Ajánlott eljárások a szervezet védelméhez a Defender for Cloud Apps
Ez a cikk ajánlott eljárásokat tartalmaz a szervezet Microsoft Defender for Cloud Apps használatával történő védelméhez. Ezek az ajánlott eljárások a Defender for Cloud Apps és az Önhöz hasonló ügyfelek tapasztalataiból származnak.
A cikkben ismertetett ajánlott eljárások a következők:
- Felhőalkalmazások felderítése és értékelése
- Felhőszabályozási szabályzatok alkalmazása
- A megosztott adatok közzétételének korlátozása és együttműködési szabályzatok kikényszerítése
- A felhőben tárolt szabályozott és bizalmas adatok felderítése, besorolása, címkézése és védelme
- DLP- és megfelelőségi szabályzatok kényszerítése a felhőben tárolt adatokhoz
- Bizalmas adatok letöltésének letiltása és védelme nem felügyelt vagy kockázatos eszközökre
- Biztonságos együttműködés külső felhasználókkal valós idejű munkamenet-vezérlők kényszerítésével
- Felhőbeli fenyegetések, feltört fiókok, rosszindulatú insiderek és zsarolóprogramok észlelése
- A tevékenységek auditnaplójának használata törvényszéki vizsgálatokhoz
- Biztonságos IaaS-szolgáltatások és egyéni alkalmazások
Felhőalkalmazások felderítése és értékelése
A Defender for Cloud Apps és a Végponthoz készült Microsoft Defender integrálása lehetővé teszi a felhőfelderítés vállalati hálózaton vagy biztonságos webátjárókon túli használatát. A felhasználó- és eszközadatok együttes használatával azonosíthatja a kockázatos felhasználókat vagy eszközöket, megtekintheti, hogy milyen alkalmazásokat használnak, és további vizsgálatokat végezhet a Végponthoz készült Defender portálon.
Ajánlott eljárás: Árnyék-informatikai felderítés engedélyezése a Végponthoz készült Defenderrel
Részletek: A felhőfelderítés elemzi a Végponthoz készült Defender által gyűjtött forgalmi naplókat, és kiértékeli az azonosított alkalmazásokat a felhőalkalmazás-katalógusban a megfelelőségi és biztonsági információk biztosítása érdekében. A felhőfelderítés konfigurálásával betekintést nyerhet a felhőhasználatba, az árnyék informatikába és a felhasználók által használt nem engedélyezett alkalmazások folyamatos monitorozásába.
További információ:
- Végponthoz készült Microsoft Defender integráció a Defender for Cloud Apps
- Felhőfelderítés beállítása
- Árnyék informatikai részleg felderítése és kezelése a hálózatban
Ajánlott eljárás: Alkalmazásfelderítési szabályzatok konfigurálása a kockázatos, nem megfelelő és népszerű alkalmazások proaktív azonosításához
Részletek: Az alkalmazásfelderítési szabályzatok megkönnyítik a szervezet jelentős felderített alkalmazásainak nyomon követését, hogy hatékonyan kezelhesse ezeket az alkalmazásokat. Szabályzatok létrehozásával riasztásokat kaphat a kockázatosként, nem megfelelőként, trendként vagy nagy mennyiségben azonosított új alkalmazások észlelésekor.
További információ:
- Felhőfelderítési szabályzatok
- Felhőfelderítési anomáliadetektálási szabályzat
- Azonnali viselkedéselemzés és anomáliadetektálás
Ajánlott eljárás: A felhasználók által engedélyezett OAuth-alkalmazások kezelése
Részletek: Sok felhasználó véletlenül OAuth-engedélyeket ad külső alkalmazásoknak a fiókadatok eléréséhez, és ezzel véletlenül más felhőalkalmazásokban is hozzáférést biztosít az adataikhoz. Az informatikai rendszer általában nem rendelkezik betekintéssel ezekbe az alkalmazásokba, ami megnehezíti az alkalmazások biztonsági kockázatának mérlegelését az általa biztosított hatékonysági előnyökkel szemben.
Defender for Cloud Apps lehetővé teszi a felhasználók által megadott alkalmazásengedélyek vizsgálatát és monitorozását. Ez az információ felhasználható egy potenciálisan gyanús alkalmazás azonosítására, és ha azt állapítja meg, hogy kockázatos, megtilthatja a hozzáférést.
További információ:
Felhőszabályozási szabályzatok alkalmazása
Ajánlott eljárás: Alkalmazások címkézése és blokkszkriptek exportálása
Részletek: Miután áttekintette a szervezetében talált alkalmazások listáját, megvédheti környezetét a nemkívánatos alkalmazások használata ellen. Az Engedélyezett címkét alkalmazhatja a szervezet által jóváhagyott alkalmazásokra, a Nem engedélyezett címkét pedig a nem engedélyezett alkalmazásokra. A nem engedélyezett alkalmazásokat felderítési szűrőkkel figyelheti, vagy exportálhat egy szkriptet, hogy letiltsa a nem engedélyezett alkalmazásokat a helyszíni biztonsági berendezésekkel. Címkék és exportálási szkriptek használatával rendszerezheti az alkalmazásokat, és megvédheti környezetét, ha csak biztonságos alkalmazások elérését engedélyezi.
További információ:
A megosztott adatok közzétételének korlátozása és együttműködési szabályzatok kikényszerítése
Ajánlott eljárás: A Microsoft 365 csatlakoztatása
Részletek: A Microsoft 365 csatlakoztatása Defender for Cloud Apps azonnali betekintést nyújt a felhasználók tevékenységeibe, az általuk elért fájlokba, és irányítási műveleteket biztosít a Microsoft 365, a SharePoint, a OneDrive, a Teams, a Power BI, az Exchange és a Dynamics számára.
További információ:
Ajánlott eljárás: Alkalmazások csatlakoztatása
Részletek: Ha az alkalmazásokat Defender for Cloud Apps csatlakoztatja, jobb betekintést nyújt a felhasználók tevékenységeibe, a fenyegetésészlelésbe és a szabályozási képességekbe. Ha meg szeretné nézni, hogy mely külső alkalmazás API-k támogatottak, lépjen az Alkalmazások csatlakoztatása területre.
További információ:
Ajánlott eljárás: Szabályzatok létrehozása a személyes fiókokkal való megosztás eltávolításához
Részletek: A Microsoft 365 csatlakoztatása Defender for Cloud Apps azonnali betekintést nyújt a felhasználók tevékenységeibe, az általuk elért fájlokba, és irányítási műveleteket biztosít a Microsoft 365, a SharePoint, a OneDrive, a Teams, a Power BI, az Exchange és a Dynamics számára.
További információ:
A felhőben tárolt szabályozott és bizalmas adatok felderítése, besorolása, címkézése és védelme
Ajánlott eljárás: Integrálás Microsoft Purview információvédelem
Részletek: A Microsoft Purview információvédelem integrálása lehetővé teszi a bizalmassági címkék automatikus alkalmazását és opcionális titkosítási védelem hozzáadását. Ha az integráció be van kapcsolva, címkéket alkalmazhat cégirányítási műveletként, megtekintheti a fájlokat besorolás szerint, megvizsgálhatja a fájlokat besorolási szint szerint, és részletes szabályzatokat hozhat létre a besorolt fájlok megfelelő kezelése érdekében. Ha nem kapcsolja be az integrációt, nem használhatja ki a fájlok automatikus vizsgálatát, címkézését és titkosítását a felhőben.
További információ:
- Microsoft Purview információvédelem integráció
- Oktatóanyag: Bizalmassági címkék automatikus alkalmazása Microsoft Purview információvédelem
Ajánlott eljárás: Adatexpozíciós szabályzatok létrehozása
Részletek: Fájlszabályzatok használatával észlelheti az információmegosztást, és bizalmas információkat kereshet a felhőalkalmazásokban. Hozza létre a következő fájlszabályzatokat, amelyek riasztást adnak az adatexpozíciók észlelésekor:
- Bizalmas adatokat külsőleg megosztott fájlok
- Külsőleg megosztott és bizalmas címkével ellátott fájlok
- Jogosulatlan tartományokkal megosztott fájlok
- Bizalmas fájlok védelme SaaS-alkalmazásokban
További információ:
Ajánlott eljárás: Jelentések áttekintése a Fájlok lapon
Részletek: Miután alkalmazás-összekötőkkel csatlakoztatta a különböző SaaS-alkalmazásokat, Defender for Cloud Apps megvizsgálja az alkalmazások által tárolt fájlokat. Ezenkívül minden alkalommal, amikor egy fájlt módosítanak, a rendszer újra beolvasja. A Fájlok lapon megismerheti és megvizsgálhatja a felhőalkalmazásokban tárolt adattípusokat. A vizsgálat elősegítése érdekében tartományok, csoportok, felhasználók, létrehozás dátuma, kiterjesztés, fájlnév és típus, fájlazonosító, bizalmassági címke stb. szerint szűrhet. Ezek a szűrők lehetővé teszik, hogy ön döntse el, hogyan vizsgálja ki a fájlokat, hogy az adatok ne legyenek veszélyben. Miután jobban megismerte az adatok felhasználását, szabályzatokat hozhat létre a fájlok bizalmas tartalmának kereséséhez.
További információ:
DLP- és megfelelőségi szabályzatok kényszerítése a felhőben tárolt adatokhoz
Ajánlott eljárás: A bizalmas adatok külső felhasználókkal való megosztásának védelme
Részletek: Hozzon létre egy fájlszabályzatot, amely észleli, ha egy felhasználó bizalmas bizalmassági címkével próbál meg megosztani egy fájlt a szervezeten kívüli személyekkel, és konfigurálja a cégirányítási műveletet a külső felhasználók eltávolítására. Ez a szabályzat biztosítja, hogy a bizalmas adatok ne lépjenek ki a szervezetből, és a külső felhasználók nem férhetnek hozzá.
További információ:
Bizalmas adatok letöltésének letiltása és védelme nem felügyelt vagy kockázatos eszközökre
Ajánlott eljárás: Magas kockázatú eszközökhöz való hozzáférés kezelése és szabályozása
Részletek: Az SaaS-alkalmazások vezérlőinek beállításához használja a feltételes hozzáférésű alkalmazásvezérlőt. Munkamenet-szabályzatokat hozhat létre a magas kockázatú, alacsony megbízhatóságú munkamenetek monitorozásához. Hasonlóképpen munkamenet-szabályzatokat is létrehozhat, amelyek blokkolják és védik a nem felügyelt vagy kockázatos eszközökről származó bizalmas adatokhoz hozzáférni próbáló felhasználók letöltéseit. Ha nem hoz létre munkamenet-szabályzatokat a magas kockázatú munkamenetek monitorozásához, elveszíti a webes ügyfél letöltéseinek letiltásának és védelmének képességét, valamint az alacsony megbízhatóságú munkamenetek figyelésének képességét mind a Microsoft, mind a külső alkalmazásokban.
További információ:
- Alkalmazások védelme Microsoft Defender for Cloud Apps feltételes hozzáférésű alkalmazásvezérlővel
- Munkamenet-szabályzatok
Biztonságos együttműködés külső felhasználókkal valós idejű munkamenet-vezérlők kényszerítésével
Ajánlott eljárás: Munkamenetek figyelése külső felhasználókkal feltételes hozzáférésű alkalmazásvezérlés használatával
Részletek: A környezetbeli együttműködés biztonságossá tételéhez létrehozhat egy munkamenet-szabályzatot a belső és külső felhasználók közötti munkamenetek figyeléséhez. Ez nemcsak lehetővé teszi a felhasználók közötti munkamenet monitorozását (és a munkamenet-tevékenységek figyelésének értesítését), hanem adott tevékenységek korlátozását is lehetővé teszi. Amikor munkamenet-szabályzatokat hoz létre a tevékenységek figyeléséhez, kiválaszthatja a figyelni kívánt alkalmazásokat és felhasználókat.
További információ:
- Alkalmazások védelme Microsoft Defender for Cloud Apps feltételes hozzáférésű alkalmazásvezérlővel
- Munkamenet-szabályzatok
Felhőbeli fenyegetések, feltört fiókok, rosszindulatú insiderek és zsarolóprogramok észlelése
Ajánlott eljárás: Anomáliadetektálási szabályzatok finomhangolása, IP-tartományok beállítása, visszajelzés küldése riasztásokhoz
Részletek: Az anomáliadetektálási szabályzatok beépített felhasználói és entitásviselkedési elemzéseket (UEBA) és gépi tanulást (ML) biztosítanak, így azonnal futtathatja a fejlett fenyegetésészlelést a felhőkörnyezetben.
Az anomáliadetektálási szabályzatok akkor aktiválódnak, ha a felhasználók szokatlan tevékenységeket végeznek a környezetben. Defender for Cloud Apps folyamatosan figyeli a felhasználók tevékenységeit, és az UEBA és az ML használatával tanulja meg és értelmezi a felhasználók normál viselkedését. A szabályzatbeállításokat a szervezeti követelményeknek megfelelően hangolhatja, például beállíthatja egy szabályzat érzékenységét, valamint egy szabályzat hatókörét egy adott csoportra.
Anomáliadetektálási szabályzatok finomhangolása és hatóköre: Ha például csökkenteni szeretné a téves riasztások számát a lehetetlen utazási riasztáson belül, állítsa a házirend bizalmassági csúszkája alacsonyra. Ha a szervezet olyan felhasználóival rendelkezik, amelyek gyakori vállalati utazók, hozzáadhatja őket egy felhasználói csoporthoz, és kiválaszthatja azt a csoportot a szabályzat hatókörében.
IP-címtartományok beállítása: Defender for Cloud Apps az IP-címtartományok beállítása után azonosítani tudja az ismert IP-címeket. Az IP-címtartományok konfigurálásával címkézheti, kategorizálhatja és testre szabhatja a naplók és riasztások megjelenítésének és vizsgálatának módját. Az IP-címtartományok hozzáadásával csökkenthető a téves pozitív észlelések száma, és javítható a riasztások pontossága. Ha úgy dönt, hogy nem adja hozzá az IP-címeket, a lehetséges téves riasztások és riasztások számának növekedése jelenhet meg a vizsgálathoz.
