Aanbevolen procedures voor het beveiligen van uw organisatie met Defender voor Cloud-apps

  • Artikel

Dit artikel bevat aanbevolen procedures voor het beveiligen van uw organisatie met behulp van Microsoft Defender voor Cloud Apps. Deze best practices zijn afkomstig van onze ervaring met Defender voor Cloud Apps en de ervaringen van klanten zoals u.

De aanbevolen procedures die in dit artikel worden besproken, zijn:

Cloud-apps detecteren en evalueren

De integratie van Defender voor Cloud-apps met Microsoft Defender voor Eindpunt biedt u de mogelijkheid om Cloud Discovery te gebruiken buiten uw bedrijfsnetwerk of beveiligde webgateways. Met de gecombineerde gebruikers- en apparaatgegevens kunt u riskante gebruikers of apparaten identificeren, zien welke apps ze gebruiken en verder onderzoeken in de Defender for Endpoint-portal.

Best practice: Schaduw-IT-detectie inschakelen met Defender voor Eindpunt
Detail: Cloud Discovery analyseert verkeerslogboeken die door Defender voor Eindpunt worden verzameld en evalueert geïdentificeerde apps op basis van de cloud-app-catalogus om nalevings- en beveiligingsinformatie te bieden. Door Cloud Discovery te configureren, krijgt u inzicht in cloudgebruik, Schaduw-IT en continue bewaking van de niet-opgegeven apps die door uw gebruikers worden gebruikt.
Voor meer informatie:

Best practice: App Discovery-beleid configureren om riskante, niet-compatibele en trending-apps proactief te identificeren
Details: App Discovery-beleid maakt het eenvoudiger om de belangrijke gedetecteerde toepassingen in uw organisatie bij te houden, zodat u deze toepassingen efficiënt kunt beheren. Maak beleidsregels voor het ontvangen van waarschuwingen bij het detecteren van nieuwe apps die worden geïdentificeerd als riskant, niet-compatibel, trending of hoog volume.
Voor meer informatie:

Best practice: OAuth-apps beheren die zijn geautoriseerd door uw gebruikers
Detail: Veel gebruikers verlenen OAuth-machtigingen aan apps van derden om toegang te krijgen tot hun accountgegevens, en daarmee onbedoeld ook toegang te verlenen tot hun gegevens in andere cloud-apps. Normaal gesproken heeft IT geen inzicht in deze apps, waardoor het lastig is om het beveiligingsrisico van een app te wegen tegen het productiviteitsvoordeel dat deze biedt.

Defender voor Cloud Apps biedt u de mogelijkheid om de app-machtigingen te onderzoeken en te controleren die uw gebruikers hebben verleend. U kunt deze informatie gebruiken om een mogelijk verdachte app te identificeren en als u vaststelt dat deze riskant is, kunt u de toegang tot de app verbieden.
Voor meer informatie:

Cloudgovernancebeleid toepassen

Best practice: Apps taggen en blokscripts exporteren
Details: Nadat u de lijst met gedetecteerde apps in uw organisatie hebt bekeken, kunt u uw omgeving beveiligen tegen ongewenst app-gebruik. U kunt de goedgekeurde tag toepassen op apps die zijn goedgekeurd door uw organisatie en de niet-goedgekeurde tag op apps die niet zijn goedgekeurd. U kunt niet-opgegeven apps bewaken met behulp van detectiefilters of een script exporteren om niet-opgegeven apps te blokkeren met behulp van uw on-premises beveiligingsapparaten. Met behulp van tags en exportscripts kunt u uw apps ordenen en uw omgeving beveiligen door alleen veilige apps toegang te geven.
Voor meer informatie:

Blootstelling van gedeelde gegevens beperken en samenwerkingsbeleid afdwingen

Best practice: Verbinding maken Microsoft 365
Details: Verbinding maken Microsoft 365 naar Defender voor Cloud Apps geeft u direct inzicht in de activiteiten van uw gebruikers, bestanden die ze openen en biedt beheeracties voor Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange en Dynamics.
Voor meer informatie:

Best practice: uw apps Verbinding maken
Details: Verbinding maken uw apps te Defender voor Cloud Apps biedt u meer inzicht in de activiteiten, detectie van bedreigingen en governance van uw gebruikers. Ga naar Verbinding maken apps om te zien welke API's van derden worden ondersteund.

Voor meer informatie:

Best practice: Beleid maken om delen met persoonlijke accounts te verwijderen
Details: Verbinding maken Microsoft 365 naar Defender voor Cloud Apps geeft u direct inzicht in de activiteiten van uw gebruikers, bestanden die ze openen en biedt beheeracties voor Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange en Dynamics.
Voor meer informatie:

Gereglementeerde en gevoelige gegevens detecteren, classificeren, labelen en beveiligen die zijn opgeslagen in de cloud

Best practice: integreren met Microsoft Purview Informatiebeveiliging
Detail: Integratie met Microsoft Purview Informatiebeveiliging biedt u de mogelijkheid om automatisch vertrouwelijkheidslabels toe te passen en eventueel versleutelingsbeveiliging toe te voegen. Zodra de integratie is ingeschakeld, kunt u labels toepassen als governanceactie, bestanden weergeven op classificatie, bestanden onderzoeken op classificatieniveau en gedetailleerde beleidsregels maken om ervoor te zorgen dat geclassificeerde bestanden correct worden verwerkt. Als u de integratie niet inschakelt, kunt u niet profiteren van de mogelijkheid om bestanden in de cloud automatisch te scannen, labelen en versleutelen.
Voor meer informatie:

Best practice: Beleid voor gegevensblootstelling maken
Details: Gebruik bestandsbeleid om het delen van gegevens te detecteren en te scannen op vertrouwelijke informatie in uw cloud-apps. Maak het volgende bestandsbeleid om u te waarschuwen wanneer gegevensblootstelling wordt gedetecteerd:

  • Bestanden die extern worden gedeeld met gevoelige gegevens
  • Bestanden die extern worden gedeeld en gelabeld als Vertrouwelijk
  • Bestanden die worden gedeeld met niet-geautoriseerde domeinen
  • Gevoelige bestanden beveiligen in SaaS-apps

Voor meer informatie:

Best practice: Rapporten controleren op de pagina Bestanden
Detail: Nadat u verschillende SaaS-apps hebt verbonden met behulp van app-connectors, scant Defender voor Cloud Apps bestanden die door deze apps zijn opgeslagen. Telkens wanneer een bestand wordt gewijzigd, wordt het bovendien opnieuw gescand. U kunt de pagina Bestanden gebruiken om inzicht te krijgen in de typen gegevens die worden opgeslagen in uw cloud-apps en deze te onderzoeken. Om u te helpen onderzoeken, kunt u filteren op domeinen, groepen, gebruikers, aanmaakdatum, extensie, bestandsnaam en type, bestands-id, vertrouwelijkheidslabel en meer. Als u deze filters gebruikt, hebt u de controle over hoe u ervoor kiest om bestanden te onderzoeken om ervoor te zorgen dat geen van uw gegevens risico loopt. Zodra u meer inzicht hebt in hoe uw gegevens worden gebruikt, kunt u beleidsregels maken om te scannen op gevoelige inhoud in deze bestanden.
Voor meer informatie:

DLP- en nalevingsbeleid afdwingen voor gegevens die zijn opgeslagen in de cloud

Best practice: Vertrouwelijke gegevens beschermen tegen gedeeld met externe gebruikers
Detail: Maak een bestandsbeleid dat detecteert wanneer een gebruiker een bestand probeert te delen met het vertrouwelijkheidslabel met iemand buiten uw organisatie en de beheeractie configureert om externe gebruikers te verwijderen. Dit beleid zorgt ervoor dat uw vertrouwelijke gegevens uw organisatie niet verlaten en externe gebruikers er geen toegang toe kunnen krijgen.
Voor meer informatie:

