שתף באמצעות

שיטות עבודה מומלצות להגנה על הארגון שלך באמצעות יישומי ענן של Defender

מאמר זה מספק שיטות עבודה מומלצות להגנה על הארגון שלך באמצעות יישומי ענן של Microsoft Defender. שיטות עבודה מומלצות אלה מגיעות מהחוויה שלנו עם יישומי ענן של Defender והחוויות של לקוחות כמוך.

שיטות העבודה המומלצות המוזכרות במאמר זה כוללות:

גילוי ולהעריך אפליקציות ענן

שילוב יישומי ענן של Defender עם Microsoft Defender עבור נקודת קצה מעניק לך את היכולת להשתמש בגילוי ענן מעבר לרשת הארגונית או לשערי אינטרנט מאובטחים. עם פרטי המשתמשים והמכשירים המשולבים, באפשרותך לזהות משתמשים או מכשירים מסיכונים, לראות באילו אפליקציות הם משתמשים ולחקור פרטים נוספים בפורטל Defender for Endpoint.

שיטות עבודה מומלצות: הפיכת גילוי IT של צל לזמין באמצעות Defender for Endpoint
פירוט: גילוי בענן מנתח יומני תעבורה שנאספו על-ידי Defender for Endpoint, Firewall ושערי אינטרנט מאובטחים ולהעריך יישומים שזוהו מול קטלוג יישומי הענן כדי לספק מידע תאימות ואבטחה. על-ידי קביעת התצורה של גילוי ענן, אתה תרוויח ניראות בנוגע לשימוש בענן, ל- Shadow IT ולניטור רציף של האפליקציות המנוגדות הנמצאות בשימוש על-ידי המשתמשים שלך.

לקבלת מידע נוסף:

שיטות עבודה מומלצות: קביעת תצורה של מדיניות גילוי יישומים כדי לזהות באופן יזום יישומים מסיכונים, לא תואמים וטרנדיים
פרטים: מדיניות גילוי אפליקציות מקלה עליך לעקוב אחר היישומים המשמעותיים שהתגלו בארגון שלך כדי לעזור לך לנהל יישומים אלה ביעילות. צור פריטי מדיניות כדי לקבל התראות בעת זיהוי יישומים חדשים המזוהים כיישומים מסיכונים, לא תואמים, טרנדיים או בעלי נפח גבוה.
לקבלת מידע נוסף:

שיטות עבודה מומלצות: ניהול יישומי OAuth המורשים על-ידי המשתמשים שלך
פירוט: משתמשים רבים מעניקים באופן לא רשמי הרשאות OAuth לאפליקציות של ספקים חיצוניים כדי לגשת לפרטי החשבון שלהם, ובביצוע פעולה זו, גם מעניקים בטעות גישה לנתונים שלהם באפליקציות ענן אחרות. בדרך כלל, ל- IT אין ניראות באפליקציות אלה, כך שקשה לשקול את סיכון האבטחה של אפליקציה כנגד הטבה לפרודוקטיביות שהיא מספקת.

יישומי ענן של Defender מאפשרת לך לחקור ולנטר את הרשאות היישום שהמשתמשים שלך העניקו. באפשרותך להשתמש במידע זה כדי לזהות אפליקציה שעלולה להיות חשודה, ואם תקבע שהיא מסתכן, תוכל לאסור גישה אליה.

לקבלת מידע נוסף:

החלת מדיניות פיקוח על ענן

שיטות עבודה מומלצות: תיוג אפליקציות וייצוא קבצי Script של חסימה
פירוט: לאחר שתסיים לסקור את רשימת האפליקציות שהתגלו בארגון שלך, תוכל לאבטח את הסביבה שלך מפני שימוש לא רצוי באפליקציה. באפשרותך להחיל את התגית המאושרת על אפליקציות שאושרו על-ידי הארגון שלך ועל התגית ללא ציון על יישומים שאינם מאושרים. באפשרותך לנטר אפליקציות לא מבוססות באמצעות מסנני גילוי או לייצא קובץ Script כדי לחסום אפליקציות ללא פיקוח באמצעות מכשירי האבטחה המקומיים שלך. שימוש בתגיות ובקובץ Script לייצוא מאפשר לך לארגן את האפליקציות שלך ולהגן על הסביבה שלך על-ידי מתן אפשרות גישה לאפליקציות בטוחות בלבד.
לקבלת מידע נוסף:

הגבל את החשיפה של נתונים משותפים ואכוף מדיניות שיתוף פעולה

שיטות עבודה מומלצות: חיבור Microsoft 365
פירוט: חיבור Microsoft 365 ל- יישומי ענן של Defender מעניק לך ניראות מיידית של פעילויות המשתמשים, הקבצים שהם ניגשים אליהם ומספק פעולות פיקוח עבור Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange ו- Dynamics.

לקבלת מידע נוסף:

שיטות עבודה מומלצות: חיבור היישומים שלך
פירוט: חיבור האפליקציות שלך יישומי ענן של Defender מספק לך תובנות משופרות לגבי הפעילויות של המשתמשים שלך, זיהוי איומים ויכולות פיקוח. כדי לראות אילו ממשקי API של אפליקציות של ספקים חיצוניים נתמכים, עבור אל חבר אפליקציות.

לקבלת מידע נוסף:

שיטות עבודה מומלצות: יצירת פריטי מדיניות להסרת שיתוף עם חשבונות אישיים
פירוט: חיבור Microsoft 365 ל- יישומי ענן של Defender מעניק לך ניראות מיידית של פעילויות המשתמשים, הקבצים שהם ניגשים אליהם ומספק פעולות פיקוח עבור Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange ו- Dynamics.

לקבלת מידע נוסף:

גילוי נתונים רגישים, סיווגים, תוויות והגנה על נתונים מווסתים ורגישים המאוחסנים בענן

שיטות עבודה מומלצות: שילוב עם הגנה על מידע ב- Microsoft Purview
פירוט: שילוב עם הגנה על מידע ב- Microsoft Purview מעניק לך את היכולת להחיל באופן אוטומטי תוויות רגישות ולהוסיף באופן אופציונלי הגנת הצפנה. לאחר הפעלת השילוב, באפשרותך להחיל תוויות כפעולה פיקוח, להציג קבצים לפי סיווג, לחקור קבצים לפי רמת סיווג וליצור פריטי מדיניות פרטניים כדי לוודא שקבצים מסווגים מטופלים כראוי. אם לא תפעיל את השילוב, לא תוכל ליהנות מהיכולת לסרוק, לתייג ולהצפין קבצים באופן אוטומטי בענן.

לקבלת מידע נוסף:

שיטות עבודה מומלצות: יצירת מדיניות חשיפת נתונים
פירוט: השתמש במדיניות קבצים כדי לזהות שיתוף מידע ולסרוק מידע סודי באפליקציות הענן שלך. צור את מדיניות הקבצים הבאה כדי להתריע בהתראות בעת זיהוי חשיפות נתונים:

  • קבצים המשותפים באופן חיצוני המכילים נתונים רגישים
  • קבצים ששותפו באופן חיצוני וסודי
  • קבצים ששותפו עם תחומים לא מורשים
  • הגנה על קבצים רגישים באפליקציות SaaS

לקבלת מידע נוסף:

אכיפת מדיניות DLP ותאימות עבור נתונים המאוחסנים בענן

שיטות עבודה מומלצות: הגנה על נתונים סודיים מפני שיתוף עם משתמשים חיצוניים
פירוט: צור מדיניות קבצים שמאתרת כאשר משתמש מנסה לשתף קובץ עם תווית הרגישות הסודית עם אדם חיצוני לארגון שלך, וקבע את תצורת פעולת הפיקוח שלו כדי להסיר משתמשים חיצוניים. מדיניות זו מבטיחה שהנתונים הסודיים שלך לא יעזוב את הארגון שלך, ומשתמשים חיצוניים לא יוכלו לקבל גישה אליהם.

לקבלת מידע נוסף:

חסימה והגנה על הורדה של נתונים רגישים למכשירים לא מנוהלים או מסיכונים

שיטות עבודה מומלצות: ניהול גישה למכשירים בעלי סיכון גבוה ושליטה בהם
פירוט: השתמש בפקד יישום גישה מותנית כדי להגדיר פקדים ביישום SaaS שלך. באפשרותך ליצור מדיניות הפעלה כדי לנטר את הפעלות האמון הנמוך והסיכון הגבוה שלך. באופן דומה, באפשרותך ליצור מדיניות הפעלה כדי לחסום הורדות ולהגן עליהן על-ידי משתמשים המנסים לגשת לנתונים רגישים ממכשירים לא מנוהלים או מסיכונים. אם לא תיצור מדיניות הפעלה כדי לנטר הפעלות בסיכון גבוה, תאבד את היכולת לחסום ולהגן על הורדות בלקוח האינטרנט, וכן את היכולת לנטר הפעלת אמון נמוך הן ביישומים של Microsoft והן ביישומים של ספקים חיצוניים.

לקבלת מידע נוסף:

אבטחת שיתוף פעולה עם משתמשים חיצוניים על-ידי אכיפת פקדי הפעלה בזמן אמת

שיטות עבודה מומלצות: ניטור הפעלות עם משתמשים חיצוניים באמצעות בקרת יישום גישה מותנית
פירוט: כדי לאבטח שיתוף פעולה בסביבה שלך, באפשרותך ליצור מדיניות הפעלה לניטור הפעלות בין המשתמשים הפנימיים וההחיצונית שלך. פעולה זו לא רק מאפשרת לך לנטר את ההפעלה בין המשתמשים שלך (ולהודיע להם שפעילויות ההפעלה שלהם נמצאות בפיקוח), אלא גם מאפשרת לך להגביל גם פעילויות ספציפיות. בעת יצירת מדיניות הפעלה לניטור פעילות, באפשרותך לבחור את היישומים והמשתמשים שברצונך לנטר.
לקבלת מידע נוסף:

זהה איומים בענן, חשבונות שנחשף לסכנה, משתתפי Insider זדוניים ותוכנות כופר

שיטות עבודה מומלצות: כוונון מדיניות חריגה, הגדרת טווחי IP, שליחת משוב עבור התראות
פירוט: מדיניות זיהוי חריגות מספקת ניתוח התנהגותי של משתמש וישויות (UEBA) ומותאם במיוחד למשתמש ולמידת מכונה (ML) כדי שתוכל להפעיל מיד זיהוי איומים מתקדם ברחבי סביבת הענן שלך.

מדיניות זיהוי חריגות מופעלת כאשר קיימות פעילויות חריגות שבוצעו על-ידי המשתמשים בסביבה שלך. יישומי ענן של Defender ניטור תוטף של פעילויות המשתמשים שלך ומשתמש ב- UEBA וב- ML כדי ללמוד ולהבין את אופן הפעולה הרגיל של המשתמשים שלך. באפשרותך לכוונן הגדרות מדיניות כך שיתאימו לדרישות הארגונים שלך, לדוגמה, באפשרותך להגדיר את הרגישות של מדיניות, וכן להגדיר את טווח המדיניות לקבוצה ספציפית.

  • כוונון והיקף של מדיניות זיהוי חריגות: לדוגמה, כדי להפחית את מספר חיוביות מוטעות בתוך התראת הנסיעות הבלתי אפשרית, באפשרותך להגדיר את מחוון הרגישות של המדיניות לערך נמוך. אם יש לך משתמשים בארגון שלך שהם נוסעים ארגוניים נפוצים, באפשרותך להוסיף אותם לקבוצת משתמשים ולבחור קבוצה זו בטווח המדיניות.

  • הגדר טווחי IP: יישומי ענן של Defender לזהות כתובות IP מוכרות לאחר הגדרת טווחי כתובות ה- IP. כאשר טווחי כתובות IP מוגדרים, באפשרותך לתייג, לסווג ולהתאים אישית את אופן התצוגה וההתראות של יומני רישום וחקירתם. הוספת טווחי כתובות IP מסייעת לצמצם זיהויים חיוביים מוטעים ולשפר את מידת הדיוק של התראות. אם תבחר שלא להוסיף את כתובות ה- IP שלך, ייתכן שתראה מספר מוגבר של תוצאות חיוביות מוטעות אפשריות והתראות לחקור.

  • שלח משוב לקבלת התראות: בעת ביטול או פתרון של התראות, הקפד לשלוח משוב מהסיבה שבה ביטלת את ההתראה או כיצד היא נפתרה. מידע זה מסייע יישומי ענן של Defender לשפר את ההתראות שלנו ולצמצם תוצאות חיוביות מוטעות.

לקבלת מידע נוסף:

שיטות עבודה מומלצות: זיהוי פעילות ממיקומים או מדינות/אזורים בלתי צפויים
פירוט: צור מדיניות פעילות כדי להודיע לך כאשר משתמשים מתחברים ממיקומים או מדינות/אזורים בלתי צפויים. הודעות אלה יכולות להתריע על הפעלות שנחשף לסכנה בסביבה שלך כדי שתוכל לזהות ולעדכן איומים לפני התרחשותם.
לקבלת מידע נוסף:

שיטות עבודה מומלצות: יצירת מדיניות יישום OAuth
פירוט: צור מדיניות יישום של OAuth כדי להודיע לך כאשר יישום OAuth עומד בקריטריונים מסוימים. לדוגמה, באפשרותך לבחור לקבל הודעה כאשר יותר מ- 100 משתמשים ניגשו אל יישום ספציפי הדורש רמת הרשאה גבוהה.

לקבלת מידע נוסף:

שימוש בביקורת של פעילויות לחקירות משפטיות

שיטות עבודה מומלצות: שימוש בביקורת של פעילויות בעת בדיקת התראות
פירוט: התראות מופעלות כאשר פעילויות המשתמש, מנהל המערכת או הכניסה אינן מצייתות למדיניות שלך. חשוב לחקור התראות כדי להבין אם קיים איום אפשרי בסביבה שלך.

באפשרותך לחקור התראה על-ידי בחירתה בדף התראות וסקירה של נתיב הביקורת של פעילויות הקשורות להתראה זו. נתיב הביקורת מעניק לך ניראות לגבי פעילויות מאותו סוג, אותו משתמש, אותה כתובת IP ומיקום, כדי לספק לך את הסיפור הכולל של התראה. אם התראה מכוונת חקירה נוספת, צור תוכנית לפתרון התראות אלה בארגון שלך.

בעת ביטול התראות, חשוב לחקור ולהבין מדוע אין לה חשיבות או אם הן חיוביות מוטעות. אם קיים נפח גבוה של פעילויות כאלה, מומלץ גם לשקול לסקור ולכווון את המדיניות המפעילה את ההתראה.

לקבלת מידע נוסף:

אבטחת שירותי IaaS ואפליקציות מותאמות אישית

שיטות עבודה מומלצות: חיבור Azure, AWS ו- GCP
פירוט: חיבור כל אחת מפלטפורמות ענן אלה יישומי ענן של Defender לך לשפר את יכולות זיהוי האיומים שלך. על-ידי ניטור פעילויות ניהוליות ופעולות כניסה עבור שירותים אלה, באפשרותך לזהות ו לקבל הודעה על תקיפה בכוח גס אפשרית, שימוש זדוני בחשבון משתמש בעל הרשאה ואיומים אחרים בסביבה שלך. לדוגמה, באפשרותך לזהות סיכונים כגון מחיקות חריגות של מחשבים וירטואליים, או אפילו פעילויות התחזות באפליקציות אלה.

לקבלת מידע נוסף:

שיטות עבודה מומלצות: צירוף יישומים מותאמים אישית
פירוט: כדי לקבל ניראות נוספת לגבי פעילויות מאפליקציות קו פעולה עסקי, באפשרותך לצרף אפליקציות מותאמות אישית כדי יישומי ענן של Defender. לאחר קביעת התצורה של יישומים מותאמים אישית, תראה מידע על המשתמשים המשתמשים בהם, את כתובות ה- IP שממנה נעשה שימוש ואת כמות התעבורה הנכנסת אל היישום ויציאה ממנו.

בנוסף, באפשרותך לקלוט יישום מותאם אישית כיישום בקרת אפליקציות של גישה מותנית כדי לנטר את הפעלות האמון הנמוכות שלו. Microsoft Entra מזהים מחוברים באופן אוטומטי.

לקבלת מידע נוסף:

  • Last updated on