Pilotare e distribuire Microsoft Defender per le app cloud
Si applica a:
- Microsoft Defender XDR
Questo articolo fornisce un flusso di lavoro per la distribuzione pilota e la distribuzione di Microsoft Defender per le app cloud nell'organizzazione. È possibile usare questi consigli per eseguire l'onboarding di Microsoft Defender per le app cloud come singolo strumento di sicurezza informatica o come parte di una soluzione end-to-end con Microsoft Defender XDR.
Questo articolo presuppone che l'utente disponga di un tenant di Microsoft 365 di produzione e stia pilotando e distribuendo Microsoft Defender per le app cloud in questo ambiente. Questa procedura manterrà tutte le impostazioni e le personalizzazioni configurate durante il progetto pilota per la distribuzione completa.
Defender per Office 365 contribuisce a un'architettura Zero Trust contribuendo a prevenire o ridurre i danni aziendali causati da una violazione. Per altre informazioni, vedere Prevenire o ridurre i danni aziendali causati da uno scenario aziendale di violazione nel framework di adozione di Microsoft Zero Trust.
Distribuzione end-to-end per Microsoft Defender XDR
Questo è l'articolo 5 di 6 di una serie che consente di distribuire i componenti di Microsoft Defender XDR, inclusa l'analisi e la risposta agli eventi imprevisti.
Gli articoli di questa serie corrispondono alle fasi seguenti della distribuzione end-to-end:
| Fase | Collegamento |
|---|---|
| R. Avviare il progetto pilota | Avviare il progetto pilota |
| B. Pilotare e distribuire componenti XDR di Microsoft Defender |
-
Pilotare e distribuire Defender per identità - Pilotare e distribuire Defender per Office 365 - Pilotare e distribuire Defender per endpoint - Pilotare e distribuire Microsoft Defender per app cloud (questo articolo) |
| C. Analizzare e rispondere alle minacce | Praticare l'indagine e la risposta agli eventi imprevisti |
Flusso di lavoro pilota e di distribuzione per Defender per app cloud
Il diagramma seguente illustra un processo comune per distribuire un prodotto o un servizio in un ambiente IT.
Per iniziare, valutare il prodotto o il servizio e come funzionerà all'interno dell'organizzazione. Si pilota quindi il prodotto o il servizio con un subset adeguatamente piccolo dell'infrastruttura di produzione per il test, l'apprendimento e la personalizzazione. Quindi, aumentare gradualmente l'ambito della distribuzione fino a quando non viene coperta l'intera infrastruttura o l'organizzazione.
Ecco il flusso di lavoro per la distribuzione pilota e la distribuzione di Defender per le app cloud nell'ambiente di produzione.
attenersi alla seguente procedura:
- Connettersi al portale di Defender per app cloud
- Integrazione con Microsoft Defender per endpoint
- Distribuire l'agente di raccolta log nei firewall e in altri proxy
- Creare un gruppo pilota
- Individuare e gestire le app cloud
- Configurare il controllo app per l'accesso condizionale
- Applicare criteri di sessione alle app cloud
- Provare altre funzionalità
Ecco i passaggi consigliati per ogni fase di distribuzione.
| Fase di distribuzione | Descrizione |
|---|---|
| Valutazione | Eseguire la valutazione del prodotto per Defender per app cloud. |
| Distribuzione pilota | Eseguire i passaggi 1-4 e quindi 5-8 per un subset appropriato di app cloud nell'ambiente di produzione. |
| Distribuzione completa | Eseguire i passaggi da 5 a 8 per le app cloud rimanenti, modificando l'ambito per i gruppi di utenti pilota o aggiungendo gruppi di utenti per espandere oltre il progetto pilota e includere tutti gli account utente. |
Protezione dell'organizzazione dagli hacker
Defender per le app cloud offre protezione avanzata autonomamente. Tuttavia, in combinazione con le altre funzionalità di Microsoft Defender XDR, Defender per le app cloud fornisce dati nei segnali condivisi che insieme consentono di arrestare gli attacchi.
Ecco un esempio di attacco informatico e di come i componenti di Microsoft Defender XDR consentono di rilevarlo e attenuarlo.
Defender per le app cloud rileva comportamenti anomali come spostamenti impossibili, accesso alle credenziali e download insolito, condivisione file o attività di inoltro della posta elettronica e visualizza questi comportamenti nel portale di Defender per app cloud. Defender per le app cloud consente inoltre di impedire lo spostamento laterale da parte degli hacker e l'esfiltrazione di dati sensibili.
Microsoft Defender XDR correla i segnali provenienti da tutti i componenti di Microsoft Defender per fornire la storia completa degli attacchi.
Ruolo di Defender per le app cloud come casb
Un cloud access security broker (CASB) funge da gatekeeper per brokerare l'accesso in tempo reale tra gli utenti aziendali e le risorse cloud usate, ovunque si trovino gli utenti e indipendentemente dal dispositivo in uso. Defender per le app cloud è un casb per le app cloud dell'organizzazione. Defender per le app cloud si integra in modo nativo con le funzionalità di sicurezza Microsoft, tra cui Microsoft Defender XDR.
Senza Defender per le app cloud, le app cloud usate dall'organizzazione non sono gestite e non protette.
Nella figura:
- L'uso di app cloud da parte di un'organizzazione non è monitorato e non protetto.
- Questo uso non rientra nelle protezioni raggiunte all'interno di un'organizzazione gestita.
Per individuare le app cloud usate nell'ambiente, è possibile implementare uno o entrambi i metodi seguenti:
- Iniziare a funzionare rapidamente con Cloud Discovery tramite l'integrazione con Microsoft Defender per endpoint. Questa integrazione nativa consente di iniziare immediatamente a raccogliere dati sul traffico cloud nei dispositivi Windows 10 e Windows 11, all'interno e all'esterno della rete.
- Per individuare tutte le app cloud accessibili da tutti i dispositivi connessi alla rete, distribuire l'agente di raccolta log di Defender for Cloud Apps nei firewall e in altri proxy. Questa distribuzione consente di raccogliere dati dagli endpoint e di inviarli a Defender per le app cloud per l'analisi. Defender per le app cloud si integra in modo nativo con alcuni proxy di terze parti per ottenere ancora più funzionalità.
Questo articolo include indicazioni per entrambi i metodi.
Passaggio 1. Connettersi al portale di Defender per app cloud
Per verificare le licenze e connettersi al portale di Defender per app cloud, vedere Guida introduttiva: Introduzione a Microsoft Defender per le app cloud.
Se non si riesce immediatamente a connettersi al portale, potrebbe essere necessario aggiungere l'indirizzo IP all'elenco consenti del firewall. Vedere Configurazione di base per Defender per app cloud.
Se si verificano ancora problemi, vedere Requisiti di rete.
Passaggio 2: Eseguire l'integrazione con Microsoft Defender per endpoint
Microsoft Defender per app cloud si integra in modo nativo con Microsoft Defender per endpoint. L'integrazione semplifica l'implementazione di Cloud Discovery, estende le funzionalità di Cloud Discovery oltre la rete aziendale e consente l'analisi basata su dispositivi. Questa integrazione rivela l'accesso alle app e ai servizi cloud dai dispositivi Windows 10 e Windows 11 gestiti dall'IT.
Se Microsoft Defender per endpoint è già stato configurato, la configurazione dell'integrazione con Defender per app cloud è un interruttore in Microsoft Defender XDR. Dopo l'attivazione dell'integrazione, è possibile tornare al portale di Defender per app cloud e visualizzare i dati avanzati nel dashboard di Cloud Discovery.
Per eseguire queste attività, vedere Integrazione di Microsoft Defender per endpoint con Microsoft Defender per app cloud.
Passaggio 3: Distribuire l'agente di raccolta log di Defender for Cloud Apps nei firewall e in altri proxy
Per la copertura in tutti i dispositivi connessi alla rete, distribuire l'agente di raccolta log di Defender for Cloud Apps nei firewall e in altri proxy per raccogliere dati dagli endpoint e inviarli a Defender per le app cloud per l'analisi.
Se si usa uno dei gateway Web sicuri (SWG) seguenti, Defender per app cloud offre una distribuzione e un'integrazione senza problemi:
- Zscaler
- iboss
- Corrata
- Sicurezza menlo
Per altre informazioni sull'integrazione con questi dispositivi di rete, vedere Configurare Cloud Discovery.
Passaggio 4. Creare un gruppo pilota: definire l'ambito della distribuzione pilota per determinati gruppi di utenti
Microsoft Defender per app cloud consente di definire l'ambito della distribuzione. La definizione dell'ambito consente di selezionare determinati gruppi di utenti da monitorare per le app o esclusi dal monitoraggio. È possibile includere o escludere gruppi di utenti. Per definire l'ambito della distribuzione pilota, vedere Distribuzione con ambito.
Passaggio 5. Individuare e gestire le app cloud
Affinché Defender per le app cloud fornisca la massima protezione, è necessario individuare tutte le app cloud nell'organizzazione e gestire il modo in cui vengono usate.
Individuare le app cloud
Il primo passaggio per gestire l'uso delle app cloud consiste nell'individuare le app cloud usate dall'organizzazione. Questo diagramma successivo illustra il funzionamento dell'individuazione cloud con Defender per le app cloud.
In questa illustrazione sono disponibili due metodi che possono essere usati per monitorare il traffico di rete e individuare le app cloud usate dall'organizzazione.
Cloud App Discovery si integra in modo nativo con Microsoft Defender per endpoint. Defender per endpoint segnala l'accesso alle app e ai servizi cloud dai dispositivi Windows 10 e Windows 11 gestiti dall'IT.
Per la copertura in tutti i dispositivi connessi a una rete, installare l'agente di raccolta log di Defender for Cloud Apps nei firewall e in altri proxy per raccogliere dati dagli endpoint. L'agente di raccolta invia questi dati a Defender per le app cloud per l'analisi.
Visualizzare il dashboard di Cloud Discovery per vedere quali app vengono usate nell'organizzazione
Il dashboard di Cloud Discovery è progettato per offrire maggiori informazioni sull'uso delle app cloud nell'organizzazione. Offre una panoramica immediata dei tipi di app in uso, degli avvisi aperti e dei livelli di rischio delle app nell'organizzazione.
Per iniziare a usare il dashboard di Cloud Discovery, vedere Uso delle app individuate.
Gestire le app cloud
Dopo aver individuato le app cloud e aver analizzato il modo in cui queste app vengono usate dall'organizzazione, è possibile iniziare a gestire le app cloud scelte.
In questa illustrazione:
- Alcune app sono approvate per l'uso. La approvazione è un modo semplice per iniziare a gestire le app.
- È possibile abilitare una maggiore visibilità e controllo connettendo le app con i connettori di app. I connettori di app usano le API dei provider di app.
È possibile iniziare a gestire le app sanzionando, annullando o bloccando completamente le app. Per iniziare a gestire le app, vedere Governare le app individuate.
Passaggio 6. Configurare il controllo app per l'accesso condizionale
Una delle protezioni più potenti che è possibile configurare è il controllo app per l'accesso condizionale. Questa protezione richiede l'integrazione con l'ID Microsoft Entra. Consente di applicare i criteri di accesso condizionale, inclusi i criteri correlati (ad esempio la richiesta di dispositivi integri), alle app cloud approvate.
È possibile che nel tenant di Microsoft Entra siano già state aggiunte app SaaS per applicare l'autenticazione a più fattori e altri criteri di accesso condizionale. Microsoft Defender per le app cloud si integra in modo nativo con Microsoft Entra ID. È necessario solo configurare un criterio in Microsoft Entra ID per l'uso del controllo app per l'accesso condizionale in Defender per app cloud. In questo modo il traffico di rete per queste app SaaS gestite viene instradato tramite Defender per le app cloud come proxy, consentendo a Defender for Cloud Apps di monitorare il traffico e di applicare i controlli sessione.
In questa illustrazione:
- Le app SaaS sono integrate con il tenant di Microsoft Entra. Questa integrazione consente a Microsoft Entra ID di applicare i criteri di accesso condizionale, inclusa l'autenticazione a più fattori.
- Viene aggiunto un criterio all'ID Microsoft Entra per indirizzare il traffico delle app SaaS a Defender per le app cloud. Il criterio specifica a quali app SaaS applicare questo criterio. Dopo che Microsoft Entra ID applica tutti i criteri di accesso condizionale che si applicano a queste app SaaS, Microsoft Entra ID indirizza quindi (proxy) il traffico di sessione tramite Defender per le app cloud.
- Defender per app cloud monitora questo traffico e applica tutti i criteri di controllo sessione configurati dagli amministratori.
È possibile che siano state individuate e approvate app cloud con Defender per app cloud che non sono state aggiunte all'ID Microsoft Entra. È possibile sfruttare il controllo app per l'accesso condizionale aggiungendo queste app cloud al tenant di Microsoft Entra e all'ambito delle regole di accesso condizionale.
Il primo passaggio per l'uso di Microsoft Defender per le app cloud per gestire le app SaaS consiste nell'individuare queste app e quindi aggiungerle al tenant di Microsoft Entra. Se è necessaria assistenza per l'individuazione, vedere Individuare e gestire le app SaaS nella rete. Dopo aver individuato le app, aggiungere queste app al tenant di Microsoft Entra.
È possibile iniziare a gestire queste app con le attività seguenti:
- In Microsoft Entra ID creare un nuovo criterio di accesso condizionale e configurarlo in "Usa controllo app per l'accesso condizionale". Questa configurazione consente di reindirizzare la richiesta a Defender per app cloud. È possibile creare un criterio e aggiungere tutte le app SaaS a questo criterio.
- In Defender per app cloud creare quindi criteri di sessione. Creare un criterio per ogni controllo da applicare.
Per altre informazioni, incluse le app e i client supportati, vedere Proteggere le app con Il controllo app per l'accesso condizionale di Microsoft Defender per app cloud.
Per i criteri di esempio, vedere Criteri consigliati di Microsoft Defender per app cloud per le app SaaS. Questi criteri si basano su un set di criteri comuni di identità e accesso ai dispositivi consigliati come punto di partenza per tutti i clienti.
Passaggio 7. Applicare criteri di sessione alle app cloud
Microsoft Defender per le app cloud funge da proxy inverso, fornendo l'accesso proxy alle app cloud approvate. Questo provisioning consente a Defender for Cloud Apps di applicare i criteri di sessione configurati.
Nella figura:
- L'accesso alle app cloud approvate da utenti e dispositivi dell'organizzazione viene instradato tramite Defender per app cloud.
- Questo accesso proxy consente l'applicazione dei criteri di sessione.
- Le app cloud non approvate o esplicitamente non approvate non sono interessate.
I criteri di sessione consentono di applicare parametri al modo in cui le app cloud vengono usate dall'organizzazione. Ad esempio, se l'organizzazione usa Salesforce, è possibile configurare criteri di sessione che consentono solo ai dispositivi gestiti di accedere ai dati dell'organizzazione in Salesforce. Un esempio più semplice potrebbe essere la configurazione di un criterio per monitorare il traffico dai dispositivi non gestiti in modo da poter analizzare il rischio di questo traffico prima di applicare criteri più severi.
Per altre informazioni, vedere Creare criteri di sessione.
Passaggio 8. Provare altre funzionalità
Usare queste esercitazioni su Defender for Cloud Apps per individuare i rischi e proteggere l'ambiente:
- Rilevare attività utente sospette
- Analizzare gli utenti a rischio
- Analizzare le app OAuth rischiose
- Individuare e proteggere le informazioni sensibili
- Proteggere qualsiasi app nell'organizzazione in tempo reale
- Bloccare i download di informazioni riservate
- Proteggere i file con la quarantena dell'amministratore
- Richiedere l'autenticazione dettagliata in caso di azione rischiosa
Per altre informazioni sulla ricerca avanzata nei dati di Microsoft Defender per app cloud, vedere questo video.
Integrazione SIEM
È possibile integrare Defender for Cloud Apps con Microsoft Sentinel o un servizio generico di gestione delle informazioni di sicurezza e degli eventi (SIEM) per abilitare il monitoraggio centralizzato di avvisi e attività dalle app connesse. Con Microsoft Sentinel è possibile analizzare in modo più completo gli eventi di sicurezza nell'organizzazione e creare playbook per una risposta efficace e immediata.
Microsoft Sentinel include un connettore defender per app cloud. Ciò consente non solo di ottenere visibilità nelle app cloud, ma anche di ottenere analisi sofisticate per identificare e combattere le minacce informatiche e controllare il modo in cui i dati viaggiano. Per altre informazioni, vedere Avvisi di integrazione di Microsoft Sentinel e Avvisi di flusso e log di Cloud Discovery da Defender per app cloud in Microsoft Sentinel.
Per informazioni sull'integrazione con sistemi SIEM di terze parti, vedere Integrazione SIEM generica.
Passaggio successivo
Eseguire la gestione del ciclo di vita per Defender per app cloud.
Passaggio successivo per la distribuzione end-to-end di Microsoft Defender XDR
Continuare la distribuzione end-to-end di Microsoft Defender XDR con l'analisi e la risposta tramite Microsoft Defender XDR.
Consiglio
Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per