Jaa

Microsoft Defender for Cloud Appsin pilottikoe ja käyttöönotto

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR

Tässä artikkelissa on työnkulku Microsoft Defender for Cloud Appsin pilotointiin ja käyttöönottoon organisaatiossasi. Näiden suositusten avulla voit lisätä Microsoft Defender for Cloud Appsin henkilökohtaisena kyberturvallisuustyökaluna tai osana päästä päähän -ratkaisua Microsoft Defender XDR:n kanssa.

Tässä artikkelissa oletetaan, että käytössäsi on Microsoft 365 -tuotantovuokraaja ja että olet luomassa ja ottamassa käyttöön Microsoft Defender for Cloud Appsia tässä ympäristössä. Tämä käytäntö säilyttää kaikki pilottikokeilun aikana määrittämäsi asetukset ja mukautukset täyttä käyttöönottoa varten.

Defender for Office 365 osallistuu Zero Trust -arkkitehtuuriin auttamalla estämään tai vähentämään murron aiheuttamia liiketoimintavaurioita. Lisätietoja on Microsoft Zero Trustin käyttöönoton kehyksessä Liiketoimintavaurioiden estäminen tai vähentäminen murron liiketoimintaskenaariosta.

Microsoft Defender XDR:n päästä päähän -käyttöönotto

Tämä on sarjan artikkeli 5/6, jonka avulla voit ottaa käyttöön Microsoft Defender XDR:n osia, mukaan lukien tapahtumien tutkiminen ja niihin vastaaminen.

Kaavio, joka näyttää Microsoft Defender for Cloud Appsin pilottikokeilun ja Microsoft Defender XDR -prosessin käyttöönoton.

Tämän sarjan artikkelit vastaavat seuraavia päästä päähän -käyttöönoton vaiheita:

Vaihe Linkki
A. Käynnistä pilotti Käynnistä pilotti
B. Microsoft Defenderin XDR-osien pilottikoe ja käyttöönotto - Defender for Identityn pilottikoe ja käyttöönotto

- Defender for Office 365:n pilottikoe ja käyttöönotto

- Defender for Endpointin pilottikoe ja käyttöönotto

- Microsoft Defender for Cloud Appsin pilottikoe ja käyttöönotto (tämä artikkeli)
C. Tutki uhkia ja reagoi niihin Tapausten tutkinnan ja reagointikäytännön harjoittaminen

Defender for Cloud Appsin pilotti- ja käyttöönottotyönkulku

Seuraavassa kaaviossa esitetään yleinen prosessi tuotteen tai palvelun käyttöönottoon IT-ympäristössä.

Kaavio pilottikokeilun, arvioinnin ja käyttöönoton täysien käyttöönottovaiheiden kaaviosta.

Aloitat arvioimalla tuotetta tai palvelua ja sitä, miten se toimii organisaatiossasi. Sen jälkeen voit kokeilla tuotetta tai palvelua sopivan pienellä osajoukolla tuotantoinfrastruktuuristasi testausta, oppimista ja mukauttamista varten. Kasvata sitten käyttöönottoa asteittain, kunnes koko infrastruktuuri tai organisaatio on katettu.

Tässä on työnkulku Defender for Cloud Appsin pilotointiin ja käyttöönottoon tuotantoympäristössäsi.

Kaavio, joka näyttää Microsoft Defender for Cloud Appsin pilotti- ja käyttöönottotyönkulun.

Toimi seuraavasti:

  1. Muodosta yhteys Defender for Cloud Apps -portaaliin
  2. Integrointi Microsoft Defender for Endpointin kanssa
  3. Ota lokikeräin käyttöön palomuurissasi ja muissa välitysvälitystiloissasi
  4. Luo pilottiryhmä
  5. Pilvisovellusten etsiminen ja hallinta
  6. Määritä ehdollisten käyttöoikeuksien sovellusohjausobjekti
  7. Istuntokäytäntöjen käyttö pilvisovelluksissa
  8. Kokeile muita ominaisuuksia

Seuraavassa on kunkin käyttöönottovaiheen suositellut vaiheet.

Käyttöönottovaihe Kuvaus
Arvioida Suorita tuotteen arviointi Defender for Cloud Appsille.
Lentäjä Suorita vaiheet 1–4 ja sitten 5–8 sopivalle pilvisovellusten osajoukolle tuotantoympäristössäsi.
Täysi käyttöönotto Suorita vaiheet 5–8 jäljelle jääville pilvisovelluksille säätämällä pilottikäyttäjäryhmien kopiointia tai lisäämällä käyttäjäryhmiä niin, että ne laajenevat pilottikokeilun ulkopuolelle ja sisältävät kaikki käyttäjätilisi.

