Pilot og distribuer Microsoft Defender for Cloud Apps
Gjelder for:
- Microsoft Defender XDR
Denne artikkelen inneholder en arbeidsflyt for utforming og distribusjon av Microsoft Defender for Cloud Apps i organisasjonen. Du kan bruke disse anbefalingene til å Microsoft Defender for Cloud Apps som et individuelt cybersikkerhetsverktøy eller som en del av en ende-til-ende-løsning med Microsoft Defender XDR.
Denne artikkelen forutsetter at du har en Microsoft 365-leier i produksjon og piloterer og distribuerer Microsoft Defender for Cloud Apps i dette miljøet. Denne øvelsen opprettholder alle innstillinger og tilpassinger du konfigurerer under prøveprogrammet for fullstendig distribusjon.
Defender for Office 365 bidrar til en nulltillit arkitektur ved å bidra til å forhindre eller redusere forretningsskader fra et brudd. Hvis du vil ha mer informasjon, kan du se Forhindre eller redusere forretningsskader fra et forretningsscenario for brudd i implementeringsrammeverket for Microsoft nulltillit.
Ende-til-ende-distribusjon for Microsoft Defender XDR
Dette er artikkel 5 av 6 i en serie som hjelper deg med å distribuere komponentene i Microsoft Defender XDR, inkludert å undersøke og svare på hendelser.
Artiklene i denne serien tilsvarer følgende faser av ende-til-ende-distribusjon:
| Fase | Lenke |
|---|---|
| En. Start prøveprosjektet | Start prøveprosjektet |
| B. Pilot og distribuer Microsoft Defender XDR komponenter |
-
Pilot og distribuer Defender for identitet - Pilot og distribuer Defender for Office 365 - Pilot og distribuer Defender for endepunkt - Pilot og distribuer Microsoft Defender for Cloud Apps (denne artikkelen) |
| C. Undersøke og svare på trusler | Øv på hendelsesundersøkelse og respons |
Pilot og distribuer arbeidsflyt for Defender for Cloud Apps
Diagrammet nedenfor illustrerer en vanlig prosess for å distribuere et produkt eller en tjeneste i et IT-miljø.
Du starter med å evaluere produktet eller tjenesten og hvordan det vil fungere i organisasjonen. Deretter tester du produktet eller tjenesten med et passende lite delsett av produksjonsinfrastrukturen for testing, læring og tilpassing. Deretter øker du distribusjonsomfanget gradvis til hele infrastrukturen eller organisasjonen er dekket.
Her er arbeidsflyten for utforming og distribusjon av Defender for Cloud Apps i produksjonsmiljøet.
Følg disse trinnene:
- Koble til Defender for Cloud Apps-portalen
- Integrer med Microsoft Defender for endepunkt
- Distribuer loggsamleren på brannmurene og andre proxyer
- Opprette en pilotgruppe
- Oppdag og administrer skyapper
- Konfigurer appkontroll for betinget tilgang
- Bruk øktpolicyer på skyapper
- Prøv flere funksjoner
Her er de anbefalte trinnene for hver distribusjonsfase.
| Distribusjonstrinn | Beskrivelse |
|---|---|
| Vurdere | Utfør produktevaluering for Defender for Cloud Apps. |
| Pilot | Utfør trinn 1–4 og deretter 5–8 for et passende delsett av skyapper i produksjonsmiljøet. |
| Full distribusjon | Utfør trinn 5–8 for de gjenværende skyappene, juster omfanget for pilotbrukergrupper eller legg til brukergrupper for å utvide utover prøveprosjektet, og inkluder alle brukerkontoene dine. |
Beskytte organisasjonen mot hackere
Defender for Cloud Apps gir kraftig beskyttelse på egen hånd. Men når Defender for Cloud Apps kombineres med de andre funksjonene i Microsoft Defender XDR, gir Defender for Cloud Apps data til de delte signalene som sammen bidrar til å stoppe angrep.
Her er et eksempel på et cyberangrep og hvordan komponentene i Microsoft Defender XDR bidra til å oppdage og redusere det.
Defender for Cloud Apps oppdager uregelmessig atferd som umulig reise, legitimasjonstilgang og uvanlig nedlasting, fildeling eller videresendingsaktivitet for e-post, og viser disse virkemåtene i Defender for Cloud Apps-portalen. Defender for Cloud Apps bidrar også til å forhindre lateral bevegelse av hackere og eksfiltrering av sensitive data.
Microsoft Defender XDR korrelerer signalene fra alle de Microsoft Defender komponentene for å gi hele angrepshistorien.
Defender for Cloud Apps rolle som CASB
En sikkerhetsmegler for skytilgang (CASB) fungerer som en portvokter for å megle tilgang i sanntid mellom bedriftsbrukerne og skyressursene de bruker, uansett hvor brukerne befinner seg og uavhengig av enheten de bruker. Defender for Cloud Apps er en CASB for organisasjonens skyapper. Defender for Cloud Apps integreres opprinnelig med Microsofts sikkerhetsfunksjoner, inkludert Microsoft Defender XDR.
Uten Defender for Cloud Apps er skyapper som brukes av organisasjonen, uadministrerte og ubeskyttede.
I illustrasjonen:
- Bruken av skyapper fra en organisasjon er uovervåket og ubeskyttet.
- Denne bruken faller utenfor beskyttelsene som oppnås i en administrert organisasjon.
Hvis du vil oppdage skyapper som brukes i miljøet ditt, kan du implementere én eller begge av følgende metoder:
- Kom raskt i gang med Cloud Discovery ved å integrere med Microsoft Defender for endepunkt. Med denne opprinnelige integreringen kan du umiddelbart begynne å samle inn data om skytrafikk på tvers av Windows 10 og Windows 11 enheter, både på og utenfor nettverket.
- Hvis du vil oppdage alle skyapper som er tilgjengelig for alle enheter som er koblet til nettverket, kan du distribuere Defender for Cloud Apps loggsamleren på brannmurene og andre proxyer. Denne distribusjonen hjelper deg med å samle inn data fra endepunktene og sender dem til Defender for Cloud Apps for analyse. Defender for Cloud Apps integreres opprinnelig med noen tredjeparts proxyer for enda flere funksjoner.
Denne artikkelen inneholder veiledning for begge metodene.
Trinn 1. Koble til Defender for Cloud Apps-portalen
Hvis du vil bekrefte lisensiering og koble til Defender for Cloud Apps-portalen, kan du se Hurtigstart: Komme i gang med Microsoft Defender for Cloud Apps.
Hvis du ikke umiddelbart kan koble til portalen, må du kanskje legge til IP-adressen i tillatelseslisten for brannmuren. Se Grunnleggende oppsett for Defender for Cloud Apps.
Hvis du fortsatt har problemer, kan du se gjennom nettverkskravene.
Trinn 2: Integrere med Microsoft Defender for endepunkt
Microsoft Defender for Cloud Apps integreres med Microsoft Defender for endepunkt opprinnelig. Integreringen forenkler utrullingen av Cloud Discovery, utvider Cloud Discovery-funksjoner utover bedriftsnettverket og muliggjør enhetsbasert undersøkelse. Denne integreringen viser at skyapper og -tjenester åpnes fra IT-administrerte Windows 10 og Windows 11 enheter.
Hvis du allerede har konfigurert Microsoft Defender for endepunkt, er konfigurasjon av integrering med Defender for Cloud Apps en veksleknapp i Microsoft Defender XDR. Når integrering er aktivert, kan du gå tilbake til Defender for Cloud Apps-portalen og vise rike data i instrumentbordet for skysøk.
Hvis du vil utføre disse oppgavene, kan du se Microsoft Defender for endepunkt integrering med Microsoft Defender for Cloud Apps.
Trinn 3: Distribuer Defender for Cloud Apps loggsamleren på brannmurene og andre proxyer
Hvis du vil ha dekning på alle enheter som er koblet til nettverket, kan du distribuere den Defender for Cloud Apps loggsamleren på brannmurene og andre proxyer for å samle inn data fra endepunktene og sende dem til Defender for Cloud Apps for analyse.
Hvis du bruker en av følgende Secure Web Gateways (SWG), gir Defender for Cloud Apps sømløs distribusjon og integrering:
- Zscaler
- iboss
- Korrelator
- Menlo Sikkerhet
Hvis du vil ha mer informasjon om integrering med disse nettverksenhetene, kan du se Konfigurere Cloud Discovery.
Trinn 4. Opprette en pilotgruppe – begrense pilotdistribusjonen til bestemte brukergrupper
Microsoft Defender for Cloud Apps gir deg mulighet til å begrense distribusjonen. Med omfang kan du velge bestemte brukergrupper som skal overvåkes for apper eller utelukkes fra overvåking. Du kan inkludere eller utelate brukergrupper. Hvis du vil begrense testdistribusjonen, kan du se Omfangsdistribusjon.
Trinn 5. Oppdag og administrer skyapper
For at Defender for Cloud Apps skal gi maksimal beskyttelse, må du oppdage alle skyappene i organisasjonen og administrere hvordan de brukes.
Oppdag skyapper
Det første trinnet for å administrere bruken av skyapper er å finne ut hvilke skyapper som brukes av organisasjonen. Dette neste diagrammet illustrerer hvordan skyoppdagelse fungerer med Defender for Cloud Apps.
I denne illustrasjonen finnes det to metoder som kan brukes til å overvåke nettverkstrafikk og oppdage skyapper som brukes av organisasjonen.
Cloud App Discovery integreres med Microsoft Defender for endepunkt opprinnelig. Defender for Endpoint rapporterer skyapper og -tjenester som åpnes fra IT-administrerte Windows 10 og Windows 11 enheter.
For dekning på alle enheter som er koblet til et nettverk, installerer du Defender for Cloud Apps log collector på brannmurer og andre proxyer for å samle inn data fra endepunkter. Samleren sender disse dataene til Defender for Cloud Apps for analyse.
Vis instrumentbordet for Cloud Discovery for å se hvilke apper som brukes i organisasjonen
Instrumentbordet for Cloud Discovery er utformet for å gi deg mer innsikt i hvordan skyapper brukes i organisasjonen. Den gir en oversikt over hvilke typer apper som brukes, åpne varsler og risikonivåene for apper i organisasjonen.
Hvis du vil komme i gang med instrumentbordet for Cloud Discovery, kan du se Arbeide med oppdagede apper.
Administrer skyapper
Når du oppdager skyapper og analyserer hvordan disse appene brukes av organisasjonen, kan du begynne å administrere skyapper du velger.
I denne illustrasjonen:
- Noen apper er sanksjonert for bruk. Sanksjonering er en enkel måte å begynne å administrere apper på.
- Du kan aktivere større synlighet og kontroll ved å koble apper til appkoblinger. Appkoblinger bruker API-ene til appleverandører.
Du kan begynne å administrere apper ved å sanksjonere, oppheve merking eller direkte blokkere apper. Hvis du vil begynne å administrere apper, kan du se Styre oppdagede apper.
Trinn 6. Konfigurer appkontroll for betinget tilgang
Én av de kraftigste beskyttelsene du kan konfigurere, er appkontroll for betinget tilgang. Denne beskyttelsen krever integrering med Microsoft Entra ID. Den lar deg bruke policyer for betinget tilgang, inkludert relaterte policyer (som krever sunne enheter), på skyapper du har sanksjonert.
Du har kanskje allerede lagt til SaaS-apper i Microsoft Entra-leieren for å håndheve godkjenning med flere faktorer og andre policyer for betinget tilgang. Microsoft Defender for Cloud Apps integreres opprinnelig med Microsoft Entra ID. Alt du trenger å gjøre, er å konfigurere en policy i Microsoft Entra ID for å bruke appkontroll for betinget tilgang i Defender for Cloud Apps. Dette ruter nettverkstrafikk for disse administrerte SaaS-appene gjennom Defender for Cloud Apps som en proxy, noe som gjør det mulig for Defender for Cloud Apps å overvåke denne trafikken og bruke øktkontroller.
I denne illustrasjonen:
- SaaS-apper er integrert med den Microsoft Entra leieren. Denne integreringen gjør det mulig for Microsoft Entra ID å håndheve policyer for betinget tilgang, inkludert godkjenning med flere faktorer.
- En policy legges til i Microsoft Entra ID for å dirigere trafikk for SaaS-apper til Defender for Cloud Apps. Policyen angir hvilke SaaS-apper denne policyen skal brukes på. Når Microsoft Entra ID håndhever policyer for betinget tilgang som gjelder for disse SaaS-appene, Microsoft Entra ID deretter dirigerer (proxyer) økttrafikken gjennom Defender for Cloud Apps.
- Defender for Cloud Apps overvåker denne trafikken og bruker alle policyer for øktkontroll som er konfigurert av administratorer.
Du kan ha oppdaget og godkjent skyapper ved hjelp av Defender for Cloud Apps som ikke er lagt til i Microsoft Entra ID. Du kan dra nytte av appkontroll for betinget tilgang ved å legge til disse skyappene i den Microsoft Entra leieren og omfanget av de betingede tilgangsreglene.
Det første trinnet i å bruke Microsoft Defender for Cloud Apps til å administrere SaaS-apper, er å oppdage disse appene og deretter legge dem til i Microsoft Entra-leieren. Hvis du trenger hjelp med oppdagelse, kan du se Oppdag og administrer SaaS-apper i nettverket. Når du har oppdaget apper, legger du til disse appene i Microsoft Entra-leieren.
Du kan begynne å administrere disse appene med følgende oppgaver:
- Opprett en ny policy for betinget tilgang i Microsoft Entra ID, og konfigurer den til å bruke appkontroll for betinget tilgang. Denne konfigurasjonen bidrar til å omdirigere forespørselen til Defender for Cloud Apps. Du kan opprette én policy og legge til alle SaaS-apper i denne policyen.
- Deretter oppretter du øktpolicyer i Defender for Cloud Apps. Opprett én policy for hver kontroll du vil bruke.
Hvis du vil ha mer informasjon, inkludert støttede apper og klienter, kan du se Beskytte apper med Microsoft Defender for Cloud Apps appkontroll for betinget tilgang.
Du kan for eksempel se Anbefalte Microsoft Defender for Cloud Apps policyer for SaaS-apper. Disse policyene bygger på et sett med vanlige policyer for identitets- og enhetstilgang som anbefales som et utgangspunkt for alle kunder.
Trinn 7. Bruk øktpolicyer på skyapper
Microsoft Defender for Cloud Apps fungerer som en omvendt proxy, noe som gir proxy-tilgang til sanksjonerte skyapper. Med denne bestemmelsen kan Defender for Cloud Apps bruke øktpolicyer som du konfigurerer.
I illustrasjonen:
- Tilgang til godkjente skyapper fra brukere og enheter i organisasjonen rutes gjennom Defender for Cloud Apps.
- Denne proxy-tilgangen tillater at øktpolicyer brukes.
- Skyapper som du ikke har sanksjonert eller eksplisitt ikke helliggjort, påvirkes ikke.
Med øktpolicyer kan du bruke parametere for hvordan skyapper brukes av organisasjonen. Hvis organisasjonen for eksempel bruker Salesforce, kan du konfigurere en øktpolicy som bare gir administrerte enheter tilgang til organisasjonens data hos Salesforce. Et enklere eksempel kan være å konfigurere en policy for å overvåke trafikk fra uadministrerte enheter, slik at du kan analysere risikoen for denne trafikken før du bruker strengere policyer.
Hvis du vil ha mer informasjon, kan du se Opprette øktpolicyer.
Trinn 8. Prøv flere funksjoner
Bruk disse Defender for Cloud Apps opplæringene for å hjelpe deg med å oppdage risikoer og beskytte miljøet ditt:
- Oppdag mistenkelig brukeraktivitet
- Undersøk risikable brukere
- Undersøk risikable OAuth-apper
- Oppdag og beskytt sensitiv informasjon
- Beskytt alle apper i organisasjonen i sanntid
- Blokkere nedlastinger av sensitiv informasjon
- Beskytt filene dine med administratorkarantene
- Krev opptrinnsgodkjenning ved risikabel handling
Hvis du vil ha mer informasjon om avansert jakt i Microsoft Defender for Cloud Apps data, kan du se denne videoen.
SIEM-integrering
Du kan integrere Defender for Cloud Apps med Microsoft Sentinel eller en generell siem-tjeneste (security information and event management) for å aktivere sentralisert overvåking av varsler og aktiviteter fra tilkoblede apper. Med Microsoft Sentinel kan du mer omfattende analysere sikkerhetshendelser på tvers av organisasjonen og bygge strategibøker for effektiv og umiddelbar respons.
Microsoft Sentinel inneholder en Defender for Cloud Apps kobling. Dette gjør at du ikke bare kan få innsyn i skyappene dine, men også få avanserte analyser for å identifisere og bekjempe netttrusler og kontrollere hvordan dataene dine beveger seg. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel integrering og Stream varsler og skysøklogger fra Defender for Cloud Apps til Microsoft Sentinel.
Hvis du vil ha informasjon om integrering med tredjeparts SIEM-systemer, kan du se Generell SIEM-integrasjon.
Neste trinn:
Utfør livssyklusbehandling for Defender for Cloud Apps.
Neste trinn for ende-til-ende-distribusjonen av Microsoft Defender XDR
Fortsett ende-til-ende-distribusjonen av Microsoft Defender XDR med Undersøk og svar ved hjelp av Microsoft Defender XDR.
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.