Tekintse át a Microsoft Defender for Cloud Apps architektúrakövetelményeinek és fő fogalmainak áttekintését
Érintett szolgáltatás:
- Microsoft Defender XDR
Ez a cikk a Microsoft Defender XDR mellett a Microsoft Defender for Cloud Apps kiértékelési környezetének beállításának 3./1. lépése. A folyamatról további információt az áttekintő cikkben talál.
A Microsoft Defender for Cloud Apps engedélyezése előtt győződjön meg arról, hogy ismeri az architektúrát, és megfelel a követelményeknek.
Az architektúra megismerése
Microsoft Defender for Cloud Apps egy felhőelérési biztonsági közvetítő (CASB). A CASB-k valós időben közvetítik a hozzáférést a vállalati felhasználók és az általuk használt felhőerőforrások között, bárhol is legyenek a felhasználók, és függetlenül attól, hogy milyen eszközt használnak. Microsoft Defender for Cloud Apps natív módon integrálható a Microsoft biztonsági képességeivel, beleértve a Microsoft Defender XDR.
A Defender for Cloud Apps nélkül a szervezet által használt felhőalkalmazások nem felügyeltek és nem védettek, ahogy az ábrán látható.
Az ábrán:
- A felhőalkalmazások szervezet általi használata nem figyelt és nem védett.
- Ez a használat kívül esik a felügyelt szervezeten belül elérhető védelemen.
Felhőalkalmazások felfedezése
A felhőalkalmazások használatának kezelésének első lépése a szervezet által használt felhőalkalmazások felderítése. Ez a következő ábra bemutatja, hogyan működik a felhőfelderítés a Defender for Cloud Appsszel.
Ebben az ábrán két módszer áll rendelkezésre a hálózati forgalom monitorozására és a szervezet által használt felhőalkalmazások felderítésére.
- A. A Cloud App Discovery natív módon integrálható Végponthoz készült Microsoft Defender. A Végponthoz készült Defender azt jelenti, hogy az informatikai felügyelet alatt álló Windows 10 és Windows 11 eszközökről elért felhőalkalmazások és szolgáltatások.
- B. A hálózathoz csatlakozó összes eszköz lefedettsége érdekében a Defender for Cloud Apps naplógyűjtője tűzfalakra és más proxykra van telepítve, hogy adatokat gyűjtsön a végpontokról. Ezeket az adatokat a rendszer elemzés céljából elküldi a Defender for Cloud Appsnek.
Felhőalkalmazások kezelése
Miután felderíti a felhőalkalmazásokat, és elemzi, hogyan használja ezeket az alkalmazásokat a szervezete, megkezdheti a választott felhőalkalmazások kezelését.
Ebben az ábrán:
- Egyes alkalmazások használata engedélyezett. Ez a szankcionálás az alkalmazások kezelésének egyszerű módja.
- Az alkalmazások alkalmazás-összekötőkkel való összekapcsolásával nagyobb átláthatóságot és szabályozást tehet lehetővé. Az alkalmazás-összekötők az alkalmazásszolgáltatók API-jait használják.
Munkamenet-vezérlők alkalmazása felhőalkalmazásokra
Microsoft Defender for Cloud Apps fordított proxyként szolgál, és proxyhozzáférést biztosít az engedélyezett felhőalkalmazásokhoz. Ez a kiépítés lehetővé teszi a Defender for Cloud Apps számára a konfigurált munkamenet-vezérlők alkalmazását.
Ebben az ábrán:
- A szervezet felhasználóitól és eszközeitől származó engedélyezett felhőalkalmazásokhoz való hozzáférés a Defender for Cloud Appsen keresztül történik.
- Ez a proxyhozzáférés lehetővé teszi a munkamenet-vezérlők alkalmazását.
- A nem engedélyezett vagy explicit módon nem engedélyezett felhőalkalmazásokra nincs hatással.
A munkamenet-vezérlők lehetővé teszik paraméterek alkalmazását a felhőalkalmazások szervezet általi használatának módjára. Ha például a szervezete a Salesforce-ot használja, konfigurálhat egy munkamenet-szabályzatot, amely csak a felügyelt eszközök számára engedélyezi a szervezet adatainak elérését a Salesforce-on. Egyszerűbb példa lehet egy olyan szabályzat konfigurálása, amely monitorozza a nem felügyelt eszközökről érkező forgalmat, így a szigorúbb szabályzatok alkalmazása előtt elemezheti ennek a forgalomnak a kockázatát.
Integrálás Microsoft Entra ID feltételes hozzáférésű alkalmazásvezérlővel
Előfordulhat, hogy már hozzáadott SaaS-alkalmazásokat a Microsoft Entra-bérlőhöz a többtényezős hitelesítés és más feltételes hozzáférési szabályzatok kényszerítése érdekében. Microsoft Defender for Cloud Apps natív módon integrálható a Microsoft Entra ID. Mindössze konfigurálnia kell egy szabályzatot a Microsoft Entra ID a Feltételes hozzáférésű alkalmazásvezérlés használatára a Defender for Cloud Appsben. Ez proxyként irányítja a felügyelt SaaS-alkalmazások hálózati forgalmát a Defender for Cloud Appsen keresztül, amely lehetővé teszi a Defender for Cloud Apps számára a forgalom monitorozását és munkamenet-vezérlők alkalmazását.
Ebben az ábrán:
- Az SaaS-alkalmazások integrálva vannak a Microsoft Entra-bérlővel. Ez az integráció lehetővé teszi, hogy Microsoft Entra ID feltételes hozzáférési szabályzatokat kényszerítsen, beleértve a többtényezős hitelesítést is.
- A rendszer hozzáad egy szabályzatot a Microsoft Entra ID, amely átirányítja az SaaS-alkalmazások forgalmát a Defender for Cloud Appsbe. A szabályzat határozza meg, hogy mely SaaS-alkalmazásokra alkalmazza ezt a szabályzatot. Ezért miután Microsoft Entra ID kikényszeríti az saaS-alkalmazásokra vonatkozó feltételes hozzáférési szabályzatokat, Microsoft Entra ID a munkamenet-forgalmat a Defender for Cloud Appsen keresztül irányítja (proxyk).
- A Defender for Cloud Apps figyeli ezt a forgalmat, és alkalmazza a rendszergazdák által konfigurált munkamenet-vezérlési szabályzatokat.
Előfordulhat, hogy olyan felhőalkalmazásokat fedezett fel és engedélyezett a Defender for Cloud Apps használatával, amelyek nem lettek hozzáadva a Microsoft Entra ID. A feltételes hozzáférési alkalmazásvezérlést úgy használhatja ki, hogy hozzáadja ezeket a felhőalkalmazásokat a Microsoft Entra bérlőjéhez, valamint a feltételes hozzáférési szabályok hatókörét.
Szervezet védelme a hackerek ellen
A Defender for Cloud Apps önállóan nyújt hatékony védelmet. A Microsoft Defender XDR egyéb képességeivel kombinálva azonban a Defender for Cloud Apps adatokat biztosít a megosztott jelekbe, amelyek (együtt) segítenek a támadások leállításában.
Érdemes megismételni ezt az ábrát az áttekintéstől kezdve a Microsoft Defender XDR kiértékelési és próbaútmutatóig.
Az ábra jobb oldalára összpontosítva Microsoft Defender for Cloud Apps észleli a rendellenes viselkedést, például a lehetetlen utazást, a hitelesítő adatokhoz való hozzáférést, a szokatlan letöltési, fájlmegosztási vagy levéltovábbítási tevékenységeket, és jelenti ezeket a viselkedéseket a biztonsági csapatnak. Ezért a Defender for Cloud Apps segít megelőzni a támadók oldalirányú mozgását és a bizalmas adatok kiszűrését. A Microsoft 356 Defender for Cloud az összes összetevőtől érkező jeleket korrelálja a teljes támadási történet biztosítása érdekében.
A fő fogalmak ismertetése
Az alábbi táblázat a Microsoft Defender for Cloud Apps kiértékelése, konfigurálása és üzembe helyezése során fontos alapfogalmakat ismertette.
| Koncepció | Leírás | További információ |
|---|---|---|
| A Defender for Cloud Apps irányítópultja | Áttekintést nyújt a szervezet legfontosabb információiról, és hivatkozásokat biztosít a mélyebb vizsgálathoz. | Az irányítópult használata |
| Feltételes hozzáférésű alkalmazásvezérlő | Fordított proxyarchitektúra, amely integrálható az identitásszolgáltatóval (IdP), hogy Microsoft Entra feltételes hozzáférési szabályzatokat biztosítson, és szelektíven kényszerítse a munkamenet-vezérlőket. | Alkalmazások védelme Microsoft Defender for Cloud Apps feltételes hozzáférésű alkalmazásvezérlővel |
| Felhőalkalmazás-katalógus | A Felhőalkalmazások katalógusa teljes képet nyújt több mint 16 000 felhőalkalmazás Microsoft-katalógusáról, amelyek több mint 80 kockázati tényező alapján vannak rangsorolva és értékelve. | Alkalmazáskockázati pontszámok használata |
| Cloud Discovery-irányítópult | A Cloud Discovery elemzi a forgalmi naplókat, és úgy lett kialakítva, hogy részletesebb betekintést nyújtson a felhőalkalmazások szervezeten belüli használatába, valamint riasztásokat és kockázati szinteket biztosítson. | A felderített alkalmazások használata |
| Csatlakoztatott alkalmazások | A Defender for Cloud Apps teljes körű védelmet biztosít a csatlakoztatott alkalmazások számára a felhőből a felhőbe történő integráció, az API-összekötők, valamint a valós idejű hozzáférés- és munkamenet-vezérlők használatával a feltételes alkalmazáshozzáférési vezérlők használatával. | Csatlakoztatott alkalmazások védelme |
Architektúrakövetelmények áttekintése
Felhőalkalmazások felfedezése
A környezetben használt felhőalkalmazások felderítéséhez az alábbi módszerek egyikét vagy mindkettőt implementálhatja:
- Gyorsan üzembe helyezheti a Cloud Discoveryt a Végponthoz készült Microsoft Defender integrálásával. Ez a natív integráció lehetővé teszi, hogy azonnal megkezdje az adatok gyűjtését a Windows 11 és az Windows 10 eszközök felhőbeli forgalmáról a hálózaton belül és kívül.
- A hálózathoz csatlakoztatott összes eszköz által elért összes felhőalkalmazás felderítéséhez telepítse a Defender for Cloud Apps naplógyűjtőt a tűzfalakon és más proxykon. Ez az üzembe helyezés segít adatokat gyűjteni a végpontokról, és elemzés céljából elküldi azokat a Defender for Cloud Appsnek. A Defender for Cloud Apps natív módon integrálható néhány külső proxyval a még több képesség érdekében.
Ezeket a beállításokat a 2. lépés tartalmazza. Engedélyezze a kiértékelési környezetet.
Microsoft Entra feltételes hozzáférési szabályzatok alkalmazása felhőalkalmazásokra
A feltételes hozzáférési alkalmazásvezérlés (a feltételes hozzáférési szabályzatok felhőalkalmazásokra való alkalmazásának képessége) integrációt igényel a Microsoft Entra ID. Ez az integráció nem követelmény a Defender for Cloud Apps használatának megkezdéséhez. Javasoljuk, hogy a próbaüzem során próbálja ki a 3. lépést. Pilóta Microsoft Defender for Cloud Apps.
SIEM-integráció
A Microsoft Defender for Cloud Apps integrálhatja az általános SIEM-kiszolgálóval vagy a Microsoft Sentinellel a csatlakoztatott alkalmazások riasztásainak és tevékenységeinek központosított figyeléséhez.
Emellett a Microsoft Sentinel egy Microsoft Defender for Cloud Apps összekötőt is tartalmaz, amely mélyebb integrációt biztosít a Microsoft Sentinellel. Ez a megoldás lehetővé teszi, hogy ne csak átláthassa a felhőalkalmazásokat, hanem kifinomult elemzéseket is kaphat a kibertámadások azonosításához és leküzdéséhez, valamint az adatok utazási módjának szabályozásához.
- Általános SIEM-integráció
- riasztások és Cloud Discovery-naplók Stream a Defender for Cloud Appsből a Microsoft Sentinelbe
Következő lépések
2/3. lépés: A kiértékelési környezet engedélyezése Microsoft Defender for Cloud Apps
Térjen vissza az Evaluate Microsoft Defender for Cloud Apps áttekintéséhez
Térjen vissza az Értékelés és próba Microsoft Defender XDR áttekintéséhez
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: