פריסת ניסיון ופריסה של Microsoft Defender עבור אפליקציות ענן
חל על:
- Microsoft Defender XDR
מאמר זה מספק זרימת עבודה לפריסת ניסיון ופריסה של Microsoft Defender עבור יישומי ענן בארגון שלך. באפשרותך להשתמש בהמלצות אלה כדי לצרף את Microsoft Defender for Cloud Apps ככלי יחיד לאבטחת סייבר או כחלק מפתרון מקצה לקצה עם Microsoft Defender XDR.
מאמר זה מבוסס על ההנחה שיש לך דייר ייצור של Microsoft 365 ואתה פורס את Microsoft Defender for Cloud Apps בסביבה זו. תרגול זה ישמרו על ההגדרות וההתאמות האישיות שתקבע במהלך פריסת הניסיון עבור הפריסה המלאה.
Defender for Office 365 תורם לארכיטקטורה Zero Trust בכך שהוא מסייע במניעה או בהפחתת נזק עסקי מהפרה. לקבלת מידע נוסף, עיין בנושא מניעה או צמצום של נזק עסקי מתרחיש עסקי להפרה במסגרת ההטמעה של Microsoft Zero Trust.
פריסה מקצה לקצה עבור Microsoft Defender XDR
מאמר 5 מתוך 6 בסידרה יעזור לך לפרוס את רכיבי ה- XDR של Microsoft Defender, כולל חקירה ומענה לתקריות.
המאמרים בסידרה זו תואמים לשלבים הבאים של פריסה מקצה לקצה:
שלב | קישור |
---|---|
A. הפעל את הפיילוט | הפעל את הפיילוט |
B. פריסת ניסיון ופריסה של רכיבי XDR של Microsoft Defender |
-
פריסת ניסיון ופריסה של Defender עבור זהות - פריסת ניסיון ופריסה של Defender עבור Office 365 - פריסת ניסיון ופריסה של Defender עבור נקודת קצה - פריסת ניסיון ופריסה של Microsoft Defender עבור יישומי ענן (מאמר זה) |
C. חקור איומים והגב לאיומים | תרגל חקירה ותגובה של מקרים |
פריסת ניסיון ופריסה של זרימת עבודה עבור Defender עבור יישומי ענן
הדיאגרמה הבאה ממחישה תהליך נפוץ לפריסת מוצר או שירות בסביבות IT.
התחל בהערכת המוצר או השירות והאופן שבו הם יפעלו בארגון שלך. לאחר מכן, תטיס את המוצר או השירות עם קבוצת משנה קטנה במידה המתאימה של תשתית הייצור שלך לבדיקה, למידה והתאמה אישית. לאחר מכן, הגדל בהדרגה את היקף הפריסה עד שכל התשתית או הארגון שלך מכוסים.
להלן זרימת העבודה לפריסת ניסיון ולפריסה של Defender for Cloud Apps בסביבת הייצור שלך.
בצע שלבים אלה:
- התחברות לפורטל Defender for Cloud Apps
- שילוב עם Microsoft Defender for Endpoint
- פרוס את אספן יומני הרישום בחומות האש שלך וב- Proxy אחרים
- יצירת קבוצת ניסיון
- גלה ונהל אפליקציות ענן
- קביעת תצורה של בקרת יישום גישה מותנית
- החלת מדיניות הפעלה על אפליקציות ענן
- נסה יכולות נוספות
להלן השלבים המומלצים עבור כל שלב פריסה.
שלב פריסה | תיאור |
---|---|
להעריך | בצע הערכת מוצר עבור Defender for Cloud Apps. |
טייס | בצע את שלבים 1-4 ולאחר מכן את 5-8 עבור קבוצת משנה מתאימה של אפליקציות ענן בסביבת הייצור שלך. |
פריסה מלאה | בצע את שלבים 5-8 עבור אפליקציות הענן הנותרות שלך, התאמת טווח קבוצות משתמשים פיילוט או הוספת קבוצות משתמשים כדי להרחיב מעבר לפיילוט ולכלול את כל חשבונות המשתמשים שלך. |
הגנה על הארגון שלך מפני פורצים
Defender for Cloud Apps מספק הגנה רבת-עוצמה בעצמו. עם זאת, בשילוב עם היכולות האחרות של XDR של Microsoft Defender, Defender for Cloud Apps מספק נתונים לאותות המשותפים, אשר יחד עוזרים לעצור תקיפות.
