Procedure consigliate per la protezione dell'organizzazione con Defender for Cloud Apps
Questo articolo fornisce le procedure consigliate per proteggere l'organizzazione usando Microsoft Defender for Cloud Apps. Queste procedure consigliate derivano dalla nostra esperienza con Defender for Cloud Apps e dalle esperienze dei clienti come te.
Le procedure consigliate illustrate in questo articolo includono:
- Individuare e valutare le app cloud
- Applicare i criteri di governance del cloud
- Limitare l'esposizione dei dati condivisi e applicare criteri di collaborazione
- Individuare, classificare, etichettare e proteggere i dati regolamentati e sensibili archiviati nel cloud
- Applicare i criteri di prevenzione della perdita dei dati e di conformità ai dati archiviati nel cloud
- Bloccare e proteggere il download di dati sensibili nei dispositivi non gestiti o rischiosi
- Proteggere la collaborazione con utenti esterni mediante l'applicazione di controlli di sessione in tempo reale
- Rilevare minacce cloud, account compromessi, utenti malintenzionati e ransomware
- Usare gli audit trail delle attività per indagini giudiziarie
- Proteggere i servizi IaaS e le app personalizzate
L'integrazione di Defender for Cloud Apps con Microsoft Defender per endpoint consente di usare l'individuazione cloud oltre la rete aziendale o i gateway Web sicuri. Con le informazioni combinate sull'utente e sul dispositivo, è possibile identificare gli utenti o i dispositivi a rischio, vedere quali app stanno usando e analizzare ulteriormente nel portale di Defender per endpoint.
Procedura consigliata: Abilitare Shadow IT Discovery usando Defender per endpoint
Dettagli: l'individuazione cloud analizza i log del traffico raccolti da Defender per endpoint e valuta le app identificate rispetto al catalogo delle app cloud per fornire informazioni di conformità e sicurezza. Configurando l'individuazione cloud, si ottiene visibilità sull'uso del cloud, shadow IT e monitoraggio continuo delle app non approvate usate dagli utenti.
Per altre informazioni:
- integrazione Microsoft Defender per endpoint con Defender for Cloud Apps
- Configurare l'individuazione cloud
- Individuare e gestire l'IT shadow nella rete
Procedura consigliata: Configurare i criteri di individuazione delle app per identificare in modo proattivo le app rischiose, non conformi e di tendenza
Dettagli: i criteri di individuazione delle app semplificano il rilevamento delle applicazioni individuate significative nell'organizzazione per semplificare la gestione efficiente di queste applicazioni. Creare criteri per ricevere avvisi quando si rilevano nuove app identificate come rischiose, non conformi, di tendenza o con volume elevato.
Per altre informazioni:
- Criteri di individuazione cloud
- Criteri di rilevamento anomalie dell'individuazione cloud
- Ottenere analisi comportamentali istantanee e rilevamento anomalie
Procedura consigliata: Gestire le app OAuth autorizzate dagli utenti
Dettagli: molti utenti concedono casualmente le autorizzazioni OAuth alle app di terze parti per accedere alle informazioni sull'account e, in tal modo, inavvertitamente danno anche accesso ai propri dati in altre app cloud. In genere, l'IT non ha visibilità su queste app, rendendo difficile valutare il rischio di sicurezza di un'app rispetto al vantaggio di produttività che offre.
Defender for Cloud Apps offre la possibilità di analizzare e monitorare le autorizzazioni dell'app concesse agli utenti. È possibile usare queste informazioni per identificare un'app potenzialmente sospetta e, se si determina che è rischiosa, è possibile vietarne l'accesso.
Per altre informazioni:
Procedura consigliata: Contrassegna le app ed esporta script in blocchi
Dettagli: dopo aver esaminato l'elenco delle app individuate nell'organizzazione, è possibile proteggere l'ambiente dall'uso di app indesiderate. È possibile applicare il tag Approvato alle app approvate dall'organizzazione e il tag Non autorizzato alle app che non lo sono. È possibile monitorare le app non approvate usando i filtri di individuazione o esportare uno script per bloccare le app non approvate usando le appliance di sicurezza locali. L'uso di tag e script di esportazione consente di organizzare le app e proteggere l'ambiente consentendo l'accesso alle app sicure.
Per altre informazioni:
Procedura consigliata: Connettere Microsoft 365
Dettagli: la connessione di Microsoft 365 a Defender for Cloud Apps offre visibilità immediata sulle attività degli utenti, i file a cui accedono e fornisce azioni di governance per Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange e Dynamics.
Per altre informazioni:
Procedura consigliata: Connettere le app
Dettagli: la connessione delle app a Defender for Cloud Apps offre informazioni dettagliate migliorate sulle attività degli utenti, il rilevamento delle minacce e le funzionalità di governance. Per vedere quali API di app di terze parti sono supportate, passare a Connetti app.
Per altre informazioni:
Procedura consigliata: Creare criteri per rimuovere la condivisione con account personali
Dettagli: la connessione di Microsoft 365 a Defender for Cloud Apps offre visibilità immediata sulle attività degli utenti, i file a cui accedono e fornisce azioni di governance per Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange e Dynamics.
Per altre informazioni:
Individuare, classificare, etichettare e proteggere i dati regolamentati e sensibili archiviati nel cloud
Procedura consigliata: Eseguire l'integrazione con Microsoft Purview Information Protection
Dettagli: l'integrazione con Microsoft Purview Information Protection offre la possibilità di applicare automaticamente le etichette di riservatezza e, facoltativamente, di aggiungere la protezione della crittografia. Dopo aver attivato l'integrazione, è possibile applicare etichette come azione di governance, visualizzare i file in base alla classificazione, analizzare i file in base al livello di classificazione e creare criteri granulari per assicurarsi che i file classificati vengano gestiti correttamente. Se non si attiva l'integrazione, non è possibile trarre vantaggio dalla possibilità di analizzare, etichettare e crittografare automaticamente i file nel cloud.
Per altre informazioni:
- integrazione Microsoft Purview Information Protection
- Esercitazione: Applicare automaticamente etichette di riservatezza da Microsoft Purview Information Protection
Procedura consigliata: Creare criteri di esposizione dei dati
Dettagli: usare i criteri dei file per rilevare la condivisione delle informazioni e analizzare le informazioni riservate nelle app cloud. Creare i criteri di file seguenti per avvisare l'utente quando vengono rilevate esposizioni di dati:
- File condivisi esternamente contenenti dati sensibili
- File condivisi esternamente ed etichettati come riservati
- File condivisi con domini non autorizzati
- Proteggere i file sensibili nelle app SaaS
Per altre informazioni:
Procedura consigliata: Esaminare i report nella pagina File
Dettagli: dopo aver connesso diverse app SaaS usando i connettori di app, Defender for Cloud Apps analizza i file archiviati da queste app. Inoltre, ogni volta che un file viene modificato, viene analizzato di nuovo. È possibile usare la pagina File per comprendere e analizzare i tipi di dati archiviati nelle app cloud. Per facilitare l'analisi, è possibile filtrare in base a domini, gruppi, utenti, data di creazione, estensione, nome e tipo di file, ID file, etichetta di riservatezza e altro ancora. L'uso di questi filtri consente di controllare il modo in cui si sceglie di analizzare i file per assicurarsi che nessuno dei dati sia a rischio. Dopo aver compreso meglio come vengono usati i dati, è possibile creare criteri per analizzare i contenuti sensibili in questi file.
Per altre informazioni:
Applicare i criteri di prevenzione della perdita dei dati e di conformità ai dati archiviati nel cloud
Procedura consigliata: proteggere i dati riservati dalla condivisione con utenti esterni
Dettagli: creare un criterio di file che rilevi quando un utente tenta di condividere un file con l'etichetta di riservatezza Riservato con un utente esterno all'organizzazione e configurare l'azione di governance per rimuovere gli utenti esterni. Questo criterio garantisce che i dati riservati non lascino l'organizzazione e che gli utenti esterni non possano accedervi.
Per altre informazioni:
Procedura consigliata: Gestire e controllare l'accesso ai dispositivi ad alto rischio
Dettagli: usare il controllo app per l'accesso condizionale per impostare i controlli nelle app SaaS. È possibile creare criteri di sessione per monitorare le sessioni ad alto rischio e a bassa attendibilità. Analogamente, è possibile creare criteri di sessione per bloccare e proteggere i download da parte degli utenti che tentano di accedere ai dati sensibili da dispositivi non gestiti o rischiosi. Se non si creano criteri di sessione per monitorare le sessioni ad alto rischio, si perderà la possibilità di bloccare e proteggere i download nel client Web, nonché la possibilità di monitorare la sessione a bassa attendibilità sia nelle app Microsoft che in quelle di terze parti.
Per altre informazioni:
- Proteggere le app con Microsoft Defender for Cloud Apps controllo app per l'accesso condizionale
- Criteri di sessione
Proteggere la collaborazione con utenti esterni mediante l'applicazione di controlli di sessione in tempo reale
Procedura consigliata: Monitorare le sessioni con utenti esterni usando il controllo app per l'accesso condizionale
Dettagli: per proteggere la collaborazione nell'ambiente, è possibile creare criteri di sessione per monitorare le sessioni tra gli utenti interni ed esterni. Questo non solo ti dà la possibilità di monitorare la sessione tra gli utenti (e notificare loro che le loro attività di sessione vengono monitorate), ma consente anche di limitare attività specifiche. Quando si creano criteri di sessione per monitorare l'attività, è possibile scegliere le app e gli utenti da monitorare.
Per altre informazioni:
- Proteggere le app con Microsoft Defender for Cloud Apps controllo app per l'accesso condizionale
- Criteri di sessione
Procedura consigliata: Ottimizzare i criteri di anomalie, impostare intervalli IP, inviare commenti e suggerimenti per gli avvisi
Dettagli: i criteri di rilevamento anomalie forniscono analisi del comportamento degli utenti e delle entità (UEBA) e Machine Learning (ML) predefiniti, in modo da poter eseguire immediatamente il rilevamento avanzato delle minacce nell'ambiente cloud.
I criteri di rilevamento anomalie vengono attivati quando sono presenti attività insolite eseguite dagli utenti nell'ambiente. Defender for Cloud Apps monitora continuamente le attività degli utenti e usa UEBA e ML per apprendere e comprendere il normale comportamento degli utenti. È possibile ottimizzare le impostazioni dei criteri in base ai requisiti delle organizzazioni, ad esempio è possibile impostare la riservatezza di un criterio, nonché definire l'ambito di un criterio su un gruppo specifico.
Ottimizzazione e ambito dei criteri di rilevamento anomalie: ad esempio, per ridurre il numero di falsi positivi all'interno dell'avviso di viaggio impossibile, è possibile impostare il dispositivo di scorrimento di riservatezza del criterio su basso. Se nell'organizzazione sono presenti utenti che sono viaggiatori aziendali frequenti, è possibile aggiungerli a un gruppo di utenti e selezionare tale gruppo nell'ambito dei criteri.
Impostare gli intervalli IP: Defender for Cloud Apps possono identificare gli indirizzi IP noti dopo l'impostazione degli intervalli di indirizzi IP. Con gli intervalli di indirizzi IP configurati, è possibile contrassegnare, classificare e personalizzare il modo in cui vengono visualizzati e analizzati i log e gli avvisi. L'aggiunta di intervalli di indirizzi IP consente di ridurre i rilevamenti di falsi positivi e migliorare l'accuratezza degli avvisi. Se si sceglie di non aggiungere gli indirizzi IP, è possibile che venga visualizzato un numero maggiore di possibili falsi positivi e avvisi da analizzare.
Inviare commenti e suggerimenti per gli avvisi
Quando si ignorano o si risolvono gli avvisi, assicurarsi di inviare commenti e suggerimenti con il motivo per cui l'avviso è stato ignorato o come è stato risolto. Queste informazioni consentono Defender for Cloud Apps di migliorare gli avvisi e ridurre i falsi positivi.
Per altre informazioni:
Procedura consigliata: Rilevare attività da località o paesi o aree geografiche imprevisti
Dettagli: creare un criterio attività per notificare quando gli utenti accedono da località o paesi o aree geografiche imprevisti. Queste notifiche possono avvisare l'utente di sessioni potenzialmente compromesse nell'ambiente in modo da poter rilevare e correggere le minacce prima che si verifichino.
Per altre informazioni:
Procedura consigliata: Creare criteri dell'app OAuth
Dettagli: creare un criterio dell'app OAuth per inviare una notifica quando un'app OAuth soddisfa determinati criteri. Ad esempio, è possibile scegliere di ricevere una notifica quando un'app specifica che richiede un livello di autorizzazione elevato è stata accessibile da più di 100 utenti.
Per altre informazioni:
Procedura consigliata: usare l'audit trail delle attività durante l'analisi degli avvisi
Dettagli: gli avvisi vengono attivati quando le attività utente, amministratore o di accesso non sono conformi ai criteri. È importante analizzare gli avvisi per comprendere se è presente una possibile minaccia nell'ambiente.
È possibile analizzare un avviso selezionandolo nella pagina Avvisi ed esaminando l'audit trail delle attività correlate a tale avviso. Il audit trail offre visibilità sulle attività dello stesso tipo, dello stesso utente, dello stesso indirizzo IP e della stessa posizione, per fornire la storia complessiva di un avviso. Se un avviso richiede ulteriori indagini, creare un piano per risolvere questi avvisi nell'organizzazione.
Quando si ignorano gli avvisi, è importante analizzare e capire perché non sono importanti o se sono falsi positivi. Se è presente un volume elevato di tali attività, è anche consigliabile esaminare e ottimizzare i criteri che attivano l'avviso.
Per altre informazioni:
Procedura consigliata: Connettere Azure, AWS e GCP
Dettagli: la connessione di ognuna di queste piattaforme cloud a Defender for Cloud Apps consente di migliorare le funzionalità di rilevamento delle minacce. Monitorando le attività amministrative e di accesso per questi servizi, è possibile rilevare e ricevere notifiche su possibili attacchi di forza bruta, uso dannoso di un account utente con privilegi e altre minacce nell'ambiente. Ad esempio, è possibile identificare i rischi, ad esempio eliminazioni insolite di macchine virtuali o anche attività di rappresentazione in queste app.
Per altre informazioni:
- Connettere Azure a Microsoft Defender for Cloud Apps
- Connettere Amazon Web Services a Microsoft Defender for Cloud Apps
- Connettere Google Workspace a Microsoft Defender for Cloud Apps
Procedura consigliata: Eseguire l'onboarding di app personalizzate
Dettagli: per ottenere visibilità aggiuntiva sulle attività dalle app line-of-business, è possibile eseguire l'onboarding di app personalizzate per Defender for Cloud Apps. Dopo aver configurato le app personalizzate, vengono visualizzate informazioni su chi le usa, gli indirizzi IP da cui vengono usate e la quantità di traffico che entra e esce dall'app.
Inoltre, è possibile eseguire l'onboarding di un'app personalizzata come app di controllo dell'app di accesso condizionale per monitorare le sessioni con attendibilità insufficiente. Microsoft Entra ID le app vengono caricate automaticamente.
Per altre informazioni: