Esaminare i requisiti di architettura e i concetti chiave per Microsoft Defender for Cloud Apps
Si applica a:
- Microsoft Defender XDR
Questo articolo è il passaggio 1 di 3 nel processo di configurazione dell'ambiente di valutazione per Microsoft Defender for Cloud Apps insieme a Microsoft Defender XDR. Per altre informazioni su questo processo, vedere l'articolo di panoramica.
Prima di abilitare Microsoft Defender for Cloud Apps, assicurarsi di comprendere l'architettura e di soddisfare i requisiti.
Informazioni sull'architettura
Microsoft Defender for Cloud Apps è un cloud access security broker (CASB). I CASB fungono da gatekeeper per brokerare l'accesso in tempo reale tra gli utenti aziendali e le risorse cloud che usano, ovunque si trovino gli utenti e indipendentemente dal dispositivo in uso. Microsoft Defender for Cloud Apps si integra in modo nativo con le funzionalità di sicurezza Microsoft, tra cui Microsoft Defender XDR.
Senza Defender per le app cloud, le app cloud usate dall'organizzazione non sono gestite e non protette, come illustrato.
Nella figura:
- L'uso di app cloud da parte di un'organizzazione non è monitorato e non protetto.
- Questo uso non rientra nelle protezioni raggiunte all'interno di un'organizzazione gestita.
Individuazione di app cloud
Il primo passaggio per gestire l'uso delle app cloud consiste nell'individuare le app cloud usate dall'organizzazione. Questo diagramma successivo illustra il funzionamento dell'individuazione cloud con Defender per le app cloud.
In questa illustrazione sono disponibili due metodi che possono essere usati per monitorare il traffico di rete e individuare le app cloud usate dall'organizzazione.
- R. Cloud App Discovery si integra con Microsoft Defender per endpoint in modo nativo. Defender per endpoint segnala l'accesso ad app e servizi cloud da dispositivi Windows 10 e Windows 11 gestiti dall'IT.
- B. Per la copertura in tutti i dispositivi connessi a una rete, l'agente di raccolta log di Defender for Cloud Apps viene installato nei firewall e in altri proxy per raccogliere dati dagli endpoint. Questi dati vengono inviati a Defender per app cloud per l'analisi.
Gestione delle app cloud
Dopo aver individuato le app cloud e aver analizzato il modo in cui queste app vengono usate dall'organizzazione, è possibile iniziare a gestire le app cloud scelte.
In questa illustrazione:
- Alcune app sono approvate per l'uso. Questa approvazione è un modo semplice per iniziare a gestire le app.
- È possibile abilitare una maggiore visibilità e controllo connettendo le app con i connettori di app. I connettori di app usano le API dei provider di app.
Applicazione di controlli sessione alle app cloud
Microsoft Defender for Cloud Apps funge da proxy inverso, fornendo l'accesso proxy alle app cloud approvate. Questo provisioning consente a Defender for Cloud Apps di applicare i controlli sessione configurati.
In questa illustrazione:
- L'accesso alle app cloud approvate da utenti e dispositivi dell'organizzazione viene instradato tramite Defender per app cloud.
- Questo accesso proxy consente l'applicazione dei controlli sessione.
- Le app cloud non approvate o esplicitamente non approvate non sono interessate.
I controlli sessione consentono di applicare parametri al modo in cui le app cloud vengono usate dall'organizzazione. Ad esempio, se l'organizzazione usa Salesforce, è possibile configurare criteri di sessione che consentono solo ai dispositivi gestiti di accedere ai dati dell'organizzazione in Salesforce. Un esempio più semplice potrebbe essere la configurazione di un criterio per monitorare il traffico dai dispositivi non gestiti in modo da poter analizzare il rischio di questo traffico prima di applicare criteri più severi.
Integrazione con Microsoft Entra ID con il controllo app per l'accesso condizionale
È possibile che le app SaaS siano già state aggiunte al tenant Microsoft Entra per applicare l'autenticazione a più fattori e altri criteri di accesso condizionale. Microsoft Defender for Cloud Apps si integra in modo nativo con Microsoft Entra ID. È necessario solo configurare un criterio in Microsoft Entra ID per usare il controllo app per l'accesso condizionale in Defender per app cloud. In questo modo il traffico di rete per queste app SaaS gestite viene instradato tramite Defender per le app cloud come proxy, consentendo a Defender for Cloud Apps di monitorare il traffico e di applicare i controlli sessione.
In questa illustrazione:
- Le app SaaS sono integrate con il tenant Microsoft Entra. Questa integrazione consente Microsoft Entra ID di applicare i criteri di accesso condizionale, inclusa l'autenticazione a più fattori.
- Ai Microsoft Entra ID viene aggiunto un criterio per indirizzare il traffico delle app SaaS a Defender per le app cloud. Il criterio specifica a quali app SaaS applicare questo criterio. Pertanto, dopo Microsoft Entra ID applica tutti i criteri di accesso condizionale che si applicano a queste app SaaS, Microsoft Entra ID quindi indirizza (proxy) il traffico di sessione tramite Defender per le app cloud.
- Defender per app cloud monitora questo traffico e applica tutti i criteri di controllo sessione configurati dagli amministratori.
È possibile che siano state individuate e approvate app cloud con Defender per le app cloud che non sono state aggiunte a Microsoft Entra ID. È possibile sfruttare il controllo app per l'accesso condizionale aggiungendo queste app cloud al tenant Microsoft Entra e all'ambito delle regole di accesso condizionale.
Protezione dell'organizzazione dagli hacker
Defender per le app cloud offre protezione avanzata autonomamente. Tuttavia, in combinazione con le altre funzionalità di Microsoft Defender XDR, Defender per le app cloud fornisce dati nei segnali condivisi che (insieme) consentono di arrestare gli attacchi.
Vale la pena ripetere questa illustrazione dalla panoramica a questa Microsoft Defender XDR valutazione e guida pilota.
Concentrandosi sul lato destro di questa illustrazione, Microsoft Defender for Cloud Apps nota un comportamento anomalo come spostamento impossibile, accesso alle credenziali e download insolito, condivisione file o attività di inoltro della posta elettronica e segnala questi comportamenti al team di sicurezza. Di conseguenza, Defender per le app cloud consente di impedire lo spostamento laterale da parte degli hacker e l'esfiltrazione dei dati sensibili. Microsoft 356 Defender for Cloud correla i segnali provenienti da tutti i componenti per fornire la storia completa degli attacchi.
Informazioni sui concetti chiave
Nella tabella seguente sono stati identificati i concetti chiave importanti da comprendere durante la valutazione, la configurazione e la distribuzione di Microsoft Defender for Cloud Apps.
| Concetti | Descrizione | Ulteriori informazioni |
|---|---|---|
| Dashboard di Defender per app cloud | Presenta una panoramica delle informazioni più importanti sull'organizzazione e fornisce collegamenti per un'analisi più approfondita. | Uso del dashboard |
| Controllo delle app tramite l'accesso condizionale | Architettura proxy inverso che si integra con il provider di identità (IdP) per fornire Microsoft Entra criteri di accesso condizionale e applicare selettivamente i controlli sessione. | Proteggere le app con Microsoft Defender for Cloud Apps controllo app per l'accesso condizionale |
| Catalogo app cloud | Cloud App Catalog offre un quadro completo del catalogo Microsoft di oltre 16.000 app cloud classificate e valutate in base a più di 80 fattori di rischio. | Uso dei punteggi di rischio dell'app |
| Cloud Discovery Dashboard | Cloud Discovery analizza i log del traffico ed è progettato per fornire maggiori informazioni su come vengono usate le app cloud nell'organizzazione, nonché fornire avvisi e livelli di rischio. | Uso delle app individuate |
| App connesse | Defender per le app cloud offre protezione end-to-end per le app connesse tramite l'integrazione da cloud a cloud, connettori API e controlli di accesso e sessione in tempo reale tramite i controlli di accesso condizionale alle app. | Protezione delle app connesse |
Esaminare i requisiti dell'architettura
Individuazione di app cloud
Per individuare le app cloud usate nell'ambiente, è possibile implementare uno o entrambi i metodi seguenti:
- Iniziare a funzionare rapidamente con Cloud Discovery integrando con Microsoft Defender per endpoint. Questa integrazione nativa consente di iniziare immediatamente a raccogliere dati sul traffico cloud attraverso i dispositivi Windows 11 e Windows 10, all'interno e all'esterno della rete.
- Per individuare tutte le app cloud accessibili da tutti i dispositivi connessi alla rete, distribuire l'agente di raccolta log di Defender for Cloud Apps nei firewall e in altri proxy. Questa distribuzione consente di raccogliere dati dagli endpoint e di inviarli a Defender per le app cloud per l'analisi. Defender per le app cloud si integra in modo nativo con alcuni proxy di terze parti per ottenere ancora più funzionalità.
Queste opzioni sono incluse nel passaggio 2. Abilitare l'ambiente di valutazione.
Applicazione di criteri di accesso condizionale Microsoft Entra alle app cloud
Il controllo app per l'accesso condizionale (la possibilità di applicare criteri di accesso condizionale alle app cloud) richiede l'integrazione con Microsoft Entra ID. Questa integrazione non è un requisito per iniziare a usare Defender per le app cloud. Si tratta di un passaggio che ti invitiamo a provare durante la fase pilota, passaggio 3. Microsoft Defender for Cloud Apps pilota.
Integrazione SIEM
È possibile integrare Microsoft Defender for Cloud Apps con il server SIEM generico o con Microsoft Sentinel per abilitare il monitoraggio centralizzato di avvisi e attività dalle app connesse.
Microsoft Sentinel include anche un connettore Microsoft Defender for Cloud Apps per offrire un'integrazione più approfondita con Microsoft Sentinel. Questa disposizione consente non solo di ottenere visibilità nelle app cloud, ma anche di ottenere analisi sofisticate per identificare e combattere le minacce informatiche e controllare il modo in cui i dati viaggiano.
- Integrazione SIEM generica
- Stream avvisi e log di Cloud Discovery da Defender per app cloud in Microsoft Sentinel
Passaggi successivi
Passaggio 2 di 3: Abilitare l'ambiente di valutazione per Microsoft Defender for Cloud Apps
Tornare alla panoramica di Evaluate Microsoft Defender for Cloud Apps
Tornare alla panoramica di Evaluate and pilot Microsoft Defender XDR
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per