להלן דוגמה של מתקפת סייבר וכיצד הרכיבים של Microsoft Defender XDR עוזרים לזהות ולצמצם אותה.
אפליקציית Defender for Cloud מזהה התנהגות חריגה כגון בלתי אפשרית לנסיעות, גישת אישורים ופעילות חריגה של הורדה, שיתוף קבצים או העברת דואר ומציגה אופני פעולה אלה בפורטל Defender for Cloud Apps. Defender for Cloud Apps גם מסייע במניעת תנועה רוחבית על-ידי האקרים והרחבה של נתונים רגישים.
Microsoft Defender XDR מתאם את האותות מכל רכיבי Microsoft Defender כדי לספק את סיפור ההתקפה המלא.
תפקיד Defender for Cloud Apps כ- CASB
ברוקר אבטחה של גישה לענן (CASB) פועל כשומר סף כדי לתווך בגישה בזמן אמת בין המשתמשים הארגוניים שלך למשאבי הענן שבהם הם משתמשים, בכל מקום שבו המשתמשים שלך נמצאים, ללא קשר למכשיר שבו הם משתמשים. Defender for Cloud Apps הוא CASB עבור אפליקציות הענן של הארגון שלך. Defender for Cloud Apps משתלב במקור עם יכולות האבטחה של Microsoft, כולל Microsoft Defender XDR.
ללא אפליקציות הענן של Defender for Cloud, אפליקציות הענן שנמצאות בשימוש על-ידי הארגון שלך אפליקציות לא מנוהלות ולא הגנה.
באיור:
- השימוש באפליקציות ענן על-ידי ארגון אינו מנוטר שאינה מוגנת.
- שימוש זה חורג מההגנות שהושגו בתוך ארגון מנוהל.
כדי לגלות אפליקציות ענן שנמצאות בשימוש בסביבה שלך, באפשרותך ליישם אחת מהשיטות הבאות או את שתיהן:
- התחל לעבוד במהירות עם גילוי ענן על-ידי שילוב עם Microsoft Defender for Endpoint. שילוב מקורי זה מאפשר לך להתחיל מיד לאסוף נתונים בתעבורת ענן בכל מכשירי Windows 10 ו- Windows 11 שלך, ברשת ומחוצה לה.
- כדי לגלות את כל אפליקציות הענן שאליהן ניגשים כל המכשירים המחוברים לרשת שלך, פרוס את אספן יומני הרישום של Defender for Cloud Apps בחומות האש וברשתות Proxy אחרות. פריסה זו עוזרת לאסוף נתונים מ נקודות הקצה שלך ושולחת אותם ל- Defender for Cloud Apps לצורך ניתוח. Defender for Cloud Apps משתלב במקור עם שרתי Proxy של ספקים חיצוניים מסוימים לקבלת יכולות נוספות.
מאמר זה כולל הדרכה עבור שתי השיטות.
שלב 1: התחברות לפורטל Defender for Cloud Apps
כדי לאמת רישוי ולחבר לפורטל Defender for Cloud Apps, ראה התחלה מהירה: תחילת העבודה עם Microsoft Defender for Cloud Apps.
אם אינך מצליח להתחבר באופן מיידי לפורטל, ייתכן שיהיה עליך להוסיף את כתובת ה- IP לרשימת היתרים של חומת האש שלך. ראה הגדרה בסיסית עבור Defender for Cloud Apps.
אם אתה עדיין נתקל בבעיות, עיין בדרישות הרשת.
שלב 2: שילוב עם Microsoft Defender עבור נקודת קצה
Microsoft Defender for Cloud Apps משתלב עם Microsoft Defender for Endpoint במקור. השילוב מפשט את ההפצה של 'גילוי ענן', מרחיב את היכולות של 'גילוי ענן' מעבר לרשת הארגונית ומאפשר חקירה מבוססת מכשיר. שילוב זה חושף אפליקציות ושירותים בענן שגישה אליהם מתבצעת ממכשירי Windows 10 ו- Windows 11 המנוהליים על-ידי IT.