Organisaation suojaaminen hakkereilta

Defender for Cloud Apps tarjoaa tehokkaan suojauksen. Defender for Cloud Apps tarjoaa kuitenkin yhdessä Microsoft Defender XDR:n muiden ominaisuuksien kanssa jaettuihin signaaleihin tietoja, jotka yhdessä auttavat pysäyttämään hyökkäykset.

Tässä on esimerkki kyberhyökkäyksestä ja siitä, miten Microsoft Defender XDR:n osat auttavat sen havaitsemisessa ja lieventämisessä.

Kaavio, joka näyttää, miten Microsoft Defender XDR pysäyttää uhkaketjun.

Defender for Cloud Apps havaitsee poikkeavan toiminnan, kuten mahdottoman matkustamisen, tunnistetietojen käytön ja epätavallisen latauksen, tiedostojen jakamisen tai sähköpostin edelleenlähetystoiminnan, ja näyttää nämä toiminnot Defender for Cloud Apps -portaalissa. Defender for Cloud Apps auttaa myös estämään hakkereiden sivuttaista liikkumista ja luottamuksellisten tietojen suodatusta.

Microsoft Defender XDR korreloi kaikkien Microsoft Defenderin osien signaalit tarjotakseen koko hyökkäystarinan.

Defender for Cloud Appsin rooli CASB:nä

Pilvipalvelujen käytön suojauksen välittäjä (CASB) toimii portinvartijana ja välittää käyttöoikeuden reaaliajassa yrityksesi käyttäjien ja heidän käyttämien pilviresurssien välillä, riippumatta siitä, missä käyttäjät sijaitsevat ja mitä laitetta he käyttävät. Defender for Cloud Apps on casb organisaatiosi pilvisovelluksille. Defender for Cloud Apps integroituu suoraan Microsoftin suojausominaisuuksiin, kuten Microsoft Defender XDR:ään.

Ilman Defender for Cloud Appsia organisaatiosi käyttämät pilvisovellukset ovat hallitsemattomia ja suojaamattomia.

Kaavio, joka näyttää pilvisovellukset, joita organisaatiosi ei hallitse ja suojaa.

Kuvassa:

  • Organisaation pilvisovellusten käyttöä ei valvota ja se on suojaamaton.
  • Tämä käyttö ei kuulu hallitun organisaation sisällä saavutettuihin suojaukseen.

Jos haluat löytää ympäristössäsi käytettyjä pilvisovelluksia, voit käyttää jompaakumpaa tai molempia seuraavista menetelmistä:

  • Aloita Cloud Discoveryn käyttö nopeasti integroimalla Microsoft Defender for Endpointiin. Tämän alkuperäisen integroinnin avulla voit välittömästi aloittaa tietojen keräämisen pilviliikenteestä Windows 10- ja Windows 11 -laitteissasi sekä verkossasi että sen ulkopuolella.
  • Jos haluat löytää kaikki pilvisovellukset, joita kaikki verkkoon yhdistetyt laitteet käyttävät, ota Defender for Cloud Apps -lokinkeräin käyttöön palomuurissasi ja muissa välityssovelluksissasi. Tämä käyttöönotto auttaa keräämään tietoja päätepisteistäsi ja lähettämään ne Defender for Cloud Appsiin analyysia varten. Defender for Cloud Apps integroituu natiivisti joihinkin kolmannen osapuolen välityspalveluihin entistä enemmän ominaisuuksia varten.

Tässä artikkelissa on ohjeita molempiin menetelmiin.

Vaihe 1: Muodosta yhteys Defender for Cloud Apps -portaaliin

Jos haluat tarkistaa käyttöoikeudet ja muodostaa yhteyden Defender for Cloud Apps -portaaliin, katso Pikaopas: Microsoft Defender for Cloud Appsin käytön aloittaminen.

Jos et pysty heti muodostamaan yhteyttä portaaliin, sinun on ehkä lisättävä IP-osoite sallittujen luetteloon palomuurista. Katso Defender for Cloud Appsin perusasetukset.

Jos sinulla on edelleen ongelmia, tarkista verkon vaatimukset.

Vaihe 2: Integrointi Microsoft Defender for Endpointin kanssa

Microsoft Defender for Cloud Apps integroituu suoraan Microsoft Defender for Endpointiin. Integrointi yksinkertaistaa Cloud Discoveryn käyttöönottoa, laajentaa Cloud Discovery -ominaisuuksia yritysverkon ulkopuolelle ja mahdollistaa laitepohjaisen tutkimuksen. Tämä integrointi paljastaa, että pilvisovelluksia ja -palveluita käytetään IT-hallittujen Windows 10- ja Windows 11 -laitteiden kautta.

Jos olet jo määrittänyt Microsoft Defender for Endpointin, integroinnin määrittäminen Defender for Cloud Appsin kanssa on vaihtopainike Microsoft Defender XDR:ssä. Kun integrointi on otettu käyttöön, voit palata Defender for Cloud Apps -portaaliin ja tarkastella monipuolisia tietoja Cloud Discovery Dashboardissa.

Jos haluat suorittaa nämä tehtävät, katso Microsoft Defender for Endpoint -integrointi Microsoft Defender for Cloud Appsin kanssa.

Vaihe 3: Ota Käyttöön Defender for Cloud Apps -lokinkeräin palomuurissasi ja muissa välityssovelluksissasi

Ota Defender for Cloud Apps -lokinkeräystoiminto käyttöön palomuurissasi ja muissa välityssovelluksissasi, jotta voit kerätä tietoja päätepisteistäsi ja lähettää ne Defender for Cloud Appsille analyysia varten.

Jos käytät jotain seuraavista Suojatut verkkoyhdyskäytävät (SWG), Defender for Cloud Apps tarjoaa saumattoman käyttöönoton ja integroinnin:

  • Z-skaala
  • iboss
  • Corrata
  • Menlo Security

Lisätietoja näiden verkkolaitteiden integroinnista on kohdassa Cloud Discoveryn määrittäminen.

Vaihe 4: Luo pilottiryhmä – Käytä pilottikokeilun laajuutta tiettyihin käyttäjäryhmiin

Microsoft Defender for Cloud Appsin avulla voit rajata käyttöönottosi. Scopingin avulla voit valita tiettyjä käyttäjäryhmiä, joita valvotaan sovellusten osalta tai jotka jätetään valvonnan ulkopuolelle. Voit sisällyttää tai jättää pois käyttäjäryhmiä. Lisätietoja pilottikäyttöönoton laajuudesta on kohdassa Laajuus käyttöönotto.

Vaihe 5: Pilvisovellusten etsiminen ja hallinta

Jotta Defender for Cloud Apps tarjoaa mahdollisimman paljon suojausta, sinun on löydettävä kaikki organisaatiosi pilvisovellukset ja hallittava, miten niitä käytetään.

Tutustu pilvisovelluksiin

Ensimmäinen vaihe pilvisovellusten käytön hallinnassa on selvittää, mitä pilvisovelluksia organisaatiosi käyttää. Seuraava kaavio havainnollistaa, miten pilvipalvelun etsintä toimii Defender for Cloud Appsin kanssa.

Kaavio, joka näyttää Microsoft Defender for Cloud Appsin arkkitehtuurin pilvipalvelussa etsimisen avulla.

Tässä kuvassa on kaksi tapaa, joilla voidaan valvoa verkkoliikennettä ja löytää organisaatiosi käyttämiä pilvisovelluksia.

  1. Cloud App Discovery integroituu suoraan Microsoft Defender for Endpointiin. Defender for Endpoint raportoi pilvisovelluksista ja palveluista, joita käytetään IT-hallittujen Windows 10- ja Windows 11 -laitteiden kautta.

  2. Kaikkien verkkoon liitettyjen laitteiden kattavuutta varten asennat Defender for Cloud Apps -lokinkerääjän palomuuriin ja muihin välityspalveluihin tietojen keräämiseksi päätepisteistä. Keräystoiminto lähettää nämä tiedot Defender for Cloud Appsille analyysia varten.

Tarkastele Cloud Discovery -koontinäyttöä nähdäksesi, mitä sovelluksia organisaatiossasi käytetään

Cloud Discovery -koontinäyttö on suunniteltu antamaan lisätietoja siitä, miten pilvisovelluksia käytetään organisaatiossasi. Se tarjoaa yleiskatsauksen käytössä olevien sovellusten tyypeistä, avoimista ilmoituksista ja organisaatiosi sovellusten riskitasoista yhdellä silmäyksellä.

Aloita Cloud Discovery -koontinäytön käyttäminen artikkelista Löydettyjen sovellusten käyttäminen.

Pilvisovellusten hallinta

Kun olet löytänyt pilvisovelluksia ja analysoinut, miten organisaatiosi käyttää näitä sovelluksia, voit alkaa hallita valitsemiasi pilvisovelluksia.

Kaavio, joka näyttää Microsoft Defender for Cloud Appsin arkkitehtuurin pilvisovellusten hallintaa varten.

Tässä kuvassa:

  • Jotkin sovellukset on hyväksytty käytettäväksi. Pakotteiden hyväksyminen on yksinkertainen tapa aloittaa sovellusten hallinta.
  • Voit ottaa käyttöön suuremman näkyvyyden ja hallinnan yhdistämällä sovelluksia sovellusliittimillä. Sovellusliittimet käyttävät sovelluspalvelujen tarjoajien ohjelmointirajapintoja.

Voit aloittaa sovellusten hallinnan hyväksymällä, peruuttamalla tai suoraan estämällä sovelluksia. Jos haluat aloittaa sovellusten hallinnan, katso Kohta Hallinnoi löydettyjä sovelluksia.

Vaihe 6. Määritä ehdollisten käyttöoikeuksien sovellusohjausobjekti

Yksi tehokkaimmista suojauksista, jonka voit määrittää, on ehdollisten käyttöoikeuksien sovellusten hallinta. Tämä suojaus edellyttää integrointia Microsoft Entra -tunnuksen kanssa. Sen avulla voit käyttää ehdollisia käyttöoikeuskäytäntöjä, mukaan lukien liittyvät käytännöt (kuten terveellisten laitteiden vaatiminen) pilvisovelluksiin, jotka olet hyväksynyt.

Microsoft Entra -vuokraajaan on ehkä jo lisätty SaaS-sovelluksia monimenetelmäisen todentamisen ja muiden ehdollisten käyttöoikeuskäytäntöjen pakottamiseksi. Microsoft Defender for Cloud Apps integroituu suoraan Microsoft Entra ID:hen. Sinun täytyy vain määrittää Microsoft Entra -tunnuksen käytäntö käyttämään ehdollisten käyttöoikeuksien sovellusten hallintaa Defender for Cloud Appsissa. Tämä reitittää näiden hallittujen SaaS-sovellusten verkkoliikenteen Defender for Cloud Appsin kautta välityspalvelimena, jolloin Defender for Cloud Apps voi valvoa tätä liikennettä ja ottaa käyttöön istunnon ohjausobjekteja.

Kaavio, joka näyttää Microsoft Defender for Cloud Appsin arkkitehtuurin SaaS-sovelluksilla.

Tässä kuvassa:

  • SaaS-sovellukset on integroitu Microsoft Entra -vuokraajaan. Tämän integraation avulla Microsoft Entra ID voi pakottaa ehdollisia käyttöoikeuskäytäntöjä, kuten monimenetelmäisen todentamisen.
  • Microsoft Entra ID:hen lisätään käytäntö SaaS-sovellusten liikenteen ohjaamiseksi Defender for Cloud Appsiin. Käytäntö määrittää, mihin SaaS-sovelluksiin tämä käytäntö otetaan käyttöön. Kun Microsoft Entra ID pakottaa näihin SaaS-sovelluksiin sovellettavat ehdolliset käyttöoikeuskäytännöt, Microsoft Entra ID ohjaa sitten (välityspalvelut) istuntoliikenteen Defender for Cloud Appsin kautta.
  • Defender for Cloud Apps valvoo tätä liikennettä ja ottaa käyttöön kaikki järjestelmänvalvojien määrittämät istunnon hallintakäytännöt.

Olet ehkä löytänyt pilvisovelluksia, jotka käyttävät Defender for Cloud Appsia ja joita ei ole lisätty Microsoft Entra -tunnukseen. Voit hyödyntää ehdollisten käyttöoikeuksien sovellusten hallintaa lisäämällä nämä pilvisovellukset Microsoft Entra -vuokraajaan ja ehdollisen käyttöoikeuden sääntöjen laajuuden.

Ensimmäinen vaihe SaaS-sovellusten hallinnassa Microsoft Defender for Cloud Appsin avulla on löytää nämä sovellukset ja lisätä ne sitten Microsoft Entra -vuokraajaan. Jos tarvitset apua etsinnässä, katso SaaS-sovellusten etsiminen ja hallinta verkossasi. Kun olet löytänyt sovelluksia, lisää nämä sovellukset Microsoft Entra -vuokraajaan.

Voit aloittaa näiden sovellusten hallinnan seuraavilla tehtävillä:

  1. Luo Microsoft Entra ID:ssä uusi ehdollinen käyttöoikeuskäytäntö ja määritä se käyttämään ehdollisten käyttöoikeuksien sovellusten hallintaa. Tämä määritys auttaa ohjaamaan pyynnön uudelleen Defender for Cloud Appsiin. Voit luoda yhden käytännön ja lisätä kaikki SaaS-sovellukset tähän käytäntöön.
  2. Luo seuraavaksi istuntokäytännöt Defender for Cloud Appsissa. Luo yksi käytäntö kullekin ohjausobjektille, jota haluat käyttää.

Lisätietoja, mukaan lukien tuetut sovellukset ja asiakkaat, on artikkelissa Sovellusten suojaaminen Microsoft Defender for Cloud Appsin ehdollisten käyttöoikeuksien sovellusten hallinnalla.

Katso esimerkkikäytännöt artikkelista SaaS-sovellusten Suositellut Microsoft Defender for Cloud Apps -käytännöt. Nämä käytännöt perustuvat yleisiin käyttäjätietojen ja laitteiden käyttökäytäntöihin , joita suositellaan aloituspisteeksi kaikille asiakkaille.

Vaihe 7. Istuntokäytäntöjen käyttö pilvisovelluksissa

Microsoft Defender for Cloud Apps toimii käänteisenä välityspalvelimena tarjoten välityspalvelimen käyttöoikeuden valtuutettuihin pilvisovelluksiin. Tämän säännöksen avulla Defender for Cloud Apps voi ottaa käyttöön määrittämäsi istuntokäytännöt.

Kaavio, joka näyttää Microsoft Defender for Cloud Appsin arkkitehtuurin välityspalvelimen käyttöoikeusistunnon hallinnalla.

Kuvassa:

  • Pakotteiden kohteena olevien pilvisovellusten käyttöoikeus organisaatiosi käyttäjiltä ja laitteilta reititetään Defender for Cloud Appsin kautta.
  • Tämä välityspalvelinkäyttö sallii istuntokäytäntöjen käyttämisen.
  • Tämä ei vaikuta pilvisovelluksiin, joita et ole nimenomaisesti hyväksynyt tai joita ei ole nimenomaisesti hyväksytty.

Istuntokäytäntöjen avulla voit käyttää parametreja siihen, miten organisaatiosi käyttää pilvisovelluksia. Jos organisaatiosi esimerkiksi käyttää Salesforcea, voit määrittää istuntokäytännön, joka sallii vain hallittujen laitteiden käyttää organisaatiosi tietoja Salesforcessa. Yksinkertaisempi esimerkki voisi olla käytännön määrittäminen valvomaan liikennettä hallitsemattomista laitteista, jotta voit analysoida liikenteen riskejä ennen tiukempien käytäntöjen käyttämistä.

Lisätietoja on kohdassa Istuntokäytäntöjen luominen.

Vaihe 8. Kokeile muita ominaisuuksia

Näiden Defender for Cloud Apps -opetusohjelmien avulla voit löytää riskejä ja suojata ympäristöäsi:

Lisätietoja kehittyneestä metsästyksestä Microsoft Defender for Cloud Apps -tiedoissa on tässä videossa.

SIEM-integrointi

Voit integroida Defender for Cloud Appsin Microsoft Sentineliin tai yleiseen suojaustietoihin ja tapahtumienhallintapalveluun (SIEM), jotta yhdistettyjen sovellusten hälytyksiä ja toimintoja voidaan valvoa keskitetysti. Microsoft Sentinelin avulla voit analysoida organisaatiosi suojaustapahtumia kattavammin ja luoda pelikirjoja tehokkaaksi ja välittömäksi reagoinnille.

Kaavio, joka näyttää Microsoft Defender for Cloud Appsin arkkitehtuurin SIEM-integroinnin avulla.

Microsoft Sentinel sisältää Defender for Cloud Apps -liittimen. Näin voit paitsi saada näkyvyyttä pilvisovelluksiin myös saada kehittyneitä analyysejä kyberuhkia tunnistamalla ja torjumalla sekä hallitsemalla tietojesi kulkua. Lisätietoja on kohdassa Microsoft Sentinel -integrointi ja Stream-hälytykset sekä Cloud Discovery -lokit Defender for Cloud Appsista Microsoft Sentineliin.

Lisätietoja integroinnista kolmannen osapuolen SIEM-järjestelmiin on kohdassa Yleinen SIEM-integrointi.

Seuraavat vaiheet

Suorita elinkaaren hallinta Defender for Cloud Appsille.

Seuraava vaihe Microsoft Defender XDR:n päästä päähän -käyttöönotossa

Jatka Microsoft Defender XDR:n päästä päähän -käyttöönottoa Tutki ja vastaa -toiminnolla Microsoft Defender XDR:n avulla.

Kaavio, joka näyttää tapausten tutkinnan ja vastauksen pilottikokeessa ja ottaa käyttöön Microsoft Defender XDR -prosessin.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.