Próbaüzem és üzembe helyezés Microsoft Defender for Cloud Apps
Érintett szolgáltatás:
- Microsoft Defender XDR
Ez a cikk egy munkafolyamatot biztosít a Microsoft Defender for Cloud Apps a szervezetben való kipróbálásához és üzembe helyezéséhez. Ezekkel a javaslatokkal Microsoft Defender for Cloud Apps egy teljes körű megoldás részeként Microsoft Defender XDR.
Ez a cikk feltételezi, hogy éles Microsoft 365-bérlővel rendelkezik, és teszteli és telepíti a Microsoft Defender for Cloud Apps ebben a környezetben. Ez a gyakorlat megőrzi a próbaüzem során konfigurált beállításokat és testreszabásokat a teljes üzembe helyezéshez.
Office 365-höz készült Defender hozzájárul a Teljes felügyelet architektúrához azáltal, hogy segít megelőzni vagy csökkenteni a biztonsági incidensből eredő üzleti károkat. További információ: A Microsoft Teljes felügyelet bevezetési keretrendszerének üzleti incidensekből eredő üzleti kárainak megelőzése vagy csökkentése.
Teljes körű üzembe helyezés Microsoft Defender XDR
Ez egy sorozat 6/5. cikke, amely segítséget nyújt a Microsoft Defender XDR összetevőinek üzembe helyezéséhez, beleértve az incidensek kivizsgálását és megválaszolását.
Az ebben a sorozatban szereplő cikkek a teljes üzembe helyezés következő fázisainak felelnek meg:
Fázis | Láncszem |
---|---|
Egy. A próbaüzem indítása | A próbaüzem indítása |
B. Microsoft Defender XDR összetevők kipróbálása és üzembe helyezése |
-
A Defender for Identity próbaüzeme és üzembe helyezése - Próbaüzem és üzembe helyezés Office 365-höz készült Defender - Végponthoz készült Defender próbaüzeme és üzembe helyezése - Próbaüzem és üzembe helyezés Microsoft Defender for Cloud Apps (ez a cikk) |
C. Veszélyforrások vizsgálata és reagálás rájuk | Incidensvizsgálat és reagálás gyakorlata |
Munkafolyamat kipróbálásának és üzembe helyezésének Defender for Cloud Apps
Az alábbi ábra egy termék vagy szolgáltatás informatikai környezetben történő üzembe helyezésének gyakori folyamatát szemlélteti.
Első lépésként értékelje ki a terméket vagy szolgáltatást, és hogy hogyan fog működni a szervezeten belül. Ezután tesztelheti a terméket vagy szolgáltatást az éles infrastruktúra megfelelő kis részhalmazával a teszteléshez, a tanuláshoz és a testreszabáshoz. Ezután fokozatosan növelje az üzembe helyezés hatókörét, amíg a teljes infrastruktúrára vagy szervezetre ki nem terjed.
Itt látható a Defender for Cloud Apps éles környezetben való kipróbálásának és üzembe helyezésének munkafolyamata.
Hajtsa végre az alábbi lépéseket:
- Csatlakozás Defender for Cloud Apps
- Integrálás a Végponthoz készült Microsoft Defender
- A naplógyűjtő üzembe helyezése a tűzfalakon és más proxykon
- Próbacsoport létrehozása
- Felhőalkalmazások felderítése és kezelése
- Feltételes hozzáférésű alkalmazásvezérlés konfigurálása
- Munkamenet-szabályzatok alkalmazása felhőalkalmazásokra
- Próbálja ki a további képességeket
Az egyes üzembehelyezési szakaszokhoz az alábbi javasolt lépések tartoznak.
Üzembe helyezési szakasz | Leírás |
---|---|
Kiértékel | Termékértékelés végrehajtása Defender for Cloud Apps. |
Pilóta | Hajtsa végre az 1–4. és az 5–8. lépést a felhőalapú alkalmazások megfelelő részhalmazához az éles környezetben. |
Teljes üzembe helyezés | Hajtsa végre az 5–8. lépést a fennmaradó felhőalkalmazások esetében, módosítsa a próbafelhasználói csoportok hatókörét, vagy adjon hozzá felhasználói csoportokat, hogy az a próbaüzemen túlra is kiterjedjen, és tartalmazza az összes felhasználói fiókját. |
Szervezet védelme a hackerek ellen
Defender for Cloud Apps önállóan nyújt hatékony védelmet. A Microsoft Defender XDR egyéb képességeivel kombinálva azonban Defender for Cloud Apps adatokat szolgáltat a megosztott jelekbe, amelyek együttesen segítenek a támadások leállításában.
Íme egy példa egy kibertámadásra, valamint arra, hogy a Microsoft Defender XDR összetevői hogyan segítenek észlelni és enyhíteni a támadást.
Defender for Cloud Apps észleli a rendellenes viselkedést, például a lehetetlen utazást, a hitelesítő adatokhoz való hozzáférést és a szokatlan letöltési, fájlmegosztási vagy levéltovábbítási tevékenységeket, és megjeleníti ezeket a viselkedéseket a Defender for Cloud Apps. Defender for Cloud Apps segít megelőzni a támadók oldalirányú mozgását és a bizalmas adatok kiszűrését.
Microsoft Defender XDR az összes Microsoft Defender összetevőtől érkező jeleket korrelálja a teljes támadási történet biztosítása érdekében.
Defender for Cloud Apps szerepkör casb-ként és egyebekként
A felhőelérési biztonsági közvetítő (CASB) a vállalati felhasználók és az általuk használt felhőerőforrások közötti valós idejű közvetítői hozzáférés közvetítőjeként működik, függetlenül attól, hogy a felhasználók hol tartózkodnak, és függetlenül attól, hogy milyen eszközt használnak. A szolgáltatott szoftver (SaaS) alkalmazások a hibrid munkakörnyezetekben mindenütt jelen vannak, és az SaaS-alkalmazások és az általuk tárolt fontos adatok védelme nagy kihívást jelent a szervezetek számára.
Az alkalmazáshasználat növekedése és a vállalati erőforrásokhoz a vállalati peremhálózaton kívül hozzáférő alkalmazottak együtt új támadási vektorokat is bevezetnek. Ezeknek a támadásoknak a hatékony leküzdéséhez a biztonsági csapatoknak olyan megközelítésre van szükségük, amely a felhőalkalmazásokon belül védi az adataikat a felhőelérési biztonsági közvetítők (CASB-k) hagyományos hatókörén túl.
Microsoft Defender for Cloud Apps teljes körű védelmet nyújt az SaaS-alkalmazások számára, így a felhőalkalmazások adatainak figyelése és védelme a következő funkciókban nyújt segítséget:
A felhőbeli hozzáférés biztonsági közvetítőjének (CASB) alapvető funkciói, például az árnyék informatikai felderítése, a felhőalkalmazások használatának láthatósága, az alkalmazásalapú fenyegetések elleni védelem a felhő bármely pontjáról, valamint az információvédelem és a megfelelőségi felmérések.
Az SaaS biztonsági helyzetkezelés (SSPM) funkciói, amelyek lehetővé teszik a biztonsági csapatok számára a szervezet biztonsági helyzetének javítását
A Komplex veszélyforrások elleni védelem a Microsoft kiterjesztett észlelési és reagálási (XDR) megoldásának részeként lehetővé teszi a jel és a láthatóság hatékony korrelációját a fejlett támadások teljes leállítási láncában
Alkalmazások közötti védelem, az alapvető fenyegetési forgatókönyvek kiterjesztése olyan OAuth-kompatibilis alkalmazásokra, amelyek engedélyekkel és jogosultságokkal rendelkeznek a kritikus fontosságú adatokra és erőforrásokra.
Felhőalkalmazás-felderítési módszerek
Defender for Cloud Apps nélkül a szervezet által használt felhőalkalmazások nem felügyeltek és nem védettek. A környezetben használt felhőalkalmazások felderítéséhez az alábbi módszerek egyikét vagy mindkettőt implementálhatja:
- Gyorsan üzembe helyezheti a Cloud Discoveryt a Végponthoz készült Microsoft Defender integrálásával. Ez a natív integráció lehetővé teszi, hogy azonnal megkezdje az adatok gyűjtését a felhőbeli forgalomról a Windows 10 és Windows 11 eszközein, a hálózaton belül és kívül.
- A hálózathoz csatlakoztatott összes eszköz által elért összes felhőalkalmazás felderítéséhez helyezze üzembe a Defender for Cloud Apps naplógyűjtőt a tűzfalakon és más proxykon. Ez az üzembe helyezés segít adatokat gyűjteni a végpontokról, és elemzés céljából elküldi azokat Defender for Cloud Apps. Defender for Cloud Apps natív módon integrálható néhány külső proxyval, hogy még több képességet biztosítsunk.
Ez a cikk mindkét módszerhez tartalmaz útmutatást.
1. lépés: Csatlakozás Defender for Cloud Apps
A licencelés ellenőrzéséhez és a Defender for Cloud Apps való csatlakozáshoz lásd: Rövid útmutató: A Microsoft Defender for Cloud Apps használatának első lépései.
Ha nem tud azonnal csatlakozni a portálhoz, előfordulhat, hogy hozzá kell adnia az IP-címet a tűzfal engedélyezési listájához. További információ: A Defender for Cloud Apps alapszintű beállítása.
Ha továbbra is problémákat tapasztal, tekintse át a hálózati követelményeket.
2. lépés: Integrálás Végponthoz készült Microsoft Defender
Microsoft Defender for Cloud Apps natív módon integrálható Végponthoz készült Microsoft Defender. Az integráció leegyszerűsíti a Cloud Discovery bevezetésének módját, kibővíti a Cloud Discovery képességeit a vállalati hálózaton, és lehetővé teszi az eszközalapú vizsgálatot. Ez az integráció azt mutatja be, hogy az informatikai felügyelet alatt álló Windows 10 és Windows 11 eszközökről elérhetők a felhőalkalmazások és -szolgáltatások.
Ha már beállította a Végponthoz készült Microsoft Defender, a Defender for Cloud Apps-integráció konfigurálása a Microsoft Defender XDR egyik kapcsolója. Az integráció bekapcsolása után visszatérhet a Defender for Cloud Apps, és megtekintheti a részletes adatokat a Cloud Discovery irányítópultján.
A feladatok elvégzéséhez lásd: Végponthoz készült Microsoft Defender integrálása Microsoft Defender for Cloud Apps.
3. lépés: A Defender for Cloud Apps naplógyűjtő üzembe helyezése a tűzfalakon és más proxykon
A hálózathoz csatlakoztatott összes eszköz lefedettsége érdekében helyezze üzembe a Defender for Cloud Apps naplógyűjtőt a tűzfalakon és más proxykon, hogy adatokat gyűjtsön a végpontokról, és elküldje azokat a Defender for Cloud Apps elemzés céljából. További információ: Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhez.
Defender for Cloud Apps beépített alkalmazás-összekötőket biztosít a népszerű felhőalkalmazásokhoz. Ezek az összekötők az alkalmazásszolgáltatók API-jait használják annak érdekében, hogy jobban átláthassák és szabályozhassák, hogyan használják ezeket az alkalmazásokat a szervezetben. További információ: Alkalmazások csatlakoztatása a láthatóság és az irányítás Microsoft Defender for Cloud Apps való használatához.
Ha a következő biztonságos webátjárók (SWG) egyikét használja, Defender for Cloud Apps zökkenőmentes üzembe helyezést és integrációt biztosít:
További információ: Felhőalkalmazások felderítése – áttekintés.
4. lépés: Próbacsoport létrehozása – A próbaüzem hatóköre bizonyos felhasználói csoportokra
Microsoft Defender for Cloud Apps lehetővé teszi az üzemelő példány hatókörének meghatározását. A hatókörkezelés lehetővé teszi bizonyos felhasználói csoportok kiválasztását az alkalmazások figyeléséhez vagy a monitorozásból való kizáráshoz. A felhasználói csoportokat belefoglalhatja vagy kizárhatja.
További információ: Üzemelő példány hatóköre adott felhasználókra vagy felhasználói csoportokra.
5. lépés: Felhőalkalmazások felderítése és kezelése
Ahhoz, hogy Defender for Cloud Apps maximális védelmet nyújthassa, fel kell derítenie a szervezet összes felhőalkalmazását, és kezelnie kell a használatuk módját.
Felhőalkalmazások felfedezése
A felhőalkalmazások használatának kezelésének első lépése a szervezet által használt felhőalkalmazások felderítése. Az alábbi ábra bemutatja, hogyan működik a felhőfelderítés Defender for Cloud Apps.
Ebben az ábrán két módszer áll rendelkezésre a hálózati forgalom monitorozására és a szervezet által használt felhőalkalmazások felderítésére.
A Cloud App Discovery natív módon integrálható Végponthoz készült Microsoft Defender. A Végponthoz készült Defender azt jelenti, hogy az informatikai felügyelet alatt álló Windows 10 és Windows 11 eszközökről elért felhőalkalmazások és szolgáltatások.
A hálózathoz csatlakozó összes eszköz lefedettsége érdekében telepítse a Defender for Cloud Apps naplógyűjtőt a tűzfalakra és más proxykra, hogy adatokat gyűjtsön a végpontokról. A gyűjtő elküldi ezeket az adatokat a Defender for Cloud Apps elemzésre.
A Cloud Discovery irányítópultjának megtekintése a szervezetben használt alkalmazások megtekintéséhez
A Cloud Discovery irányítópultja úgy lett kialakítva, hogy részletesebb betekintést nyújtson abba, hogyan használják a felhőalkalmazásokat a szervezetben. Áttekintést nyújt a használt alkalmazások típusairól, a nyitott riasztásokról és a szervezeten belüli alkalmazások kockázati szintjeiről.
További információ: Felderített alkalmazások megtekintése a Felhőfelderítés irányítópultjával.
Felhőalkalmazások kezelése
Miután felderíti a felhőalkalmazásokat, és elemzi, hogyan használja ezeket az alkalmazásokat a szervezete, megkezdheti a választott felhőalkalmazások kezelését.
Ebben az ábrán néhány alkalmazás használata engedélyezett. Az alkalmazások kezelésének egyszerű módja a szankcionálás. További információ: Felderített alkalmazások szabályozása.
6. lépés Feltételes hozzáférésű alkalmazásvezérlés konfigurálása
Az egyik leghatékonyabban konfigurálható védelem a feltételes hozzáférésű alkalmazások vezérlése. Ehhez a védelemhez integrálásra van szükség a Microsoft Entra ID. Lehetővé teszi a feltételes hozzáférési szabályzatok alkalmazását, beleértve a kapcsolódó szabályzatokat (például az kifogástalan eszközök megkövetelése) az Ön által engedélyezett felhőalkalmazásokra.
Előfordulhat, hogy már hozzáadott SaaS-alkalmazásokat a Microsoft Entra-bérlőhöz a többtényezős hitelesítés és más feltételes hozzáférési szabályzatok kényszerítése érdekében. Microsoft Defender for Cloud Apps natív módon integrálható a Microsoft Entra ID. Mindössze konfigurálnia kell egy szabályzatot a Microsoft Entra ID a feltételes hozzáférésű alkalmazások vezérlésének használatára Defender for Cloud Apps. Ez proxyként irányítja a felügyelt SaaS-alkalmazások hálózati forgalmát Defender for Cloud Apps, ami lehetővé teszi, hogy Defender for Cloud Apps monitorozza ezt a forgalmat, és munkamenet-vezérlőket alkalmazzon.
Ebben az ábrán:
- Az SaaS-alkalmazások integrálva vannak a Microsoft Entra-bérlővel. Ez az integráció lehetővé teszi, hogy Microsoft Entra ID feltételes hozzáférési szabályzatokat kényszerítsen, beleértve a többtényezős hitelesítést is.
- A rendszer hozzáad egy szabályzatot a Microsoft Entra ID, amely az SaaS-alkalmazások forgalmát Defender for Cloud Apps irányítja. A szabályzat határozza meg, hogy mely SaaS-alkalmazásokra alkalmazza ezt a szabályzatot. Miután Microsoft Entra ID kikényszeríti az saaS-alkalmazásokra vonatkozó feltételes hozzáférési szabályzatokat, Microsoft Entra ID a munkamenet-forgalmat Defender for Cloud Apps keresztül irányítja (proxyk).
- Defender for Cloud Apps figyeli ezt a forgalmat, és alkalmazza a rendszergazdák által konfigurált munkamenet-vezérlési házirendeket.
Előfordulhat, hogy olyan Defender for Cloud Apps használó felhőalapú alkalmazásokat fedezett fel és engedélyezett, amelyek nem lettek hozzáadva Microsoft Entra ID. A feltételes hozzáférési alkalmazás vezérlésének előnyeit kihasználhatja, ha hozzáadja ezeket a felhőalkalmazásokat a Microsoft Entra bérlőjéhez, valamint a feltételes hozzáférési szabályok hatókörét.
Az saaS-alkalmazások Microsoft Defender for Cloud Apps való kezelésének első lépése az alkalmazások felderítése, majd a Microsoft Entra-bérlőhöz való hozzáadása. Ha segítségre van szüksége a felderítéshez, olvassa el a SaaS-alkalmazások felderítése és kezelése a hálózatban című témakört. Miután felderített alkalmazásokat, adja hozzá ezeket az alkalmazásokat a Microsoft Entra bérlőjéhez.
Ezeket az alkalmazásokat a következő feladatokkal kezdheti el kezelni:
A Microsoft Entra ID hozzon létre egy új feltételes hozzáférési szabályzatot, és konfigurálja a Feltételes hozzáférési alkalmazásvezérlés használata beállításra. Ez a konfiguráció segít átirányítani a kérést a Defender for Cloud Apps. Létrehozhat egy szabályzatot, és hozzáadhatja az összes SaaS-alkalmazást ehhez a szabályzathoz.
Ezután a Defender for Cloud Apps hozzon létre munkamenet-szabályzatokat. Hozzon létre egy szabályzatot minden alkalmazni kívánt vezérlőhöz. További információ, beleértve a támogatott alkalmazásokat és ügyfeleket, lásd: Microsoft Defender for Cloud Apps munkamenet-szabályzatok létrehozása.
Mintaszabályzatokért lásd: SaaS-alkalmazások ajánlott Microsoft Defender for Cloud Apps szabályzatai. Ezek a szabályzatok olyan közös identitás- és eszközhozzáférés-szabályzatokra épülnek, amelyek kiindulópontként minden ügyfél számára ajánlottak.
7. lépés Munkamenet-szabályzatok alkalmazása felhőalkalmazásokra
Miután konfigurálta a munkamenet-szabályzatokat, alkalmazza őket a felhőalkalmazásokra, hogy szabályozott hozzáférést biztosítson ezekhez az alkalmazásokhoz.
Az ábrán:
- A szervezet felhasználóitól és eszközeitől származó engedélyezett felhőalkalmazásokhoz való hozzáférés Defender for Cloud Apps keresztül történik.
- A nem engedélyezett vagy explicit módon nem engedélyezett felhőalkalmazásokra nincs hatással.
A munkamenet-szabályzatokkal paramétereket alkalmazhat a felhőalkalmazások szervezet általi használatának módjára. Ha például a szervezete a Salesforce-ot használja, konfigurálhat egy munkamenet-szabályzatot, amely csak a felügyelt eszközök számára engedélyezi a szervezet adatainak elérését a Salesforce-on. Egyszerűbb példa lehet egy olyan szabályzat konfigurálása, amely monitorozza a nem felügyelt eszközökről érkező forgalmat, így a szigorúbb szabályzatok alkalmazása előtt elemezheti ennek a forgalomnak a kockázatát.
További információ: Feltételes hozzáférésű alkalmazásvezérlő Microsoft Defender for Cloud Apps.
8. lépés. Próbálja ki a további képességeket
Az alábbi Defender for Cloud Apps cikkek segítséget nyújtanak a kockázatok felderítésében és a környezet védelmében:
- Gyanús felhasználói tevékenység észlelése
- Kockázatos felhasználók vizsgálata
- Kockázatos OAuth-alkalmazások vizsgálata
- Bizalmas adatok felderítése és védelme
- A szervezet bármely alkalmazásának valós idejű védelme
- Bizalmas adatok letöltésének letiltása
- Fájlok védelme rendszergazdai karanténnal
- Fokozott hitelesítés megkövetelése kockázatos művelet esetén
Az Microsoft Defender for Cloud Apps adatok speciális veszélyforrás-kereséséről ebben a videóban talál további információt.
SIEM-integráció
A Defender for Cloud Apps integrálhatja a Microsoft Sentinel a Microsoft egységes biztonsági üzemeltetési platformjának részeként, vagy egy általános biztonsági információ- és eseménykezelési (SIEM) szolgáltatással, amely lehetővé teszi a csatlakoztatott alkalmazások riasztásainak és tevékenységeinek központosított figyelését. A Microsoft Sentinel átfogóbban elemezheti a szervezet biztonsági eseményeit, és forgatókönyveket hozhat létre a hatékony és azonnali reagálás érdekében.
Microsoft Sentinel tartalmaz egy Microsoft Defender az XDR-adatösszekötőhöz, a Defender XDR minden jelének , beleértve a Defender for Cloud Apps Microsoft Sentinel. Használja a Defender portált egységes biztonsági műveletek (SecOps) platformként.
További információ:
- Microsoft Sentinel csatlakoztatása a Microsoft Defender portálhoz
- Microsoft Sentinel integráció
- Általános SIEM-integráció
További lépés
Életciklus-kezelést végezhet Defender for Cloud Apps.
A Microsoft Defender XDR teljes körű üzembe helyezésének következő lépése
Folytassa a Microsoft Defender XDR teljes körű üzembe helyezését a Vizsgálat és válasz Microsoft Defender XDR használatával című témakörben.
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.