Delen via

Microsoft Defender for Cloud Apps testen en implementeren

  • Artikel

Van toepassing op:

  • Microsoft Defender XDR

Dit artikel bevat een werkstroom voor het testen en implementeren van Microsoft Defender for Cloud Apps in uw organisatie. U kunt deze aanbevelingen gebruiken om Microsoft Defender for Cloud Apps te onboarden als een individueel cyberbeveiligingsprogramma of als onderdeel van een end-to-end-oplossing met Microsoft Defender XDR.

In dit artikel wordt ervan uitgegaan dat u een Productie-Microsoft 365-tenant hebt en Microsoft Defender for Cloud Apps in deze omgeving wilt testen en implementeren. In deze procedure worden alle instellingen en aanpassingen die u tijdens de testfase configureert, behouden voor uw volledige implementatie.

Defender voor Office 365 draagt bij aan een Zero Trust-architectuur door bedrijfsschade door een inbreuk te voorkomen of te beperken. Zie bedrijfsschade van een inbreuk voorkomen of beperken in het Microsoft Zero Trust-acceptatieframework voor meer informatie.

End-to-end-implementatie voor Microsoft Defender XDR

Dit is artikel 5 van 6 in een reeks om u te helpen bij het implementeren van de onderdelen van Microsoft Defender XDR, inclusief het onderzoeken van en reageren op incidenten.

Een diagram met Microsoft Defender for Cloud Apps in de testfase en het implementeren van Microsoft Defender XDR-proces.

De artikelen in deze reeks komen overeen met de volgende fasen van end-to-end-implementatie:

Fase Koppelen
A. Start de testfase Start de testfase
B. Microsoft Defender XDR-onderdelen piloten en implementeren - Defender for Identity piloten en implementeren

- Defender voor Office 365 uitvoeren en implementeren

- Defender voor Eindpunt testen en implementeren

- Microsoft Defender for Cloud Apps testen en implementeren (dit artikel)
C. Bedreigingen onderzoeken en hierop reageren Incidentonderzoek en -reactie oefenen

Werkstroom voor Defender for Cloud Apps testen en implementeren

In het volgende diagram ziet u een algemeen proces voor het implementeren van een product of service in een IT-omgeving.

Een diagram van de fasen van de testfase, de evaluatie en de volledige implementatie.

U begint met het evalueren van het product of de service en de werking ervan binnen uw organisatie. Vervolgens test u het product of de service met een geschikte kleine subset van uw productie-infrastructuur voor testen, leren en aanpassen. Vergroot vervolgens geleidelijk het bereik van de implementatie totdat uw hele infrastructuur of organisatie wordt gedekt.

Dit is de werkstroom voor het testen en implementeren van Defender for Cloud Apps in uw productieomgeving.

Een diagram met de test- en implementatiewerkstroom voor Microsoft Defender for Cloud Apps.

Volg deze stappen:

  1. Verbinding maken met de Defender for Cloud Apps-portal
  2. Integreren met Microsoft Defender voor Eindpunt
  3. De logboekverzamelaar implementeren op uw firewalls en andere proxy's
  4. Een testgroep maken
  5. Cloud-apps detecteren en beheren
  6. App-beheer voor voorwaardelijke toegang configureren
  7. Sessiebeleid toepassen op cloud-apps
  8. Aanvullende mogelijkheden uitproberen

Dit zijn de aanbevolen stappen voor elke implementatiefase.

Implementatiefase Beschrijving
Evalueren Productevaluatie uitvoeren voor Defender for Cloud Apps.
Pilot Voer stap 1-4 en vervolgens 5-8 uit voor een geschikte subset van cloud-apps in uw productieomgeving.
Volledige implementatie Voer stap 5-8 uit voor uw resterende cloud-apps, waarbij u het bereik voor testgebruikersgroepen aanpast of gebruikersgroepen toevoegt om uit te breiden na de test en al uw gebruikersaccounts op te nemen.

Uw organisatie beschermen tegen hackers

Defender for Cloud Apps biedt op zichzelf krachtige beveiliging. In combinatie met de andere mogelijkheden van Microsoft Defender XDR levert Defender for Cloud Apps echter gegevens in de gedeelde signalen die samen helpen aanvallen te stoppen.

Hier volgt een voorbeeld van een cyberaanval en hoe de onderdelen van Microsoft Defender XDR deze helpen detecteren en beperken.

Een diagram dat laat zien hoe Microsoft Defender XDR een bedreigingsketen stopt.

Defender for Cloud Apps detecteert afwijkend gedrag, zoals onmogelijk reizen, toegang tot referenties en ongebruikelijke download-, bestandsshare- of e-maildoorstuuractiviteit en geeft dit gedrag weer in de Defender for Cloud Apps-portal. Defender for Cloud Apps helpt ook zijdelingse verplaatsing door hackers en exfiltratie van gevoelige gegevens te voorkomen.

Microsoft Defender XDR correleert de signalen van alle Microsoft Defender-onderdelen om het volledige aanvalsverhaal te bieden.

De rol Defender for Cloud Apps als CASB

Een Cloud Access Security Broker (CASB) fungeert als een gatekeeper om toegang in realtime tussen uw zakelijke gebruikers en cloudresources die ze gebruiken te brokeren, waar uw gebruikers zich ook bevinden en ongeacht het apparaat dat ze gebruiken. Defender for Cloud Apps is een CASB voor de cloud-apps van uw organisatie. Defender for Cloud Apps integreert systeemeigen met Microsoft-beveiligingsmogelijkheden, waaronder Microsoft Defender XDR.

Zonder Defender for Cloud Apps zijn cloud-apps die door uw organisatie worden gebruikt, onbeheerd en onbeveiligd.

Een diagram met cloud-apps die niet worden beheerd en beveiligd door uw organisatie.

In de afbeelding:

  • Het gebruik van cloud-apps door een organisatie is niet bewaakt en niet beveiligd.
  • Dit gebruik valt buiten de beveiligingen die binnen een beheerde organisatie worden bereikt.

Als u cloud-apps wilt detecteren die in uw omgeving worden gebruikt, kunt u een of beide van de volgende methoden implementeren:

  • Ga snel aan de slag met Cloud Discovery door te integreren met Microsoft Defender voor Eindpunt. Met deze systeemeigen integratie kunt u direct beginnen met het verzamelen van gegevens over cloudverkeer op uw Windows 10- en Windows 11-apparaten, in en buiten uw netwerk.
  • Als u alle cloud-apps wilt detecteren die worden geopend door alle apparaten die zijn verbonden met uw netwerk, implementeert u de Defender for Cloud Apps-logboekverzamelaar op uw firewalls en andere proxy's. Deze implementatie helpt bij het verzamelen van gegevens van uw eindpunten en verzendt deze naar Defender for Cloud Apps voor analyse. Defender for Cloud Apps integreert systeemeigen met sommige proxy's van derden voor nog meer mogelijkheden.

Dit artikel bevat richtlijnen voor beide methoden.

Stap 1. Verbinding maken met de Defender for Cloud Apps-portal

Zie Quickstart: Aan de slag met Microsoft Defender for Cloud Apps als u de licentie wilt controleren en verbinding wilt maken met de Defender for Cloud Apps-portal.

Als u niet onmiddellijk verbinding kunt maken met de portal, moet u mogelijk het IP-adres toevoegen aan de acceptatielijst van uw firewall. Zie Basisinstallatie voor Defender for Cloud-apps.

Als u nog steeds problemen ondervindt, raadpleegt u Netwerkvereisten.

Stap 2: Integreren met Microsoft Defender voor Eindpunt

Microsoft Defender for Cloud Apps kan systeemeigen worden geïntegreerd met Microsoft Defender voor Eindpunt. De integratie vereenvoudigt de implementatie van Cloud Discovery, breidt clouddetectiemogelijkheden uit tot buiten uw bedrijfsnetwerk en maakt onderzoek op basis van apparaten mogelijk. Deze integratie onthult dat cloud-apps en -services toegankelijk zijn vanaf door IT beheerde Windows 10- en Windows 11-apparaten.

Als u Microsoft Defender voor Eindpunt al hebt ingesteld, is het configureren van integratie met Defender for Cloud Apps een wisselknop in Microsoft Defender XDR. Nadat de integratie is ingeschakeld, kunt u terugkeren naar de Defender for Cloud Apps-portal en uitgebreide gegevens bekijken in het Cloud Discovery-dashboard.

Zie Microsoft Defender voor Eindpunt-integratie met Microsoft Defender for Cloud Apps om deze taken uit te voeren.

Stap 3: de logboekverzamelaar van Defender for Cloud Apps implementeren op uw firewalls en andere proxy's

Voor dekking op alle apparaten die zijn verbonden met uw netwerk, implementeert u de Defender for Cloud Apps-logboekverzamelaar op uw firewalls en andere proxy's om gegevens van uw eindpunten te verzamelen en deze voor analyse naar Defender for Cloud Apps te verzenden.

Als u een van de volgende SWG's (Secure Web Gateways) gebruikt, biedt Defender for Cloud Apps een naadloze implementatie en integratie:

  • Zscaler
  • iboss
  • Corrata
  • Menlo Security

Zie Cloud Discovery instellen voor meer informatie over de integratie met deze netwerkapparaten.

Stap 4. Een testgroep maken: uw testimplementatie toepassen op bepaalde gebruikersgroepen

Met Microsoft Defender for Cloud Apps kunt u uw implementatie aanpassen. Met bereik kunt u bepaalde gebruikersgroepen selecteren die moeten worden bewaakt voor apps of die moeten worden uitgesloten van bewaking. U kunt gebruikersgroepen opnemen of uitsluiten. Zie Bereikimplementatie als u het bereik van uw testimplementatie wilt bepalen.

Stap 5. Cloud-apps detecteren en beheren

Defender for Cloud Apps biedt alleen de maximale mate van beveiliging als u alle cloud-apps in uw organisatie detecteert en beheert hoe ze worden gebruikt.

Cloud-apps ontdekken

De eerste stap voor het beheren van het gebruik van cloud-apps is om te ontdekken welke cloud-apps door uw organisatie worden gebruikt. In dit volgende diagram ziet u hoe clouddetectie werkt met Defender for Cloud Apps.

Een diagram met de architectuur voor Microsoft Defender for Cloud Apps met clouddetectie.

In deze afbeelding zijn er twee methoden die kunnen worden gebruikt om netwerkverkeer te bewaken en cloud-apps te detecteren die door uw organisatie worden gebruikt.

  1. Cloud App Discovery kan systeemeigen worden geïntegreerd met Microsoft Defender voor Eindpunt. Defender voor Eindpunt meldt dat cloud-apps en -services toegankelijk zijn vanaf door IT beheerde Windows 10- en Windows 11-apparaten.

  2. Voor dekking op alle apparaten die zijn verbonden met een netwerk, installeert u de Defender for Cloud Apps-logboekverzamelaar op firewalls en andere proxy's om gegevens van eindpunten te verzamelen. De collector verzendt deze gegevens naar Defender for Cloud Apps voor analyse.

Bekijk het Cloud Discovery-dashboard om te zien welke apps in uw organisatie worden gebruikt

Het Cloud Discovery-dashboard is ontworpen om u meer inzicht te geven in hoe cloud-apps worden gebruikt in uw organisatie. Het biedt in één oogopslag een overzicht van de soorten apps die worden gebruikt, uw openstaande waarschuwingen en de risiconiveaus van apps in uw organisatie.

Zie Werken met gedetecteerde apps om aan de slag te gaan met het Cloud Discovery-dashboard.

Cloud-apps beheren

Nadat u cloud-apps hebt ontdekt en hebt geanalyseerd hoe deze apps door uw organisatie worden gebruikt, kunt u beginnen met het beheren van cloud-apps die u kiest.

Een diagram met de architectuur voor Microsoft Defender for Cloud Apps voor het beheren van cloud-apps.

In deze afbeelding:

  • Sommige apps zijn goedgekeurd voor gebruik. Goedkeuren is een eenvoudige manier om apps te beheren.
  • U kunt meer zichtbaarheid en controle inschakelen door apps te verbinden met app-connectors. App-connectors gebruiken de API's van app-providers.

U kunt beginnen met het beheren van apps door apps goed te keuren, te verwijderen of ronduit te blokkeren. Zie Gedetecteerde apps beheren om te beginnen met het beheren van apps.

Stap 6. App-beheer voor voorwaardelijke toegang configureren

Een van de krachtigste beveiligingen die u kunt configureren, is App-beheer voor voorwaardelijke toegang. Voor deze beveiliging is integratie met Microsoft Entra ID vereist. Hiermee kunt u beleid voor voorwaardelijke toegang, inclusief gerelateerd beleid (zoals het vereisen van gezonde apparaten), toepassen op cloud-apps die u hebt goedgekeurd.

Mogelijk hebt u al SaaS-apps toegevoegd aan uw Microsoft Entra-tenant om meervoudige verificatie en ander beleid voor voorwaardelijke toegang af te dwingen. Microsoft Defender for Cloud Apps integreert systeemeigen met Microsoft Entra ID. U hoeft alleen een beleid in Microsoft Entra ID te configureren voor het gebruik van App-beheer voor voorwaardelijke toegang in Defender for Cloud Apps. Hiermee wordt het netwerkverkeer voor deze beheerde SaaS-apps als proxy door Defender for Cloud Apps gerouteerd, waardoor Defender voor Cloud Apps dit verkeer kan bewaken en sessiebesturingselementen kan toepassen.

Een diagram met de architectuur voor Microsoft Defender for Cloud Apps met SaaS-apps.

In deze afbeelding:

  • SaaS-apps zijn geïntegreerd met de Microsoft Entra-tenant. Met deze integratie kan Microsoft Entra ID beleid voor voorwaardelijke toegang afdwingen, inclusief meervoudige verificatie.
  • Er wordt een beleid toegevoegd aan Microsoft Entra ID om verkeer voor SaaS-apps om te leiden naar Defender for Cloud Apps. Het beleid geeft aan op welke SaaS-apps dit beleid moet worden toegepast. Nadat Microsoft Entra ID beleidsregels voor voorwaardelijke toegang afdwingt die van toepassing zijn op deze SaaS-apps, stuurt Microsoft Entra ID vervolgens (proxy's) het sessieverkeer via Defender for Cloud Apps.
  • Defender for Cloud Apps bewaakt dit verkeer en past alle beleidsregels voor sessiebeheer toe die zijn geconfigureerd door beheerders.

Mogelijk hebt u cloud-apps gedetecteerd en goedgekeurd met defender voor cloud-apps die niet zijn toegevoegd aan Microsoft Entra ID. U kunt profiteren van app-beheer voor voorwaardelijke toegang door deze cloud-apps toe te voegen aan uw Microsoft Entra-tenant en het bereik van uw regels voor voorwaardelijke toegang.

De eerste stap bij het gebruik van Microsoft Defender for Cloud Apps voor het beheren van SaaS-apps is het detecteren van deze apps en ze vervolgens toevoegen aan uw Microsoft Entra-tenant. Als u hulp nodig hebt bij detectie, raadpleegt u SaaS-apps in uw netwerk detecteren en beheren. Nadat u apps hebt gedetecteerd, voegt u deze apps toe aan uw Microsoft Entra-tenant.

U kunt beginnen met het beheren van deze apps met de volgende taken:

  1. Maak in Microsoft Entra ID een nieuw beleid voor voorwaardelijke toegang en configureer dit voor App-beheer voor voorwaardelijke toegang gebruiken. Met deze configuratie kunt u de aanvraag omleiden naar Defender for Cloud Apps. U kunt één beleid maken en alle SaaS-apps toevoegen aan dit beleid.
  2. Maak vervolgens in Defender for Cloud Apps sessiebeleid. Maak één beleid voor elk besturingselement dat u wilt toepassen.

Zie Apps beveiligen met App-beheer voor voorwaardelijke toegang van Microsoft Defender for Cloud Apps voor meer informatie, waaronder ondersteunde apps en clients.

Zie Aanbevolen Beleidsregels voor Microsoft Defender for Cloud Apps voor SaaS-apps voor bijvoorbeeld beleidsregels. Deze beleidsregels zijn gebaseerd op een reeks algemene beleidsregels voor identiteit en apparaattoegang die worden aanbevolen als uitgangspunt voor alle klanten.

Stap 7. Sessiebeleid toepassen op cloud-apps

Microsoft Defender for Cloud Apps fungeert als een omgekeerde proxy en biedt proxytoegang tot goedgekeurde cloud-apps. Met deze inrichting kan Defender for Cloud Apps sessiebeleid toepassen dat u configureert.

Een diagram met de architectuur voor Microsoft Defender for Cloud Apps met sessiebeheer voor proxytoegang.

In de afbeelding:

  • Toegang tot goedgekeurde cloud-apps van gebruikers en apparaten in uw organisatie wordt gerouteerd via Defender for Cloud Apps.
  • Met deze proxytoegang kan sessiebeleid worden toegepast.
  • Cloud-apps die u niet hebt goedgekeurd of die expliciet niet zijn goedgekeurd, worden niet beïnvloed.

Met sessiebeleid kunt u parameters toepassen op hoe cloud-apps door uw organisatie worden gebruikt. Als uw organisatie bijvoorbeeld Gebruikmaakt van Salesforce, kunt u een sessiebeleid configureren waarmee alleen beheerde apparaten toegang hebben tot de gegevens van uw organisatie bij Salesforce. Een eenvoudiger voorbeeld is het configureren van een beleid om verkeer van onbeheerde apparaten te bewaken, zodat u het risico van dit verkeer kunt analyseren voordat u strengere beleidsregels toepast.

Zie Sessiebeleid maken voor meer informatie.

Stap 8. Aanvullende mogelijkheden uitproberen

Gebruik deze zelfstudies voor Defender for Cloud Apps om risico's te detecteren en uw omgeving te beschermen:

Zie deze video voor meer informatie over geavanceerde opsporing in Microsoft Defender for Cloud Apps-gegevens.

SIEM-integratie

U kunt Defender for Cloud Apps integreren met Microsoft Sentinel of een algemene SIEM-service (Security Information and Event Management) om gecentraliseerde bewaking van waarschuwingen en activiteiten van verbonden apps mogelijk te maken. Met Microsoft Sentinel kunt u beveiligingsevenementen in uw organisatie uitgebreider analyseren en playbooks bouwen voor een effectieve en onmiddellijke reactie.

Een diagram met de architectuur voor Microsoft Defender for Cloud Apps met SIEM-integratie.

Microsoft Sentinel bevat een Defender for Cloud Apps-connector. Hierdoor kunt u niet alleen inzicht krijgen in uw cloud-apps, maar ook geavanceerde analyses krijgen om cyberdreigingen te identificeren en te bestrijden en om te bepalen hoe uw gegevens reizen. Zie Microsoft Sentinel-integratie en Stream-waarschuwingen en Cloud Discovery-logboeken van Defender for Cloud Apps in Microsoft Sentinel voor meer informatie.

Zie Algemene SIEM-integratie voor informatie over integratie met SIEM-systemen van derden.

Volgende stap

Levenscyclusbeheer uitvoeren voor Defender for Cloud Apps.

Volgende stap voor de end-to-end-implementatie van Microsoft Defender XDR

Ga verder met de end-to-end-implementatie van Microsoft Defender XDR met Onderzoeken en reageren met Behulp van Microsoft Defender XDR.

Een diagram met het onderzoeken en reageren op incidenten in het testproces en het implementeren van Microsoft Defender XDR.

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.