Próbaüzem és üzembe helyezés Microsoft Defender for Cloud Apps

Érintett szolgáltatás:

• Microsoft Defender XDR

Ez a cikk egy munkafolyamatot biztosít a Microsoft Defender for Cloud Apps a szervezetben való kipróbálásához és üzembe helyezéséhez. Ezekkel a javaslatokkal Microsoft Defender for Cloud Apps egy teljes körű megoldás részeként Microsoft Defender XDR.

Ez a cikk feltételezi, hogy éles Microsoft 365-bérlővel rendelkezik, és teszteli és telepíti a Microsoft Defender for Cloud Apps ebben a környezetben. Ez a gyakorlat megőrzi a próbaüzem során konfigurált beállításokat és testreszabásokat a teljes üzembe helyezéshez.

Office 365-höz készült Defender hozzájárul a Teljes felügyelet architektúrához azáltal, hogy segít megelőzni vagy csökkenteni a biztonsági incidensből eredő üzleti károkat. További információ: A Microsoft Teljes felügyelet bevezetési keretrendszerének üzleti incidensekből eredő üzleti kárainak megelőzése vagy csökkentése.

Teljes körű üzembe helyezés Microsoft Defender XDR

Ez egy sorozat 6/5. cikke, amely segítséget nyújt a Microsoft Defender XDR összetevőinek üzembe helyezéséhez, beleértve az incidensek kivizsgálását és megválaszolását.

Az ebben a sorozatban szereplő cikkek a teljes üzembe helyezés következő fázisainak felelnek meg:

Fázis	Láncszem
Egy. A próbaüzem indítása	A próbaüzem indítása
B. Microsoft Defender XDR összetevők kipróbálása és üzembe helyezése	- A Defender for Identity próbaüzeme és üzembe helyezése - Próbaüzem és üzembe helyezés Office 365-höz készült Defender - Végponthoz készült Defender próbaüzeme és üzembe helyezése - Próbaüzem és üzembe helyezés Microsoft Defender for Cloud Apps (ez a cikk)
C. Veszélyforrások vizsgálata és reagálás rájuk	Incidensvizsgálat és reagálás gyakorlata

Munkafolyamat kipróbálásának és üzembe helyezésének Defender for Cloud Apps

Az alábbi ábra egy termék vagy szolgáltatás informatikai környezetben történő üzembe helyezésének gyakori folyamatát szemlélteti.

Első lépésként értékelje ki a terméket vagy szolgáltatást, és hogy hogyan fog működni a szervezeten belül. Ezután tesztelheti a terméket vagy szolgáltatást az éles infrastruktúra megfelelő kis részhalmazával a teszteléshez, a tanuláshoz és a testreszabáshoz. Ezután fokozatosan növelje az üzembe helyezés hatókörét, amíg a teljes infrastruktúrára vagy szervezetre ki nem terjed.

Itt látható a Defender for Cloud Apps éles környezetben való kipróbálásának és üzembe helyezésének munkafolyamata.

Hajtsa végre az alábbi lépéseket:

1. Csatlakozás Defender for Cloud Apps
2. Integrálás a Végponthoz készült Microsoft Defender
3. A naplógyűjtő üzembe helyezése a tűzfalakon és más proxykon
4. Próbacsoport létrehozása
5. Felhőalkalmazások felderítése és kezelése
6. Feltételes hozzáférésű alkalmazásvezérlés konfigurálása
7. Munkamenet-szabályzatok alkalmazása felhőalkalmazásokra
8. Próbálja ki a további képességeket

Az egyes üzembehelyezési szakaszokhoz az alábbi javasolt lépések tartoznak.

Üzembe helyezési szakasz	Leírás
Kiértékel	Termékértékelés végrehajtása Defender for Cloud Apps.
Pilóta	Hajtsa végre az 1–4. és az 5–8. lépést a felhőalapú alkalmazások megfelelő részhalmazához az éles környezetben.
Teljes üzembe helyezés	Hajtsa végre az 5–8. lépést a fennmaradó felhőalkalmazások esetében, módosítsa a próbafelhasználói csoportok hatókörét, vagy adjon hozzá felhasználói csoportokat, hogy az a próbaüzemen túlra is kiterjedjen, és tartalmazza az összes felhasználói fiókját.

Szervezet védelme a hackerek ellen

Defender for Cloud Apps önállóan nyújt hatékony védelmet. A Microsoft Defender XDR egyéb képességeivel kombinálva azonban Defender for Cloud Apps adatokat szolgáltat a megosztott jelekbe, amelyek együttesen segítenek a támadások leállításában.

Íme egy példa egy kibertámadásra, valamint arra, hogy a Microsoft Defender XDR összetevői hogyan segítenek észlelni és enyhíteni a támadást.

Defender for Cloud Apps észleli a rendellenes viselkedést, például a lehetetlen utazást, a hitelesítő adatokhoz való hozzáférést és a szokatlan letöltési, fájlmegosztási vagy levéltovábbítási tevékenységeket, és megjeleníti ezeket a viselkedéseket a Defender for Cloud Apps. Defender for Cloud Apps segít megelőzni a támadók oldalirányú mozgását és a bizalmas adatok kiszűrését.

Microsoft Defender XDR az összes Microsoft Defender összetevőtől érkező jeleket korrelálja a teljes támadási történet biztosítása érdekében.

Defender for Cloud Apps szerepkör casb-ként és egyebekként

A felhőelérési biztonsági közvetítő (CASB) a vállalati felhasználók és az általuk használt felhőerőforrások közötti valós idejű közvetítői hozzáférés közvetítőjeként működik, függetlenül attól, hogy a felhasználók hol tartózkodnak, és függetlenül attól, hogy milyen eszközt használnak. A szolgáltatott szoftver (SaaS) alkalmazások a hibrid munkakörnyezetekben mindenütt jelen vannak, és az SaaS-alkalmazások és az általuk tárolt fontos adatok védelme nagy kihívást jelent a szervezetek számára.

Az alkalmazáshasználat növekedése és a vállalati erőforrásokhoz a vállalati peremhálózaton kívül hozzáférő alkalmazottak együtt új támadási vektorokat is bevezetnek. Ezeknek a támadásoknak a hatékony leküzdéséhez a biztonsági csapatoknak olyan megközelítésre van szükségük, amely a felhőalkalmazásokon belül védi az adataikat a felhőelérési biztonsági közvetítők (CASB-k) hagyományos hatókörén túl.

Microsoft Defender for Cloud Apps teljes körű védelmet nyújt az SaaS-alkalmazások számára, így a felhőalkalmazások adatainak figyelése és védelme a következő funkciókban nyújt segítséget:

• A felhőbeli hozzáférés biztonsági közvetítőjének (CASB) alapvető funkciói, például az árnyék informatikai felderítése, a felhőalkalmazások használatának láthatósága, az alkalmazásalapú fenyegetések elleni védelem a felhő bármely pontjáról, valamint az információvédelem és a megfelelőségi felmérések.

• Az SaaS biztonsági helyzetkezelés (SSPM) funkciói, amelyek lehetővé teszik a biztonsági csapatok számára a szervezet biztonsági helyzetének javítását

• A Komplex veszélyforrások elleni védelem a Microsoft kiterjesztett észlelési és reagálási (XDR) megoldásának részeként lehetővé teszi a jel és a láthatóság hatékony korrelációját a fejlett támadások teljes leállítási láncában

• Alkalmazások közötti védelem, az alapvető fenyegetési forgatókönyvek kiterjesztése olyan OAuth-kompatibilis alkalmazásokra, amelyek engedélyekkel és jogosultságokkal rendelkeznek a kritikus fontosságú adatokra és erőforrásokra.

Felhőalkalmazás-felderítési módszerek

Defender for Cloud Apps nélkül a szervezet által használt felhőalkalmazások nem felügyeltek és nem védettek. A környezetben használt felhőalkalmazások felderítéséhez az alábbi módszerek egyikét vagy mindkettőt implementálhatja:

• Gyorsan üzembe helyezheti a Cloud Discoveryt a Végponthoz készült Microsoft Defender integrálásával. Ez a natív integráció lehetővé teszi, hogy azonnal megkezdje az adatok gyűjtését a felhőbeli forgalomról a Windows 10 és Windows 11 eszközein, a hálózaton belül és kívül.
• A hálózathoz csatlakoztatott összes eszköz által elért összes felhőalkalmazás felderítéséhez helyezze üzembe a Defender for Cloud Apps naplógyűjtőt a tűzfalakon és más proxykon. Ez az üzembe helyezés segít adatokat gyűjteni a végpontokról, és elemzés céljából elküldi azokat Defender for Cloud Apps. Defender for Cloud Apps natív módon integrálható néhány külső proxyval, hogy még több képességet biztosítsunk.

Ez a cikk mindkét módszerhez tartalmaz útmutatást.

1. lépés: Csatlakozás Defender for Cloud Apps

A licencelés ellenőrzéséhez és a Defender for Cloud Apps való csatlakozáshoz lásd: Rövid útmutató: A Microsoft Defender for Cloud Apps használatának első lépései.

Ha nem tud azonnal csatlakozni a portálhoz, előfordulhat, hogy hozzá kell adnia az IP-címet a tűzfal engedélyezési listájához. További információ: A Defender for Cloud Apps alapszintű beállítása.

Ha továbbra is problémákat tapasztal, tekintse át a hálózati követelményeket.

2. lépés: Integrálás Végponthoz készült Microsoft Defender

Microsoft Defender for Cloud Apps natív módon integrálható Végponthoz készült Microsoft Defender. Az integráció leegyszerűsíti a Cloud Discovery bevezetésének módját, kibővíti a Cloud Discovery képességeit a vállalati hálózaton, és lehetővé teszi az eszközalapú vizsgálatot. Ez az integráció azt mutatja be, hogy az informatikai felügyelet alatt álló Windows 10 és Windows 11 eszközökről elérhetők a felhőalkalmazások és -szolgáltatások.

Ha már beállította a Végponthoz készült Microsoft Defender, a Defender for Cloud Apps-integráció konfigurálása a Microsoft Defender XDR egyik kapcsolója. Az integráció bekapcsolása után visszatérhet a Defender for Cloud Apps, és megtekintheti a részletes adatokat a Cloud Discovery irányítópultján.

A feladatok elvégzéséhez lásd: Végponthoz készült Microsoft Defender integrálása Microsoft Defender for Cloud Apps.

3. lépés: A Defender for Cloud Apps naplógyűjtő üzembe helyezése a tűzfalakon és más proxykon

• A hálózathoz csatlakoztatott összes eszköz lefedettsége érdekében helyezze üzembe a Defender for Cloud Apps naplógyűjtőt a tűzfalakon és más proxykon, hogy adatokat gyűjtsön a végpontokról, és elküldje azokat a Defender for Cloud Apps elemzés céljából. További információ: Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhez.

• Defender for Cloud Apps beépített alkalmazás-összekötőket biztosít a népszerű felhőalkalmazásokhoz. Ezek az összekötők az alkalmazásszolgáltatók API-jait használják annak érdekében, hogy jobban átláthassák és szabályozhassák, hogyan használják ezeket az alkalmazásokat a szervezetben. További információ: Alkalmazások csatlakoztatása a láthatóság és az irányítás Microsoft Defender for Cloud Apps való használatához.

• Ha a következő biztonságos webátjárók (SWG) egyikét használja, Defender for Cloud Apps zökkenőmentes üzembe helyezést és integrációt biztosít:

  • Zscaler
  • iboss
  • Corrata
  • Menlo Security
  • Nyílt rendszerek

További információ: Felhőalkalmazások felderítése – áttekintés.

4. lépés: Próbacsoport létrehozása – A próbaüzem hatóköre bizonyos felhasználói csoportokra

Microsoft Defender for Cloud Apps lehetővé teszi az üzemelő példány hatókörének meghatározását. A hatókörkezelés lehetővé teszi bizonyos felhasználói csoportok kiválasztását az alkalmazások figyeléséhez vagy a monitorozásból való kizáráshoz. A felhasználói csoportokat belefoglalhatja vagy kizárhatja.

További információ: Üzemelő példány hatóköre adott felhasználókra vagy felhasználói csoportokra.

5. lépés: Felhőalkalmazások felderítése és kezelése

Ahhoz, hogy Defender for Cloud Apps maximális védelmet nyújthassa, fel kell derítenie a szervezet összes felhőalkalmazását, és kezelnie kell a használatuk módját.

Felhőalkalmazások felfedezése

A felhőalkalmazások használatának kezelésének első lépése a szervezet által használt felhőalkalmazások felderítése. Az alábbi ábra bemutatja, hogyan működik a felhőfelderítés Defender for Cloud Apps.

Ebben az ábrán két módszer áll rendelkezésre a hálózati forgalom monitorozására és a szervezet által használt felhőalkalmazások felderítésére.

1. A Cloud App Discovery natív módon integrálható Végponthoz készült Microsoft Defender. A Végponthoz készült Defender azt jelenti, hogy az informatikai felügyelet alatt álló Windows 10 és Windows 11 eszközökről elért felhőalkalmazások és szolgáltatások.

2. A hálózathoz csatlakozó összes eszköz lefedettsége érdekében telepítse a Defender for Cloud Apps naplógyűjtőt a tűzfalakra és más proxykra, hogy adatokat gyűjtsön a végpontokról. A gyűjtő elküldi ezeket az adatokat a Defender for Cloud Apps elemzésre.

A Cloud Discovery irányítópultjának megtekintése a szervezetben használt alkalmazások megtekintéséhez

A Cloud Discovery irányítópultja úgy lett kialakítva, hogy részletesebb betekintést nyújtson abba, hogyan használják a felhőalkalmazásokat a szervezetben. Áttekintést nyújt a használt alkalmazások típusairól, a nyitott riasztásokról és a szervezeten belüli alkalmazások kockázati szintjeiről.

További információ: Felderített alkalmazások megtekintése a Felhőfelderítés irányítópultjával.

Felhőalkalmazások kezelése

Miután felderíti a felhőalkalmazásokat, és elemzi, hogyan használja ezeket az alkalmazásokat a szervezete, megkezdheti a választott felhőalkalmazások kezelését.

Ebben az ábrán néhány alkalmazás használata engedélyezett. Az alkalmazások kezelésének egyszerű módja a szankcionálás. További információ: Felderített alkalmazások szabályozása.

6. lépés Feltételes hozzáférésű alkalmazásvezérlés konfigurálása

Az egyik leghatékonyabban konfigurálható védelem a feltételes hozzáférésű alkalmazások vezérlése. Ehhez a védelemhez integrálásra van szükség a Microsoft Entra ID. Lehetővé teszi a feltételes hozzáférési szabályzatok alkalmazását, beleértve a kapcsolódó szabályzatokat (például az kifogástalan eszközök megkövetelése) az Ön által engedélyezett felhőalkalmazásokra.

Előfordulhat, hogy már hozzáadott SaaS-alkalmazásokat a Microsoft Entra-bérlőhöz a többtényezős hitelesítés és más feltételes hozzáférési szabályzatok kényszerítése érdekében. Microsoft Defender for Cloud Apps natív módon integrálható a Microsoft Entra ID. Mindössze konfigurálnia kell egy szabályzatot a Microsoft Entra ID a feltételes hozzáférésű alkalmazások vezérlésének használatára Defender for Cloud Apps. Ez proxyként irányítja a felügyelt SaaS-alkalmazások hálózati forgalmát Defender for Cloud Apps, ami lehetővé teszi, hogy Defender for Cloud Apps monitorozza ezt a forgalmat, és munkamenet-vezérlőket alkalmazzon.

Ebben az ábrán:

• Az SaaS-alkalmazások integrálva vannak a Microsoft Entra-bérlővel. Ez az integráció lehetővé teszi, hogy Microsoft Entra ID feltételes hozzáférési szabályzatokat kényszerítsen, beleértve a többtényezős hitelesítést is.
• A rendszer hozzáad egy szabályzatot a Microsoft Entra ID, amely az SaaS-alkalmazások forgalmát Defender for Cloud Apps irányítja. A szabályzat határozza meg, hogy mely SaaS-alkalmazásokra alkalmazza ezt a szabályzatot. Miután Microsoft Entra ID kikényszeríti az saaS-alkalmazásokra vonatkozó feltételes hozzáférési szabályzatokat, Microsoft Entra ID a munkamenet-forgalmat Defender for Cloud Apps keresztül irányítja (proxyk).
• Defender for Cloud Apps figyeli ezt a forgalmat, és alkalmazza a rendszergazdák által konfigurált munkamenet-vezérlési házirendeket.

Előfordulhat, hogy olyan Defender for Cloud Apps használó felhőalapú alkalmazásokat fedezett fel és engedélyezett, amelyek nem lettek hozzáadva Microsoft Entra ID. A feltételes hozzáférési alkalmazás vezérlésének előnyeit kihasználhatja, ha hozzáadja ezeket a felhőalkalmazásokat a Microsoft Entra bérlőjéhez, valamint a feltételes hozzáférési szabályok hatókörét.

Az saaS-alkalmazások Microsoft Defender for Cloud Apps való kezelésének első lépése az alkalmazások felderítése, majd a Microsoft Entra-bérlőhöz való hozzáadása. Ha segítségre van szüksége a felderítéshez, olvassa el a SaaS-alkalmazások felderítése és kezelése a hálózatban című témakört. Miután felderített alkalmazásokat, adja hozzá ezeket az alkalmazásokat a Microsoft Entra bérlőjéhez.

Ezeket az alkalmazásokat a következő feladatokkal kezdheti el kezelni:

1. A Microsoft Entra ID hozzon létre egy új feltételes hozzáférési szabályzatot, és konfigurálja a Feltételes hozzáférési alkalmazásvezérlés használata beállításra. Ez a konfiguráció segít átirányítani a kérést a Defender for Cloud Apps. Létrehozhat egy szabályzatot, és hozzáadhatja az összes SaaS-alkalmazást ehhez a szabályzathoz.

2. Ezután a Defender for Cloud Apps hozzon létre munkamenet-szabályzatokat. Hozzon létre egy szabályzatot minden alkalmazni kívánt vezérlőhöz. További információ, beleértve a támogatott alkalmazásokat és ügyfeleket, lásd: Microsoft Defender for Cloud Apps munkamenet-szabályzatok létrehozása.

Mintaszabályzatokért lásd: SaaS-alkalmazások ajánlott Microsoft Defender for Cloud Apps szabályzatai. Ezek a szabályzatok olyan közös identitás- és eszközhozzáférés-szabályzatokra épülnek, amelyek kiindulópontként minden ügyfél számára ajánlottak.

7. lépés Munkamenet-szabályzatok alkalmazása felhőalkalmazásokra

Miután konfigurálta a munkamenet-szabályzatokat, alkalmazza őket a felhőalkalmazásokra, hogy szabályozott hozzáférést biztosítson ezekhez az alkalmazásokhoz.

Az ábrán:

• A szervezet felhasználóitól és eszközeitől származó engedélyezett felhőalkalmazásokhoz való hozzáférés Defender for Cloud Apps keresztül történik.
• A nem engedélyezett vagy explicit módon nem engedélyezett felhőalkalmazásokra nincs hatással.

A munkamenet-szabályzatokkal paramétereket alkalmazhat a felhőalkalmazások szervezet általi használatának módjára. Ha például a szervezete a Salesforce-ot használja, konfigurálhat egy munkamenet-szabályzatot, amely csak a felügyelt eszközök számára engedélyezi a szervezet adatainak elérését a Salesforce-on. Egyszerűbb példa lehet egy olyan szabályzat konfigurálása, amely monitorozza a nem felügyelt eszközökről érkező forgalmat, így a szigorúbb szabályzatok alkalmazása előtt elemezheti ennek a forgalomnak a kockázatát.

További információ: Feltételes hozzáférésű alkalmazásvezérlő Microsoft Defender for Cloud Apps.

8. lépés. Próbálja ki a további képességeket

Az alábbi Defender for Cloud Apps cikkek segítséget nyújtanak a kockázatok felderítésében és a környezet védelmében:

• Gyanús felhasználói tevékenység észlelése
• Kockázatos felhasználók vizsgálata
• Kockázatos OAuth-alkalmazások vizsgálata
• Bizalmas adatok felderítése és védelme
• A szervezet bármely alkalmazásának valós idejű védelme
• Bizalmas adatok letöltésének letiltása
• Fájlok védelme rendszergazdai karanténnal
• Fokozott hitelesítés megkövetelése kockázatos művelet esetén

Az Microsoft Defender for Cloud Apps adatok speciális veszélyforrás-kereséséről ebben a videóban talál további információt.

SIEM-integráció

A Defender for Cloud Apps integrálhatja a Microsoft Sentinel a Microsoft egységes biztonsági üzemeltetési platformjának részeként, vagy egy általános biztonsági információ- és eseménykezelési (SIEM) szolgáltatással, amely lehetővé teszi a csatlakoztatott alkalmazások riasztásainak és tevékenységeinek központosított figyelését. A Microsoft Sentinel átfogóbban elemezheti a szervezet biztonsági eseményeit, és forgatókönyveket hozhat létre a hatékony és azonnali reagálás érdekében.

Microsoft Sentinel tartalmaz egy Microsoft Defender az XDR-adatösszekötőhöz, a Defender XDR minden jelének , beleértve a Defender for Cloud Apps Microsoft Sentinel. Használja a Defender portált egységes biztonsági műveletek (SecOps) platformként.

További információ:

• Microsoft Sentinel csatlakoztatása a Microsoft Defender portálhoz
• Microsoft Sentinel integráció
• Általános SIEM-integráció

További lépés

Életciklus-kezelést végezhet Defender for Cloud Apps.

A Microsoft Defender XDR teljes körű üzembe helyezésének következő lépése

Folytassa a Microsoft Defender XDR teljes körű üzembe helyezését a Vizsgálat és válasz Microsoft Defender XDR használatával című témakörben.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.