Visszajelzés küldése riasztásokhoz
A riasztások bezárásakor vagy feloldásakor mindenképpen küldjön visszajelzést azzal az okkal, hogy miért utasította el a riasztást, vagy hogyan oldotta meg. Ezek az információk segítenek Defender for Cloud Apps a riasztások javításában és a téves riasztások csökkentésében.
További információ:
Ajánlott eljárás: Nem várt helyekről vagy országokból/régiókból származó tevékenységek észlelése
Részletek: Hozzon létre egy tevékenységszabályzatot, amely értesíti, ha a felhasználók váratlan helyekről vagy országokból/régiókból jelentkeznek be. Ezek az értesítések figyelmeztethetik a környezetében esetleg feltört munkamenetekre, hogy észlelhesse és orvosolhassa a fenyegetéseket, mielőtt azok bekövetkeznének.
További információ:
Ajánlott eljárás: OAuth-alkalmazásszabályzatok létrehozása
Részletek: Hozzon létre egy OAuth-alkalmazásszabályzatot, amely értesíti Önt, ha egy OAuth-alkalmazás megfelel bizonyos feltételeknek. Beállíthatja például, hogy értesítést kapjon, ha egy magas szintű jogosultsági szintet igénylő alkalmazáshoz több mint 100 felhasználó fért hozzá.
További információ:
A tevékenységek auditnaplójának használata törvényszéki vizsgálatokhoz
Ajánlott eljárás: A tevékenységek auditnaplójának használata riasztások vizsgálatakor
Részletek: A riasztások akkor aktiválódnak, ha a felhasználói, rendszergazdai vagy bejelentkezési tevékenységek nem felelnek meg a szabályzatoknak. Fontos megvizsgálni a riasztásokat, hogy kiderüljön, van-e lehetséges fenyegetés a környezetben.
A riasztások kivizsgálásához válassza ki a riasztást a Riasztások lapon, és tekintse át az adott riasztással kapcsolatos tevékenységek auditnaplóját. Az auditnapló betekintést nyújt az azonos típusú, azonos felhasználójú, azonos IP-címmel és tartózkodási hellyel rendelkező tevékenységekbe, hogy a riasztások teljes történetét ismertethesse. Ha egy riasztás további vizsgálatot indokol, hozzon létre egy tervet a riasztások megoldásához a szervezetben.
A riasztások elvetésekor fontos megvizsgálni és megérteni, hogy miért nem fontosak, vagy ha hamis pozitívak. Ha nagy mennyiségű ilyen tevékenység van, érdemes lehet áttekinteni és finomhangolni a riasztást kiváltó szabályzatot.
További információ:
Biztonságos IaaS-szolgáltatások és egyéni alkalmazások
Ajánlott eljárás: Az Azure, az AWS és a GCP csatlakoztatása
Részletek: Az egyes felhőplatformok Defender for Cloud Apps csatlakoztatásával javíthatja a fenyegetésészlelési képességeket. A szolgáltatások rendszergazdai és bejelentkezési tevékenységeinek monitorozásával észlelheti és értesítheti a lehetséges találgatásos támadásokat, a kiemelt jogosultságú felhasználói fiókok rosszindulatú használatát és a környezetben előforduló egyéb fenyegetéseket. Azonosíthatja például a kockázatokat, például a virtuális gépek szokatlan törlését vagy akár a megszemélyesítési tevékenységeket ezekben az alkalmazásokban.
További információ:
- Az Azure csatlakoztatása Microsoft Defender for Cloud Apps
- Az Amazon Web Services csatlakoztatása Microsoft Defender for Cloud Apps
- A Google Workspace csatlakoztatása Microsoft Defender for Cloud Apps
Ajánlott eljárás: Egyéni alkalmazások előkészítése
Részletek: Ha további betekintést szeretne nyerni az üzletági alkalmazások tevékenységeibe, egyéni alkalmazásokat hozhat Defender for Cloud Apps. Miután konfigurálta az egyéni alkalmazásokat, láthatja, hogy ki használja őket, milyen IP-címekről használják őket, és hogy mekkora forgalom érkezik az alkalmazásba és kifelé.
Emellett az egyéni alkalmazásokat feltételes hozzáférésű alkalmazásvezérlő alkalmazásként is regisztrálhatja, így figyelheti az alacsony megbízhatóságú munkameneteket. Microsoft Entra ID alkalmazások előkészítése automatikusan megtörténik.
További információ: