Zelfstudie: Schaduw-IT detecteren en beheren

Notitie

Microsoft Defender for Cloud Apps (voorheen bekend als Microsoft Cloud App Security) maakt nu deel uit van Microsoft 365 Defender. Met de Microsoft 365 Defender-portal kunnen beveiligingsbeheerders hun beveiligingstaken op één locatie uitvoeren. Dit vereenvoudigt werkstromen en voegt de functionaliteit van de andere Microsoft 365 Defender-services toe. Microsoft 365 Defender is de basis voor het bewaken en beheren van de beveiliging van uw Microsoft-identiteiten, gegevens, apparaten, apps en infrastructuur. Zie Microsoft Defender for Cloud Apps in Microsoft 365 Defender voor meer informatie over deze wijzigingen.

Wanneer IT-beheerders wordt gevraagd hoeveel cloud-apps ze denken te gebruiken, zeggen ze gemiddeld 30 of 40, terwijl in werkelijkheid gemiddeld meer dan 1000 afzonderlijke apps worden gebruikt door werknemers in uw organisatie. Schaduw-IT helpt u te weten en te identificeren welke apps worden gebruikt en wat uw risiconiveau is. 80% van de werknemers gebruikt niet-goedgekeurde apps die niemand heeft beoordeeld en die mogelijk niet compatibel zijn met uw beveiligings- en nalevingsbeleid. En omdat uw werknemers toegang hebben tot uw resources en apps van buiten uw bedrijfsnetwerk, is het niet langer voldoende om regels en beleid voor uw firewalls te hebben.

In deze zelfstudie leert u hoe u Cloud Discovery gebruikt om te ontdekken welke apps worden gebruikt, het risico van deze apps te verkennen, beleidsregels te configureren om nieuwe riskante apps te identificeren die worden gebruikt en de goedkeuring van deze apps ongedaan te maken om ze systeemeigen te blokkeren met behulp van uw proxy- of firewallapparaat

• Schaduw-IT detecteren en identificeren
• Evalueren en analyseren
• Uw apps beheren
• Geavanceerde schaduw-IT-detectierapportage
• Goedgekeurde apps beheren

Schaduw-IT in uw netwerk detecteren en beheren

Gebruik dit proces om Shadow IT Cloud Discovery in uw organisatie uit te rollen.

Fase 1: Shadow IT ontdekken en identificeren

1. Discover Shadow IT: Identificeer de beveiligingspostuur van uw organisatie door Cloud Discovery in uw organisatie uit te voeren om te zien wat er daadwerkelijk gebeurt in uw netwerk. Zie Clouddetectie instellen voor meer informatie. U kunt dit doen met behulp van een van de volgende methoden:

   • Ga snel aan de slag met Cloud Discovery door te integreren met Microsoft Defender voor Eindpunt. Met deze systeemeigen integratie kunt u onmiddellijk beginnen met het verzamelen van gegevens over cloudverkeer in uw Windows 10 en Windows 11 apparaten, in en buiten uw netwerk.

   • Voor dekking op alle apparaten die zijn verbonden met uw netwerk, is het belangrijk dat u de defender voor Cloud Apps-logboekverzamelaar implementeert op uw firewalls en andere proxy's om gegevens van uw eindpunten te verzamelen en deze voor analyse naar Defender voor Cloud-apps te verzenden.

   • Integreer Defender voor Cloud-apps met uw proxy. Defender for Cloud Apps kan systeemeigen worden geïntegreerd met sommige proxy's van derden, waaronder Zscaler.

   Omdat beleidsregels verschillen in gebruikersgroepen, regio's en bedrijfsgroepen, kunt u een speciaal schaduw-IT-rapport maken voor elk van deze eenheden. Zie Aangepaste continue rapporten maken voor meer informatie.

   Nu Cloud Discovery op uw netwerk wordt uitgevoerd, bekijkt u de doorlopende rapporten die worden gegenereerd en bekijkt u het Cloud Discovery-dashboard om een volledig beeld te krijgen van de apps die in uw organisatie worden gebruikt. Het is een goed idee om ze per categorie te bekijken, omdat u vaak zult zien dat niet-goedgekeurde apps worden gebruikt voor legitieme werkgerelateerde doeleinden die niet zijn aangepakt door een goedgekeurde app.

2. De risiconiveaus van uw apps identificeren: gebruik de Catalogus van Defender voor Cloud-apps om dieper in te gaan op de risico's die betrokken zijn bij elke gedetecteerde app. De Defender for Cloud-app-catalogus bevat meer dan 31.000 apps die worden beoordeeld met behulp van meer dan 90 risicofactoren. De risicofactoren beginnen met algemene informatie over de app (waar is het hoofdkantoor van de app, wie de uitgever is) en via beveiligingsmaatregelen en -controles (ondersteuning voor versleuteling at rest, biedt een auditlogboek van gebruikersactiviteit). Zie Werken met risicoscore voor meer informatie.

   • Selecteer in de Portal van Defender for Cloud Apps onder Ontdekkende optie Gedetecteerde apps. Filter de lijst met apps die in uw organisatie zijn gedetecteerd op basis van de risicofactoren waarover u zich zorgen maakt. U kunt bijvoorbeeld de geavanceerde filters gebruiken om alle apps te vinden met een risicoscore lager dan 8.

   • U kunt inzoomen op de app om meer inzicht te krijgen in de naleving ervan door de naam van de app te selecteren en vervolgens het tabblad Info te selecteren voor meer informatie over de beveiligingsrisicofactoren van de app.

Fase 2: Evalueren en analyseren

1. Naleving evalueren: controleer of de apps zijn gecertificeerd als compatibel met de standaarden van uw organisatie, zoals HIPAA, SOC2, AVG.

   • Selecteer in de Portal van Defender for Cloud Apps onder Ontdekkende optie Gedetecteerde apps. Filter de lijst met apps die in uw organisatie zijn gedetecteerd op basis van de nalevingsrisicofactoren waarover u zich zorgen maakt. Gebruik bijvoorbeeld de voorgestelde query om niet-compatibele apps uit te filteren.

   • U kunt inzoomen op de app om meer inzicht te krijgen in de naleving ervan door de naam van de app te selecteren en vervolgens het tabblad Info te selecteren om details over de nalevingsrisicofactoren van de app te bekijken.

   Tip

   Ontvang een melding wanneer een gedetecteerde app is gekoppeld aan een onlangs gepubliceerde beveiligingsschending met behulp van de ingebouwde waarschuwing Gedetecteerde app-beveiligingsschending . Onderzoek alle gebruikers, IP-adressen en apparaten die de afgelopen 90 dagen toegang hebben gehad tot de geschonden app, en pas relevante besturingselementen toe.

2. Gebruik analyseren: Nu u weet of u de app in uw organisatie wilt gebruiken, wilt u onderzoeken hoe en wie de app gebruikt. Als het in uw organisatie slechts op een beperkte manier wordt gebruikt, is het misschien in orde, maar misschien wilt u een melding ontvangen als het gebruik toeneemt, zodat u kunt beslissen of u de app wilt blokkeren.

   • Selecteer in de Portal van Defender voor Cloud-apps onder Ontdekkende optie Gedetecteerde apps en zoom vervolgens in door de specifieke app te selecteren die u wilt onderzoeken. Op het tabblad Gebruiken kunt u zien hoeveel actieve gebruikers de app gebruiken en hoeveel verkeer deze genereert. Dit kan u al een goed beeld geven van wat er met de app gebeurt. Als u vervolgens wilt zien wie de app gebruikt, kunt u verder inzoomen door Totaal aantal actieve gebruikers te selecteren. Deze belangrijke stap kan u relevante informatie geven. Als u bijvoorbeeld ontdekt dat alle gebruikers van een specifieke app afkomstig zijn van de marketingafdeling, is het mogelijk dat er een zakelijke behoefte aan deze app is en als deze riskant is, moet u met hen praten over een alternatief voordat u deze blokkeert.

   • Ga nog dieper in op het onderzoeken van het gebruik van gedetecteerde apps. Bekijk subdomeinen en resources voor meer informatie over specifieke activiteiten, gegevenstoegang en resourcegebruik in uw cloudservices. Zie Uitgebreide informatie over gedetecteerde apps en Resources en aangepaste apps ontdekken voor meer informatie.

3. Alternatieve apps identificeren: gebruik de catalogus met cloud-apps om veiligere apps te identificeren die vergelijkbare zakelijke functionaliteit hebben als de gedetecteerde riskante apps, maar wel voldoen aan het beleid van uw organisatie. U kunt dit doen door de geavanceerde filters te gebruiken om apps in dezelfde categorie te vinden die voldoen aan uw verschillende beveiligingsopties.

Fase 3: Uw apps beheren

• Cloud-apps beheren: Defender voor Cloud Apps helpt u bij het proces voor het beheren van het app-gebruik in uw organisatie. Nadat u de verschillende patronen en gedragingen hebt geïdentificeerd die in uw organisatie worden gebruikt, kunt u nieuwe aangepaste app-tags maken om elke app te classificeren op basis van de bedrijfsstatus of reden. Deze tags kunnen vervolgens worden gebruikt voor specifieke bewakingsdoeleinden, bijvoorbeeld om veel verkeer te identificeren dat naar apps gaat die zijn gelabeld als riskante cloudopslag-apps. App-tags kunnen worden beheerd onder Cloud Discovery-instellingen>App-tags. Deze tags kunnen later worden gebruikt voor het filteren op de Cloud Discovery-pagina's en het maken van beleidsregels met behulp hiervan.

• Gedetecteerde apps beheren met behulp van azure Active Directory -galerie (Azure AD): Defender voor Cloud-apps maakt ook gebruik van de systeemeigen integratie met Azure AD, zodat u uw gedetecteerde apps in Azure AD Gallery kunt beheren. Voor apps die al worden weergegeven in de Azure AD Gallery, kunt u eenmalige aanmelding toepassen en de app beheren met Azure AD. Kies hiervoor in de rij waarin de relevante app wordt weergegeven de drie puntjes aan het einde van de rij en kies vervolgens App beheren met Azure AD.

  

• Continue bewaking: nu u de apps grondig hebt onderzocht, wilt u mogelijk beleidsregels instellen waarmee de apps worden bewaakt en waar nodig controle wordt geboden.

Nu is het tijd om beleidsregels te maken, zodat u automatisch een waarschuwing krijgt wanneer er iets gebeurt waar u zich zorgen over maakt. U kunt bijvoorbeeld een beleid voor app-detectie maken dat u laat weten wanneer er een piek is in downloads of verkeer van een app waarover u zich zorgen maakt. Om dit te bereiken, moet u afwijkend gedrag in het beleid voor gedetecteerde gebruikers, nalevingscontrole van cloudopslag-apps en Nieuwe riskante app inschakelen. U moet ook het beleid instellen om u per e-mail op de hoogte te stellen. Zie naslaginformatie over beleidssjablonen, meer informatie over Cloud Discovery-beleid en App-detectiebeleid configureren voor meer informatie.

Bekijk de pagina waarschuwingen en gebruik het filter Beleidstype om app-detectiewaarschuwingen te bekijken. Voor apps die overeenkomen met uw beleid voor app-detectie, wordt u aangeraden een geavanceerd onderzoek uit te voeren om meer te weten te komen over de zakelijke reden voor het gebruik van de app, bijvoorbeeld door contact op te genomen met de gebruikers van de app. Herhaal vervolgens de stappen in fase 2 om het risico van de app te evalueren. Bepaal vervolgens de volgende stappen voor de toepassing, of u het gebruik ervan in de toekomst goedkeurt of wilt blokkeren wanneer een gebruiker de toepassing de volgende keer opent. In dat geval moet u deze labelen als niet-goedgekeurd, zodat deze kan worden geblokkeerd met behulp van uw firewall, proxy of beveiligde webgateway. Zie Integreren met Microsoft Defender voor Eindpunt, Integreren met Zscaler, Integreren met iboss en Apps blokkeren door een blokscript te exporteren voor meer informatie.

Fase 4: Geavanceerde schaduw-IT-detectierapportage

Naast de rapportageopties die beschikbaar zijn in Defender for Cloud Apps, kunt u Cloud Discovery-logboeken integreren in Microsoft Sentinel voor verder onderzoek en analyse. Zodra de gegevens zich in Microsoft Sentinel bevinden, kunt u deze weergeven in dashboards, query's uitvoeren met behulp van de Kusto-querytaal, query's exporteren naar Microsoft Power BI, integreren met andere bronnen en aangepaste waarschuwingen maken. Zie Microsoft Sentinel-integratie voor meer informatie.

Fase 5: Goedgekeurde apps beheren

1. Als u app-beheer via API's wilt inschakelen, verbindt u apps via DE API voor continue bewaking.

2. Apps beveiligen met app-beheer voor voorwaardelijke toegang.

De aard van cloud-apps betekent dat ze dagelijks worden bijgewerkt en dat er altijd nieuwe apps worden weergegeven. Daarom gebruiken werknemers voortdurend nieuwe apps en is het belangrijk om uw beleid bij te houden en te controleren en bij te werken, te controleren welke apps uw gebruikers gebruiken, evenals hun gebruiks- en gedragspatronen. U kunt altijd naar het Cloud Discovery-dashboard gaan om te zien welke nieuwe apps worden gebruikt en de instructies in dit artikel opnieuw volgen om ervoor te zorgen dat uw organisatie en uw gegevens zijn beveiligd.

Volgende stappen

Dagelijkse activiteiten ter bescherming van uw cloudomgeving

Als u problemen ondervindt, zijn we er om u te helpen. Als u hulp of ondersteuning wilt krijgen voor uw productprobleem, opent u een ondersteuningsticket.

Lees meer

• Probeer onze interactieve handleiding: Gebruik van cloud-apps ontdekken en beheren met Microsoft Defender for Cloud Apps