A Microsoft Defender for Cloud Apps próbaüzeme és üzembe helyezése
Érintett szolgáltatás:
- Microsoft Defender XDR
Ez a cikk egy munkafolyamatot biztosít a Microsoft Defender for Cloud Apps kipróbálásához és üzembe helyezéséhez a szervezetben. Ezekkel a javaslatokkal a Microsoft Defender for Cloud Appst egyéni kiberbiztonsági eszközként vagy a Microsoft Defender XDR teljes körű megoldásának részeként készítheti elő.
Ez a cikk feltételezi, hogy éles Microsoft 365-bérlővel rendelkezik, és ebben a környezetben teszteli és telepíti a Microsoft Defender for Cloud Appst. Ez a gyakorlat megőrzi a próbaüzem során konfigurált beállításokat és testreszabásokat a teljes üzembe helyezéshez.
Az Office 365-höz készült Defender azzal járul hozzá a zéró megbízhatóságú architektúrához, hogy segít megelőzni vagy csökkenteni a biztonsági incidensekből eredő üzleti károkat. További információ: A Microsoft Zero Trust bevezetési keretrendszerének üzleti incidensből eredő üzleti kárainak megelőzése vagy csökkentése .
Teljes körű üzembe helyezés a Microsoft Defender XDR-hez
Ez egy sorozat 6/5. cikke, amely segítséget nyújt a Microsoft Defender XDR összetevőinek üzembe helyezéséhez, beleértve az incidensek kivizsgálását és megválaszolását.
Az ebben a sorozatban szereplő cikkek a teljes üzembe helyezés következő fázisainak felelnek meg:
| Fázis | Láncszem |
|---|---|
| Egy. A próbaüzem indítása | A próbaüzem indítása |
| B. Microsoft Defender XDR-összetevők kipróbálása és üzembe helyezése |
-
A Defender for Identity próbaüzeme és üzembe helyezése - Az Office 365-höz készült Defender próbaüzeme és üzembe helyezése - Végponthoz készült Defender próbaüzeme és üzembe helyezése - A Microsoft Defender for Cloud Apps próbaüzeme és üzembe helyezése (ez a cikk) |
| C. Veszélyforrások vizsgálata és reagálás rájuk | Incidensvizsgálat és reagálás gyakorlata |
A Defender for Cloud Apps próba- és üzembe helyezési munkafolyamata
Az alábbi ábra egy termék vagy szolgáltatás informatikai környezetben történő üzembe helyezésének gyakori folyamatát szemlélteti.
Első lépésként értékelje ki a terméket vagy szolgáltatást, és hogy hogyan fog működni a szervezeten belül. Ezután tesztelheti a terméket vagy szolgáltatást az éles infrastruktúra megfelelő kis részhalmazával a teszteléshez, a tanuláshoz és a testreszabáshoz. Ezután fokozatosan növelje az üzembe helyezés hatókörét, amíg a teljes infrastruktúrára vagy szervezetre ki nem terjed.
Az alábbi munkafolyamat a Defender for Cloud Apps éles környezetben való kipróbálására és üzembe helyezésére vonatkozik.
Hajtsa végre az alábbi lépéseket:
- Csatlakozás a Defender for Cloud Apps portálhoz
- Integrálás a Végponthoz készült Microsoft Defenderrel
- A naplógyűjtő üzembe helyezése a tűzfalakon és más proxykon
- Próbacsoport létrehozása
- Felhőalkalmazások felderítése és kezelése
- Feltételes hozzáférésű alkalmazásvezérlő konfigurálása
- Munkamenet-szabályzatok alkalmazása felhőalkalmazásokra
- Próbálja ki a további képességeket
Az egyes üzembehelyezési szakaszokhoz az alábbi javasolt lépések tartoznak.
| Üzembe helyezési szakasz | Leírás |
|---|---|
| Kiértékel | Termékértékelés végrehajtása a Defender for Cloud Appshez. |
| Pilóta | Hajtsa végre az 1–4. és az 5–8. lépést a felhőalapú alkalmazások megfelelő részhalmazához az éles környezetben. |
| Teljes üzembe helyezés | Hajtsa végre az 5–8. lépést a fennmaradó felhőalkalmazások esetében, módosítsa a próbafelhasználói csoportok hatókörét, vagy adjon hozzá felhasználói csoportokat, hogy az a próbaüzemen túlra is kiterjedjen, és tartalmazza az összes felhasználói fiókját. |
Szervezet védelme a hackerek ellen
A Defender for Cloud Apps önállóan nyújt hatékony védelmet. A Microsoft Defender XDR egyéb képességeivel kombinálva azonban a Defender for Cloud Apps adatokat biztosít a megosztott jelekbe, amelyek együttesen segítenek a támadások leállításában.
Íme egy példa egy kibertámadásra, valamint arra, hogy a Microsoft Defender XDR összetevői hogyan segítenek észlelni és enyhíteni azt.
A Defender for Cloud Apps észleli az olyan rendellenes viselkedéseket, mint a lehetetlen utazás, a hitelesítő adatokhoz való hozzáférés és a szokatlan letöltési, fájlmegosztási vagy levéltovábbítási tevékenységek, és megjeleníti ezeket a viselkedéseket a Defender for Cloud Apps portálon. A Defender for Cloud Apps emellett segít megelőzni a támadók oldalirányú mozgását és a bizalmas adatok kiszűrését.
A Microsoft Defender XDR korrelálja az összes Microsoft Defender-összetevő jeleit, hogy teljes körű támadási történetet biztosítson.
A Defender for Cloud Apps szerepkör CASB-ként
A felhőelérési biztonsági közvetítő (CASB) a vállalati felhasználók és az általuk használt felhőerőforrások közötti valós idejű közvetítői hozzáférés közvetítőjeként működik, függetlenül attól, hogy a felhasználók hol tartózkodnak, és függetlenül attól, hogy milyen eszközt használnak. A Defender for Cloud Apps egy CASB a szervezet felhőalkalmazásaihoz. A Defender for Cloud Apps natív módon integrálható a Microsoft biztonsági képességeivel, beleértve a Microsoft Defender XDR-t is.
A Defender for Cloud Apps nélkül a szervezet által használt felhőalkalmazások nem felügyeltek és nem védettek.
Az ábrán:
- A felhőalkalmazások szervezet általi használata nem figyelt és nem védett.
- Ez a használat kívül esik a felügyelt szervezeten belül elérhető védelemen.
A környezetben használt felhőalkalmazások felderítéséhez az alábbi módszerek egyikét vagy mindkettőt implementálhatja:
- A Végponthoz készült Microsoft Defender integrálásával gyorsan üzembe helyezheti a Cloud Discoveryt. Ez a natív integráció lehetővé teszi, hogy azonnal megkezdje az adatok gyűjtését a felhőbeli forgalomról a Windows 10- és Windows 11-eszközökön a hálózaton belül és kívül.
- A hálózathoz csatlakoztatott összes eszköz által elért összes felhőalkalmazás felderítéséhez telepítse a Defender for Cloud Apps naplógyűjtőt a tűzfalakon és más proxykon. Ez az üzembe helyezés segít adatokat gyűjteni a végpontokról, és elemzés céljából elküldi azokat a Defender for Cloud Appsnek. A Defender for Cloud Apps natív módon integrálható néhány külső proxyval a még több képesség érdekében.
Ez a cikk mindkét módszerhez tartalmaz útmutatást.
1. lépés: Csatlakozás a Defender for Cloud Apps portálhoz
A licencelés ellenőrzéséhez és a Defender for Cloud Apps portálhoz való csatlakozáshoz lásd : Rövid útmutató: A Microsoft Defender for Cloud Apps használatának első lépései.
Ha nem tud azonnal csatlakozni a portálhoz, előfordulhat, hogy hozzá kell adnia az IP-címet a tűzfal engedélyezési listájához. Lásd: A Defender for Cloud Apps alapszintű beállítása.
Ha továbbra is problémákat tapasztal, tekintse át a hálózati követelményeket.
2. lépés: Integrálás a Végponthoz készült Microsoft Defenderrel
A Microsoft Defender for Cloud Apps natív módon integrálható a Végponthoz készült Microsoft Defenderrel. Az integráció leegyszerűsíti a Cloud Discovery bevezetésének módját, kibővíti a Cloud Discovery képességeit a vállalati hálózaton, és lehetővé teszi az eszközalapú vizsgálatot. Ez az integráció megmutatja, hogy az informatikai felügyelet alatt álló Windows 10- és Windows 11-eszközökről milyen felhőalkalmazások és szolgáltatások érhetők el.
Ha már beállította a Végponthoz készült Microsoft Defendert, a Defender for Cloud Apps integrációjának konfigurálása a Microsoft Defender XDR egyik kapcsolója. Az integráció bekapcsolása után visszatérhet a Defender for Cloud Apps portálra, és részletes adatokat tekinthet meg a Cloud Discovery irányítópultján.
A feladatok elvégzéséhez lásd: Végponthoz készült Microsoft Defender integrációja a Microsoft Defender for Cloud Apps szolgáltatással.
3. lépés: A Defender for Cloud Apps naplógyűjtőjének üzembe helyezése a tűzfalakon és más proxykon
A hálózathoz csatlakoztatott összes eszköz lefedettsége érdekében telepítse a Defender for Cloud Apps naplógyűjtőt a tűzfalakon és más proxykon, hogy adatokat gyűjtsön a végpontokról, és elküldje azokat a Defender for Cloud Appsnek elemzés céljából.
Ha a következő biztonságos webátjárók (SWG) egyikét használja, a Defender for Cloud Apps zökkenőmentes üzembe helyezést és integrációt biztosít:
- Zscaler
- iboss
- Corrata
- Menlo Security
Az ezekkel a hálózati eszközökkel való integrációval kapcsolatos további információkért lásd: A Cloud Discovery beállítása.
4. lépés: Próbacsoport létrehozása – A próbaüzem hatóköre bizonyos felhasználói csoportokra
A Microsoft Defender for Cloud Apps lehetővé teszi az üzemelő példány hatókörének meghatározását. A hatókörkezelés lehetővé teszi bizonyos felhasználói csoportok kiválasztását az alkalmazások figyeléséhez vagy a monitorozásból való kizáráshoz. A felhasználói csoportokat belefoglalhatja vagy kizárhatja. A próbaüzem hatókörének meghatározásához lásd: Hatókörön belüli üzembe helyezés.
5. lépés: Felhőalkalmazások felderítése és kezelése
Ahhoz, hogy a Defender for Cloud Apps maximális védelmet nyújtson, fel kell derítenie a szervezet összes felhőalkalmazását, és kezelnie kell a használatuk módját.
Felhőalkalmazások felfedezése
A felhőalkalmazások használatának kezelésének első lépése a szervezet által használt felhőalkalmazások felderítése. Ez a következő ábra bemutatja, hogyan működik a felhőfelderítés a Defender for Cloud Appsszel.
Ebben az ábrán két módszer áll rendelkezésre a hálózati forgalom monitorozására és a szervezet által használt felhőalkalmazások felderítésére.
A Cloud App Discovery natív módon integrálható a Végponthoz készült Microsoft Defenderrel. A Végponthoz készült Defender azt jelenti, hogy az informatikai felügyelet alatt álló Windows 10- és Windows 11-eszközökről elérhetők a felhőalkalmazások és -szolgáltatások.
A hálózathoz csatlakozó összes eszköz lefedettsége érdekében telepítse a Defender for Cloud Apps naplógyűjtőt a tűzfalakra és más proxykra, hogy adatokat gyűjtsön a végpontokról. A gyűjtő elküldi ezeket az adatokat a Defender for Cloud Appsnek elemzés céljából.
A Cloud Discovery irányítópultjának megtekintése a szervezetben használt alkalmazások megtekintéséhez
A Cloud Discovery irányítópultjának célja, hogy részletesebb betekintést nyújtson abba, hogyan használják a felhőalkalmazásokat a szervezetben. Áttekintést nyújt a használt alkalmazások típusairól, a nyitott riasztásokról és a szervezeten belüli alkalmazások kockázati szintjeiről.
A Cloud Discovery irányítópult használatának megkezdéséhez lásd: A felderített alkalmazások használata.
Felhőalkalmazások kezelése
Miután felderíti a felhőalkalmazásokat, és elemzi, hogyan használja ezeket az alkalmazásokat a szervezete, megkezdheti a választott felhőalkalmazások kezelését.
Ebben az ábrán:
- Egyes alkalmazások használata engedélyezett. Az alkalmazások kezelésének egyszerű módja a szankcionálás.
- Az alkalmazások alkalmazás-összekötőkkel való összekapcsolásával nagyobb átláthatóságot és szabályozást tehet lehetővé. Az alkalmazás-összekötők az alkalmazásszolgáltatók API-jait használják.
Megkezdheti az alkalmazások felügyeletét az alkalmazások engedélyezésével, letiltásával vagy végleges letiltásával. Az alkalmazások kezelésének megkezdéséhez lásd: Felderített alkalmazások szabályozása.
6. lépés Feltételes hozzáférésű alkalmazásvezérlő konfigurálása
Az egyik leghatékonyabban konfigurálható védelem a feltételes hozzáférésű alkalmazásvezérlés. Ehhez a védelemhez integrálásra van szükség a Microsoft Entra-azonosítóval. Lehetővé teszi a feltételes hozzáférési szabályzatok alkalmazását, beleértve a kapcsolódó szabályzatokat (például az kifogástalan eszközök megkövetelése) az Ön által engedélyezett felhőalkalmazásokra.
Előfordulhat, hogy már hozzáadott SaaS-alkalmazásokat a Microsoft Entra-bérlőhöz a többtényezős hitelesítés és más feltételes hozzáférési szabályzatok kényszerítése érdekében. A Microsoft Defender for Cloud Apps natív módon integrálható a Microsoft Entra ID azonosítóval. Mindössze konfigurálnia kell egy szabályzatot a Microsoft Entra ID-ban a feltételes hozzáférés alkalmazásvezérlőjének használatára a Defender for Cloud Appsben. Ez proxyként irányítja a felügyelt SaaS-alkalmazások hálózati forgalmát a Defender for Cloud Appsen keresztül, amely lehetővé teszi a Defender for Cloud Apps számára a forgalom monitorozását és munkamenet-vezérlők alkalmazását.
Ebben az ábrán:
- Az SaaS-alkalmazások integrálva vannak a Microsoft Entra-bérlővel. Ez az integráció lehetővé teszi, hogy a Microsoft Entra ID feltételes hozzáférési szabályzatokat kényszerítsen ki, beleértve a többtényezős hitelesítést is.
- A Rendszer hozzáad egy szabályzatot a Microsoft Entra-azonosítóhoz, amely átirányítja az SaaS-alkalmazások forgalmát a Defender for Cloud Appsbe. A szabályzat határozza meg, hogy mely SaaS-alkalmazásokra alkalmazza ezt a szabályzatot. Miután a Microsoft Entra ID kikényszeríti az saaS-alkalmazásokra vonatkozó feltételes hozzáférési szabályzatokat, a Microsoft Entra ID a munkamenet-forgalmat a Defender for Cloud Appsen keresztül irányítja (proxyk).
- A Defender for Cloud Apps figyeli ezt a forgalmat, és alkalmazza a rendszergazdák által konfigurált munkamenet-vezérlési szabályzatokat.
Előfordulhat, hogy olyan felhőalkalmazásokat fedezett fel és engedélyezett a Felhőalkalmazásokhoz készült Defender használatával, amelyek nem lettek hozzáadva a Microsoft Entra-azonosítóhoz. A feltételes hozzáférési alkalmazásvezérlés előnyeit kihasználhatja, ha hozzáadja ezeket a felhőalkalmazásokat a Microsoft Entra-bérlőjéhez, valamint a feltételes hozzáférési szabályok hatókörét.
A Microsoft Defender for Cloud Apps saaS-alkalmazások kezelésére való használatának első lépése az alkalmazások felderítése, majd hozzáadása a Microsoft Entra-bérlőhöz. Ha segítségre van szüksége a felderítéshez, olvassa el a SaaS-alkalmazások felderítése és kezelése a hálózatban című témakört. Miután felderített alkalmazásokat, adja hozzá ezeket az alkalmazásokat a Microsoft Entra-bérlőhöz.
Ezeket az alkalmazásokat a következő feladatokkal kezdheti el kezelni:
- A Microsoft Entra ID-ban hozzon létre egy új feltételes hozzáférési szabályzatot, és konfigurálja a "Feltételes hozzáférési alkalmazásvezérlés használata" beállításra. Ez a konfiguráció segít átirányítani a kérést a Defender for Cloud Appsbe. Létrehozhat egy szabályzatot, és hozzáadhatja az összes SaaS-alkalmazást ehhez a szabályzathoz.
- Ezután a Defender for Cloud Appsben hozzon létre munkamenet-szabályzatokat. Hozzon létre egy szabályzatot minden alkalmazni kívánt vezérlőhöz.
További információ, beleértve a támogatott alkalmazásokat és ügyfeleket, lásd: Alkalmazások védelme a Microsoft Defender for Cloud Apps feltételes hozzáférésű alkalmazásvezérlőjével.
Például szabályzatok: Ajánlott Microsoft Defender for Cloud Apps-szabályzatok SaaS-alkalmazásokhoz. Ezek a szabályzatok olyan közös identitás- és eszközhozzáférés-szabályzatokra épülnek, amelyek kiindulópontként minden ügyfél számára ajánlottak.
7. lépés Munkamenet-szabályzatok alkalmazása felhőalkalmazásokra
A Microsoft Defender for Cloud Apps fordított proxyként szolgál, és proxyhozzáférést biztosít az engedélyezett felhőalkalmazásokhoz. Ez a kiépítés lehetővé teszi a Defender for Cloud Apps számára a konfigurált munkamenet-szabályzatok alkalmazását.
Az ábrán:
- A szervezet felhasználóitól és eszközeitől származó engedélyezett felhőalkalmazásokhoz való hozzáférés a Defender for Cloud Appsen keresztül történik.
- Ez a proxyhozzáférés lehetővé teszi a munkamenet-szabályzatok alkalmazását.
- A nem engedélyezett vagy explicit módon nem engedélyezett felhőalkalmazásokra nincs hatással.
A munkamenet-szabályzatokkal paramétereket alkalmazhat a felhőalkalmazások szervezet általi használatának módjára. Ha például a szervezete a Salesforce-ot használja, konfigurálhat egy munkamenet-szabályzatot, amely csak a felügyelt eszközök számára engedélyezi a szervezet adatainak elérését a Salesforce-on. Egyszerűbb példa lehet egy olyan szabályzat konfigurálása, amely monitorozza a nem felügyelt eszközökről érkező forgalmat, így a szigorúbb szabályzatok alkalmazása előtt elemezheti ennek a forgalomnak a kockázatát.
További információ: Munkamenet-szabályzatok létrehozása.
8. lépés. Próbálja ki a további képességeket
Ezekkel a Defender for Cloud Apps-oktatóanyagokkal felderítheti a kockázatokat és megvédheti környezetét:
- Gyanús felhasználói tevékenység észlelése
- Kockázatos felhasználók vizsgálata
- Kockázatos OAuth-alkalmazások vizsgálata
- Bizalmas adatok felderítése és védelme
- A szervezet bármely alkalmazásának valós idejű védelme
- Bizalmas adatok letöltésének letiltása
- Fájlok védelme rendszergazdai karanténnal
- Fokozott hitelesítés megkövetelése kockázatos művelet esetén
A Microsoft Defender for Cloud Apps adatainak speciális veszélyforrás-kereséséről ebben a videóban talál további információt.
SIEM-integráció
A Defender for Cloud Apps integrálható a Microsoft Sentinellel vagy egy általános biztonsági információ- és eseménykezelési (SIEM) szolgáltatással, amely lehetővé teszi a csatlakoztatott alkalmazások riasztásainak és tevékenységeinek központosított monitorozását. A Microsoft Sentinel segítségével átfogóbban elemezheti a szervezet biztonsági eseményeit, és forgatókönyveket hozhat létre a hatékony és azonnali reagálás érdekében.
A Microsoft Sentinel tartalmaz egy Defender for Cloud Apps-összekötőt. Így nemcsak betekintést nyerhet a felhőalkalmazásokba, hanem kifinomult elemzéseket is kaphat a kibertámadások azonosításához és leküzdéséhez, valamint az adatok utazási módjának szabályozásához. További információ: Microsoft Sentinel-integráció és Stream-riasztások és Cloud Discovery-naplók a Defender for Cloud Appsből a Microsoft Sentinelbe.
További információ a külső SIEM-rendszerekkel való integrációról: Általános SIEM-integráció.
További lépés
Végezze el a Defender for Cloud Apps életciklus-felügyeletét.
A Microsoft Defender XDR teljes körű üzembe helyezésének következő lépése
Folytassa a Microsoft Defender XDR teljes körű üzembe helyezését a Vizsgálat és reagálás a Microsoft Defender XDR használatával című témakörrel.
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: