Share via

Se gjennom arkitekturkrav og viktige konsepter for Microsoft Defender for Cloud Apps

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR

Denne artikkelen er trinn 1 av 3 i prosessen med å konfigurere evalueringsmiljøet for Microsoft Defender for Cloud Apps sammen med Microsoft Defender XDR. Hvis du vil ha mer informasjon om denne prosessen, kan du se oversiktsartikkelen.

Før du aktiverer Microsoft Defender for Cloud Apps, må du være sikker på at du forstår arkitekturen og kan oppfylle kravene.

Forstå arkitekturen

Microsoft Defender for Cloud Apps er en sikkerhetsmegler for skytilgang (CASB). CASBs fungerer som en portvokter for å formidle tilgang i sanntid mellom bedriftsbrukerne og skyressursene de bruker, uansett hvor brukerne befinner seg og uavhengig av enheten de bruker. Microsoft Defender for Cloud Apps integreres opprinnelig med Microsofts sikkerhetsfunksjoner, inkludert Microsoft Defender XDR.

Uten Defender for Cloud Apps får brukerne tilgang til skyapper direkte uten administrasjon eller sikkerhetsbeskyttelse.

Et diagram som viser brukerne som sender skyapptrafikk uten administrasjon eller beskyttelse.

Oppdage skyapper

Det første trinnet for å administrere bruken av skyapper er å finne ut hvilke skyapper som brukes av organisasjonen. Dette neste diagrammet illustrerer hvordan skyoppdagelse fungerer med Defender for Cloud Apps.

Et diagram som viser arkitekturen for Microsoft Defender for Cloud Apps med skyoppdagelse.

I denne illustrasjonen finnes det to metoder som kan brukes til å overvåke nettverkstrafikk og oppdage skyapper som brukes av organisasjonen.

  1. Cloud App Discovery integreres med Microsoft Defender for endepunkt opprinnelig. Defender for Endpoint rapporterer skyapper og -tjenester som åpnes fra IT-administrerte Windows 10 og Windows 11 enheter.
  2. For dekning på alle enheter som er koblet til et nettverk, installeres logginnsamlingen Defender for Cloud Apps på brannmurer og andre proxyer for å samle inn data fra endepunkter. Disse dataene sendes til Defender for Cloud Apps for analyse.

Administrering av skyapper

Når du oppdager skyapper og analyserer hvordan disse appene brukes av organisasjonen, kan du begynne å administrere skyapper du velger.

Et diagram som viser arkitekturen for Microsoft Defender for Cloud Apps for administrasjon av skyapper.

I denne illustrasjonen:

  • Noen apper er sanksjonert for bruk. Denne sanksjonen er en enkel måte å begynne å administrere apper på.
  • Du kan aktivere større synlighet og kontroll ved å koble apper til appkoblinger. Appkoblinger bruker API-ene til appleverandører.

Bruke øktkontroller i skyapper

Microsoft Defender for Cloud Apps fungerer som en omvendt proxy, noe som gir proxy-tilgang til sanksjonerte skyapper. Denne bestemmelsen gjør det mulig for Defender for Cloud Apps å bruke øktkontroller som du konfigurerer.

Et diagram som viser arkitekturen for Microsoft Defender for Cloud Apps med kontroll for proxy-tilgangsøkte.

I denne illustrasjonen:

  • Tilgang til godkjente skyapper fra brukere og enheter i organisasjonen rutes gjennom Defender for Cloud Apps.
  • Denne proxy-tilgangen tillater at øktkontroller brukes.
  • Skyapper som du ikke har sanksjonert eller eksplisitt ikke har helliggjort, påvirkes ikke.

Med øktkontroller kan du bruke parametere på hvordan skyapper brukes av organisasjonen. Hvis organisasjonen for eksempel bruker Salesforce, kan du konfigurere en øktpolicy som bare gir administrerte enheter tilgang til organisasjonens data hos Salesforce. Et enklere eksempel kan være å konfigurere en policy for å overvåke trafikk fra uadministrerte enheter, slik at du kan analysere risikoen for denne trafikken før du bruker strengere policyer.

Integrere med Microsoft Entra ID med appkontroll for betinget tilgang

Du har kanskje allerede lagt til SaaS-apper i Microsoft Entra-leieren for å håndheve godkjenning med flere faktorer og andre policyer for betinget tilgang. Microsoft Defender for Cloud Apps integreres opprinnelig med Microsoft Entra ID. Alt du trenger å gjøre, er å konfigurere en policy i Microsoft Entra ID til å bruke appkontroll for betinget tilgang i Defender for skyapper. Dette ruter nettverkstrafikk for disse administrerte SaaS-appene gjennom Defender for Cloud Apps som en proxy, noe som gjør at Defender for Cloud Apps kan overvåke denne trafikken og bruke øktkontroller.

Et diagram som viser arkitekturen for Microsoft Defender for Cloud Apps med SaaS-apper.

I denne illustrasjonen:

  • SaaS-apper er integrert med den Microsoft Entra leieren. Denne integreringen gjør det mulig for Microsoft Entra ID å håndheve policyer for betinget tilgang, inkludert godkjenning med flere faktorer.
  • En policy legges til i Microsoft Entra ID for å dirigere trafikk for SaaS-apper til Defender for Cloud Apps. Policyen angir hvilke SaaS-apper denne policyen skal brukes på. Etter at Microsoft Entra ID håndhever policyer for betinget tilgang som gjelder for disse SaaS-appene, Microsoft Entra ID deretter dirigerer (proxyer) økttrafikken gjennom Defender for Cloud Apps.
  • Defender for Cloud Apps overvåker denne trafikken og bruker alle policyer for øktkontroll som er konfigurert av administratorer.

Du kan ha oppdaget og godkjent skyapper ved hjelp av Defender for Cloud Apps som ikke har blitt lagt til i Microsoft Entra ID. Du kan dra nytte av appkontroll for betinget tilgang ved å legge til disse skyappene i den Microsoft Entra leieren og omfanget av de betingede tilgangsreglene.

Beskytte organisasjonen mot hackere

Defender for Cloud Apps gir kraftig beskyttelse på egen hånd. Men når de kombineres med de andre funksjonene i Microsoft Defender XDR, gir Defender for Cloud Apps data i de delte signalene som (sammen) bidrar til å stoppe angrep.

Det er verdt å gjenta denne illustrasjonen fra oversikten til denne Microsoft Defender XDR evaluerings- og pilotveiledningen.

Et diagram som viser hvordan Microsoft Defender XDR stopper en trusselkjede.

Microsoft Defender for Cloud Apps legger merke til uregelmessig atferd som umulig reise, legitimasjonstilgang og uvanlig nedlasting, fildeling eller videresending av e-post, og rapporterer denne virkemåten til sikkerhetsteamet. Defender for Cloud Apps bidrar til å forhindre lateral bevegelse av hackere og eksfiltrering av sensitive data. Microsoft 356 Defender for Cloud korrelerer signalene fra alle komponentene for å gi hele angrepshistorien.

Forstå viktige konsepter

Tabellen nedenfor identifiserte viktige konsepter som er viktige å forstå når du evaluerer, konfigurerer og distribuerer Microsoft Defender for Cloud Apps.

Konseptet Beskrivelse Mer informasjon
Instrumentbord for Defender for Skyapper Gir en oversikt over den viktigste informasjonen om organisasjonen og gir koblinger til dypere undersøkelser. Arbeide med instrumentbordet
Appkontroll for betinget tilgang Omvendt proxy-arkitektur som integreres med identitetsleverandøren (IdP) for å gi Microsoft Entra policyer for betinget tilgang og selektivt håndheve øktkontroller. Beskytt apper med Microsoft Defender for Cloud Apps appkontroll for betinget tilgang
Katalog for skyapper Katalogen for skyapper gir deg et fullstendig bilde mot Microsoft-katalogen med over 16 000 skyapper som rangeres og får poengsum basert på mer enn 80 risikofaktorer. Arbeide med risikoresultater for apper
Instrumentbord for skyoppdagelse Cloud Discovery analyserer trafikkloggene dine og er utformet for å gi mer innsikt i hvordan skyapper brukes i organisasjonen, i tillegg til å gi varsler og risikonivåer. Arbeide med oppdagede apper
Tilkoblede apper Defender for Cloud Apps gir ende-til-ende-beskyttelse for tilkoblede apper ved hjelp av sky-til-sky-integrering, API-koblinger og sanntidstilgang og øktkontroller ved hjelp av våre betingede apptilgangskontroller. Beskytte tilkoblede apper

Se gjennom arkitekturkrav

Oppdage skyapper

Hvis du vil oppdage skyapper som brukes i miljøet ditt, kan du implementere én eller begge av følgende metoder:

  • Kom raskt i gang med Cloud Discovery ved å integrere med Microsoft Defender for endepunkt. Med denne opprinnelige integreringen kan du umiddelbart begynne å samle inn data om skytrafikk på tvers av Windows 11 og Windows 10 enheter, både på og utenfor nettverket.
  • Hvis du vil oppdage alle skyapper som er tilgjengelig for alle enheter som er koblet til nettverket, kan du distribuere loggsamleren Defender for Cloud Apps på brannmurene og andre proxyer. Denne distribusjonen hjelper deg med å samle inn data fra endepunktene og sender dem til Defender for Cloud Apps for analyse. Defender for Cloud Apps integreres opprinnelig med noen tredjeparts proxyer for enda flere funksjoner.

Disse alternativene er inkludert i trinn 2. Aktiver evalueringsmiljøet.

Bruke policyer for Microsoft Entra betinget tilgang på skyapper

Appkontroll for betinget tilgang (muligheten til å bruke policyer for betinget tilgang på skyapper) krever integrering med Microsoft Entra ID. Denne integreringen er ikke et krav for å komme i gang med Defender for Cloud Apps. Det er et trinn vi oppfordrer deg til å prøve i pilotfasen – trinn 3. Pilot Microsoft Defender for Cloud Apps.

SIEM-integrering

Du kan integrere Microsoft Defender for Cloud Apps med den generiske SIEM-serveren eller med Microsoft Sentinel for å aktivere sentralisert overvåking av varsler og aktiviteter fra tilkoblede apper.

I tillegg inkluderer Microsoft Sentinel en Microsoft Defender for Cloud Apps kobling for å gi dypere integrering med Microsoft Sentinel. Denne ordningen gjør det mulig å ikke bare få innsyn i skyappene dine, men også få avanserte analyser for å identifisere og bekjempe netttrusler og kontrollere hvordan dataene dine beveger seg.

Neste trinn

Trinn 2 av 3: Aktiver evalueringsmiljøet for Microsoft Defender for Cloud Apps.

Gå tilbake til oversikten for Evaluer Microsoft Defender for Cloud Apps.

Gå tilbake til oversikten for Evaluer og pilot Microsoft Defender XDR.

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.