Passez en revue les exigences de l’architecture et les concepts clés pour Microsoft Defender for Cloud Apps
S’applique à :
- Microsoft Defender XDR
Cet article est l’étape 1 sur 3 du processus de configuration de l’environnement d’évaluation pour Microsoft Defender for Cloud Apps en même temps que Microsoft Defender XDR. Pour plus d’informations sur ce processus, consultez l’article vue d’ensemble.
Avant d’activer Microsoft Defender for Cloud Apps, veillez à comprendre l’architecture et à répondre aux exigences.
Comprendre l’architecture
Microsoft Defender for Cloud Apps est un répartiteur de sécurité d’accès cloud (CASB). Les casb agissent comme un gardien pour répartir l’accès en temps réel entre les utilisateurs de votre entreprise et les ressources cloud qu’ils utilisent, où que vos utilisateurs se trouvent et quel que soit l’appareil qu’ils utilisent. Microsoft Defender for Cloud Apps s’intègre en mode natif aux fonctionnalités de sécurité de Microsoft, notamment Microsoft Defender XDR.
Sans Defender for Cloud Apps, les applications cloud utilisées par votre organization ne sont ni gérées ni protégées, comme illustré.
Dans cette illustration :
- L’utilisation d’applications cloud par un organization n’est pas supervisée et n’est pas protégée.
- Cette utilisation se situe en dehors des protections obtenues au sein d’un organization managé.
Découverte des applications cloud
La première étape de la gestion de l’utilisation des applications cloud consiste à découvrir quelles applications cloud sont utilisées par votre organization. Ce diagramme suivant illustre le fonctionnement de la découverte du cloud avec Defender for Cloud Apps.
Dans cette illustration, vous pouvez utiliser deux méthodes pour surveiller le trafic réseau et découvrir les applications cloud utilisées par votre organization.
- R : Cloud App Discovery s’intègre à Microsoft Defender pour point de terminaison en mode natif. Defender pour point de terminaison signale que les applications et services cloud sont accessibles à partir d’appareils Windows 10 et Windows 11 gérés par le service informatique.
- B. Pour la couverture sur tous les appareils connectés à un réseau, le collecteur de journaux Defender for Cloud Apps est installé sur les pare-feu et d’autres proxys pour collecter des données à partir des points de terminaison. Ces données sont envoyées à Defender for Cloud Apps à des fins d’analyse.
Gestion des applications cloud
Après avoir découvert les applications cloud et analysé la façon dont ces applications sont utilisées par votre organization, vous pouvez commencer à gérer les applications cloud de votre choix.
Dans cette illustration :
- Certaines applications sont approuvées pour utilisation. Cette sanction est un moyen simple de commencer à gérer les applications.
- Vous pouvez améliorer la visibilité et le contrôle en connectant des applications avec des connecteurs d’application. Les connecteurs d’application utilisent les API des fournisseurs d’applications.
Application de contrôles de session à des applications cloud
Microsoft Defender for Cloud Apps sert de proxy inverse, fournissant un accès proxy aux applications cloud approuvées. Cette configuration permet à Defender for Cloud Apps d’appliquer des contrôles de session que vous configurez.
Dans cette illustration :
- L’accès aux applications cloud approuvées des utilisateurs et des appareils de votre organization est acheminé via Defender for Cloud Apps.
- Cet accès proxy permet d’appliquer des contrôles de session.
- Les applications cloud que vous n’avez pas approuvées ou explicitement non approuvées ne sont pas affectées.
Les contrôles de session vous permettent d’appliquer des paramètres à la façon dont les applications cloud sont utilisées par votre organization. Par exemple, si votre organization utilise Salesforce, vous pouvez configurer une stratégie de session qui autorise uniquement les appareils gérés à accéder aux données de votre organization dans Salesforce. Un exemple plus simple peut être la configuration d’une stratégie pour surveiller le trafic provenant d’appareils non gérés afin que vous puissiez analyser le risque de ce trafic avant d’appliquer des stratégies plus strictes.
Intégration à Microsoft Entra ID avec le contrôle d’application par accès conditionnel
Vous avez peut-être déjà ajouté des applications SaaS à votre locataire Microsoft Entra pour appliquer l’authentification multifacteur et d’autres stratégies d’accès conditionnel. Microsoft Defender for Cloud Apps s’intègre en mode natif à Microsoft Entra ID. Il vous suffit de configurer une stratégie dans Microsoft Entra ID pour utiliser le contrôle d’application par accès conditionnel dans Defender for Cloud Apps. Cela achemine le trafic réseau pour ces applications SaaS managées via Defender for Cloud Apps en tant que proxy, ce qui permet à Defender for Cloud Apps de surveiller ce trafic et d’appliquer des contrôles de session.
Dans cette illustration :
- Les applications SaaS sont intégrées au locataire Microsoft Entra. Cette intégration permet Microsoft Entra ID d’appliquer des stratégies d’accès conditionnel, y compris l’authentification multifacteur.
- Une stratégie est ajoutée à Microsoft Entra ID pour diriger le trafic des applications SaaS vers Defender for Cloud Apps. La stratégie spécifie les applications SaaS auxquelles appliquer cette stratégie. Par conséquent, une fois que Microsoft Entra ID applique toutes les stratégies d’accès conditionnel qui s’appliquent à ces applications SaaS, Microsoft Entra ID dirige (proxys) le trafic de session via Defender for Cloud Apps.
- Defender for Cloud Apps surveille ce trafic et applique toutes les stratégies de contrôle de session qui ont été configurées par les administrateurs.
Vous avez peut-être découvert et approuvé des applications cloud utilisant Defender pour les applications cloud qui n’ont pas été ajoutées à Microsoft Entra ID. Vous pouvez tirer parti du contrôle d’application par accès conditionnel en ajoutant ces applications cloud à votre locataire Microsoft Entra et à l’étendue de vos règles d’accès conditionnel.
Protection de votre organization contre les pirates informatiques
Defender for Cloud Apps offre une protection puissante à lui seul. Toutefois, lorsqu’il est combiné avec les autres fonctionnalités de Microsoft Defender XDR, Defender for Cloud Apps fournit des données dans les signaux partagés qui (ensemble) aident à arrêter les attaques.
Il est utile de répéter cette illustration de la vue d’ensemble de cette Microsoft Defender XDR d’évaluation et du guide pilote.
En mettant l’accent sur le côté droit de cette illustration, Microsoft Defender for Cloud Apps remarque un comportement anormal comme un déplacement impossible, l’accès aux informations d’identification et une activité inhabituelle de téléchargement, de partage de fichiers ou de transfert de courrier, et signale ces comportements à l’équipe de sécurité. Par conséquent, Defender for Cloud Apps permet d’empêcher les mouvements latéraux des pirates informatiques et l’exfiltration de données sensibles. Microsoft 356 Defender pour le cloud met en corrélation les signaux de tous les composants pour fournir l’histoire complète des attaques.
Comprendre les concepts clés
Le tableau suivant a identifié les concepts clés qu’il est important de comprendre lors de l’évaluation, de la configuration et du déploiement de Microsoft Defender for Cloud Apps.
| Concept | Description | Plus d’informations |
|---|---|---|
| Tableau de bord Defender for Cloud Apps | Présente une vue d’ensemble des informations les plus importantes sur votre organization et fournit des liens vers une investigation plus approfondie. | Utilisation du tableau de bord |
| Contrôle d’application d’accès conditionnel | Architecture de proxy inverse qui s’intègre à votre fournisseur d’identité (IdP) pour donner Microsoft Entra stratégies d’accès conditionnel et appliquer de manière sélective des contrôles de session. | Protéger les applications avec Microsoft Defender for Cloud Apps contrôle d’application par accès conditionnel |
| Catalogue d’applications cloud | Le catalogue d’applications cloud vous donne une vue d’ensemble du catalogue Microsoft de plus de 16 000 applications cloud classées et évaluées en fonction de plus de 80 facteurs de risque. | Utilisation des scores de risque d’application |
| Tableau de bord Cloud Discovery | Cloud Discovery analyse vos journaux de trafic et est conçu pour fournir plus d’informations sur la façon dont les applications cloud sont utilisées dans votre organization, ainsi que pour fournir des alertes et des niveaux de risque. | Utilisation des applications découvertes |
| Applications connectées | Defender for Cloud Apps fournit une protection de bout en bout pour les applications connectées à l’aide de l’intégration cloud-à-cloud, des connecteurs d’API et des contrôles d’accès en temps réel et de session à l’aide de nos contrôles d’accès conditionnel aux applications. | Protection des applications connectées |
Passer en revue les exigences en matière d’architecture
Découverte des applications cloud
Pour découvrir les applications cloud utilisées dans votre environnement, vous pouvez implémenter l’une des méthodes suivantes ou les deux :
- Soyez rapidement opérationnel avec Cloud Discovery en l’intégrant à Microsoft Defender pour point de terminaison. Cette intégration native vous permet de commencer immédiatement à collecter des données sur le trafic cloud sur vos appareils Windows 11 et Windows 10, sur et hors de votre réseau.
- Pour découvrir toutes les applications cloud accessibles par tous les appareils connectés à votre réseau, déployez le collecteur de journaux Defender for Cloud Apps sur vos pare-feu et autres proxys. Ce déploiement permet de collecter des données à partir de vos points de terminaison et de les envoyer à Defender for Cloud Apps pour analyse. Defender for Cloud Apps s’intègre en mode natif à certains proxys tiers pour encore plus de fonctionnalités.
Ces options sont incluses à l’étape 2. Activez l’environnement d’évaluation.
Application de stratégies d’accès conditionnel Microsoft Entra aux applications cloud
Le contrôle d’application par accès conditionnel (la possibilité d’appliquer des stratégies d’accès conditionnel aux applications cloud) nécessite l’intégration à Microsoft Entra ID. Cette intégration n’est pas obligatoire pour bien démarrer avec Defender for Cloud Apps. Il s’agit d’une étape que nous vous encourageons à essayer pendant la phase pilote, étape 3. Microsoft Defender for Cloud Apps pilote.
Intégration SIEM
Vous pouvez intégrer Microsoft Defender for Cloud Apps à votre serveur SIEM générique ou à Microsoft Sentinel pour activer la surveillance centralisée des alertes et des activités à partir d’applications connectées.
En outre, Microsoft Sentinel inclut un connecteur Microsoft Defender for Cloud Apps pour fournir une intégration plus approfondie à Microsoft Sentinel. Cette disposition vous permet non seulement d’obtenir une visibilité sur vos applications cloud, mais également d’obtenir des analyses sophistiquées pour identifier et combattre les cybermenaces et contrôler le déplacement de vos données.
- Intégration d’une solution SIEM générique
- Stream les alertes et les journaux Cloud Discovery de Defender for Cloud Apps dans Microsoft Sentinel
Prochaines étapes
Étape 2 sur 3 : Activer l’environnement d’évaluation pour Microsoft Defender for Cloud Apps
Revenez à la vue d’ensemble pour Évaluer Microsoft Defender for Cloud Apps
Revenez à la vue d’ensemble pour Évaluer et pilote Microsoft Defender XDR
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour