Megosztás a következőn keresztül:


A Microsoft Defender for Cloud Apps próbaüzeme és üzembe helyezése

Érintett szolgáltatás:

  • Microsoft Defender XDR

Ez a cikk egy munkafolyamatot biztosít a Microsoft Defender for Cloud Apps kipróbálásához és üzembe helyezéséhez a szervezetben. Ezekkel a javaslatokkal a Microsoft Defender for Cloud Appst egyéni kiberbiztonsági eszközként vagy a Microsoft Defender XDR teljes körű megoldásának részeként készítheti elő.

Ez a cikk feltételezi, hogy éles Microsoft 365-bérlővel rendelkezik, és ebben a környezetben teszteli és telepíti a Microsoft Defender for Cloud Appst. Ez a gyakorlat megőrzi a próbaüzem során konfigurált beállításokat és testreszabásokat a teljes üzembe helyezéshez.

Az Office 365-höz készült Defender azzal járul hozzá a zéró megbízhatóságú architektúrához, hogy segít megelőzni vagy csökkenteni a biztonsági incidensekből eredő üzleti károkat. További információ: A Microsoft Zero Trust bevezetési keretrendszerének üzleti incidensből eredő üzleti kárainak megelőzése vagy csökkentése .

Teljes körű üzembe helyezés a Microsoft Defender XDR-hez

Ez egy sorozat 6/5. cikke, amely segítséget nyújt a Microsoft Defender XDR összetevőinek üzembe helyezéséhez, beleértve az incidensek kivizsgálását és megválaszolását.

Diagram a Microsoft Defender for Cloud Apps próbaüzemében és a Microsoft Defender XDR-folyamat üzembe helyezéséről.

Az ebben a sorozatban szereplő cikkek a teljes üzembe helyezés következő fázisainak felelnek meg:

Fázis Láncszem
Egy. A próbaüzem indítása A próbaüzem indítása
B. Microsoft Defender XDR-összetevők kipróbálása és üzembe helyezése - A Defender for Identity próbaüzeme és üzembe helyezése

- Az Office 365-höz készült Defender próbaüzeme és üzembe helyezése

- Végponthoz készült Defender próbaüzeme és üzembe helyezése

- A Microsoft Defender for Cloud Apps próbaüzeme és üzembe helyezése (ez a cikk)
C. Veszélyforrások vizsgálata és reagálás rájuk Incidensvizsgálat és reagálás gyakorlata

A Defender for Cloud Apps próba- és üzembe helyezési munkafolyamata

Az alábbi ábra egy termék vagy szolgáltatás informatikai környezetben történő üzembe helyezésének gyakori folyamatát szemlélteti.

A próbaüzem, a kiértékelés és a teljes üzembe helyezés bevezetési fázisának ábrája.

Első lépésként értékelje ki a terméket vagy szolgáltatást, és hogy hogyan fog működni a szervezeten belül. Ezután tesztelheti a terméket vagy szolgáltatást az éles infrastruktúra megfelelő kis részhalmazával a teszteléshez, a tanuláshoz és a testreszabáshoz. Ezután fokozatosan növelje az üzembe helyezés hatókörét, amíg a teljes infrastruktúrára vagy szervezetre ki nem terjed.

Az alábbi munkafolyamat a Defender for Cloud Apps éles környezetben való kipróbálására és üzembe helyezésére vonatkozik.

A Microsoft Defender for Cloud Apps próba- és üzembe helyezési munkafolyamatát bemutató diagram.

Hajtsa végre az alábbi lépéseket:

  1. Csatlakozás a Defender for Cloud Apps portálhoz
  2. Integrálás a Végponthoz készült Microsoft Defenderrel
  3. A naplógyűjtő üzembe helyezése a tűzfalakon és más proxykon
  4. Próbacsoport létrehozása
  5. Felhőalkalmazások felderítése és kezelése
  6. Feltételes hozzáférésű alkalmazásvezérlő konfigurálása
  7. Munkamenet-szabályzatok alkalmazása felhőalkalmazásokra
  8. Próbálja ki a további képességeket

Az egyes üzembehelyezési szakaszokhoz az alábbi javasolt lépések tartoznak.

Üzembe helyezési szakasz Leírás
Kiértékel Termékértékelés végrehajtása a Defender for Cloud Appshez.
Pilóta Hajtsa végre az 1–4. és az 5–8. lépést a felhőalapú alkalmazások megfelelő részhalmazához az éles környezetben.
Teljes üzembe helyezés Hajtsa végre az 5–8. lépést a fennmaradó felhőalkalmazások esetében, módosítsa a próbafelhasználói csoportok hatókörét, vagy adjon hozzá felhasználói csoportokat, hogy az a próbaüzemen túlra is kiterjedjen, és tartalmazza az összes felhasználói fiókját.

Szervezet védelme a hackerek ellen

A Defender for Cloud Apps önállóan nyújt hatékony védelmet. A Microsoft Defender XDR egyéb képességeivel kombinálva azonban a Defender for Cloud Apps adatokat biztosít a megosztott jelekbe, amelyek együttesen segítenek a támadások leállításában.

Íme egy példa egy kibertámadásra, valamint arra, hogy a Microsoft Defender XDR összetevői hogyan segítenek észlelni és enyhíteni azt.

Diagram, amely bemutatja, hogyan állítja le a Microsoft Defender XDR a fenyegetésláncot.

A Defender for Cloud Apps észleli az olyan rendellenes viselkedéseket, mint a lehetetlen utazás, a hitelesítő adatokhoz való hozzáférés és a szokatlan letöltési, fájlmegosztási vagy levéltovábbítási tevékenységek, és megjeleníti ezeket a viselkedéseket a Defender for Cloud Apps portálon. A Defender for Cloud Apps emellett segít megelőzni a támadók oldalirányú mozgását és a bizalmas adatok kiszűrését.

A Microsoft Defender XDR korrelálja az összes Microsoft Defender-összetevő jeleit, hogy teljes körű támadási történetet biztosítson.

A Defender for Cloud Apps szerepkör CASB-ként

A felhőelérési biztonsági közvetítő (CASB) a vállalati felhasználók és az általuk használt felhőerőforrások közötti valós idejű közvetítői hozzáférés közvetítőjeként működik, függetlenül attól, hogy a felhasználók hol tartózkodnak, és függetlenül attól, hogy milyen eszközt használnak. A Defender for Cloud Apps egy CASB a szervezet felhőalkalmazásaihoz. A Defender for Cloud Apps natív módon integrálható a Microsoft biztonsági képességeivel, beleértve a Microsoft Defender XDR-t is.

A Defender for Cloud Apps nélkül a szervezet által használt felhőalkalmazások nem felügyeltek és nem védettek.

Diagram, amely a szervezet által nem felügyelt és védett felhőalkalmazásokat mutatja be.

Az ábrán:

  • A felhőalkalmazások szervezet általi használata nem figyelt és nem védett.
  • Ez a használat kívül esik a felügyelt szervezeten belül elérhető védelemen.

A környezetben használt felhőalkalmazások felderítéséhez az alábbi módszerek egyikét vagy mindkettőt implementálhatja:

  • A Végponthoz készült Microsoft Defender integrálásával gyorsan üzembe helyezheti a Cloud Discoveryt. Ez a natív integráció lehetővé teszi, hogy azonnal megkezdje az adatok gyűjtését a felhőbeli forgalomról a Windows 10- és Windows 11-eszközökön a hálózaton belül és kívül.
  • A hálózathoz csatlakoztatott összes eszköz által elért összes felhőalkalmazás felderítéséhez telepítse a Defender for Cloud Apps naplógyűjtőt a tűzfalakon és más proxykon. Ez az üzembe helyezés segít adatokat gyűjteni a végpontokról, és elemzés céljából elküldi azokat a Defender for Cloud Appsnek. A Defender for Cloud Apps natív módon integrálható néhány külső proxyval a még több képesség érdekében.

Ez a cikk mindkét módszerhez tartalmaz útmutatást.

1. lépés: Csatlakozás a Defender for Cloud Apps portálhoz

A licencelés ellenőrzéséhez és a Defender for Cloud Apps portálhoz való csatlakozáshoz lásd : Rövid útmutató: A Microsoft Defender for Cloud Apps használatának első lépései.

Ha nem tud azonnal csatlakozni a portálhoz, előfordulhat, hogy hozzá kell adnia az IP-címet a tűzfal engedélyezési listájához. Lásd: A Defender for Cloud Apps alapszintű beállítása.

Ha továbbra is problémákat tapasztal, tekintse át a hálózati követelményeket.

2. lépés: Integrálás a Végponthoz készült Microsoft Defenderrel

A Microsoft Defender for Cloud Apps natív módon integrálható a Végponthoz készült Microsoft Defenderrel. Az integráció leegyszerűsíti a Cloud Discovery bevezetésének módját, kibővíti a Cloud Discovery képességeit a vállalati hálózaton, és lehetővé teszi az eszközalapú vizsgálatot. Ez az integráció megmutatja, hogy az informatikai felügyelet alatt álló Windows 10- és Windows 11-eszközökről milyen felhőalkalmazások és szolgáltatások érhetők el.

Ha már beállította a Végponthoz készült Microsoft Defendert, a Defender for Cloud Apps integrációjának konfigurálása a Microsoft Defender XDR egyik kapcsolója. Az integráció bekapcsolása után visszatérhet a Defender for Cloud Apps portálra, és részletes adatokat tekinthet meg a Cloud Discovery irányítópultján.

A feladatok elvégzéséhez lásd: Végponthoz készült Microsoft Defender integrációja a Microsoft Defender for Cloud Apps szolgáltatással.

3. lépés: A Defender for Cloud Apps naplógyűjtőjének üzembe helyezése a tűzfalakon és más proxykon

A hálózathoz csatlakoztatott összes eszköz lefedettsége érdekében telepítse a Defender for Cloud Apps naplógyűjtőt a tűzfalakon és más proxykon, hogy adatokat gyűjtsön a végpontokról, és elküldje azokat a Defender for Cloud Appsnek elemzés céljából.

Ha a következő biztonságos webátjárók (SWG) egyikét használja, a Defender for Cloud Apps zökkenőmentes üzembe helyezést és integrációt biztosít:

  • Zscaler
  • iboss
  • Corrata
  • Menlo Security

Az ezekkel a hálózati eszközökkel való integrációval kapcsolatos további információkért lásd: A Cloud Discovery beállítása.

4. lépés: Próbacsoport létrehozása – A próbaüzem hatóköre bizonyos felhasználói csoportokra

A Microsoft Defender for Cloud Apps lehetővé teszi az üzemelő példány hatókörének meghatározását. A hatókörkezelés lehetővé teszi bizonyos felhasználói csoportok kiválasztását az alkalmazások figyeléséhez vagy a monitorozásból való kizáráshoz. A felhasználói csoportokat belefoglalhatja vagy kizárhatja. A próbaüzem hatókörének meghatározásához lásd: Hatókörön belüli üzembe helyezés.

5. lépés: Felhőalkalmazások felderítése és kezelése

Ahhoz, hogy a Defender for Cloud Apps maximális védelmet nyújtson, fel kell derítenie a szervezet összes felhőalkalmazását, és kezelnie kell a használatuk módját.

Felhőalkalmazások felfedezése

A felhőalkalmazások használatának kezelésének első lépése a szervezet által használt felhőalkalmazások felderítése. Ez a következő ábra bemutatja, hogyan működik a felhőfelderítés a Defender for Cloud Appsszel.

A Felhőfelderítéssel rendelkező Microsoft Defender for Cloud Apps architektúráját bemutató diagram.

Ebben az ábrán két módszer áll rendelkezésre a hálózati forgalom monitorozására és a szervezet által használt felhőalkalmazások felderítésére.

  1. A Cloud App Discovery natív módon integrálható a Végponthoz készült Microsoft Defenderrel. A Végponthoz készült Defender azt jelenti, hogy az informatikai felügyelet alatt álló Windows 10- és Windows 11-eszközökről elérhetők a felhőalkalmazások és -szolgáltatások.

  2. A hálózathoz csatlakozó összes eszköz lefedettsége érdekében telepítse a Defender for Cloud Apps naplógyűjtőt a tűzfalakra és más proxykra, hogy adatokat gyűjtsön a végpontokról. A gyűjtő elküldi ezeket az adatokat a Defender for Cloud Appsnek elemzés céljából.

A Cloud Discovery irányítópultjának megtekintése a szervezetben használt alkalmazások megtekintéséhez

A Cloud Discovery irányítópultjának célja, hogy részletesebb betekintést nyújtson abba, hogyan használják a felhőalkalmazásokat a szervezetben. Áttekintést nyújt a használt alkalmazások típusairól, a nyitott riasztásokról és a szervezeten belüli alkalmazások kockázati szintjeiről.

A Cloud Discovery irányítópult használatának megkezdéséhez lásd: A felderített alkalmazások használata.

Felhőalkalmazások kezelése

Miután felderíti a felhőalkalmazásokat, és elemzi, hogyan használja ezeket az alkalmazásokat a szervezete, megkezdheti a választott felhőalkalmazások kezelését.

Diagram a Felhőalkalmazásokhoz készült Microsoft Defender architektúrájáról a felhőalkalmazások kezeléséhez.

Ebben az ábrán:

  • Egyes alkalmazások használata engedélyezett. Az alkalmazások kezelésének egyszerű módja a szankcionálás.
  • Az alkalmazások alkalmazás-összekötőkkel való összekapcsolásával nagyobb átláthatóságot és szabályozást tehet lehetővé. Az alkalmazás-összekötők az alkalmazásszolgáltatók API-jait használják.

Megkezdheti az alkalmazások felügyeletét az alkalmazások engedélyezésével, letiltásával vagy végleges letiltásával. Az alkalmazások kezelésének megkezdéséhez lásd: Felderített alkalmazások szabályozása.

6. lépés Feltételes hozzáférésű alkalmazásvezérlő konfigurálása

Az egyik leghatékonyabban konfigurálható védelem a feltételes hozzáférésű alkalmazásvezérlés. Ehhez a védelemhez integrálásra van szükség a Microsoft Entra-azonosítóval. Lehetővé teszi a feltételes hozzáférési szabályzatok alkalmazását, beleértve a kapcsolódó szabályzatokat (például az kifogástalan eszközök megkövetelése) az Ön által engedélyezett felhőalkalmazásokra.

Előfordulhat, hogy már hozzáadott SaaS-alkalmazásokat a Microsoft Entra-bérlőhöz a többtényezős hitelesítés és más feltételes hozzáférési szabályzatok kényszerítése érdekében. A Microsoft Defender for Cloud Apps natív módon integrálható a Microsoft Entra ID azonosítóval. Mindössze konfigurálnia kell egy szabályzatot a Microsoft Entra ID-ban a feltételes hozzáférés alkalmazásvezérlőjének használatára a Defender for Cloud Appsben. Ez proxyként irányítja a felügyelt SaaS-alkalmazások hálózati forgalmát a Defender for Cloud Appsen keresztül, amely lehetővé teszi a Defender for Cloud Apps számára a forgalom monitorozását és munkamenet-vezérlők alkalmazását.

Az SaaS-alkalmazásokkal rendelkező Microsoft Defender for Cloud Apps architektúráját bemutató ábra.

Ebben az ábrán:

  • Az SaaS-alkalmazások integrálva vannak a Microsoft Entra-bérlővel. Ez az integráció lehetővé teszi, hogy a Microsoft Entra ID feltételes hozzáférési szabályzatokat kényszerítsen ki, beleértve a többtényezős hitelesítést is.
  • A Rendszer hozzáad egy szabályzatot a Microsoft Entra-azonosítóhoz, amely átirányítja az SaaS-alkalmazások forgalmát a Defender for Cloud Appsbe. A szabályzat határozza meg, hogy mely SaaS-alkalmazásokra alkalmazza ezt a szabályzatot. Miután a Microsoft Entra ID kikényszeríti az saaS-alkalmazásokra vonatkozó feltételes hozzáférési szabályzatokat, a Microsoft Entra ID a munkamenet-forgalmat a Defender for Cloud Appsen keresztül irányítja (proxyk).
  • A Defender for Cloud Apps figyeli ezt a forgalmat, és alkalmazza a rendszergazdák által konfigurált munkamenet-vezérlési szabályzatokat.

Előfordulhat, hogy olyan felhőalkalmazásokat fedezett fel és engedélyezett a Felhőalkalmazásokhoz készült Defender használatával, amelyek nem lettek hozzáadva a Microsoft Entra-azonosítóhoz. A feltételes hozzáférési alkalmazásvezérlés előnyeit kihasználhatja, ha hozzáadja ezeket a felhőalkalmazásokat a Microsoft Entra-bérlőjéhez, valamint a feltételes hozzáférési szabályok hatókörét.

A Microsoft Defender for Cloud Apps saaS-alkalmazások kezelésére való használatának első lépése az alkalmazások felderítése, majd hozzáadása a Microsoft Entra-bérlőhöz. Ha segítségre van szüksége a felderítéshez, olvassa el a SaaS-alkalmazások felderítése és kezelése a hálózatban című témakört. Miután felderített alkalmazásokat, adja hozzá ezeket az alkalmazásokat a Microsoft Entra-bérlőhöz.

Ezeket az alkalmazásokat a következő feladatokkal kezdheti el kezelni:

  1. A Microsoft Entra ID-ban hozzon létre egy új feltételes hozzáférési szabályzatot, és konfigurálja a "Feltételes hozzáférési alkalmazásvezérlés használata" beállításra. Ez a konfiguráció segít átirányítani a kérést a Defender for Cloud Appsbe. Létrehozhat egy szabályzatot, és hozzáadhatja az összes SaaS-alkalmazást ehhez a szabályzathoz.
  2. Ezután a Defender for Cloud Appsben hozzon létre munkamenet-szabályzatokat. Hozzon létre egy szabályzatot minden alkalmazni kívánt vezérlőhöz.

További információ, beleértve a támogatott alkalmazásokat és ügyfeleket, lásd: Alkalmazások védelme a Microsoft Defender for Cloud Apps feltételes hozzáférésű alkalmazásvezérlőjével.

Például szabályzatok: Ajánlott Microsoft Defender for Cloud Apps-szabályzatok SaaS-alkalmazásokhoz. Ezek a szabályzatok olyan közös identitás- és eszközhozzáférés-szabályzatokra épülnek, amelyek kiindulópontként minden ügyfél számára ajánlottak.

7. lépés Munkamenet-szabályzatok alkalmazása felhőalkalmazásokra

A Microsoft Defender for Cloud Apps fordított proxyként szolgál, és proxyhozzáférést biztosít az engedélyezett felhőalkalmazásokhoz. Ez a kiépítés lehetővé teszi a Defender for Cloud Apps számára a konfigurált munkamenet-szabályzatok alkalmazását.

Egy diagram, amely a Microsoft Defender for Cloud Apps architektúráját mutatja be proxyhozzáférés-munkamenet-vezérléssel.

Az ábrán:

  • A szervezet felhasználóitól és eszközeitől származó engedélyezett felhőalkalmazásokhoz való hozzáférés a Defender for Cloud Appsen keresztül történik.
  • Ez a proxyhozzáférés lehetővé teszi a munkamenet-szabályzatok alkalmazását.
  • A nem engedélyezett vagy explicit módon nem engedélyezett felhőalkalmazásokra nincs hatással.

A munkamenet-szabályzatokkal paramétereket alkalmazhat a felhőalkalmazások szervezet általi használatának módjára. Ha például a szervezete a Salesforce-ot használja, konfigurálhat egy munkamenet-szabályzatot, amely csak a felügyelt eszközök számára engedélyezi a szervezet adatainak elérését a Salesforce-on. Egyszerűbb példa lehet egy olyan szabályzat konfigurálása, amely monitorozza a nem felügyelt eszközökről érkező forgalmat, így a szigorúbb szabályzatok alkalmazása előtt elemezheti ennek a forgalomnak a kockázatát.

További információ: Munkamenet-szabályzatok létrehozása.

8. lépés. Próbálja ki a további képességeket

Ezekkel a Defender for Cloud Apps-oktatóanyagokkal felderítheti a kockázatokat és megvédheti környezetét:

A Microsoft Defender for Cloud Apps adatainak speciális veszélyforrás-kereséséről ebben a videóban talál további információt.

SIEM-integráció

A Defender for Cloud Apps integrálható a Microsoft Sentinellel vagy egy általános biztonsági információ- és eseménykezelési (SIEM) szolgáltatással, amely lehetővé teszi a csatlakoztatott alkalmazások riasztásainak és tevékenységeinek központosított monitorozását. A Microsoft Sentinel segítségével átfogóbban elemezheti a szervezet biztonsági eseményeit, és forgatókönyveket hozhat létre a hatékony és azonnali reagálás érdekében.

Az SIEM-integrációval rendelkező Microsoft Defender for Cloud Apps architektúráját bemutató ábra.

A Microsoft Sentinel tartalmaz egy Defender for Cloud Apps-összekötőt. Így nemcsak betekintést nyerhet a felhőalkalmazásokba, hanem kifinomult elemzéseket is kaphat a kibertámadások azonosításához és leküzdéséhez, valamint az adatok utazási módjának szabályozásához. További információ: Microsoft Sentinel-integráció és Stream-riasztások és Cloud Discovery-naplók a Defender for Cloud Appsből a Microsoft Sentinelbe.

További információ a külső SIEM-rendszerekkel való integrációról: Általános SIEM-integráció.

További lépés

Végezze el a Defender for Cloud Apps életciklus-felügyeletét.

A Microsoft Defender XDR teljes körű üzembe helyezésének következő lépése

Folytassa a Microsoft Defender XDR teljes körű üzembe helyezését a Vizsgálat és reagálás a Microsoft Defender XDR használatával című témakörrel.

Egy diagram, amely bemutatja az incidensek vizsgálatát és reagálását a próbaüzemben és a Microsoft Defender XDR-folyamat üzembe helyezésében.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.