Delen via


Test en implementeer Microsoft Defender for Cloud Apps

Van toepassing op:

  • Microsoft Defender XDR

Dit artikel bevat een werkstroom voor het testen en implementeren van Microsoft Defender for Cloud Apps in uw organisatie. U kunt deze aanbevelingen gebruiken om Microsoft Defender for Cloud Apps te onboarden als een afzonderlijk cyberbeveiligingshulpprogramma of als onderdeel van een end-to-end-oplossing met Microsoft Defender XDR.

In dit artikel wordt ervan uitgegaan dat u een Microsoft 365-tenant voor productie hebt en Microsoft Defender for Cloud Apps in deze omgeving uitvoert en implementeert. In deze procedure worden alle instellingen en aanpassingen die u tijdens de testfase configureert, behouden voor uw volledige implementatie.

Defender voor Office 365 draagt bij aan een Zero Trust-architectuur door bedrijfsschade door een inbreuk te voorkomen of te beperken. Zie bedrijfsschade door een bedrijfsscenario voorkomen of beperken in het Microsoft Zero Trust adoption framework voor meer informatie.

End-to-end-implementatie voor Microsoft Defender XDR

Dit is artikel 5 van 6 in een reeks om u te helpen bij het implementeren van de onderdelen van Microsoft Defender XDR, waaronder het onderzoeken van en reageren op incidenten.

Een diagram met Microsoft Defender for Cloud Apps in de testfase en het implementeren van Microsoft Defender XDR proces.

De artikelen in deze reeks komen overeen met de volgende fasen van end-to-end-implementatie:

Fase Koppelen
A. Start de testfase Start de testfase
B. Test en implementeer Microsoft Defender XDR onderdelen - Defender for Identity piloten en implementeren

- Test en implementeer Defender voor Office 365

- Defender voor Eindpunt testen en implementeren

- Test en implementeer Microsoft Defender for Cloud Apps (dit artikel)
C. Bedreigingen onderzoeken en hierop reageren Incidentonderzoek en -reactie oefenen

Werkstroom voor Defender for Cloud Apps testen en implementeren

In het volgende diagram ziet u een algemeen proces voor het implementeren van een product of service in een IT-omgeving.

Een diagram van de fasen van de testfase, de evaluatie en de volledige implementatie.

U begint met het evalueren van het product of de service en de werking ervan binnen uw organisatie. Vervolgens test u het product of de service met een geschikte kleine subset van uw productie-infrastructuur voor testen, leren en aanpassen. Vergroot vervolgens geleidelijk het bereik van de implementatie totdat uw hele infrastructuur of organisatie wordt gedekt.

Dit is de werkstroom voor het testen en implementeren van Defender for Cloud Apps in uw productieomgeving.

Een diagram met de testwerkstroom en de implementatiewerkstroom voor Microsoft Defender for Cloud Apps.

Volg deze stappen:

  1. Verbinding maken met de Defender for Cloud Apps-portal
  2. Integreren met Microsoft Defender voor Eindpunt
  3. De logboekverzamelaar implementeren op uw firewalls en andere proxy's
  4. Een testgroep maken
  5. Cloud-apps detecteren en beheren
  6. App-beheer voor voorwaardelijke toegang configureren
  7. Sessiebeleid toepassen op cloud-apps
  8. Aanvullende mogelijkheden uitproberen

Dit zijn de aanbevolen stappen voor elke implementatiefase.

Implementatiefase Beschrijving
Evalueren Productevaluatie uitvoeren voor Defender for Cloud Apps.
Pilot Voer stap 1-4 en vervolgens 5-8 uit voor een geschikte subset van cloud-apps in uw productieomgeving.
Volledige implementatie Voer stap 5-8 uit voor uw resterende cloud-apps, waarbij u het bereik voor testgebruikersgroepen aanpast of gebruikersgroepen toevoegt om uit te breiden na de test en al uw gebruikersaccounts op te nemen.

Uw organisatie beschermen tegen hackers

Defender for Cloud Apps biedt op zichzelf krachtige bescherming. In combinatie met de andere mogelijkheden van Microsoft Defender XDR levert Defender for Cloud Apps echter gegevens in de gedeelde signalen die samen helpen aanvallen te stoppen.

Hier volgt een voorbeeld van een cyberaanval en hoe de onderdelen van Microsoft Defender XDR helpen deze te detecteren en te beperken.

Een diagram dat laat zien hoe Microsoft Defender XDR een bedreigingsketen stopt.

Defender for Cloud Apps detecteert afwijkend gedrag, zoals onmogelijk reizen, toegang tot referenties en ongebruikelijke download-, bestandsshare- of e-maildoorstuuractiviteit en geeft dit gedrag weer in de Defender for Cloud Apps-portal. Defender for Cloud Apps helpt ook laterale verplaatsing door hackers en exfiltratie van gevoelige gegevens te voorkomen.

Microsoft Defender XDR correleert de signalen van alle Microsoft Defender onderdelen om het volledige aanvalsverhaal te bieden.

Defender for Cloud Apps rol als CASB

Een Cloud Access Security Broker (CASB) fungeert als een gatekeeper om toegang in realtime tussen uw zakelijke gebruikers en cloudresources die ze gebruiken te brokeren, waar uw gebruikers zich ook bevinden en ongeacht het apparaat dat ze gebruiken. Defender for Cloud Apps is een CASB voor de cloud-apps van uw organisatie. Defender for Cloud Apps is systeemeigen geïntegreerd met microsoft-beveiligingsmogelijkheden, waaronder Microsoft Defender XDR.

Zonder Defender for Cloud Apps zijn cloud-apps die door uw organisatie worden gebruikt, onbeheerd en onbeveiligd.

Een diagram met cloud-apps die niet worden beheerd en beveiligd door uw organisatie.

In de afbeelding:

  • Het gebruik van cloud-apps door een organisatie is niet bewaakt en niet beveiligd.
  • Dit gebruik valt buiten de beveiligingen die binnen een beheerde organisatie worden bereikt.

Als u cloud-apps wilt detecteren die in uw omgeving worden gebruikt, kunt u een of beide van de volgende methoden implementeren:

  • Ga snel aan de slag met Cloud Discovery door te integreren met Microsoft Defender voor Eindpunt. Met deze systeemeigen integratie kunt u direct beginnen met het verzamelen van gegevens over cloudverkeer in uw Windows 10 en Windows 11 apparaten, in en buiten uw netwerk.
  • Als u alle cloud-apps wilt detecteren die worden geopend door alle apparaten die zijn verbonden met uw netwerk, implementeert u de Defender for Cloud Apps logboekverzamelaar op uw firewalls en andere proxy's. Deze implementatie helpt bij het verzamelen van gegevens van uw eindpunten en verzendt deze naar Defender for Cloud Apps voor analyse. Defender for Cloud Apps integreert systeemeigen met sommige proxy's van derden voor nog meer mogelijkheden.

Dit artikel bevat richtlijnen voor beide methoden.

Stap 1. Verbinding maken met de Defender for Cloud Apps-portal

Zie Quickstart: Aan de slag met Microsoft Defender for Cloud Apps om de licentie te controleren en verbinding te maken met de Defender for Cloud Apps portal.

Als u niet onmiddellijk verbinding kunt maken met de portal, moet u mogelijk het IP-adres toevoegen aan de acceptatielijst van uw firewall. Zie Basisinstallatie voor Defender for Cloud Apps.

Als u nog steeds problemen ondervindt, raadpleegt u Netwerkvereisten.

Stap 2: integreren met Microsoft Defender voor Eindpunt

Microsoft Defender for Cloud Apps kan systeemeigen worden geïntegreerd met Microsoft Defender voor Eindpunt. De integratie vereenvoudigt de implementatie van Cloud Discovery, breidt clouddetectiemogelijkheden uit tot buiten uw bedrijfsnetwerk en maakt onderzoek op basis van apparaten mogelijk. Deze integratie onthult dat cloud-apps en -services toegankelijk zijn vanaf door IT beheerde Windows 10- en Windows 11-apparaten.

Als u Microsoft Defender voor Eindpunt al hebt ingesteld, is het configureren van integratie met Defender for Cloud Apps een wisselknop in Microsoft Defender XDR. Nadat de integratie is ingeschakeld, kunt u terugkeren naar de Defender for Cloud Apps-portal en uitgebreide gegevens weergeven in het Cloud Discovery-dashboard.

Zie Microsoft Defender voor Eindpunt integratie met Microsoft Defender for Cloud Apps om deze taken uit te voeren.

Stap 3: de Defender for Cloud Apps-logboekverzamelaar implementeren op uw firewalls en andere proxy's

Voor dekking op alle apparaten die zijn verbonden met uw netwerk, implementeert u de Defender for Cloud Apps logboekverzamelaar op uw firewalls en andere proxy's om gegevens van uw eindpunten te verzamelen en deze naar Defender for Cloud Apps te verzenden voor analyse.

Als u een van de volgende SWG's (Secure Web Gateways) gebruikt, biedt Defender for Cloud Apps naadloze implementatie en integratie:

  • Zscaler
  • iboss
  • Corrata
  • Menlo Security

Zie Cloud Discovery instellen voor meer informatie over de integratie met deze netwerkapparaten.

Stap 4. Een testgroep maken: uw testimplementatie toepassen op bepaalde gebruikersgroepen

Microsoft Defender for Cloud Apps stelt u in staat om het bereik van uw implementatie te bepalen. Met bereik kunt u bepaalde gebruikersgroepen selecteren die moeten worden bewaakt voor apps of die moeten worden uitgesloten van bewaking. U kunt gebruikersgroepen opnemen of uitsluiten. Zie Bereikimplementatie als u het bereik van uw testimplementatie wilt bepalen.

Stap 5. Cloud-apps detecteren en beheren

Om Defender for Cloud Apps maximale beveiliging te bieden, moet u alle cloud-apps in uw organisatie detecteren en beheren hoe ze worden gebruikt.

Cloud-apps ontdekken

De eerste stap voor het beheren van het gebruik van cloud-apps is om te ontdekken welke cloud-apps door uw organisatie worden gebruikt. In dit volgende diagram ziet u hoe clouddetectie werkt met Defender for Cloud Apps.

Een diagram met de architectuur voor Microsoft Defender for Cloud Apps met clouddetectie.

In deze afbeelding zijn er twee methoden die kunnen worden gebruikt om netwerkverkeer te bewaken en cloud-apps te detecteren die door uw organisatie worden gebruikt.

  1. Cloud App Discovery kan systeemeigen worden geïntegreerd met Microsoft Defender voor Eindpunt. Defender voor Eindpunt meldt dat cloud-apps en -services toegankelijk zijn vanaf door IT beheerde Windows 10- en Windows 11-apparaten.

  2. Voor dekking op alle apparaten die zijn verbonden met een netwerk, installeert u de Defender for Cloud Apps logboekverzamelaar op firewalls en andere proxy's om gegevens van eindpunten te verzamelen. De collector verzendt deze gegevens naar Defender for Cloud Apps voor analyse.

Bekijk het Cloud Discovery-dashboard om te zien welke apps in uw organisatie worden gebruikt

Het Cloud Discovery-dashboard is ontworpen om u meer inzicht te geven in hoe cloud-apps worden gebruikt in uw organisatie. Het biedt in één oogopslag een overzicht van de soorten apps die worden gebruikt, uw openstaande waarschuwingen en de risiconiveaus van apps in uw organisatie.

Zie Werken met gedetecteerde apps om aan de slag te gaan met het Cloud Discovery-dashboard.

Cloud-apps beheren

Nadat u cloud-apps hebt ontdekt en hebt geanalyseerd hoe deze apps door uw organisatie worden gebruikt, kunt u beginnen met het beheren van cloud-apps die u kiest.

Een diagram met de architectuur voor Microsoft Defender for Cloud Apps voor het beheren van cloud-apps.

In deze afbeelding:

  • Sommige apps zijn goedgekeurd voor gebruik. Goedkeuren is een eenvoudige manier om apps te beheren.
  • U kunt meer zichtbaarheid en controle inschakelen door apps te verbinden met app-connectors. App-connectors gebruiken de API's van app-providers.

U kunt beginnen met het beheren van apps door apps goed te keuren, te verwijderen of ronduit te blokkeren. Zie Gedetecteerde apps beheren om te beginnen met het beheren van apps.

Stap 6. App-beheer voor voorwaardelijke toegang configureren

Een van de krachtigste beveiligingen die u kunt configureren, is App-beheer voor voorwaardelijke toegang. Voor deze beveiliging is integratie met Microsoft Entra ID vereist. Hiermee kunt u beleid voor voorwaardelijke toegang, inclusief gerelateerd beleid (zoals het vereisen van gezonde apparaten), toepassen op cloud-apps die u hebt goedgekeurd.

Mogelijk hebt u al SaaS-apps toegevoegd aan uw Microsoft Entra tenant om meervoudige verificatie en ander beleid voor voorwaardelijke toegang af te dwingen. Microsoft Defender for Cloud Apps kan systeemeigen worden geïntegreerd met Microsoft Entra ID. U hoeft alleen een beleid in Microsoft Entra ID te configureren om app-beheer voor voorwaardelijke toegang in Defender for Cloud Apps te gebruiken. Hiermee wordt het netwerkverkeer voor deze beheerde SaaS-apps gerouteerd via Defender for Cloud Apps als proxy, zodat Defender for Cloud Apps dit verkeer kan bewaken en sessiebeheer kan toepassen.

Een diagram met de architectuur voor de Microsoft Defender for Cloud Apps met SaaS-apps.

In deze afbeelding:

  • SaaS-apps zijn geïntegreerd met de Microsoft Entra-tenant. Met deze integratie kunnen Microsoft Entra ID beleid voor voorwaardelijke toegang afdwingen, inclusief meervoudige verificatie.
  • Er wordt een beleid toegevoegd aan Microsoft Entra ID om verkeer voor SaaS-apps om te leiden naar Defender for Cloud Apps. Het beleid geeft aan op welke SaaS-apps dit beleid moet worden toegepast. Nadat Microsoft Entra ID beleid voor voorwaardelijke toegang afdwingt dat van toepassing is op deze SaaS-apps, stuurt Microsoft Entra ID vervolgens (proxy's) het sessieverkeer door Defender for Cloud Apps.
  • Defender for Cloud Apps bewaakt dit verkeer en past alle sessiebeheerbeleidsregels toe die zijn geconfigureerd door beheerders.

Mogelijk hebt u cloud-apps gedetecteerd en goedgekeurd met behulp van Defender for Cloud Apps die niet zijn toegevoegd aan Microsoft Entra ID. U kunt profiteren van App-beheer voor voorwaardelijke toegang door deze cloud-apps toe te voegen aan uw Microsoft Entra tenant en het bereik van uw regels voor voorwaardelijke toegang.

De eerste stap bij het gebruik van Microsoft Defender for Cloud Apps voor het beheren van SaaS-apps is het detecteren van deze apps en ze vervolgens toevoegen aan uw Microsoft Entra tenant. Als u hulp nodig hebt bij detectie, raadpleegt u SaaS-apps in uw netwerk detecteren en beheren. Nadat u apps hebt gedetecteerd, voegt u deze apps toe aan uw Microsoft Entra tenant.

U kunt beginnen met het beheren van deze apps met de volgende taken:

  1. Maak in Microsoft Entra ID een nieuw beleid voor voorwaardelijke toegang en configureer dit voor App-beheer voor voorwaardelijke toegang gebruiken. Met deze configuratie kunt u de aanvraag omleiden naar Defender for Cloud Apps. U kunt één beleid maken en alle SaaS-apps toevoegen aan dit beleid.
  2. Maak vervolgens in Defender for Cloud Apps sessiebeleid. Maak één beleid voor elk besturingselement dat u wilt toepassen.

Zie Apps beveiligen met Microsoft Defender for Cloud Apps app-beheer voor voorwaardelijke toegang voor meer informatie, waaronder ondersteunde apps en clients.

Zie Aanbevolen Microsoft Defender for Cloud Apps-beleid voor SaaS-apps voor bijvoorbeeld beleidsregels. Deze beleidsregels zijn gebaseerd op een reeks algemene beleidsregels voor identiteit en apparaattoegang die worden aanbevolen als uitgangspunt voor alle klanten.

Stap 7. Sessiebeleid toepassen op cloud-apps

Microsoft Defender for Cloud Apps fungeert als een omgekeerde proxy en biedt proxytoegang tot goedgekeurde cloud-apps. Met deze inrichting kunnen Defender for Cloud Apps sessiebeleid toepassen dat u configureert.

Een diagram met de architectuur voor Microsoft Defender for Cloud Apps met sessiebeheer voor proxytoegang.

In de afbeelding:

  • Toegang tot goedgekeurde cloud-apps van gebruikers en apparaten in uw organisatie wordt gerouteerd via Defender for Cloud Apps.
  • Met deze proxytoegang kan sessiebeleid worden toegepast.
  • Cloud-apps die u niet hebt goedgekeurd of die expliciet niet zijn goedgekeurd, worden niet beïnvloed.

Met sessiebeleid kunt u parameters toepassen op hoe cloud-apps door uw organisatie worden gebruikt. Als uw organisatie bijvoorbeeld Gebruikmaakt van Salesforce, kunt u een sessiebeleid configureren waarmee alleen beheerde apparaten toegang hebben tot de gegevens van uw organisatie bij Salesforce. Een eenvoudiger voorbeeld is het configureren van een beleid om verkeer van onbeheerde apparaten te bewaken, zodat u het risico van dit verkeer kunt analyseren voordat u strengere beleidsregels toepast.

Zie Sessiebeleid maken voor meer informatie.

Stap 8. Aanvullende mogelijkheden uitproberen

Gebruik deze Defender for Cloud Apps zelfstudies om risico's te detecteren en uw omgeving te beschermen:

Zie deze video voor meer informatie over geavanceerde opsporing in Microsoft Defender for Cloud Apps gegevens.

SIEM-integratie

U kunt Defender for Cloud Apps integreren met Microsoft Sentinel of een algemene SIEM-service (Security Information and Event Management) om gecentraliseerde bewaking van waarschuwingen en activiteiten van verbonden apps mogelijk te maken. Met Microsoft Sentinel kunt u beveiligingsevenementen in uw organisatie uitgebreider analyseren en playbooks bouwen voor een effectieve en onmiddellijke reactie.

Een diagram met de architectuur voor Microsoft Defender for Cloud Apps met SIEM-integratie.

Microsoft Sentinel bevat een Defender for Cloud Apps-connector. Hierdoor kunt u niet alleen inzicht krijgen in uw cloud-apps, maar ook geavanceerde analyses krijgen om cyberdreigingen te identificeren en te bestrijden en om te bepalen hoe uw gegevens reizen. Zie Microsoft Sentinel-integratie- en Stream-waarschuwingen en Cloud Discovery-logboeken van Defender for Cloud Apps in Microsoft Sentinel voor meer informatie.

Zie Algemene SIEM-integratie voor informatie over integratie met SIEM-systemen van derden.

Volgende stap

Levenscyclusbeheer uitvoeren voor Defender for Cloud Apps.

Volgende stap voor de end-to-end-implementatie van Microsoft Defender XDR

Ga verder met de end-to-end-implementatie van Microsoft Defender XDR met Onderzoeken en reageren met behulp van Microsoft Defender XDR.

Een diagram met het onderzoeken en reageren op incidenten in de testfase en het implementeren van Microsoft Defender XDR proces.

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.