Downloaden van gevoelige gegevens naar onbeheerde of riskante apparaten blokkeren en beveiligen

Best practice: toegang tot apparaten met een hoog risico beheren en beheren
Details: Gebruik app-beheer voor voorwaardelijke toegang om besturingselementen in te stellen voor uw SaaS-apps. U kunt sessiebeleid maken om uw sessies met een hoog risico en weinig vertrouwen te bewaken. Op dezelfde manier kunt u sessiebeleid maken om downloads te blokkeren en te beveiligen door gebruikers die toegang proberen te krijgen tot gevoelige gegevens vanaf onbeheerde of riskante apparaten. Als u geen sessiebeleid maakt om sessies met een hoog risico te bewaken, verliest u de mogelijkheid om downloads in de webclient te blokkeren en te beveiligen, evenals de mogelijkheid om sessie met weinig vertrouwen te bewaken, zowel in Microsoft- als apps van derden.
Voor meer informatie:

Veilige samenwerking met externe gebruikers door realtime sessiebesturingselementen af te dwingen

Best practice: Sessies bewaken met externe gebruikers met app-beheer voor voorwaardelijke toegang
Details: Als u de samenwerking in uw omgeving wilt beveiligen, kunt u een sessiebeleid maken om sessies tussen uw interne en externe gebruikers te bewaken. Dit biedt u niet alleen de mogelijkheid om de sessie tussen uw gebruikers te bewaken (en hen op de hoogte te stellen dat hun sessieactiviteiten worden bewaakt), maar u kunt ook specifieke activiteiten beperken. Wanneer u sessiebeleid maakt om activiteiten te bewaken, kunt u de apps en gebruikers kiezen die u wilt bewaken.
Voor meer informatie:

Cloudbedreigingen, gecompromitteerde accounts, kwaadwillende insiders en ransomware detecteren

Best practice: Anomaliebeleid afstemmen, IP-bereiken instellen, feedback verzenden voor waarschuwingen
Detail: Beleidsregels voor anomaliedetectie bieden out-of-the-box gebruikers- en entiteitsgedragsanalyse (UEBA) en machine learning (ML), zodat u onmiddellijk geavanceerde detectie van bedreigingen kunt uitvoeren in uw cloudomgeving.

Beleidsregels voor anomaliedetectie worden geactiveerd wanneer er ongebruikelijke activiteiten worden uitgevoerd door de gebruikers in uw omgeving. Defender voor Cloud Apps bewaakt uw gebruikersactiviteiten voortdurend en gebruikt UEBA en ML om het normale gedrag van uw gebruikers te leren en te begrijpen. U kunt beleidsinstellingen afstemmen op de vereisten van uw organisatie. U kunt bijvoorbeeld de gevoeligheid van een beleid instellen en een beleid toepassen op een specifieke groep.

  • Beleid voor anomaliedetectie afstemmen en bereik: als u bijvoorbeeld het aantal fout-positieven binnen de waarschuwing voor onmogelijke reizen wilt verminderen, kunt u de gevoeligheidsschuifregelaar van het beleid instellen op laag. Als u gebruikers in uw organisatie hebt die vaak zakelijke reizigers zijn, kunt u ze toevoegen aan een gebruikersgroep en die groep selecteren binnen het bereik van het beleid.

  • IP-bereiken instellen: Defender voor Cloud Apps bekende IP-adressen kunnen identificeren zodra IP-adresbereiken zijn ingesteld. Als IP-adresbereiken zijn geconfigureerd, kunt u taggen, categoriseren en aanpassen hoe logboeken en waarschuwingen worden weergegeven en onderzocht. Door IP-adresbereiken toe te voegen, kunt u fout-positieve detecties verminderen en de nauwkeurigheid van waarschuwingen verbeteren. Als u ervoor kiest om uw IP-adressen niet toe te voegen, ziet u mogelijk een verhoogd aantal fout-positieven en waarschuwingen om te onderzoeken.

  • Feedback verzenden voor waarschuwingen

    Wanneer u waarschuwingen negeert of oplost, moet u feedback verzenden met de reden dat u de waarschuwing hebt gesloten of hoe deze is opgelost. Deze informatie helpt Defender voor Cloud Apps om onze waarschuwingen te verbeteren en fout-positieven te verminderen.

Voor meer informatie:

Best practice: Activiteit detecteren vanaf onverwachte locaties of landen/regio's
Details: Maak een activiteitenbeleid om u op de hoogte te stellen wanneer gebruikers zich aanmelden vanaf onverwachte locaties of landen/regio's. Deze meldingen kunnen u waarschuwen voor mogelijk gecompromitteerde sessies in uw omgeving, zodat u bedreigingen kunt detecteren en herstellen voordat ze optreden.
Voor meer informatie:

Best practice: OAuth-app-beleid maken
Detail: Maak een OAuth-app-beleid om u op de hoogte te stellen wanneer een OAuth-app aan bepaalde criteria voldoet. U kunt er bijvoorbeeld voor kiezen om een melding te ontvangen wanneer een specifieke app waarvoor een hoog machtigingsniveau is vereist, toegankelijk is voor meer dan 100 gebruikers.
Voor meer informatie:

Het audittrail van activiteiten voor forensisch onderzoek gebruiken

Best practice: Het audittrail van activiteiten gebruiken bij het onderzoeken van waarschuwingen
Details: waarschuwingen worden geactiveerd wanneer activiteiten van gebruikers, beheerders of aanmeldingen niet voldoen aan uw beleid. Het is belangrijk om waarschuwingen te onderzoeken om te begrijpen of er een mogelijke bedreiging in uw omgeving is.

U kunt een waarschuwing onderzoeken door deze te selecteren op de pagina Waarschuwingen en het audittrail met activiteiten met betrekking tot die waarschuwing te bekijken. Het audittrail geeft u inzicht in activiteiten van hetzelfde type, dezelfde gebruiker, hetzelfde IP-adres en dezelfde locatie, om u het algehele verhaal van een waarschuwing te geven. Als een waarschuwing verder onderzoek rechtvaardigt, maakt u een plan om deze waarschuwingen in uw organisatie op te lossen.

Wanneer u waarschuwingen negeert, is het belangrijk om te onderzoeken en te begrijpen waarom ze van geen belang zijn of dat ze fout-positieven zijn. Als er een groot aantal van dergelijke activiteiten is, kunt u overwegen om het beleid dat de waarschuwing activeert, te controleren en af te stemmen.
Voor meer informatie:

IaaS-services en aangepaste apps beveiligen

Best practice: Verbinding maken Azure, AWS en GCP
Details: Verbinding maken elk van deze cloudplatforms te Defender voor Cloud Apps helpt u bij het verbeteren van uw mogelijkheden voor bedreigingsdetectie. Door beheer- en aanmeldingsactiviteiten voor deze services te bewaken, kunt u een melding ontvangen over mogelijke beveiligingsaanvallen, schadelijk gebruik van een bevoegde gebruikersaccount en andere bedreigingen in uw omgeving. U kunt bijvoorbeeld risico's identificeren, zoals ongebruikelijke verwijderingen van VM's of zelfs imitatieactiviteiten in deze apps.
Voor meer informatie:

Best practice: Aangepaste apps onboarden
Details: Als u meer inzicht wilt krijgen in activiteiten van uw Line-Of-Business-apps, kunt u aangepaste apps onboarden voor Defender voor Cloud Apps. Zodra aangepaste apps zijn geconfigureerd, ziet u informatie over wie deze gebruikt, de IP-adressen van waaruit ze worden gebruikt en hoeveel verkeer er in en uit de app komt.

Daarnaast kunt u een aangepaste app onboarden als app-beheer-app voor voorwaardelijke toegang om hun sessies met weinig vertrouwen te bewaken.
Voor meer informatie: