Próbaüzem és üzembe helyezés Microsoft Defender for Cloud Apps
Érintett szolgáltatás:
- Microsoft Defender XDR
Ez a cikk egy munkafolyamatot biztosít a Microsoft Defender for Cloud Apps a szervezetben való kipróbálásához és üzembe helyezéséhez. Ezekkel a javaslatokkal Microsoft Defender for Cloud Apps egyéni kiberbiztonsági eszközként vagy egy teljes körű megoldás részeként Microsoft Defender XDR.
Ez a cikk feltételezi, hogy éles Microsoft 365-bérlővel rendelkezik, és teszteli és telepíti a Microsoft Defender for Cloud Apps ebben a környezetben. Ez a gyakorlat megőrzi a próbaüzem során konfigurált beállításokat és testreszabásokat a teljes üzembe helyezéshez.
Office 365-höz készült Defender hozzájárul a Teljes felügyelet architektúrához azáltal, hogy segít megelőzni vagy csökkenteni a biztonsági incidensből eredő üzleti károkat. További információ: A Microsoft Teljes felügyelet bevezetési keretrendszerének üzleti incidensekből eredő üzleti kárainak megelőzése vagy csökkentése.
Teljes körű üzembe helyezés Microsoft Defender XDR
Ez egy sorozat 6/5. cikke, amely segítséget nyújt a Microsoft Defender XDR összetevőinek üzembe helyezéséhez, beleértve az incidensek kivizsgálását és megválaszolását.
Az ebben a sorozatban szereplő cikkek a teljes üzembe helyezés következő fázisainak felelnek meg:
| Fázis | Láncszem |
|---|---|
| Egy. A próbaüzem indítása | A próbaüzem indítása |
| B. Microsoft Defender XDR összetevők kipróbálása és üzembe helyezése |
-
A Defender for Identity próbaüzeme és üzembe helyezése - Próbaüzem és üzembe helyezés Office 365-höz készült Defender - Végponthoz készült Defender próbaüzeme és üzembe helyezése - Próbaüzem és üzembe helyezés Microsoft Defender for Cloud Apps (ez a cikk) |
| C. Veszélyforrások vizsgálata és reagálás rájuk | Incidensvizsgálat és reagálás gyakorlata |
Munkafolyamat kipróbálásának és üzembe helyezésének Defender for Cloud Apps
Az alábbi ábra egy termék vagy szolgáltatás informatikai környezetben történő üzembe helyezésének gyakori folyamatát szemlélteti.
Első lépésként értékelje ki a terméket vagy szolgáltatást, és hogy hogyan fog működni a szervezeten belül. Ezután tesztelheti a terméket vagy szolgáltatást az éles infrastruktúra megfelelő kis részhalmazával a teszteléshez, a tanuláshoz és a testreszabáshoz. Ezután fokozatosan növelje az üzembe helyezés hatókörét, amíg a teljes infrastruktúrára vagy szervezetre ki nem terjed.
Itt látható a Defender for Cloud Apps éles környezetben való kipróbálásának és üzembe helyezésének munkafolyamata.
Hajtsa végre az alábbi lépéseket:
- Csatlakozás a Defender for Cloud Apps portálhoz
- Integrálás a Végponthoz készült Microsoft Defender
- A naplógyűjtő üzembe helyezése a tűzfalakon és más proxykon
- Próbacsoport létrehozása
- Felhőalkalmazások felderítése és kezelése
- Feltételes hozzáférésű alkalmazásvezérlő konfigurálása
- Munkamenet-szabályzatok alkalmazása felhőalkalmazásokra
- Próbálja ki a további képességeket
Az egyes üzembehelyezési szakaszokhoz az alábbi javasolt lépések tartoznak.
| Üzembe helyezési szakasz | Leírás |
|---|---|
| Kiértékel | Termékértékelés végrehajtása Defender for Cloud Apps. |
| Pilóta | Hajtsa végre az 1–4. és az 5–8. lépést a felhőalapú alkalmazások megfelelő részhalmazához az éles környezetben. |
| Teljes üzembe helyezés | Hajtsa végre az 5–8. lépést a fennmaradó felhőalkalmazások esetében, módosítsa a próbafelhasználói csoportok hatókörét, vagy adjon hozzá felhasználói csoportokat, hogy az a próbaüzemen túlra is kiterjedjen, és tartalmazza az összes felhasználói fiókját. |
Szervezet védelme a hackerek ellen
Defender for Cloud Apps önállóan nyújt hatékony védelmet. A Microsoft Defender XDR egyéb képességeivel kombinálva azonban Defender for Cloud Apps adatokat szolgáltat a megosztott jelekbe, amelyek együttesen segítenek a támadások leállításában.
Íme egy példa egy kibertámadásra, valamint arra, hogy a Microsoft Defender XDR összetevői hogyan segítenek észlelni és enyhíteni a támadást.
Defender for Cloud Apps észleli a rendellenes viselkedést, például a lehetetlen utazást, a hitelesítő adatokhoz való hozzáférést és a szokatlan letöltési, fájlmegosztási vagy levéltovábbítási tevékenységeket, és megjeleníti ezeket a viselkedéseket a Defender for Cloud Apps portálon. Defender for Cloud Apps segít megelőzni a támadók oldalirányú mozgását és a bizalmas adatok kiszűrését.
Microsoft Defender XDR az összes Microsoft Defender összetevőtől érkező jeleket korrelálja a teljes támadási történet biztosítása érdekében.
CASB-szerepkör Defender for Cloud Apps
A felhőelérési biztonsági közvetítő (CASB) a vállalati felhasználók és az általuk használt felhőerőforrások közötti valós idejű közvetítői hozzáférés közvetítőjeként működik, függetlenül attól, hogy a felhasználók hol tartózkodnak, és függetlenül attól, hogy milyen eszközt használnak. Defender for Cloud Apps casb a szervezet felhőalkalmazásaihoz. Defender for Cloud Apps natív módon integrálható a Microsoft biztonsági képességeivel, beleértve a Microsoft Defender XDR.
Defender for Cloud Apps nélkül a szervezet által használt felhőalkalmazások nem felügyeltek és nem védettek.
Az ábrán:
- A felhőalkalmazások szervezet általi használata nem figyelt és nem védett.
- Ez a használat kívül esik a felügyelt szervezeten belül elérhető védelemen.
A környezetben használt felhőalkalmazások felderítéséhez az alábbi módszerek egyikét vagy mindkettőt implementálhatja:
- Gyorsan üzembe helyezheti a Cloud Discoveryt a Végponthoz készült Microsoft Defender integrálásával. Ez a natív integráció lehetővé teszi, hogy azonnal megkezdje az adatok gyűjtését a felhőbeli forgalomról a Windows 10 és Windows 11 eszközein, a hálózaton belül és kívül.
- A hálózathoz csatlakoztatott összes eszköz által elért összes felhőalkalmazás felderítéséhez helyezze üzembe a Defender for Cloud Apps naplógyűjtőt a tűzfalakon és más proxykon. Ez az üzembe helyezés segít adatokat gyűjteni a végpontokról, és elemzés céljából elküldi azokat Defender for Cloud Apps. Defender for Cloud Apps natív módon integrálható néhány külső proxyval, hogy még több képességet biztosítsunk.
Ez a cikk mindkét módszerhez tartalmaz útmutatást.
1. lépés: Csatlakozás a Defender for Cloud Apps portálhoz
A licencelés ellenőrzéséhez és a Defender for Cloud Apps portálhoz való csatlakozáshoz lásd: Rövid útmutató: A Microsoft Defender for Cloud Apps használatának első lépései.
Ha nem tud azonnal csatlakozni a portálhoz, előfordulhat, hogy hozzá kell adnia az IP-címet a tűzfal engedélyezési listájához. Lásd: Alapszintű beállítás Defender for Cloud Apps.
Ha továbbra is problémákat tapasztal, tekintse át a hálózati követelményeket.
2. lépés: Integrálás Végponthoz készült Microsoft Defender
Microsoft Defender for Cloud Apps natív módon integrálható Végponthoz készült Microsoft Defender. Az integráció leegyszerűsíti a Cloud Discovery bevezetésének módját, kibővíti a Cloud Discovery képességeit a vállalati hálózaton, és lehetővé teszi az eszközalapú vizsgálatot. Ez az integráció azt mutatja be, hogy az informatikai felügyelet alatt álló Windows 10 és Windows 11 eszközökről elérhetők a felhőalkalmazások és -szolgáltatások.
Ha már beállította a Végponthoz készült Microsoft Defender, a Defender for Cloud Apps-integráció konfigurálása a Microsoft Defender XDR egyik kapcsolója. Az integráció bekapcsolása után visszatérhet a Defender for Cloud Apps portálra, és megtekintheti a részletes adatokat a Cloud Discovery irányítópultján.
A feladatok elvégzéséhez lásd: Végponthoz készült Microsoft Defender integráció Microsoft Defender for Cloud Apps.
3. lépés: A Defender for Cloud Apps naplógyűjtő üzembe helyezése a tűzfalakon és más proxykon
A hálózathoz csatlakoztatott összes eszköz lefedettsége érdekében helyezze üzembe a Defender for Cloud Apps naplógyűjtőt a tűzfalakon és más proxykon, hogy adatokat gyűjtsön a végpontokról, és elküldje azokat a Defender for Cloud Apps elemzés céljából.
Ha a következő biztonságos webátjárók (SWG) egyikét használja, Defender for Cloud Apps zökkenőmentes üzembe helyezést és integrációt biztosít:
- Zscaler
- iboss
- Corrata
- Menlo Security
Az ezekkel a hálózati eszközökkel való integrációval kapcsolatos további információkért lásd: A Cloud Discovery beállítása.
4. lépés: Próbacsoport létrehozása – A próbaüzem hatóköre bizonyos felhasználói csoportokra
Microsoft Defender for Cloud Apps lehetővé teszi az üzemelő példány hatókörének meghatározását. A hatókörkezelés lehetővé teszi bizonyos felhasználói csoportok kiválasztását az alkalmazások figyeléséhez vagy a monitorozásból való kizáráshoz. A felhasználói csoportokat belefoglalhatja vagy kizárhatja. A próbaüzem hatókörének meghatározásához lásd: Hatókörön belüli üzembe helyezés.
5. lépés: Felhőalkalmazások felderítése és kezelése
Ahhoz, hogy Defender for Cloud Apps maximális védelmet nyújthassa, fel kell derítenie a szervezet összes felhőalkalmazását, és kezelnie kell a használatuk módját.
Felhőalkalmazások felfedezése
A felhőalkalmazások használatának kezelésének első lépése a szervezet által használt felhőalkalmazások felderítése. Ez a következő ábra bemutatja, hogyan működik a felhőfelderítés a Defender for Cloud Apps.
Ebben az ábrán két módszer áll rendelkezésre a hálózati forgalom monitorozására és a szervezet által használt felhőalkalmazások felderítésére.
A Cloud App Discovery natív módon integrálható Végponthoz készült Microsoft Defender. A Végponthoz készült Defender azt jelenti, hogy az informatikai felügyelet alatt álló Windows 10 és Windows 11 eszközökről elért felhőalkalmazások és szolgáltatások.
A hálózathoz csatlakozó összes eszköz lefedettsége érdekében telepítse a Defender for Cloud Apps naplógyűjtőt a tűzfalakra és más proxykra, hogy adatokat gyűjtsön a végpontokról. A gyűjtő elküldi ezeket az adatokat a Defender for Cloud Apps elemzésre.
A Cloud Discovery irányítópultjának megtekintése a szervezetben használt alkalmazások megtekintéséhez
A Cloud Discovery irányítópultjának célja, hogy részletesebb betekintést nyújtson abba, hogyan használják a felhőalkalmazásokat a szervezetben. Áttekintést nyújt a használt alkalmazások típusairól, a nyitott riasztásokról és a szervezeten belüli alkalmazások kockázati szintjeiről.
A Cloud Discovery irányítópult használatának megkezdéséhez lásd: A felderített alkalmazások használata.
Felhőalkalmazások kezelése
Miután felderíti a felhőalkalmazásokat, és elemzi, hogyan használja ezeket az alkalmazásokat a szervezete, megkezdheti a választott felhőalkalmazások kezelését.
Ebben az ábrán:
- Egyes alkalmazások használata engedélyezett. Az alkalmazások kezelésének egyszerű módja a szankcionálás.
- Az alkalmazások alkalmazás-összekötőkkel való összekapcsolásával nagyobb átláthatóságot és szabályozást tehet lehetővé. Az alkalmazás-összekötők az alkalmazásszolgáltatók API-jait használják.
Megkezdheti az alkalmazások felügyeletét az alkalmazások engedélyezésével, letiltásával vagy végleges letiltásával. Az alkalmazások kezelésének megkezdéséhez lásd: Felderített alkalmazások szabályozása.
6. lépés Feltételes hozzáférésű alkalmazásvezérlő konfigurálása
Az egyik leghatékonyabban konfigurálható védelem a feltételes hozzáférésű alkalmazásvezérlés. Ehhez a védelemhez integrálásra van szükség a Microsoft Entra ID. Lehetővé teszi a feltételes hozzáférési szabályzatok alkalmazását, beleértve a kapcsolódó szabályzatokat (például az kifogástalan eszközök megkövetelése) az Ön által engedélyezett felhőalkalmazásokra.
Előfordulhat, hogy már hozzáadott SaaS-alkalmazásokat a Microsoft Entra-bérlőhöz a többtényezős hitelesítés és más feltételes hozzáférési szabályzatok kényszerítése érdekében. Microsoft Defender for Cloud Apps natív módon integrálható a Microsoft Entra ID. Mindössze konfigurálnia kell egy szabályzatot a Microsoft Entra ID-ben a feltételes hozzáférésű alkalmazásvezérlő használatára Defender for Cloud Apps. Ez proxyként irányítja a felügyelt SaaS-alkalmazások hálózati forgalmát Defender for Cloud Apps, ami lehetővé teszi, hogy Defender for Cloud Apps monitorozza ezt a forgalmat, és munkamenet-vezérlőket alkalmazzon.
Ebben az ábrán:
- Az SaaS-alkalmazások integrálva vannak a Microsoft Entra-bérlővel. Ez az integráció lehetővé teszi, hogy Microsoft Entra ID feltételes hozzáférési szabályzatokat kényszerítsen, beleértve a többtényezős hitelesítést is.
- A rendszer hozzáad egy szabályzatot a Microsoft Entra ID, amely az SaaS-alkalmazások forgalmát Defender for Cloud Apps irányítja. A szabályzat határozza meg, hogy mely SaaS-alkalmazásokra alkalmazza ezt a szabályzatot. Miután Microsoft Entra ID kikényszeríti az saaS-alkalmazásokra vonatkozó feltételes hozzáférési szabályzatokat, Microsoft Entra ID a munkamenet-forgalmat Defender for Cloud Apps keresztül irányítja (proxyk).
- Defender for Cloud Apps figyeli ezt a forgalmat, és alkalmazza a rendszergazdák által konfigurált munkamenet-vezérlési házirendeket.
Előfordulhat, hogy olyan Defender for Cloud Apps használó felhőalapú alkalmazásokat fedezett fel és engedélyezett, amelyek nem lettek hozzáadva Microsoft Entra ID. A feltételes hozzáférési alkalmazásvezérlést úgy használhatja ki, hogy hozzáadja ezeket a felhőalkalmazásokat a Microsoft Entra bérlőjéhez, valamint a feltételes hozzáférési szabályok hatókörét.
Az saaS-alkalmazások Microsoft Defender for Cloud Apps való kezelésének első lépése az alkalmazások felderítése, majd a Microsoft Entra-bérlőhöz való hozzáadása. Ha segítségre van szüksége a felderítéshez, olvassa el a SaaS-alkalmazások felderítése és kezelése a hálózatban című témakört. Miután felderített alkalmazásokat, adja hozzá ezeket az alkalmazásokat a Microsoft Entra bérlőjéhez.
Ezeket az alkalmazásokat a következő feladatokkal kezdheti el kezelni:
- A Microsoft Entra ID hozzon létre egy új feltételes hozzáférési szabályzatot, és konfigurálja úgy, hogy "Feltételes hozzáférésű alkalmazásvezérlés használata". Ez a konfiguráció segít átirányítani a kérést a Defender for Cloud Apps. Létrehozhat egy szabályzatot, és hozzáadhatja az összes SaaS-alkalmazást ehhez a szabályzathoz.
- Ezután a Defender for Cloud Apps hozzon létre munkamenet-szabályzatokat. Hozzon létre egy szabályzatot minden alkalmazni kívánt vezérlőhöz.
További információ, beleértve a támogatott alkalmazásokat és ügyfeleket, lásd: Alkalmazások védelme Microsoft Defender for Cloud Apps feltételes hozzáférésű alkalmazásvezérlővel.
Szabályzatok például: SaaS-alkalmazások ajánlott Microsoft Defender for Cloud Apps szabályzatai. Ezek a szabályzatok olyan közös identitás- és eszközhozzáférés-szabályzatokra épülnek, amelyek kiindulópontként minden ügyfél számára ajánlottak.
7. lépés Munkamenet-szabályzatok alkalmazása felhőalkalmazásokra
Microsoft Defender for Cloud Apps fordított proxyként szolgál, és proxyhozzáférést biztosít az engedélyezett felhőalkalmazásokhoz. Ez a kiépítés lehetővé teszi, hogy Defender for Cloud Apps ön által konfigurált munkamenet-szabályzatokat alkalmazzon.
Az ábrán:
- A szervezet felhasználóitól és eszközeitől származó engedélyezett felhőalkalmazásokhoz való hozzáférés Defender for Cloud Apps keresztül történik.
- Ez a proxyhozzáférés lehetővé teszi a munkamenet-szabályzatok alkalmazását.
- A nem engedélyezett vagy explicit módon nem engedélyezett felhőalkalmazásokra nincs hatással.
A munkamenet-szabályzatokkal paramétereket alkalmazhat a felhőalkalmazások szervezet általi használatának módjára. Ha például a szervezete a Salesforce-ot használja, konfigurálhat egy munkamenet-szabályzatot, amely csak a felügyelt eszközök számára engedélyezi a szervezet adatainak elérését a Salesforce-on. Egyszerűbb példa lehet egy olyan szabályzat konfigurálása, amely monitorozza a nem felügyelt eszközökről érkező forgalmat, így a szigorúbb szabályzatok alkalmazása előtt elemezheti ennek a forgalomnak a kockázatát.
További információ: Munkamenet-szabályzatok létrehozása.
8. lépés. Próbálja ki a további képességeket
Az alábbi Defender for Cloud Apps oktatóanyagok segítséget nyújtanak a kockázatok felderítésében és a környezet védelmében:
- Gyanús felhasználói tevékenység észlelése
- Kockázatos felhasználók vizsgálata
- Kockázatos OAuth-alkalmazások vizsgálata
- Bizalmas adatok felderítése és védelme
- A szervezet bármely alkalmazásának valós idejű védelme
- Bizalmas adatok letöltésének letiltása
- Fájlok védelme rendszergazdai karanténnal
- Fokozott hitelesítés megkövetelése kockázatos művelet esetén
Az Microsoft Defender for Cloud Apps adatok speciális veszélyforrás-kereséséről ebben a videóban talál további információt.
SIEM-integráció
A Defender for Cloud Apps integrálható a Microsoft Sentinel vagy egy általános biztonsági információ- és eseménykezelési (SIEM) szolgáltatással, amely lehetővé teszi a csatlakoztatott alkalmazások riasztásainak és tevékenységeinek központosított figyelését. A Microsoft Sentinel átfogóbban elemezheti a szervezet biztonsági eseményeit, és forgatókönyveket hozhat létre a hatékony és azonnali reagálás érdekében.
Microsoft Sentinel tartalmaz egy Defender for Cloud Apps összekötőt. Így nemcsak betekintést nyerhet a felhőalkalmazásokba, hanem kifinomult elemzéseket is kaphat a kibertámadások azonosításához és leküzdéséhez, valamint az adatok utazási módjának szabályozásához. További információ: Microsoft Sentinel integrációs és Stream riasztások és Cloud Discovery-naplók Defender for Cloud Apps-ból Microsoft Sentinel.
További információ a külső SIEM-rendszerekkel való integrációról: Általános SIEM-integráció.
További lépés
Életciklus-kezelést végezhet Defender for Cloud Apps.
A Microsoft Defender XDR teljes körű üzembe helyezésének következő lépése
Folytassa a Microsoft Defender XDR teljes körű üzembe helyezését a Vizsgálat és válasz Microsoft Defender XDR használatával című témakörben.
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.