פריסת ניסיון ופריסה יישומי ענן של Microsoft Defender

חל על:

• Microsoft Defender XDR

מאמר זה מספק זרימת עבודה לפריסת ניסיון יישומי ענן של Microsoft Defender בארגון שלך. באפשרותך להשתמש בהמלצות אלה כדי לצרף יישומי ענן של Microsoft Defender ככלי יחיד לאבטחת סייבר או כחלק מפתרון מקצה לקצה עם Microsoft Defender XDR.

מאמר זה מניח שיש לך דייר ייצור של Microsoft 365 ואתה בפריסת ניסיון יישומי ענן של Microsoft Defender עבודה בסביבה זו. תרגול זה ישמרו על ההגדרות וההתאמות האישיות שתקבע במהלך פריסת הניסיון עבור הפריסה המלאה.

Defender עבור Office 365 תורמת לארכיטקטורה אפס אמון על-ידי מניעה או הפחתת נזק עסקי מהפרה. לקבלת מידע נוסף, עיין בנושא מניעה או צמצום של נזק עסקי מתרחיש עסקי להפרה במסגרת ההטמעה אפס אמון Microsoft.

פריסה מקצה לקצה עבור Microsoft Defender XDR

זהו מאמר 5 מתוך 6 בסידרה שלעזור לך לפרוס את רכיבי Microsoft Defender XDR, כולל חקירה ומענה לתקריות.

המאמרים בסידרה זו תואמים לשלבים הבאים של פריסה מקצה לקצה:

שלב	קישור
A. הפעל את הפיילוט	הפעל את הפיילוט
B. פריסת ניסיון ופריסה Microsoft Defender XDR רכיבים	- פריסת ניסיון ופריסה של Defender עבור זהות - פריסת ניסיון ופריסה Defender עבור Office 365 - פריסת ניסיון ופריסה של Defender עבור נקודת קצה - פריסת ניסיון ופריסה יישומי ענן של Microsoft Defender (מאמר זה)
C. חקור איומים והגב לאיומים	תרגל חקירה ותגובה של מקרים

פריסת ניסיון ופריסה של זרימת עבודה עבור יישומי ענן של Defender

הדיאגרמה הבאה ממחישה תהליך נפוץ לפריסת מוצר או שירות בסביבות IT.

התחל בהערכת המוצר או השירות והאופן שבו הם יפעלו בארגון שלך. לאחר מכן, תטיס את המוצר או השירות עם קבוצת משנה קטנה במידה המתאימה של תשתית הייצור שלך לבדיקה, למידה והתאמה אישית. לאחר מכן, הגדל בהדרגה את היקף הפריסה עד שכל התשתית או הארגון שלך מכוסים.

להלן זרימת העבודה לפריסה ופריסה של יישומי ענן של Defender בסביבת הייצור שלך.

בצע שלבים אלה:

1. התחברות לפורטל יישומי ענן של Defender שלך
2. שילוב עם Microsoft Defender עבור נקודת קצה
3. פרוס את אספן יומני הרישום בחומות האש שלך וב- Proxy אחרים
4. יצירת קבוצת ניסיון
5. גלה ונהל אפליקציות ענן
6. קביעת תצורה של בקרת יישום גישה מותנית
7. החלת מדיניות הפעלה על אפליקציות ענן
8. נסה יכולות נוספות

להלן השלבים המומלצים עבור כל שלב פריסה.

שלב פריסה	תיאור
להעריך	בצע הערכת מוצר עבור יישומי ענן של Defender.
טייס	בצע את שלבים 1-4 ולאחר מכן את 5-8 עבור קבוצת משנה מתאימה של אפליקציות ענן בסביבת הייצור שלך.
פריסה מלאה	בצע את שלבים 5-8 עבור אפליקציות הענן הנותרות שלך, התאמת טווח קבוצות משתמשים פיילוט או הוספת קבוצות משתמשים כדי להרחיב מעבר לפיילוט ולכלול את כל חשבונות המשתמשים שלך.

הגנה על הארגון שלך מפני פורצים

יישומי ענן של Defender מספק הגנה חזקה בעצמו. עם זאת, בשילוב עם היכולות האחרות של Microsoft Defender XDR, יישומי ענן של Defender מספק נתונים לאותות המשותפים שביחד עוזרים לעצור תקיפות.

להלן דוגמה של מתקפת סייבר וכיצד רכיבי ה- Microsoft Defender XDR עוזרים לזהות ולצמצם אותה.

יישומי ענן של Defender מזהה התנהגות חריגה כגון נסיעה בלתי אפשרית, גישת אישורים ופעילות חריגה של הורדה, שיתוף קבצים או העברת דואר ומציגה אופני פעולה אלה בפורטל יישומי ענן של Defender. יישומי ענן של Defender גם מסייעת במניעת תנועה צדדית על-ידי האקרים והרחבה של נתונים רגישים.

Microsoft Defender XDR את האותות מכל Microsoft Defender הרכיבים כדי לספק את סיפור ההתקפה המלא.

יישומי ענן של Defender תפקיד כ- CASB

ברוקר אבטחה של גישה לענן (CASB) פועל כשומר סף כדי לתווך בגישה בזמן אמת בין המשתמשים הארגוניים שלך למשאבי הענן שבהם הם משתמשים, בכל מקום שבו המשתמשים שלך נמצאים, ללא קשר למכשיר שבו הם משתמשים. יישומי ענן של Defender הוא CASB עבור אפליקציות הענן של הארגון שלך. יישומי ענן של Defender משתלב במקור עם יכולות האבטחה של Microsoft, כולל Microsoft Defender XDR.

ללא יישומי ענן של Defender, אפליקציות ענן שנמצאות בשימוש על-ידי הארגון שלך אפליקציות לא מנוהלות ולא הגנה.

באיור:

• השימוש באפליקציות ענן על-ידי ארגון אינו מנוטר שאינה מוגנת.
• שימוש זה חורג מההגנות שהושגו בתוך ארגון מנוהל.

כדי לגלות אפליקציות ענן שנמצאות בשימוש בסביבה שלך, באפשרותך ליישם אחת מהשיטות הבאות או את שתיהן:

• התחל לעבוד במהירות עם 'גילוי ענן' על-ידי שילוב עם Microsoft Defender עבור נקודת קצה. שילוב מקורי זה מאפשר לך להתחיל מיד לאסוף נתונים בתעבורת ענן בכל Windows 10 ומכשירי Windows 11 שלך, ברשת ומחוצה לה.
• כדי לגלות את כל יישומי הענן שאליהם ניגשים כל המכשירים המחוברים לרשת שלך, פרוס את יישומי ענן של Defender יומן הרישום בחומות האש וברשתות Proxy אחרות שלך. פריסה זו מסייעת באיסוף נתונים מ נקודות הקצה שלך ושולחת אותם יישומי ענן של Defender לצורך ניתוח. יישומי ענן של Defender משתלב במקור עם שרתי Proxy של ספקים חיצוניים מסוימים לקבלת יכולות נוספות.

מאמר זה כולל הדרכה עבור שתי השיטות.

שלב 1: התחברות לפורטל יישומי ענן של Defender שלך

כדי לאמת רישוי ולחבר לפורטל יישומי ענן של Defender, ראה התחלה מהירה: תחילת העבודה עם יישומי ענן של Microsoft Defender.

אם אינך מצליח להתחבר באופן מיידי לפורטל, ייתכן שיהיה עליך להוסיף את כתובת ה- IP לרשימת היתרים של חומת האש שלך. ראה הגדרה בסיסית עבור יישומי ענן של Defender.

אם אתה עדיין נתקל בבעיות, עיין בדרישות הרשת.

שלב 2: שילוב עם Microsoft Defender עבור נקודת קצה

יישומי ענן של Microsoft Defender משתלב עם Microsoft Defender עבור נקודת קצה במקור. השילוב מפשט את ההפצה של 'גילוי ענן', מרחיב את היכולות של 'גילוי ענן' מעבר לרשת הארגונית ומאפשר חקירה מבוססת מכשיר. שילוב זה חושף אפליקציות ושירותים בענן שגישה אליהם מתבצעת ממכשירים עם ניהול WINDOWS 10 IT Windows 11 אחרים.

אם כבר הגדרת את Microsoft Defender עבור נקודת קצה, הגדרת השילוב עם יישומי ענן של Defender היא לחצן דו-מצבי Microsoft Defender XDR. לאחר הפעלת השילוב, באפשרותך לחזור לפורטל יישומי ענן של Defender להציג נתונים עשירים בלוח המחוונים של גילוי הענן.

כדי לבצע משימות אלה, ראה Microsoft Defender עבור נקודת קצה השילוב עם יישומי ענן של Microsoft Defender.

שלב 3: פרוס את יישומי ענן של Defender יומן הרישום שלך בחומות האש וב- Proxy אחרים

לכיסוי של כל המכשירים המחוברים לרשת שלך, פרוס את מלקט יומני הרישום של יישומי ענן של Defender בחומות האש וברשתות Proxy אחרות כדי לאסוף נתונים מ נקודות הקצה שלך ולשלוח אותם יישומי ענן של Defender לצורך ניתוח.

אם אתה משתמש באחד שערי האינטרנט המאובטחים (SWG) הבאים, יישומי ענן של Defender מספק פריסה ושילוב חלקים:

• לוח מקשים של Zscaler
• מבוא לתנונים
• קו מית'ם
• Menlo Security

לקבלת מידע נוסף על שילוב עם התקני רשת אלה, ראה הגדרת גילוי ענן.

שלב 4: יצירת קבוצת ניסיון - הקף את פריסת הניסיון שלך בקבוצות משתמשים מסוימות

יישומי ענן של Microsoft Defender מאפשרת לך להגדיר טווח עבור הפריסה. הגדרת טווח מאפשרת לך לבחור קבוצות משתמשים מסוימות לניטור עבור אפליקציות או לא נכללות בניטור. באפשרותך לכלול או לא לכלול קבוצות משתמשים. כדי להגדיר טווח בפריסת פריסת הניסיון, ראה פריסה בטווח.

שלב 5: גלה ונהל אפליקציות ענן

כדי יישומי ענן של Defender לספק את כמות ההגנה המרבית, עליך לגלות את כל יישומי הענן בארגון שלך ולנהל את אופן השימוש בהם.

גלה אפליקציות ענן

השלב הראשון בניהול השימוש באפליקציות ענן הוא לגלות אילו אפליקציות ענן נמצאות בשימוש על-ידי הארגון שלך. דיאגרמה זו מדגימה כיצד גילוי ענן פועל עם יישומי ענן של Defender.

באיור זה, ניתן להשתמש בשתי שיטות לניטור תעבורת הרשת ולגלות אפליקציות ענן הנמצאות בשימוש על-ידי הארגון שלך.

1. גילוי אפליקציות ענן משתלב עם Microsoft Defender עבור נקודת קצה במקור. Defender for Endpoint מדווח על אפליקציות ענן ושירותים שגישה אליהם מתבצעת ממכשירים Windows 10 והתקנים Windows 11 IT.

2. לכיסוי של כל המכשירים המחוברים לרשת, עליך להתקין את מלקט יישומי ענן של Defender בחומות אש וברשתות Proxy אחרות כדי לאסוף נתונים מטבלאות קצה. האספן שולח את הנתונים יישומי ענן של Defender לצורך ניתוח.

הצג את לוח המחוונים של גילוי הענן כדי לראות אילו אפליקציות נמצאות בשימוש בארגון שלך

לוח המחוונים 'גילוי ענן' נועד לספק לך תובנות נוספות לגבי אופן השימוש באפליקציות ענן בארגון שלך. הוא מספק מבט כולל במבט מהיר על סוגי האפליקציות שנמצאים בשימוש, ההתראות הפתוחות שלך ורמת הסיכון של אפליקציות בארגון שלך.

כדי להתחיל להשתמש בלוח המחוונים 'גילוי ענן', ראה עבודה עם אפליקציות שהתגלו.

ניהול אפליקציות ענן

לאחר גילוי אפליקציות ענן וניתוח האופן שבו הארגון שלך משתמש באפליקציות אלה, תוכל להתחיל לנהל אפליקציות ענן שאתה בוחר.

באיור זה:

• יישומים מסוימים זמינים לשימוש. ציון הוא דרך פשוטה לניהול אפליקציות.
• באפשרותך לאפשר ניראות ושליטה גדולים יותר על-ידי חיבור אפליקציות באמצעות מחברי אפליקציות. מחברי יישום משתמשים בממשקי ה- API של ספקי אפליקציות.

תוכל להתחיל לנהל אפליקציות על-ידי הצטרפות, ביטול ת ציון או חסימה תחילה של אפליקציות. כדי להתחיל לנהל אפליקציות, ראה פיקוח על אפליקציות שהתגלו.

שלב 6. קביעת תצורה של בקרת יישום גישה מותנית

אחת מההגנת החזקות ביותר שניתן לקבוע את תצורתן היא בקרת יישום גישה מותנית. הגנה זו מחייבת שילוב עם Microsoft Entra מזהה. היא מאפשרת לך להחיל מדיניות גישה מותנית, כולל פריטי מדיניות קשורים (כגון דרישת מכשירים בריאים), על אפליקציות ענן שהוספת לתוקף.

ייתכן שכבר נוספו אפליקציות SaaS לדייר Microsoft Entra כדי לאכוף אימות רב-גורמי ומדיניות גישה מותנית אחרת. יישומי ענן של Microsoft Defender משתלב במקור עם Microsoft Entra מזהה. כל מה שאתה צריך לעשות הוא לקבוע תצורה של מדיניות ב- Microsoft Entra מזהה להשתמש בפקד יישום גישה מותנית ב- יישומי ענן של Defender. פעולה זו מנתבת תעבורת רשת עבור יישומי SaaS מנוהלים אלה באמצעות יישומי ענן של Defender כ- Proxy, המאפשר יישומי ענן של Defender לנטר תעבורה זו ולהחיל פקדי הפעלה.

באיור זה:

• אפליקציות SaaS משולבות עם הדייר Microsoft Entra שלך. שילוב זה מאפשר Microsoft Entra מזהה לאכוף מדיניות גישה מותנית, כולל אימות רב-גורמי.
• מדיניות נוספת ל- Microsoft Entra מזהה לתעבורה ישירה עבור יישומי SaaS יישומי ענן של Defender. המדיניות מציינת על אילו יישומי SaaS יש להחיל מדיניות זו. לאחר Microsoft Entra מזהה אוכפת פריטי מדיניות של גישה מותנית החלים על יישומי SaaS אלה, Microsoft Entra מזהה מכן מפנה (שרתי Proxy) את תעבורת ההפעלה דרך יישומי ענן של Defender.
• יישומי ענן של Defender מנטר תעבורה זו ומ מחיל את כל פריטי המדיניות של בקרת הפעלה שהוגדרו על-ידי מנהלי מערכת.

ייתכן שגילית והוספת אפליקציות ענן יישומי ענן של Defender אפליקציות שלא נוספו Microsoft Entra מזהה. באפשרותך לנצל את בקרת היישומים של גישה מותנית על-ידי הוספת יישומי ענן אלה לדייר Microsoft Entra שלך ואת היקף כללי הגישה המותנה שלך.

השלב הראשון בשימוש ביישומים יישומי ענן של Microsoft Defender SaaS הוא לגלות יישומים אלה ולאחר מכן להוסיף אותם לדייר Microsoft Entra שלך. אם אתה זקוק לעזרה בגילוי, ראה גילוי וניהול של אפליקציות SaaS ברשת שלך. לאחר שגילית אפליקציות, הוסף יישומים אלה לדייר Microsoft Entra שלך.

באפשרותך להתחיל לנהל יישומים אלה עם המשימות הבאות:

1. ב Microsoft Entra מזהה, צור מדיניות גישה מותנית חדשה והגדר אותה ל'השתמש בפקד יישום גישה מותנית'. תצורה זו עוזרת לנתב מחדש את הבקשה יישומי ענן של Defender. באפשרותך ליצור מדיניות אחת ולהוסיף את כל יישומי SaaS למדיניות זו.
2. לאחר מכן, יישומי ענן של Defender, צור מדיניות הפעלה. צור מדיניות אחת עבור כל פקד שברצונך להחיל.

לקבלת מידע נוסף, כולל אפליקציות והלקוחות הנתמכים, ראה הגנה על אפליקציות באמצעות יישומי ענן של Microsoft Defender בקרת יישומים של גישה מותנית.

לדוגמה, מדיניות, ראה מדיניות יישומי ענן של Microsoft Defender עבור יישומי SaaS. פריטי מדיניות אלה בונים על קבוצה של פריטי מדיניות נפוצים של זהות וגישה למכשירים המומלצים כנקודת התחלה עבור כל הלקוחות.

שלב 7. החלת מדיניות הפעלה על אפליקציות ענן

יישומי ענן של Microsoft Defender משמש כ- Proxy הפוך, המספק גישת Proxy לאפליקציות ענן מבוססות-אישור. הקצאה זו יישומי ענן של Defender להחיל פריטי מדיניות הפעלה שאתה קובע.

באיור:

• הגישה לאפליקציות ענן מורשים ממשתמשים וממכשירים בארגון שלך מנותב דרך יישומי ענן של Defender.
• גישה זו ל- Proxy מאפשרת החלה של מדיניות הפעלה.
• אפליקציות ענן שלא תותרת או שלא צוין במפורש אינן מושפעות.

מדיניות הפעלה מאפשרת לך להחיל פרמטרים על האופן שבו הארגון שלך משתמש באפליקציות ענן. לדוגמה, אם הארגון שלך משתמש ב- Salesforce, באפשרותך לקבוע תצורה של מדיניות הפעלה המאפשרת רק למכשירים מנוהלים לגשת לנתונים של הארגון שלך ב- Salesforce. דוגמה פשוטה יותר עשויה להיות קביעת תצורה של מדיניות לניטור תעבורה ממכשירים לא מנוהלים כדי שתוכל לנתח את הסיכון לתעבורה זו לפני החלת מדיניות מחמירה יותר.

לקבלת מידע נוסף, ראה יצירת מדיניות הפעלה.

שלב 8. נסה יכולות נוספות

השתמש בערכות יישומי ענן של Defender אלה כדי לעזור לך לגלות סיכונים ולהגן על הסביבה שלך:

• זהה פעילות משתמש חשודה
• חקור משתמשים מסיכונים
• בדוק יישומי OAuth מסיכונים
• גילוי מידע רגיש והגנה עליו
• הגנה על כל אפליקציה בארגון שלך בזמן אמת
• חסימת הורדות של מידע רגיש
• הגנה על הקבצים שלך באמצעות העבר ניהול
• דרוש אימות שלבים לאחר פעולה מסכנה

לקבלת מידע נוסף על ציד מתקדם יישומי ענן של Microsoft Defender, ראה סרטון וידאו זה.

שילוב SIEM

באפשרותך לשלב יישומי ענן של Defender עם Microsoft Sentinel או עם שירות כללי של מידע אבטחה וניהול אירועים (SIEM) כדי לאפשר ניטור מרכזי של התראות ופעילויות מאפליקציות מחוברות. בעזרת Microsoft Sentinel, באפשרותך לנתח אירועי אבטחה בצורה מקיפה יותר ברחבי הארגון ולבנות ספרי הפעלות לתגובה יעילה ומידית.

Microsoft Sentinel כולל יישומי ענן של Defender חדש. הדבר מאפשר לך לא רק לקבל ניראות באפליקציות הענן שלך, אלא גם לקבל ניתוח מתוחכם כדי לזהות איומי סייבר ולאבק בהם, ולשלוט באופן שבו הנתונים שלך עוברים. לקבלת מידע נוסף, ראה Microsoft Sentinel השילובוהתראות Stream'גילוי ענן' מתוך יישומי ענן של Defender לתוך Microsoft Sentinel.

לקבלת מידע אודות שילוב עם מערכות SIEM של ספקים חיצוניים, ראה שילוב כללי של SIEM.

השלב הבא

בצע ניהול מחזור חיים עבור יישומי ענן של Defender.

השלב הבא עבור הפריסה מקצה לקצה של Microsoft Defender XDR

המשך את הפריסה מקצה לקצה של Microsoft Defender XDR באמצעות 'בדוק' והשב באמצעות Microsoft Defender XDR.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.