Pilotare e distribuire Microsoft Defender for Cloud Apps
Si applica a:
- Microsoft Defender XDR
Questo articolo fornisce un flusso di lavoro per la distribuzione pilota e la distribuzione di Microsoft Defender for Cloud Apps nell'organizzazione. È possibile usare questi consigli per eseguire l'onboarding di Microsoft Defender for Cloud Apps come singolo strumento di cybersecurity o come parte di una soluzione end-to-end con Microsoft Defender XDR.
Questo articolo presuppone che l'utente disponga di un tenant di Microsoft 365 di produzione e stia pilotando e distribuendo Microsoft Defender for Cloud Apps in questo ambiente. Questa procedura manterrà tutte le impostazioni e le personalizzazioni configurate durante il progetto pilota per la distribuzione completa.
Defender per Office 365 contribuisce a un'architettura Zero Trust contribuendo a prevenire o ridurre i danni aziendali causati da una violazione. Per altre informazioni, vedere Prevenire o ridurre i danni aziendali causati da uno scenario aziendale di violazione nel framework di adozione di Microsoft Zero Trust.
Distribuzione end-to-end per Microsoft Defender XDR
Questo è l'articolo 5 di 6 di una serie che consente di distribuire i componenti di Microsoft Defender XDR, inclusa l'analisi e la risposta agli eventi imprevisti.
Gli articoli di questa serie corrispondono alle fasi seguenti della distribuzione end-to-end:
| Fase | Collegamento |
|---|---|
| R. Avviare il progetto pilota | Avviare il progetto pilota |
| B. Pilotare e distribuire componenti Microsoft Defender XDR |
-
Pilotare e distribuire Defender per identità - Pilotare e distribuire Defender per Office 365 - Pilotare e distribuire Defender per endpoint - Pilotare e distribuire Microsoft Defender for Cloud Apps (questo articolo) |
| C. Analizzare e rispondere alle minacce | Praticare l'indagine e la risposta agli eventi imprevisti |
Flusso di lavoro pilota e di distribuzione per Defender for Cloud Apps
Il diagramma seguente illustra un processo comune per distribuire un prodotto o un servizio in un ambiente IT.
Per iniziare, valutare il prodotto o il servizio e come funzionerà all'interno dell'organizzazione. Si pilota quindi il prodotto o il servizio con un subset adeguatamente piccolo dell'infrastruttura di produzione per il test, l'apprendimento e la personalizzazione. Quindi, aumentare gradualmente l'ambito della distribuzione fino a quando non viene coperta l'intera infrastruttura o l'organizzazione.
Ecco il flusso di lavoro per il piloting e la distribuzione di Defender for Cloud Apps nell'ambiente di produzione.
attenersi alla seguente procedura:
- Connettersi al portale di Defender for Cloud Apps
- Eseguire l'integrazione con Microsoft Defender per endpoint
- Distribuire l'agente di raccolta log nei firewall e in altri proxy
- Creare un gruppo pilota
- Individuare e gestire le app cloud
- Configurare il controllo app per l'accesso condizionale
- Applicare criteri di sessione alle app cloud
- Provare altre funzionalità
Ecco i passaggi consigliati per ogni fase di distribuzione.
| Fase di distribuzione | Descrizione |
|---|---|
| Valutazione | Eseguire la valutazione del prodotto per Defender for Cloud Apps. |
| Distribuzione pilota | Eseguire i passaggi 1-4 e quindi 5-8 per un subset appropriato di app cloud nell'ambiente di produzione. |
| Distribuzione completa | Eseguire i passaggi da 5 a 8 per le app cloud rimanenti, modificando l'ambito per i gruppi di utenti pilota o aggiungendo gruppi di utenti per espandere oltre il progetto pilota e includere tutti gli account utente. |
Protezione dell'organizzazione dagli hacker
Defender for Cloud Apps offre protezione avanzata autonomamente. Tuttavia, in combinazione con le altre funzionalità di Microsoft Defender XDR, Defender for Cloud Apps fornisce dati nei segnali condivisi che insieme consentono di arrestare gli attacchi.
Di seguito è riportato un esempio di attacco informatico e di come i componenti di Microsoft Defender XDR consentono di rilevarlo e attenuarlo.
Defender for Cloud Apps rileva un comportamento anomalo come spostamento impossibile, accesso alle credenziali e download insolito, condivisione file o attività di inoltro della posta elettronica e visualizza questi comportamenti nel portale di Defender for Cloud Apps. Defender for Cloud Apps aiuta anche a prevenire il movimento laterale da parte degli hacker e l'esfiltrazione di dati sensibili.
Microsoft Defender XDR correla i segnali provenienti da tutti i componenti Microsoft Defender per fornire la storia completa dell'attacco.
Defender for Cloud Apps ruolo come casb
Un cloud access security broker (CASB) funge da gatekeeper per brokerare l'accesso in tempo reale tra gli utenti aziendali e le risorse cloud usate, ovunque si trovino gli utenti e indipendentemente dal dispositivo in uso. Defender for Cloud Apps è un casb per le app cloud dell'organizzazione. Defender for Cloud Apps si integra in modo nativo con le funzionalità di sicurezza Microsoft, tra cui Microsoft Defender XDR.
Senza Defender for Cloud Apps, le app cloud usate dall'organizzazione non sono gestite e non protette.
Nella figura:
- L'uso di app cloud da parte di un'organizzazione non è monitorato e non protetto.
- Questo uso non rientra nelle protezioni raggiunte all'interno di un'organizzazione gestita.
Per individuare le app cloud usate nell'ambiente, è possibile implementare uno o entrambi i metodi seguenti:
- Iniziare a funzionare rapidamente con Cloud Discovery integrando con Microsoft Defender per endpoint. Questa integrazione nativa consente di iniziare immediatamente a raccogliere dati sul traffico cloud attraverso i dispositivi Windows 10 e Windows 11, all'interno e all'esterno della rete.
- Per individuare tutte le app cloud accessibili da tutti i dispositivi connessi alla rete, distribuire l'agente di raccolta log Defender for Cloud Apps nei firewall e in altri proxy. Questa distribuzione consente di raccogliere dati dagli endpoint e di inviarli a Defender for Cloud Apps per l'analisi. Defender for Cloud Apps si integra in modo nativo con alcuni proxy di terze parti per un maggior livello di funzionalità.
Questo articolo include indicazioni per entrambi i metodi.
Passaggio 1. Connettersi al portale di Defender for Cloud Apps
Per verificare le licenze e connettersi al portale di Defender for Cloud Apps, vedere Guida introduttiva: Introduzione a Microsoft Defender for Cloud Apps.
Se non si riesce immediatamente a connettersi al portale, potrebbe essere necessario aggiungere l'indirizzo IP all'elenco consenti del firewall. Vedere Configurazione di base per Defender for Cloud Apps.
Se si verificano ancora problemi, vedere Requisiti di rete.
Passaggio 2: Eseguire l'integrazione con Microsoft Defender per endpoint
Microsoft Defender for Cloud Apps si integra con Microsoft Defender per endpoint in modo nativo. L'integrazione semplifica l'implementazione di Cloud Discovery, estende le funzionalità di Cloud Discovery oltre la rete aziendale e consente l'analisi basata su dispositivi. Questa integrazione mostra l'accesso alle app e ai servizi cloud dai dispositivi Windows 10 e Windows 11 gestiti dall'IT.
Se è già stato configurato Microsoft Defender per endpoint, la configurazione dell'integrazione con Defender for Cloud Apps è un interruttore in Microsoft Defender XDR. Dopo l'attivazione dell'integrazione, è possibile tornare al portale di Defender for Cloud Apps e visualizzare i dati avanzati nel dashboard di Cloud Discovery.
Per eseguire queste attività, vedere integrazione Microsoft Defender per endpoint con Microsoft Defender for Cloud Apps.
Passaggio 3: Distribuire l'agente di raccolta log Defender for Cloud Apps nei firewall e in altri proxy
Per la copertura in tutti i dispositivi connessi alla rete, distribuire l'agente di raccolta log Defender for Cloud Apps nei firewall e in altri proxy per raccogliere dati dagli endpoint e inviarli a Defender for Cloud Apps per l'analisi.
Se si usa uno dei gateway Web sicuri (SWG) seguenti, Defender for Cloud Apps offre una distribuzione e un'integrazione senza problemi:
- Zscaler
- iboss
- Corrata
- Sicurezza menlo
Per altre informazioni sull'integrazione con questi dispositivi di rete, vedere Configurare Cloud Discovery.
Passaggio 4. Creare un gruppo pilota: definire l'ambito della distribuzione pilota per determinati gruppi di utenti
Microsoft Defender for Cloud Apps consente di definire l'ambito della distribuzione. La definizione dell'ambito consente di selezionare determinati gruppi di utenti da monitorare per le app o esclusi dal monitoraggio. È possibile includere o escludere gruppi di utenti. Per definire l'ambito della distribuzione pilota, vedere Distribuzione con ambito.
Passaggio 5. Individuare e gestire le app cloud
Per Defender for Cloud Apps fornire la massima protezione, è necessario individuare tutte le app cloud nell'organizzazione e gestire il modo in cui vengono usate.
Individuare le app cloud
Il primo passaggio per gestire l'uso delle app cloud consiste nell'individuare le app cloud usate dall'organizzazione. Questo diagramma successivo illustra il funzionamento dell'individuazione cloud con Defender for Cloud Apps.
In questa illustrazione sono disponibili due metodi che possono essere usati per monitorare il traffico di rete e individuare le app cloud usate dall'organizzazione.
Cloud App Discovery si integra con Microsoft Defender per endpoint in modo nativo. Defender per endpoint segnala l'accesso ad app e servizi cloud da dispositivi Windows 10 e Windows 11 gestiti dall'IT.
Per la copertura in tutti i dispositivi connessi a una rete, installare l'agente di raccolta log Defender for Cloud Apps nei firewall e in altri proxy per raccogliere dati dagli endpoint. L'agente di raccolta invia questi dati a Defender for Cloud Apps per l'analisi.
Visualizzare il dashboard di Cloud Discovery per vedere quali app vengono usate nell'organizzazione
Il dashboard di Cloud Discovery è progettato per offrire maggiori informazioni sull'uso delle app cloud nell'organizzazione. Offre una panoramica immediata dei tipi di app in uso, degli avvisi aperti e dei livelli di rischio delle app nell'organizzazione.
Per iniziare a usare il dashboard di Cloud Discovery, vedere Uso delle app individuate.
Gestire le app cloud
Dopo aver individuato le app cloud e aver analizzato il modo in cui queste app vengono usate dall'organizzazione, è possibile iniziare a gestire le app cloud scelte.
In questa illustrazione:
- Alcune app sono approvate per l'uso. La approvazione è un modo semplice per iniziare a gestire le app.
- È possibile abilitare una maggiore visibilità e controllo connettendo le app con i connettori di app. I connettori di app usano le API dei provider di app.
È possibile iniziare a gestire le app sanzionando, annullando o bloccando completamente le app. Per iniziare a gestire le app, vedere Governare le app individuate.
Passaggio 6. Configurare il controllo app per l'accesso condizionale
Una delle protezioni più potenti che è possibile configurare è il controllo app per l'accesso condizionale. Questa protezione richiede l'integrazione con Microsoft Entra ID. Consente di applicare i criteri di accesso condizionale, inclusi i criteri correlati (ad esempio la richiesta di dispositivi integri), alle app cloud approvate.
È possibile che le app SaaS siano già state aggiunte al tenant Microsoft Entra per applicare l'autenticazione a più fattori e altri criteri di accesso condizionale. Microsoft Defender for Cloud Apps si integra in modo nativo con Microsoft Entra ID. È necessario solo configurare un criterio in Microsoft Entra ID per l'uso del controllo app per l'accesso condizionale in Defender for Cloud Apps. In questo modo il traffico di rete per queste app SaaS gestite viene instradato tramite Defender for Cloud Apps come proxy, consentendo a Defender for Cloud Apps di monitorare il traffico e di applicare i controlli sessione.
In questa illustrazione:
- Le app SaaS sono integrate con il tenant Microsoft Entra. Questa integrazione consente Microsoft Entra ID di applicare i criteri di accesso condizionale, inclusa l'autenticazione a più fattori.
- Un criterio viene aggiunto a Microsoft Entra ID per indirizzare il traffico delle app SaaS alla Defender for Cloud Apps. Il criterio specifica a quali app SaaS applicare questo criterio. Dopo Microsoft Entra ID applica tutti i criteri di accesso condizionale che si applicano a queste app SaaS, Microsoft Entra ID quindi indirizza (proxy) il traffico della sessione attraverso Defender for Cloud Apps.
- Defender for Cloud Apps monitora il traffico e applica tutti i criteri di controllo sessione configurati dagli amministratori.
È possibile che siano state individuate e approvate app cloud usando Defender for Cloud Apps che non sono state aggiunte a Microsoft Entra ID. È possibile sfruttare il controllo app per l'accesso condizionale aggiungendo queste app cloud al tenant Microsoft Entra e all'ambito delle regole di accesso condizionale.
Il primo passaggio nell'uso di Microsoft Defender for Cloud Apps per gestire le app SaaS consiste nell'individuare queste app e quindi aggiungerle al tenant Microsoft Entra. Se è necessaria assistenza per l'individuazione, vedere Individuare e gestire le app SaaS nella rete. Dopo aver individuato le app, aggiungere queste app al tenant Microsoft Entra.
È possibile iniziare a gestire queste app con le attività seguenti:
- In Microsoft Entra ID creare un nuovo criterio di accesso condizionale e configurarlo in "Usa controllo app per l'accesso condizionale". Questa configurazione consente di reindirizzare la richiesta a Defender for Cloud Apps. È possibile creare un criterio e aggiungere tutte le app SaaS a questo criterio.
- In Defender for Cloud Apps creare quindi criteri di sessione. Creare un criterio per ogni controllo da applicare.
Per altre informazioni, incluse le app e i client supportati, vedere Proteggere le app con Microsoft Defender for Cloud Apps controllo app per l'accesso condizionale.
Per i criteri di esempio, vedere Criteri di Microsoft Defender for Cloud Apps consigliati per le app SaaS. Questi criteri si basano su un set di criteri comuni di identità e accesso ai dispositivi consigliati come punto di partenza per tutti i clienti.
Passaggio 7. Applicare criteri di sessione alle app cloud
Microsoft Defender for Cloud Apps funge da proxy inverso, fornendo l'accesso proxy alle app cloud approvate. Questo provisioning consente Defender for Cloud Apps di applicare i criteri di sessione configurati.
Nella figura:
- L'accesso alle app cloud approvate da utenti e dispositivi dell'organizzazione viene instradato tramite Defender for Cloud Apps.
- Questo accesso proxy consente l'applicazione dei criteri di sessione.
- Le app cloud non approvate o esplicitamente non approvate non sono interessate.
I criteri di sessione consentono di applicare parametri al modo in cui le app cloud vengono usate dall'organizzazione. Ad esempio, se l'organizzazione usa Salesforce, è possibile configurare criteri di sessione che consentono solo ai dispositivi gestiti di accedere ai dati dell'organizzazione in Salesforce. Un esempio più semplice potrebbe essere la configurazione di un criterio per monitorare il traffico dai dispositivi non gestiti in modo da poter analizzare il rischio di questo traffico prima di applicare criteri più severi.
Per altre informazioni, vedere Creare criteri di sessione.
Passaggio 8. Provare altre funzionalità
Usare queste esercitazioni Defender for Cloud Apps per individuare i rischi e proteggere l'ambiente:
- Rilevare attività utente sospette
- Analizzare gli utenti a rischio
- Analizzare le app OAuth rischiose
- Individuare e proteggere le informazioni sensibili
- Proteggere qualsiasi app nell'organizzazione in tempo reale
- Bloccare i download di informazioni riservate
- Proteggere i file con la quarantena dell'amministratore
- Richiedere l'autenticazione dettagliata in caso di azione rischiosa
Per altre informazioni sulla ricerca avanzata nei dati Microsoft Defender for Cloud Apps, vedere questo video.
Integrazione SIEM
È possibile integrare Defender for Cloud Apps con Microsoft Sentinel o un servizio siem (Security Information and Event Management) generico per consentire il monitoraggio centralizzato di avvisi e attività dalle app connesse. Con Microsoft Sentinel, è possibile analizzare in modo più completo gli eventi di sicurezza nell'organizzazione e creare playbook per una risposta efficace e immediata.
Microsoft Sentinel include un connettore Defender for Cloud Apps. Ciò consente non solo di ottenere visibilità nelle app cloud, ma anche di ottenere analisi sofisticate per identificare e combattere le minacce informatiche e controllare il modo in cui i dati viaggiano. Per altre informazioni, vedere Microsoft Sentinel gli avvisi di integrazione e Stream e i log di Cloud Discovery da Defender for Cloud Apps in Microsoft Sentinel.
Per informazioni sull'integrazione con sistemi SIEM di terze parti, vedere Integrazione SIEM generica.
Passaggio successivo
Eseguire la gestione del ciclo di vita per Defender for Cloud Apps.
Passaggio successivo per la distribuzione end-to-end di Microsoft Defender XDR
Continuare la distribuzione end-to-end di Microsoft Defender XDR con Analisi e risposta usando Microsoft Defender XDR.
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.