אם כבר הגדרת את Microsoft Defender עבור נקודת קצה, הגדרת השילוב עם Defender for Cloud Apps היא לחצן דו-מצבי ב- Microsoft Defender XDR. לאחר הפעלת השילוב, באפשרותך לחזור לפורטל האפליקציות של Defender for Cloud ולהצגת נתונים עשירים בלוח המחוונים של גילוי הענן.
כדי לבצע משימות אלה, ראה שילוב נקודות קצה של Microsoft Defender עבור עם Microsoft Defender for Cloud Apps.
שלב 3: פרוס את מלקט יומני הרישום של Defender for Cloud Apps בחומות האש וב- Proxy אחרים
לכיסוי של כל המכשירים המחוברים לרשת שלך, פרוס את אספן יומני הרישום של Defender for Cloud Apps בחומות האש וברשתות Proxy אחרות כדי לאסוף נתונים מ נקודות הקצה שלך ולשלוח אותם ל- Defender for Cloud Apps לצורך ניתוח.
אם אתה משתמש באחד שערי האינטרנט המאובטחים (SWG) הבאים, Defender for Cloud Apps מספק פריסה ושילוב חלקים:
- לוח מקשים של Zscaler
- מבוא לתנונים
- קו מית'ם
- Menlo Security
לקבלת מידע נוסף על שילוב עם התקני רשת אלה, ראה הגדרת גילוי ענן.
שלב 4: יצירת קבוצת ניסיון - הקף את פריסת הניסיון שלך בקבוצות משתמשים מסוימות
Microsoft Defender for Cloud Apps מאפשר לך להגדיר את טווח הפריסה שלך. הגדרת טווח מאפשרת לך לבחור קבוצות משתמשים מסוימות לניטור עבור אפליקציות או לא נכללות בניטור. באפשרותך לכלול או לא לכלול קבוצות משתמשים. כדי להגדיר טווח בפריסת פריסת הניסיון, ראה פריסה בטווח.
שלב 5: גלה ונהל אפליקציות ענן
כדי ש- Defender for Cloud Apps יספק את כמות ההגנה המרבית, עליך לגלות את כל יישומי הענן בארגון שלך ולנהל את אופן השימוש בהם.
גלה אפליקציות ענן
השלב הראשון בניהול השימוש באפליקציות ענן הוא לגלות אילו אפליקציות ענן נמצאות בשימוש על-ידי הארגון שלך. הדיאגרמה הבאה מדגימה כיצד גילוי ענן פועל עם Defender for Cloud Apps.
באיור זה, ניתן להשתמש בשתי שיטות לניטור תעבורת הרשת ולגלות אפליקציות ענן הנמצאות בשימוש על-ידי הארגון שלך.
גילוי אפליקציות ענן משתלב עם Microsoft Defender for Endpoint במקור. Defender for Endpoint מדווח על אפליקציות ושירותים בענן שגישה אליהם מהתקני Windows 10 ו- Windows 11 המנוהלות על-ידי IT.
לכיסוי של כל המכשירים המחוברים לרשת, עליך להתקין את אספן יומני הרישום של Defender for Cloud Apps בחומות אש וברשתות Proxy אחרות כדי לאסוף נתונים מטבלאות קצה. האספן שולח נתונים אלה ל- Defender for Cloud Apps לצורך ניתוח.
הצג את לוח המחוונים של גילוי הענן כדי לראות אילו אפליקציות נמצאות בשימוש בארגון שלך
לוח המחוונים 'גילוי ענן' נועד לספק לך תובנות נוספות לגבי אופן השימוש באפליקציות ענן בארגון שלך. הוא מספק מבט כולל במבט מהיר על סוגי האפליקציות שנמצאים בשימוש, ההתראות הפתוחות שלך ורמת הסיכון של אפליקציות בארגון שלך.
כדי להתחיל להשתמש בלוח המחוונים 'גילוי ענן', ראה עבודה עם אפליקציות שהתגלו.
ניהול אפליקציות ענן
לאחר גילוי אפליקציות ענן וניתוח האופן שבו הארגון שלך משתמש באפליקציות אלה, תוכל להתחיל לנהל אפליקציות ענן שאתה בוחר.
באיור זה:
- יישומים מסוימים זמינים לשימוש. ציון הוא דרך פשוטה לניהול אפליקציות.
- באפשרותך לאפשר ניראות ושליטה גדולים יותר על-ידי חיבור אפליקציות באמצעות מחברי אפליקציות. מחברי יישום משתמשים בממשקי ה- API של ספקי אפליקציות.
תוכל להתחיל לנהל אפליקציות על-ידי הצטרפות, ביטול ת ציון או חסימה תחילה של אפליקציות. כדי להתחיל לנהל אפליקציות, ראה פיקוח על אפליקציות שהתגלו.
שלב 6. קביעת תצורה של בקרת יישום גישה מותנית
אחת מההגנת החזקות ביותר שניתן לקבוע את תצורתן היא בקרת יישום גישה מותנית. הגנה זו מחייבת שילוב עם מזהה Microsoft Entra. היא מאפשרת לך להחיל מדיניות גישה מותנית, כולל פריטי מדיניות קשורים (כגון דרישת מכשירים בריאים), על אפליקציות ענן שהוספת לתוקף.
ייתכן שכבר נוספו אפליקציות SaaS לדייר Microsoft Entra כדי לאכוף אימות רב-גורמי ומדיניות גישה מותנית אחרת. Microsoft Defender for Cloud Apps משתלב במקור עם מזהה Microsoft Entra. כל מה שאתה צריך לעשות הוא לקבוע תצורה של מדיניות ב- Microsoft Entra ID לשימוש בפקד יישום גישה מותנית ב- Defender for Cloud Apps. פעולה זו מנתבת תעבורת רשת עבור אפליקציות SaaS מנוהלות אלה באמצעות Defender for Cloud Apps כ- Proxy, המאפשר ל- Defender for Cloud Apps לנטר תעבורה זו ולהחיל פקדי הפעלה.
באיור זה:
- אפליקציות SaaS משולבות עם הדייר של Microsoft Entra. שילוב זה מאפשר ל- Microsoft Entra ID לאכוף מדיניות גישה מותנית, כולל אימות רב-גורמי.
- מדיניות נוספת למזהה Entra של Microsoft כדי להפנות תעבורה עבור אפליקציות SaaS אל Defender for Cloud Apps. המדיניות מציינת על אילו יישומי SaaS יש להחיל מדיניות זו. לאחר ש- Microsoft Entra ID אוכף פריטי מדיניות של גישה מותנית החלים על אפליקציות SaaS אלה, Microsoft Entra ID מפנה (שרתי Proxy) את תעבורת ההפעלה באמצעות Defender for Cloud Apps.
- Defender for Cloud Apps מנטר תעבורה זו ומ מחיל את כל פריטי המדיניות של בקרת הפעלה שהוגדרו על-ידי מנהלי מערכת.
ייתכן שגילית והוספת אפליקציות ענן שמורות באמצעות Defender for Cloud Apps שלא נוספו למזהה Entra של Microsoft. באפשרותך לנצל את בקרת יישומי הגישה המותנה על-ידי הוספת אפליקציות ענן אלה לדייר Microsoft Entra שלך והיקף כללי הגישה המותנה שלך.
השלב הראשון בשימוש ב- Microsoft Defender for Cloud Apps לניהול אפליקציות SaaS הוא לגלות אפליקציות אלה ולאחר מכן להוסיף אותן לדייר Microsoft Entra שלך. אם אתה זקוק לעזרה בגילוי, ראה גילוי וניהול של אפליקציות SaaS ברשת שלך. לאחר שגילית אפליקציות, הוסף אפליקציות אלה לדייר Microsoft Entra שלך.
באפשרותך להתחיל לנהל יישומים אלה עם המשימות הבאות:
- ב- Microsoft Entra ID, צור מדיניות גישה מותנית חדשה והגדר אותה ל'השתמש בפקד יישום גישה מותנית'. תצורה זו עוזרת לנתב מחדש את הבקשה ל- Defender for Cloud Apps. באפשרותך ליצור מדיניות אחת ולהוסיף את כל יישומי SaaS למדיניות זו.
- לאחר מכן, ב- Defender for Cloud Apps, צור מדיניות הפעלה. צור מדיניות אחת עבור כל פקד שברצונך להחיל.
לקבלת מידע נוסף, כולל אפליקציות והלקוחות הנתמכים, ראה הגנה על אפליקציות באמצעות Microsoft Defender for Cloud Apps בקרת אפליקציות גישה מותנית.
לדוגמה, ראה מדיניות מומלצת של Microsoft Defender for Cloud Apps עבור אפליקציות SaaS. פריטי מדיניות אלה בונים על קבוצה של פריטי מדיניות נפוצים של זהות וגישה למכשירים המומלצים כנקודת התחלה עבור כל הלקוחות.
שלב 7. החלת מדיניות הפעלה על אפליקציות ענן
Microsoft Defender for Cloud Apps משמש כ- Proxy הפוך, ומספק גישת Proxy לאפליקציות ענן מבוססות-הסכם. הקצאה זו מאפשרת ל- Defender for Cloud Apps להחיל מדיניות הפעלה שאתה קובע.
באיור:
- הגישה לאפליקציות ענן ממשתמשים וממכשירים בארגון שלך מנותב דרך Defender for Cloud Apps.
- גישה זו ל- Proxy מאפשרת החלה של מדיניות הפעלה.
- אפליקציות ענן שלא תותרת או שלא צוין במפורש אינן מושפעות.
מדיניות הפעלה מאפשרת לך להחיל פרמטרים על האופן שבו הארגון שלך משתמש באפליקציות ענן. לדוגמה, אם הארגון שלך משתמש ב- Salesforce, באפשרותך לקבוע תצורה של מדיניות הפעלה המאפשרת רק למכשירים מנוהלים לגשת לנתונים של הארגון שלך ב- Salesforce. דוגמה פשוטה יותר עשויה להיות קביעת תצורה של מדיניות לניטור תעבורה ממכשירים לא מנוהלים כדי שתוכל לנתח את הסיכון לתעבורה זו לפני החלת מדיניות מחמירה יותר.
לקבלת מידע נוסף, ראה יצירת מדיניות הפעלה.
שלב 8. נסה יכולות נוספות
השתמש בערכות לימוד אלה של Defender for Cloud Apps כדי לעזור לך לגלות סיכונים ולהגן על הסביבה שלך:
- זהה פעילות משתמש חשודה
- חקור משתמשים מסיכונים
- בדוק יישומי OAuth מסיכונים
- גילוי מידע רגיש והגנה עליו
- הגנה על כל אפליקציה בארגון שלך בזמן אמת
- חסימת הורדות של מידע רגיש
- הגנה על הקבצים שלך באמצעות העבר ניהול
- דרוש אימות שלבים לאחר פעולה מסכנה
לקבלת מידע נוסף על נתוני ציד מתקדמים ב- Microsoft Defender for Cloud Apps, צפה בסרטון וידאו זה.
שילוב SIEM
באפשרותך לשלב את Defender for Cloud Apps עם Microsoft Sentinel או שירות כללי של מידע אבטחה וניהול אירועים (SIEM) כדי לאפשר ניטור מרכזי של התראות ופעילויות מאפליקציות מחוברות. באמצעות Microsoft Sentinel, באפשרותך לנתח אירועי אבטחה בצורה מקיפה יותר ברחבי הארגון ולבנות ספרי משחקים לתגובה יעילה ומידית.
Microsoft Sentinel כולל מחבר של Defender for Cloud Apps. הדבר מאפשר לך לא רק לקבל ניראות באפליקציות הענן שלך, אלא גם לקבל ניתוח מתוחכם כדי לזהות איומי סייבר ולאבק בהם, ולשלוט באופן שבו הנתונים שלך עוברים. לקבלת מידע נוסף, ראה שילוב Microsoft Sentinel והתראות Stream ותומני גילוי ענן מתוך Defender for Cloud Apps לתוך Microsoft Sentinel.
לקבלת מידע אודות שילוב עם מערכות SIEM של ספקים חיצוניים, ראה שילוב כללי של SIEM.
השלב הבא
ניהול מחזור החיים עבור Defender for Cloud Apps.
השלב הבא עבור הפריסה מקצה לקצה של Microsoft Defender XDR
המשך את הפריסה מקצה לקצה של Microsoft Defender XDR באמצעות 'בדוק' והשב באמצעות Microsoft Defender XDR.
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.