurer appobjekt til betinget adgang
- Anvend sessionspolitikker på cloudapps
- Prøv yderligere funktioner
Her er de anbefalede trin for hver udrulningsfase.
| Udrulningsfase | Beskrivelse |
|---|---|
| Evaluere | Udfør produktevaluering for Defender for Cloud Apps. |
| Pilot | Udfør trin 1-4 og derefter 5-8 for et passende undersæt af cloudapps i dit produktionsmiljø. |
| Fuld udrulning | Udfør trin 5-8 for dine resterende cloudapps, juster området for pilotbrugergrupper eller tilføje brugergrupper for at udvide ud over pilotprojektet og inkludere alle dine brugerkonti. |
Beskyttelse af din organisation mod hackere
Defender for Cloud Apps giver selv effektiv beskyttelse. Når Defender for Cloud Apps kombineres med de andre funktioner i Microsoft Defender XDR, leverer den dog data til de delte signaler, der tilsammen hjælper med at stoppe angreb.
Her er et eksempel på et cyberangreb, og hvordan komponenterne i Microsoft Defender XDR hjælper med at registrere og afhjælpe det.
Defender for Cloud Apps registrerer unormal adfærd som f.eks. umulig rejse, adgang til legitimationsoplysninger og usædvanlig download- eller fildelings- eller mail videresendelsesaktivitet og viser disse funktionsmåder på Defender for Cloud Apps-portalen. Defender for Cloud Apps hjælper også med at forhindre tværgående flytning af hackere og eksfiltration af følsomme data.
Microsoft Defender XDR korrelerer signalerne fra alle Microsoft Defender-komponenterne for at give hele angrebshistorien.
Rolle som Defender for Cloud Apps som CASB
En CASB (Cloud Access Security Broker) fungerer som dørvogter til at formidle adgang i realtid mellem dine virksomhedsbrugere og cloudressourcer, de bruger, uanset hvor dine brugere er placeret, og uanset hvilken enhed de bruger. Defender for Cloud Apps er en CASB til din organisations cloudapps. Defender for Cloud Apps integreres oprindeligt med Microsofts sikkerhedsfunktioner, herunder Microsoft Defender XDR.
Uden Defender for Cloud Apps er cloudapps, der bruges af din organisation, ikke-administreret og ubeskyttet.
I illustrationen:
- En organisations brug af cloudapps er ikke overvåget og ubeskyttet.
- Denne brug falder uden for den beskyttelse, der opnås i en administreret organisation.
Hvis du vil finde cloudapps, der bruges i dit miljø, kan du implementere en eller begge af følgende metoder:
- Kom hurtigt i gang med Cloud Discovery ved at integrere med Microsoft Defender for Endpoint. Med denne oprindelige integration kan du straks begynde at indsamle data om cloudtrafik på tværs af dine Windows 10- og Windows 11-enheder på og uden for dit netværk.
- Hvis du vil finde alle cloudapps, der tilgås af alle enheder, der har forbindelse til dit netværk, skal du installere defender for Cloud Apps-logopsamleren på dine firewalls og andre proxyer. Denne udrulning hjælper med at indsamle data fra dine slutpunkter og sender dem til Defender for Cloud Apps til analyse. Defender for Cloud Apps integreres oprindeligt med nogle proxyer fra tredjepart for at få endnu flere funktioner.
Denne artikel indeholder en vejledning til begge metoder.
Trin 1. Opret forbindelse til Defender for Cloud Apps-portalen
Hvis du vil bekræfte licenser og oprette forbindelse til Defender for Cloud Apps-portalen, skal du se Hurtig start: Kom i gang med Microsoft Defender for Cloud Apps.
Hvis du ikke kan oprette forbindelse til portalen med det samme, skal du muligvis føje IP-adressen til listen over tilladte i din firewall. Se Grundlæggende konfiguration af Defender for Cloud Apps.
Hvis du stadig har problemer, skal du gennemse Netværkskrav.
Trin 2: Integrer med Microsoft Defender for Endpoint
Microsoft Defender for Cloud Apps kan integreres med Microsoft Defender for Endpoint som standard. Integrationen forenkler udrulningen af Cloud Discovery, udvider Cloud Discovery-funktionerne ud over virksomhedens netværk og muliggør enhedsbaseret undersøgelse. Denne integration afslører, at cloudapps og -tjenester tilgås fra it-administrerede Windows 10- og Windows 11-enheder.
Hvis du allerede har konfigureret Microsoft Defender for Endpoint, er konfiguration af integration med Defender for Cloud Apps en til/fra-knap i Microsoft Defender XDR. Når integration er slået til, kan du vende tilbage til Defender for Cloud Apps-portalen og få vist omfattende data i Dashboard til cloudregistrering.
Hvis du vil udføre disse opgaver, skal du se Microsoft Defender for Endpoint-integration med Microsoft Defender for Cloud Apps.
Trin 3: Udrul logopsamleren Defender for Cloud Apps på dine firewalls og andre proxyer
Hvis du vil have dækning på alle de enheder, der er forbundet til dit netværk, skal du installere defender for Cloud Apps-logopsamleren på dine firewalls og andre proxyer for at indsamle data fra dine slutpunkter og sende dem til Defender for Cloud Apps til analyse.
Hvis du bruger en af følgende SWG (Secure Web Gateways), leverer Defender for Cloud Apps problemfri udrulning og integration:
- Zscaler
- iboss
- Korrugeret
- Menlo Security
Du kan finde flere oplysninger om integration med disse netværksenheder under Konfigurer Cloudregistrering.
Trin 4. Opret en pilotgruppe – gør udrulningen af pilotprojektet begrænset til bestemte brugergrupper
Microsoft Defender for Cloud Apps giver dig mulighed for at omfangsudrulningen. Med scoping kan du vælge visse brugergrupper, der skal overvåges for apps eller udelukkes fra overvågning. Du kan inkludere eller udelade brugergrupper. Hvis du vil undersøge din pilotinstallation, skal du se Områdeudrulning.
Trin 5. Find og administrer cloudapps
Hvis Defender for Cloud Apps skal give den maksimale beskyttelse, skal du finde alle cloudapps i din organisation og administrere, hvordan de bruges.
Opdag cloudapps
Det første skridt til at administrere brugen af cloudapps er at finde ud af, hvilke cloudapps der bruges af din organisation. I dette næste diagram illustreres det, hvordan cloudregistrering fungerer sammen med Defender for Cloud Apps.
I denne illustration er der to metoder, der kan bruges til at overvåge netværkstrafik og finde cloudapps, der bruges af din organisation.
Cloud App Discovery kan integreres med Microsoft Defender for Endpoint som standard. Defender for Endpoint rapporter cloudapps og -tjenester, der tilgås fra it-administrerede Windows 10- og Windows 11-enheder.
Hvis du vil have dækning på alle enheder, der er forbundet til et netværk, skal du installere defender for Cloud Apps-logopsamleren på firewalls og andre proxyer for at indsamle data fra slutpunkter. Indsamleren sender disse data til Defender for Cloud Apps til analyse.
Få vist dashboardet Cloud Discovery for at se, hvilke apps der bruges i din organisation
Cloud Discovery-dashboardet er designet til at give dig mere indsigt i, hvordan cloudapps bruges i din organisation. Den giver et hurtigt overblik over, hvilke typer apps der bruges, dine åbne beskeder og risikoniveauerne for apps i din organisation.
Hvis du vil i gang med at bruge dashboardet Cloud Discovery, skal du se Arbejde med fundne apps.
Administrer cloudapps
Når du har opdaget cloudapps og analyseret, hvordan disse apps bruges af din organisation, kan du begynde at administrere de cloudapps, du vælger.
I denne illustration:
- Nogle apps er sanktioneret til brug. Sanktionering er en nem måde at begynde at administrere apps på.
- Du kan aktivere større synlighed og kontrol ved at oprette forbindelse mellem apps og app-connectors. App-connectors bruger API'er for appudbydere.
Du kan begynde at administrere apps ved at sanktionere, fjerne eller direkte blokere apps. Hvis du vil begynde at administrere apps, skal du se Styr registrerede apps.
Trin 6. Konfigurer appobjekt til betinget adgang
En af de mest effektive beskyttelser, du kan konfigurere, er Appkontrol med betinget adgang. Denne beskyttelse kræver integration med Microsoft Entra ID. Den giver dig mulighed for at anvende politikker for betinget adgang, herunder relaterede politikker (f.eks. krav om sunde enheder), for cloudapps, du har sanktioneret.
Du har muligvis allerede føjet SaaS-apps til din Microsoft Entra-lejer for at gennemtvinge multifaktorgodkendelse og andre politikker for betinget adgang. Microsoft Defender for Cloud Apps integreres oprindeligt med Microsoft Entra ID. Det eneste, du skal gøre, er at konfigurere en politik i Microsoft Entra ID for at bruge appkontrolelementet Betinget adgang i Defender for Cloud Apps. Dette dirigerer netværkstrafik for disse administrerede SaaS-apps via Defender for Cloud Apps som proxy, hvilket gør det muligt for Defender for Cloud Apps at overvåge denne trafik og anvende sessionskontrolelementer.
I denne illustration:
- SaaS-apps er integreret med Microsoft Entra-lejeren. Denne integration gør det muligt for Microsoft Entra ID at gennemtvinge politikker for betinget adgang, herunder multifaktorgodkendelse.
- Der føjes en politik til Microsoft Entra ID for at dirigere trafik for SaaS-apps til Defender for Cloud Apps. Politikken angiver, hvilke SaaS-apps denne politik skal anvendes på. Når Microsoft Entra ID gennemtvinger alle politikker for betinget adgang, der gælder for disse SaaS-apps, dirigerer Microsoft Entra ID derefter sessionstrafikken (proxyer) via Defender for Cloud Apps.
- Defender for Cloud Apps overvåger denne trafik og anvender alle sessionskontrolpolitikker, der er konfigureret af administratorer.
Du har måske opdaget og sanktioneret cloudapps ved hjælp af Defender for Cloud Apps, der ikke er føjet til Microsoft Entra ID. Du kan drage fordel af appen Betinget adgang ved at føje disse cloudapps til din Microsoft Entra-lejer og omfanget af dine regler for betinget adgang.
Det første trin i brugen af Microsoft Defender for Cloud Apps til at administrere SaaS-apps er at finde disse apps og derefter føje dem til din Microsoft Entra-lejer. Hvis du har brug for hjælp til at finde, skal du se Find og administrer SaaS-apps i dit netværk. Når du har opdaget apps, kan du føje disse apps til din Microsoft Entra-lejer.
Du kan begynde at administrere disse apps med følgende opgaver:
- I Microsoft Entra ID skal du oprette en ny politik for betinget adgang og konfigurere den til "Brug appkontrol med betinget adgang". Denne konfiguration hjælper med at omdirigere anmodningen til Defender for Cloud Apps. Du kan oprette én politik og føje alle SaaS-apps til denne politik.
- Derefter skal du oprette sessionspolitikker i Defender for Cloud Apps. Opret én politik for hvert kontrolelement, du vil anvende.
Du kan få flere oplysninger, herunder understøttede apps og klienter, under Beskyt apps med Microsoft Defender for Cloud Apps-appkontrol med betinget adgang.
Du kan f.eks. se Politikker under Anbefalet Microsoft Defender for Cloud Apps-politikker til SaaS-apps. Disse politikker bygger på et sæt fælles politikker for identitet og enhedsadgang , der anbefales som udgangspunkt for alle kunder.
Trin 7. Anvend sessionspolitikker på cloudapps
Microsoft Defender for Cloud Apps fungerer som en omvendt proxy, der giver proxyadgang til godkendte cloudapps. Denne klargøring gør det muligt for Defender for Cloud Apps at anvende sessionspolitikker, som du konfigurerer.
I illustrationen:
- Adgang til godkendte cloudapps fra brugere og enheder i din organisation dirigeres via Defender for Cloud Apps.
- Denne proxyadgang gør det muligt at anvende sessionspolitikker.
- Cloudapps, som du ikke har sanktioneret eller udtrykkeligt ikke harsaneret, påvirkes ikke.
Sessionspolitikker giver dig mulighed for at anvende parametre på, hvordan cloudapps bruges af din organisation. Hvis din organisation f.eks. bruger Salesforce, kan du konfigurere en sessionspolitik, der kun tillader administrerede enheder at få adgang til organisationens data på Salesforce. Et enklere eksempel kan være konfiguration af en politik til overvågning af trafik fra ikke-administrerede enheder, så du kan analysere risikoen for denne trafik, før du anvender strengere politikker.
Du kan få flere oplysninger under Opret sessionspolitikker.
Trin 8. Prøv yderligere funktioner
Brug disse defender for Cloud Apps-selvstudier til at hjælpe dig med at finde risici og beskytte dit miljø:
- Registrer mistænkelig brugeraktivitet
- Undersøg risikable brugere
- Undersøg risikable OAuth-apps
- Find og beskyt følsomme oplysninger
- Beskyt alle apps i din organisation i realtid
- Bloker downloads af følsomme oplysninger
- Beskyt dine filer med administrator karantæne
- Kræv trinvis godkendelse ved risikobelagt handling
Du kan finde flere oplysninger om avanceret jagt i Microsoft Defender for Cloud Apps-data i denne video.
SIEM-integration
Du kan integrere Defender for Cloud Apps med Microsoft Sentinel eller en generisk SIEM-tjeneste (Security Information and Event Management) for at aktivere centraliseret overvågning af beskeder og aktiviteter fra forbundne apps. Med Microsoft Sentinel kan du analysere sikkerhedshændelser mere omfattende på tværs af din organisation og oprette playbooks, så du kan reagere effektivt og øjeblikkeligt.
Microsoft Sentinel indeholder en Defender for Cloud Apps-connector. Dette giver dig ikke kun mulighed for at få indsigt i dine cloudapps, men også få avancerede analyser til at identificere og bekæmpe cybertrusler og til at styre, hvordan dine data bevæger sig. Du kan finde flere oplysninger under Microsoft Sentinel-integration og Stream-beskeder og Cloud Discovery-logge fra Defender for Cloud Apps i Microsoft Sentinel.
Du kan finde oplysninger om integration med SIEM-systemer fra tredjepart under Generisk SIEM-integration.
Næste trin
Udfør livscyklusstyring for Defender for Cloud Apps.
Næste trin i installationen af Microsoft Defender XDR fra slutpunkt til slutpunkt
Fortsæt din komplette installation af Microsoft Defender XDR med Undersøg, og besvar ved hjælp af Microsoft Defender XDR.
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.