Aanbevolen procedures voor het beveiligen van uw organisatie met Defender voor Cloud-apps
Dit artikel bevat aanbevolen procedures voor het beveiligen van uw organisatie met behulp van Microsoft Defender voor Cloud Apps. Deze best practices zijn afkomstig van onze ervaring met Defender voor Cloud Apps en de ervaringen van klanten zoals u.
De aanbevolen procedures die in dit artikel worden besproken, zijn:
- Cloud-apps detecteren en evalueren
- Cloudgovernancebeleid toepassen
- Blootstelling van gedeelde gegevens beperken en samenwerkingsbeleid afdwingen
- Gereglementeerde en gevoelige gegevens detecteren, classificeren, labelen en beveiligen die zijn opgeslagen in de cloud
- DLP- en nalevingsbeleid afdwingen voor gegevens die zijn opgeslagen in de cloud
- Downloaden van gevoelige gegevens naar onbeheerde of riskante apparaten blokkeren en beveiligen
- Veilige samenwerking met externe gebruikers door realtime sessiebesturingselementen af te dwingen
- Cloudbedreigingen, gecompromitteerde accounts, kwaadwillende insiders en ransomware detecteren
- Het audittrail van activiteiten voor forensisch onderzoek gebruiken
- IaaS-services en aangepaste apps beveiligen
Cloud-apps detecteren en evalueren
De integratie van Defender voor Cloud Apps met Microsoft Defender voor Eindpunt biedt u de mogelijkheid om clouddetectie buiten uw bedrijfsnetwerk te gebruiken of beveiligde webgateways te gebruiken. Met de gecombineerde gebruikers- en apparaatgegevens kunt u riskante gebruikers of apparaten identificeren, zien welke apps ze gebruiken en verder onderzoeken in de Defender for Endpoint-portal.
Best practice: Schaduw-IT-detectie inschakelen met Defender voor Eindpunt
Detail: Cloud discovery analyseert verkeerslogboeken die door Defender voor Eindpunt worden verzameld en evalueert geïdentificeerde apps op basis van de cloud-app-catalogus om nalevings- en beveiligingsinformatie te bieden. Door clouddetectie te configureren, krijgt u inzicht in cloudgebruik, Schaduw-IT en continue bewaking van de niet-opgegeven apps die door uw gebruikers worden gebruikt.
Voor meer informatie:
- Microsoft Defender voor Eindpunt integratie met Defender voor Cloud Apps
- Clouddetectie instellen
- Schaduw-IT in uw netwerk detecteren en beheren
Best practice: App Discovery-beleid configureren om riskante, niet-compatibele en trending-apps proactief te identificeren
Details: App Discovery-beleid maakt het eenvoudiger om de belangrijke gedetecteerde toepassingen in uw organisatie bij te houden, zodat u deze toepassingen efficiënt kunt beheren. Maak beleidsregels voor het ontvangen van waarschuwingen bij het detecteren van nieuwe apps die worden geïdentificeerd als riskant, niet-compatibel, trending of hoog volume.
Voor meer informatie:
- Beleid voor clouddetectie
- Beleid voor anomaliedetectie in clouddetectie
- Instantane gedragsanalyses en anomaliedetectie krijgen
Best practice: OAuth-apps beheren die zijn geautoriseerd door uw gebruikers
Detail: Veel gebruikers verlenen OAuth-machtigingen aan apps van derden om toegang te krijgen tot hun accountgegevens, en daarmee onbedoeld ook toegang te verlenen tot hun gegevens in andere cloud-apps. Normaal gesproken heeft IT geen inzicht in deze apps, waardoor het lastig is om het beveiligingsrisico van een app te wegen tegen het productiviteitsvoordeel dat deze biedt.
Defender voor Cloud Apps biedt u de mogelijkheid om de app-machtigingen te onderzoeken en te controleren die uw gebruikers hebben verleend. U kunt deze informatie gebruiken om een mogelijk verdachte app te identificeren en als u vaststelt dat deze riskant is, kunt u de toegang tot de app verbieden.
Voor meer informatie:
Cloudgovernancebeleid toepassen
Best practice: Apps taggen en blokscripts exporteren
Details: Nadat u de lijst met gedetecteerde apps in uw organisatie hebt bekeken, kunt u uw omgeving beveiligen tegen ongewenst app-gebruik. U kunt de goedgekeurde tag toepassen op apps die zijn goedgekeurd door uw organisatie en de niet-goedgekeurde tag op apps die niet zijn goedgekeurd. U kunt niet-opgegeven apps bewaken met behulp van detectiefilters of een script exporteren om niet-opgegeven apps te blokkeren met behulp van uw on-premises beveiligingsapparaten. Met behulp van tags en exportscripts kunt u uw apps ordenen en uw omgeving beveiligen door alleen veilige apps toegang te geven.
Voor meer informatie:
Blootstelling van gedeelde gegevens beperken en samenwerkingsbeleid afdwingen
Best practice: Verbinding maken met Microsoft 365
Detail: Microsoft 365 verbinden met Defender voor Cloud Apps biedt u direct inzicht in de activiteiten van uw gebruikers, bestanden die ze openen en biedt beheeracties voor Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange en Dynamics.
Voor meer informatie:
Best practice: Uw apps verbinden
Detail: Als u uw apps verbindt met Defender voor Cloud Apps, krijgt u meer inzicht in de activiteiten, detectie van bedreigingen en governance van uw gebruikers. Als u wilt zien welke API's van apps van derden worden ondersteund, gaat u naar Connect-apps.
Voor meer informatie:
Best practice: Beleid maken om delen met persoonlijke accounts te verwijderen
Detail: Microsoft 365 verbinden met Defender voor Cloud Apps biedt u direct inzicht in de activiteiten van uw gebruikers, bestanden die ze openen en biedt beheeracties voor Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange en Dynamics.
Voor meer informatie:
Gereglementeerde en gevoelige gegevens detecteren, classificeren, labelen en beveiligen die zijn opgeslagen in de cloud
Best practice: integreren met Microsoft Purview Informatiebeveiliging
Detail: Integratie met Microsoft Purview Informatiebeveiliging biedt u de mogelijkheid om automatisch vertrouwelijkheidslabels toe te passen en eventueel versleutelingsbeveiliging toe te voegen. Zodra de integratie is ingeschakeld, kunt u labels toepassen als governanceactie, bestanden weergeven op classificatie, bestanden onderzoeken op classificatieniveau en gedetailleerde beleidsregels maken om ervoor te zorgen dat geclassificeerde bestanden correct worden verwerkt. Als u de integratie niet inschakelt, kunt u niet profiteren van de mogelijkheid om bestanden in de cloud automatisch te scannen, labelen en versleutelen.
Voor meer informatie:
- integratie van Microsoft Purview Informatiebeveiliging
- Zelfstudie: Vertrouwelijkheidslabels automatisch toepassen vanuit Microsoft Purview Informatiebeveiliging
Best practice: Beleid voor gegevensblootstelling maken
Details: Gebruik bestandsbeleid om het delen van gegevens te detecteren en te scannen op vertrouwelijke informatie in uw cloud-apps. Maak het volgende bestandsbeleid om u te waarschuwen wanneer gegevensblootstelling wordt gedetecteerd:
- Bestanden die extern worden gedeeld met gevoelige gegevens
- Bestanden die extern worden gedeeld en gelabeld als Vertrouwelijk
- Bestanden die worden gedeeld met niet-geautoriseerde domeinen
- Gevoelige bestanden beveiligen in SaaS-apps
Voor meer informatie:
Best practice: Rapporten controleren op de pagina Bestanden
Detail: Nadat u verschillende SaaS-apps hebt verbonden met behulp van app-connectors, scant Defender voor Cloud Apps bestanden die door deze apps zijn opgeslagen. Telkens wanneer een bestand wordt gewijzigd, wordt het bovendien opnieuw gescand. U kunt de pagina Bestanden gebruiken om inzicht te krijgen in de typen gegevens die worden opgeslagen in uw cloud-apps en deze te onderzoeken. Om u te helpen onderzoeken, kunt u filteren op domeinen, groepen, gebruikers, aanmaakdatum, extensie, bestandsnaam en type, bestands-id, vertrouwelijkheidslabel en meer. Als u deze filters gebruikt, hebt u de controle over hoe u ervoor kiest om bestanden te onderzoeken om ervoor te zorgen dat geen van uw gegevens risico loopt. Zodra u meer inzicht hebt in hoe uw gegevens worden gebruikt, kunt u beleidsregels maken om te scannen op gevoelige inhoud in deze bestanden.
Voor meer informatie:
DLP- en nalevingsbeleid afdwingen voor gegevens die zijn opgeslagen in de cloud
Best practice: Vertrouwelijke gegevens beschermen tegen gedeeld met externe gebruikers
Detail: Maak een bestandsbeleid dat detecteert wanneer een gebruiker een bestand probeert te delen met het vertrouwelijkheidslabel met iemand buiten uw organisatie en de beheeractie configureert om externe gebruikers te verwijderen. Dit beleid zorgt ervoor dat uw vertrouwelijke gegevens uw organisatie niet verlaten en externe gebruikers er geen toegang toe kunnen krijgen.
Voor meer informatie:
Downloaden van gevoelige gegevens naar onbeheerde of riskante apparaten blokkeren en beveiligen
Best practice: toegang tot apparaten met een hoog risico beheren en beheren
Details: Gebruik app-beheer voor voorwaardelijke toegang om besturingselementen in te stellen voor uw SaaS-apps. U kunt sessiebeleid maken om uw sessies met een hoog risico en weinig vertrouwen te bewaken. Op dezelfde manier kunt u sessiebeleid maken om downloads te blokkeren en te beveiligen door gebruikers die toegang proberen te krijgen tot gevoelige gegevens vanaf onbeheerde of riskante apparaten. Als u geen sessiebeleid maakt om sessies met een hoog risico te bewaken, verliest u de mogelijkheid om downloads in de webclient te blokkeren en te beveiligen, evenals de mogelijkheid om sessie met weinig vertrouwen te bewaken, zowel in Microsoft- als apps van derden.
Voor meer informatie:
- Apps beveiligen met app-beheer voor voorwaardelijke toegang van Microsoft Defender voor Cloud-apps
- Sessiebeleid
Veilige samenwerking met externe gebruikers door realtime sessiebesturingselementen af te dwingen
Best practice: Sessies bewaken met externe gebruikers met app-beheer voor voorwaardelijke toegang
Details: Als u de samenwerking in uw omgeving wilt beveiligen, kunt u een sessiebeleid maken om sessies tussen uw interne en externe gebruikers te bewaken. Dit biedt u niet alleen de mogelijkheid om de sessie tussen uw gebruikers te bewaken (en hen op de hoogte te stellen dat hun sessieactiviteiten worden bewaakt), maar u kunt ook specifieke activiteiten beperken. Wanneer u sessiebeleid maakt om activiteiten te bewaken, kunt u de apps en gebruikers kiezen die u wilt bewaken.
Voor meer informatie:
- Apps beveiligen met app-beheer voor voorwaardelijke toegang van Microsoft Defender voor Cloud-apps
- Sessiebeleid
Cloudbedreigingen, gecompromitteerde accounts, kwaadwillende insiders en ransomware detecteren
Best practice: Anomaliebeleid afstemmen, IP-bereiken instellen, feedback verzenden voor waarschuwingen
Detail: Beleidsregels voor anomaliedetectie bieden out-of-the-box gebruikers- en entiteitsgedragsanalyse (UEBA) en machine learning (ML), zodat u onmiddellijk geavanceerde detectie van bedreigingen kunt uitvoeren in uw cloudomgeving.
Beleidsregels voor anomaliedetectie worden geactiveerd wanneer er ongebruikelijke activiteiten worden uitgevoerd door de gebruikers in uw omgeving. Defender voor Cloud Apps bewaakt voortdurend de activiteiten van uw gebruikers en gebruikt UEBA en ML om het normale gedrag van uw gebruikers te leren en te begrijpen. U kunt beleidsinstellingen afstemmen op de vereisten van uw organisatie. U kunt bijvoorbeeld de gevoeligheid van een beleid instellen en een beleid toepassen op een specifieke groep.
Beleid voor anomaliedetectie afstemmen en bereik: als u bijvoorbeeld het aantal fout-positieven binnen de waarschuwing voor onmogelijke reizen wilt verminderen, kunt u de gevoeligheidsschuifregelaar van het beleid instellen op laag. Als u gebruikers in uw organisatie hebt die vaak zakelijke reizigers zijn, kunt u ze toevoegen aan een gebruikersgroep en die groep selecteren binnen het bereik van het beleid.
IP-bereiken instellen: Defender voor Cloud Apps bekende IP-adressen kunnen identificeren zodra IP-adresbereiken zijn ingesteld. Als IP-adresbereiken zijn geconfigureerd, kunt u taggen, categoriseren en aanpassen hoe logboeken en waarschuwingen worden weergegeven en onderzocht. Door IP-adresbereiken toe te voegen, kunt u fout-positieve detecties verminderen en de nauwkeurigheid van waarschuwingen verbeteren. Als u ervoor kiest om uw IP-adressen niet toe te voegen, ziet u mogelijk een verhoogd aantal fout-positieven en waarschuwingen om te onderzoeken.
Feedback verzenden voor waarschuwingen
Wanneer u waarschuwingen negeert of oplost, moet u feedback verzenden met de reden dat u de waarschuwing hebt gesloten of hoe deze is opgelost. Deze informatie helpt Defender voor Cloud Apps om onze waarschuwingen te verbeteren en fout-positieven te verminderen.
Voor meer informatie:
Best practice: Activiteit detecteren vanaf onverwachte locaties of landen/regio's
Details: Maak een activiteitenbeleid om u op de hoogte te stellen wanneer gebruikers zich aanmelden vanaf onverwachte locaties of landen/regio's. Deze meldingen kunnen u waarschuwen voor mogelijk gecompromitteerde sessies in uw omgeving, zodat u bedreigingen kunt detecteren en herstellen voordat ze optreden.
Voor meer informatie:
Best practice: OAuth-app-beleid maken
Detail: Maak een OAuth-app-beleid om u op de hoogte te stellen wanneer een OAuth-app aan bepaalde criteria voldoet. U kunt er bijvoorbeeld voor kiezen om een melding te ontvangen wanneer een specifieke app waarvoor een hoog machtigingsniveau is vereist, toegankelijk is voor meer dan 100 gebruikers.
Voor meer informatie:
Het audittrail van activiteiten voor forensisch onderzoek gebruiken
Best practice: Het audittrail van activiteiten gebruiken bij het onderzoeken van waarschuwingen
Details: waarschuwingen worden geactiveerd wanneer activiteiten van gebruikers, beheerders of aanmeldingen niet voldoen aan uw beleid. Het is belangrijk om waarschuwingen te onderzoeken om te begrijpen of er een mogelijke bedreiging in uw omgeving is.
U kunt een waarschuwing onderzoeken door deze te selecteren op de pagina Waarschuwingen en het audittrail met activiteiten met betrekking tot die waarschuwing te bekijken. Het audittrail geeft u inzicht in activiteiten van hetzelfde type, dezelfde gebruiker, hetzelfde IP-adres en dezelfde locatie, om u het algehele verhaal van een waarschuwing te geven. Als een waarschuwing verder onderzoek rechtvaardigt, maakt u een plan om deze waarschuwingen in uw organisatie op te lossen.
Wanneer u waarschuwingen negeert, is het belangrijk om te onderzoeken en te begrijpen waarom ze van geen belang zijn of dat ze fout-positieven zijn. Als er een groot aantal van dergelijke activiteiten is, kunt u overwegen om het beleid dat de waarschuwing activeert, te controleren en af te stemmen.
Voor meer informatie:
IaaS-services en aangepaste apps beveiligen
Best practice: Verbinding maken met Azure, AWS en GCP
Detail: Als u elk van deze cloudplatforms verbindt met Defender voor Cloud Apps, kunt u de mogelijkheden voor bedreigingsdetectie verbeteren. Door beheer- en aanmeldingsactiviteiten voor deze services te bewaken, kunt u een melding ontvangen over mogelijke beveiligingsaanvallen, schadelijk gebruik van een bevoegde gebruikersaccount en andere bedreigingen in uw omgeving. U kunt bijvoorbeeld risico's identificeren, zoals ongebruikelijke verwijderingen van VM's of zelfs imitatieactiviteiten in deze apps.
Voor meer informatie:
- Azure verbinden met Microsoft Defender voor Cloud-apps
- Amazon Web Services verbinden met Microsoft Defender voor Cloud Apps
- Google Workspace verbinden met Microsoft Defender voor Cloud-apps
Best practice: Aangepaste apps onboarden
Details: Als u meer inzicht wilt krijgen in activiteiten van uw Line-Of-Business-apps, kunt u aangepaste apps onboarden voor Defender voor Cloud Apps. Zodra aangepaste apps zijn geconfigureerd, ziet u informatie over wie deze gebruikt, de IP-adressen van waaruit ze worden gebruikt en hoeveel verkeer er in en uit de app komt.
Daarnaast kunt u een aangepaste app onboarden als app-beheerapp voor voorwaardelijke toegang om hun sessies met weinig vertrouwen te bewaken. Microsoft Entra ID-apps worden automatisch onboarding uitgevoerd.
Voor meer informatie: