Pilotaż i wdrażanie Microsoft Defender for Cloud Apps
Dotyczy:
- Microsoft Defender XDR
Ten artykuł zawiera przepływ pracy na potrzeby pilotażu i wdrażania Microsoft Defender for Cloud Apps w organizacji. Te zalecenia umożliwiają dołączanie Microsoft Defender for Cloud Apps jako pojedynczego narzędzia do cyberbezpieczeństwa lub jako część kompleksowego rozwiązania z Microsoft Defender XDR.
W tym artykule przyjęto założenie, że masz produkcyjną dzierżawę platformy Microsoft 365 i pilotujesz i wdrażasz Microsoft Defender for Cloud Apps w tym środowisku. Ta praktyka będzie obsługiwać wszelkie ustawienia i dostosowania skonfigurowane podczas pilotażu dla pełnego wdrożenia.
Ochrona usługi Office 365 w usłudze Defender przyczynia się do Zero Trust architektury, pomagając zapobiegać lub zmniejszać szkody biznesowe wynikające z naruszenia. Aby uzyskać więcej informacji, zobacz Scenariusz dotyczący zapobiegania lub zmniejszania szkód biznesowych spowodowanych naruszeniem zasad biznesowych w strukturze wdrażania Zero Trust firmy Microsoft.
Kompleksowe wdrożenie dla Microsoft Defender XDR
Jest to artykuł 5 z 6 serii, który ułatwia wdrażanie składników Microsoft Defender XDR, w tym badanie zdarzeń i reagowanie na nie.
Artykuły z tej serii odpowiadają następującym fazom kompleksowego wdrożenia:
| Faza | Link |
|---|---|
| Odp. Uruchamianie pilotażu | Uruchamianie pilotażu |
| B. Testowanie i wdrażanie składników Microsoft Defender XDR |
-
Pilotaż i wdrażanie usługi Defender for Identity - Pilotaż i wdrażanie Ochrona usługi Office 365 w usłudze Defender - Pilotaż i wdrażanie usługi Defender dla punktu końcowego - Pilotaż i wdrażanie Microsoft Defender for Cloud Apps (ten artykuł) |
| C. Badanie zagrożeń i odpowiadanie na nie | Badanie i reagowanie na zdarzenia praktyczne |
Pilotażowy i wdrażany przepływ pracy dla Defender for Cloud Apps
Na poniższym diagramie przedstawiono typowy proces wdrażania produktu lub usługi w środowisku IT.
Rozpoczynasz od oceny produktu lub usługi oraz sposobu jej działania w organizacji. Następnie pilotujesz produkt lub usługę za pomocą odpowiednio małego podzestawu infrastruktury produkcyjnej na potrzeby testowania, uczenia się i dostosowywania. Następnie stopniowo zwiększaj zakres wdrożenia, dopóki nie zostanie uwzględniona cała infrastruktura lub organizacja.
Oto przepływ pracy na potrzeby pilotażu i wdrażania Defender for Cloud Apps w środowisku produkcyjnym.
Wykonaj następujące czynności:
- Nawiązywanie połączenia z portalem Defender for Cloud Apps
- Integracja z Ochrona punktu końcowego w usłudze Microsoft Defender
- Wdrażanie modułu zbierającego dzienniki w zaporach i innych serwerach proxy
- Tworzenie grupy pilotażowej
- Odnajdywanie aplikacji w chmurze i zarządzanie nimi
- Konfigurowanie kontroli aplikacji dostępu warunkowego
- Stosowanie zasad sesji do aplikacji w chmurze
- Wypróbuj dodatkowe możliwości
Poniżej przedstawiono zalecane kroki dla każdego etapu wdrażania.
| Etap wdrażania | Opis |
|---|---|
| Oceniać | Przeprowadzanie oceny produktu dla Defender for Cloud Apps. |
| Pilot | Wykonaj kroki 1–4, a następnie 5–8 dla odpowiedniego podzestawu aplikacji w chmurze w środowisku produkcyjnym. |
| Pełne wdrożenie | Wykonaj kroki 5–8 dla pozostałych aplikacji w chmurze, dostosowując zakres dla pilotażowych grup użytkowników lub dodając grupy użytkowników, aby rozszerzyć zakres poza pilotaż i uwzględnić wszystkie konta użytkowników. |
Ochrona organizacji przed hakerami
Defender for Cloud Apps zapewnia samodzielną zaawansowaną ochronę. Jednak w połączeniu z innymi możliwościami Microsoft Defender XDR Defender for Cloud Apps udostępnia dane do udostępnionych sygnałów, które razem pomagają zatrzymać ataki.
Oto przykład cyberataku i sposobu, w jaki składniki Microsoft Defender XDR pomagają go wykrywać i eliminować.
Defender for Cloud Apps wykrywa nietypowe zachowanie, takie jak niemożliwe podróże, dostęp poświadczeń i nietypowe działanie pobierania, udostępniania plików lub przekazywania poczty, i wyświetla te zachowania w portalu Defender for Cloud Apps. Defender for Cloud Apps pomaga również zapobiegać przenoszeniu w poprzek przez hakerów i eksfiltracji poufnych danych.
Microsoft Defender XDR skoreluje sygnały ze wszystkich składników Microsoft Defender, aby zapewnić pełną historię ataku.
Defender for Cloud Apps roli jako CASB
Broker zabezpieczeń dostępu do chmury (CASB) działa jako strażnik w celu brokera dostępu w czasie rzeczywistym między użytkownikami przedsiębiorstwa i zasobami w chmurze, z których korzystają, wszędzie tam, gdzie znajdują się użytkownicy i niezależnie od używanego urządzenia. Defender for Cloud Apps jest certyfikatem CASB dla aplikacji w chmurze organizacji. Defender for Cloud Apps natywnie integruje się z funkcjami zabezpieczeń firmy Microsoft, w tym z Microsoft Defender XDR.
Bez Defender for Cloud Apps aplikacje w chmurze używane przez organizację są niezarządzane i niechronione.
Na ilustracji:
- Korzystanie z aplikacji w chmurze przez organizację jest niemonitorowane i niechronione.
- To użycie wykracza poza ochronę uzyskaną w organizacji zarządzanej.
Aby odnaleźć aplikacje w chmurze używane w twoim środowisku, można zaimplementować jedną lub obie z następujących metod:
- Szybkie rozpoczęcie pracy z usługą Cloud Discovery dzięki integracji z Ochrona punktu końcowego w usłudze Microsoft Defender. Ta natywna integracja umożliwia natychmiastowe rozpoczęcie zbierania danych dotyczących ruchu w chmurze na urządzeniach Windows 10 i Windows 11 w sieci i poza niej.
- Aby odnaleźć wszystkie aplikacje w chmurze dostępne dla wszystkich urządzeń połączonych z siecią, wdróż moduł zbierający dzienniki Defender for Cloud Apps w zaporach i innych serwerach proxy. To wdrożenie pomaga zbierać dane z punktów końcowych i wysyła je do Defender for Cloud Apps do analizy. Defender for Cloud Apps natywnie integruje się z niektórymi serwerami proxy innych firm, aby uzyskać jeszcze więcej możliwości.
Ten artykuł zawiera wskazówki dotyczące obu metod.
Krok nr 1. Nawiązywanie połączenia z portalem Defender for Cloud Apps
Aby zweryfikować licencjonowanie i nawiązać połączenie z portalem Defender for Cloud Apps, zobacz Szybki start: rozpoczynanie pracy z Microsoft Defender for Cloud Apps.
Jeśli nie możesz od razu nawiązać połączenia z portalem, może być konieczne dodanie adresu IP do listy dozwolonych zapory. Zobacz Konfiguracja podstawowa dla Defender for Cloud Apps.
Jeśli nadal występują problemy, zapoznaj się z wymaganiami dotyczącymi sieci.
Krok 2. Integracja z Ochrona punktu końcowego w usłudze Microsoft Defender
Microsoft Defender for Cloud Apps integruje się z Ochrona punktu końcowego w usłudze Microsoft Defender natywnie. Integracja upraszcza wdrażanie funkcji Cloud Discovery, rozszerza możliwości rozwiązania Cloud Discovery poza sieć firmową i umożliwia badanie na podstawie urządzeń. Ta integracja pokazuje, że dostęp do aplikacji i usług w chmurze jest uzyskiwany z zarządzanych przez IT urządzeń Windows 10 i Windows 11.
Jeśli już skonfigurowano Ochrona punktu końcowego w usłudze Microsoft Defender, konfigurowanie integracji z Defender for Cloud Apps jest przełącznikiem w Microsoft Defender XDR. Po włączeniu integracji możesz wrócić do portalu Defender for Cloud Apps i wyświetlić bogate dane na pulpicie nawigacyjnym usługi Cloud Discovery.
Aby wykonać te zadania, zobacz integrację Ochrona punktu końcowego w usłudze Microsoft Defender z Microsoft Defender for Cloud Apps.
Krok 3. Wdrażanie modułu zbierającego dzienniki Defender for Cloud Apps w zaporach i innych serwerach proxy
Aby uzyskać pokrycie na wszystkich urządzeniach połączonych z siecią, wdróż moduł zbierający dzienniki Defender for Cloud Apps w zaporach i innych serwerach proxy w celu zbierania danych z punktów końcowych i wysyłania ich do Defender for Cloud Apps w celu analizy.
Jeśli używasz jednej z następujących bezpiecznych bram sieci Web (SWG), Defender for Cloud Apps zapewnia bezproblemowe wdrażanie i integrację:
- Zscaler
- iboss
- Corrata
- Menlo Security
Aby uzyskać więcej informacji na temat integracji z tymi urządzeniami sieciowymi, zobacz Konfigurowanie rozwiązania Cloud Discovery.
Krok nr 4. Tworzenie grupy pilotażowej — zakres wdrożenia pilotażowego dla określonych grup użytkowników
Microsoft Defender for Cloud Apps umożliwia określanie zakresu wdrożenia. Określenie zakresu umożliwia wybranie określonych grup użytkowników, które mają być monitorowane pod kątem aplikacji lub wykluczone z monitorowania. Możesz dołączyć lub wykluczyć grupy użytkowników. Aby określić zakres wdrożenia pilotażowego, zobacz Wdrażanie w zakresie.
Krok nr 5. Odnajdywanie aplikacji w chmurze i zarządzanie nimi
Aby Defender for Cloud Apps zapewnić maksymalną ochronę, musisz odnaleźć wszystkie aplikacje w chmurze w organizacji i zarządzać sposobem ich użycia.
Odnajdywanie aplikacji w chmurze
Pierwszym krokiem do zarządzania korzystaniem z aplikacji w chmurze jest odkrycie, które aplikacje w chmurze są używane przez organizację. Na następnym diagramie pokazano, jak odnajdywanie w chmurze działa z Defender for Cloud Apps.
Na tej ilustracji przedstawiono dwie metody, których można użyć do monitorowania ruchu sieciego i odnajdywania aplikacji w chmurze używanych przez organizację.
Usługa Cloud App Discovery integruje się z Ochrona punktu końcowego w usłudze Microsoft Defender natywnie. Usługa Defender for Endpoint raportuje aplikacje i usługi w chmurze dostępne z zarządzanych przez IT urządzeń Windows 10 i Windows 11.
Aby uzyskać pokrycie na wszystkich urządzeniach połączonych z siecią, należy zainstalować moduł zbierający dzienniki Defender for Cloud Apps na zaporach i innych serwerach proxy w celu zbierania danych z punktów końcowych. Moduł zbierający wysyła te dane do Defender for Cloud Apps do analizy.
Wyświetl pulpit nawigacyjny usługi Cloud Discovery, aby zobaczyć, jakie aplikacje są używane w organizacji
Pulpit nawigacyjny usługi Cloud Discovery został zaprojektowany, aby zapewnić lepszy wgląd w sposób, w jaki aplikacje w chmurze są używane w organizacji. Zawiera on szybki przegląd rodzajów używanych aplikacji, otwartych alertów i poziomów ryzyka aplikacji w organizacji.
Aby rozpocząć korzystanie z pulpitu nawigacyjnego usługi Cloud Discovery, zobacz Praca z odnalezionymi aplikacjami.
Zarządzanie aplikacjami w chmurze
Po odnalezieniu aplikacji w chmurze i przeanalizowaniu sposobu, w jaki te aplikacje są używane przez organizację, możesz rozpocząć zarządzanie wybranymi aplikacjami w chmurze.
Na tej ilustracji:
- Niektóre aplikacje są usankcjonowane do użycia. Sankcjonowanie to prosty sposób na rozpoczęcie zarządzania aplikacjami.
- Możesz włączyć większą widoczność i kontrolę, łącząc aplikacje za pomocą łączników aplikacji. Łączniki aplikacji używają interfejsów API dostawców aplikacji.
Możesz zacząć zarządzać aplikacjami od nakładania sankcji, cofania sankcji lub całkowitego blokowania aplikacji. Aby rozpocząć zarządzanie aplikacjami, zobacz Zarządzanie odnalezioną aplikacją.
Krok 6. Konfigurowanie kontroli aplikacji dostępu warunkowego
Jedną z najbardziej zaawansowanych zabezpieczeń, które można skonfigurować, jest kontrola aplikacji dostępu warunkowego. Ta ochrona wymaga integracji z Tożsamość Microsoft Entra. Umożliwia stosowanie zasad dostępu warunkowego, w tym powiązanych zasad (takich jak wymaganie urządzeń w dobrej kondycji) do aplikacji w chmurze, które zostały zaakceptowane.
Aplikacje SaaS mogą już zostać dodane do dzierżawy Microsoft Entra w celu wymuszania uwierzytelniania wieloskładnikowego i innych zasad dostępu warunkowego. Microsoft Defender for Cloud Apps natywnie integruje się z Tożsamość Microsoft Entra. Wszystko, co musisz zrobić, to skonfigurować zasady w Tożsamość Microsoft Entra, aby używać kontroli dostępu warunkowego aplikacji w Defender for Cloud Apps. Powoduje to kierowanie ruchu sieciowego dla tych zarządzanych aplikacji SaaS za pośrednictwem Defender for Cloud Apps jako serwera proxy, co umożliwia Defender for Cloud Apps monitorowanie tego ruchu i stosowanie kontrolek sesji.
Na tej ilustracji:
- Aplikacje SaaS są zintegrowane z dzierżawą Microsoft Entra. Ta integracja umożliwia Tożsamość Microsoft Entra wymuszanie zasad dostępu warunkowego, w tym uwierzytelniania wieloskładnikowego.
- Zasady są dodawane do Tożsamość Microsoft Entra, aby kierować ruch aplikacji SaaS do Defender for Cloud Apps. Zasady określają, do których aplikacji SaaS mają być stosowane te zasady. Po Tożsamość Microsoft Entra wymusza wszelkie zasady dostępu warunkowego, które mają zastosowanie do tych aplikacji SaaS, Tożsamość Microsoft Entra następnie kieruje (serwery proxy) ruch sesji za pośrednictwem Defender for Cloud Apps.
- Defender for Cloud Apps monitoruje ten ruch i stosuje wszystkie zasady kontroli sesji skonfigurowane przez administratorów.
Być może aplikacje w chmurze zostały odnalezione i zaakceptowane przy użyciu Defender for Cloud Apps, które nie zostały dodane do Tożsamość Microsoft Entra. Możesz skorzystać z kontroli dostępu warunkowego aplikacji, dodając te aplikacje w chmurze do dzierżawy Microsoft Entra i zakresu reguł dostępu warunkowego.
Pierwszym krokiem przy użyciu Microsoft Defender for Cloud Apps do zarządzania aplikacjami SaaS jest odnalezienie tych aplikacji, a następnie dodanie ich do dzierżawy Microsoft Entra. Jeśli potrzebujesz pomocy dotyczącej odnajdywania, zobacz Odnajdywanie aplikacji SaaS i zarządzanie nimi w sieci. Po odnalezieniu aplikacji dodaj te aplikacje do dzierżawy Microsoft Entra.
Możesz rozpocząć zarządzanie tymi aplikacjami przy użyciu następujących zadań:
- W Tożsamość Microsoft Entra utwórz nowe zasady dostępu warunkowego i skonfiguruj je tak, aby używały kontroli aplikacji dostępu warunkowego. Ta konfiguracja ułatwia przekierowanie żądania do Defender for Cloud Apps. Możesz utworzyć jedną zasadę i dodać wszystkie aplikacje SaaS do tych zasad.
- Następnie w Defender for Cloud Apps utwórz zasady sesji. Utwórz jedną zasadę dla każdej kontrolki, którą chcesz zastosować.
Aby uzyskać więcej informacji, w tym obsługiwane aplikacje i klientów, zobacz Ochrona aplikacji za pomocą Microsoft Defender for Cloud Apps kontroli aplikacji dostępu warunkowego.
Na przykład zasady można znaleźć w temacie Zalecane zasady Microsoft Defender for Cloud Apps dla aplikacji SaaS. Te zasady bazują na zestawie typowych zasad dostępu do tożsamości i urządzeń , które są zalecane jako punkt początkowy dla wszystkich klientów.
Krok 7. Stosowanie zasad sesji do aplikacji w chmurze
Microsoft Defender for Cloud Apps pełni rolę zwrotnego serwera proxy, zapewniając dostęp serwera proxy do zaakceptowanych aplikacji w chmurze. Ta aprowizacja umożliwia Defender for Cloud Apps stosowanie skonfigurowanych zasad sesji.
Na ilustracji:
- Dostęp do zaakceptowanych aplikacji w chmurze od użytkowników i urządzeń w organizacji jest kierowany przez Defender for Cloud Apps.
- Ten dostęp serwera proxy umożliwia stosowanie zasad sesji.
- Nie ma to wpływu na aplikacje w chmurze, które nie zostały zaakceptowane lub jawnie niezatwierdzone.
Zasady sesji umożliwiają stosowanie parametrów do sposobu, w jaki aplikacje w chmurze są używane przez organizację. Jeśli na przykład twoja organizacja korzysta z usługi Salesforce, można skonfigurować zasady sesji, które zezwalają tylko zarządzanym urządzeniom na dostęp do danych organizacji w usłudze Salesforce. Prostszym przykładem może być skonfigurowanie zasad w celu monitorowania ruchu z urządzeń niezarządzanych, dzięki czemu można analizować ryzyko związane z tym ruchem przed zastosowaniem bardziej rygorystycznych zasad.
Aby uzyskać więcej informacji, zobacz Tworzenie zasad sesji.
Krok 8. Wypróbuj dodatkowe możliwości
Skorzystaj z tych samouczków Defender for Cloud Apps, aby ułatwić wykrywanie ryzyka i ochronę środowiska:
- Wykrywanie podejrzanych działań użytkowników
- Badanie ryzykownych użytkowników
- Badanie ryzykownych aplikacji OAuth
- Odnajdywanie i ochrona poufnych informacji
- Ochrona dowolnej aplikacji w organizacji w czasie rzeczywistym
- Blokuj pobieranie informacji poufnych
- Ochrona plików przy użyciu kwarantanny administratora
- Wymagaj uwierzytelniania w stopniu podwyższonym po podjęciu ryzykownych działań
Aby uzyskać więcej informacji na temat zaawansowanego wyszukiwania zagrożeń w danych Microsoft Defender for Cloud Apps, zobacz ten film wideo.
Integracja zarządzania informacjami i zdarzeniami zabezpieczeń
Możesz zintegrować Defender for Cloud Apps z usługą Microsoft Sentinel lub ogólną usługą zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), aby umożliwić scentralizowane monitorowanie alertów i działań z połączonych aplikacji. Dzięki Microsoft Sentinel można bardziej kompleksowo analizować zdarzenia zabezpieczeń w całej organizacji i tworzyć podręczniki w celu zapewnienia skutecznej i natychmiastowej reakcji.
Microsoft Sentinel zawiera łącznik Defender for Cloud Apps. Dzięki temu możesz nie tylko uzyskać wgląd w aplikacje w chmurze, ale także uzyskać zaawansowaną analizę w celu identyfikowania i zwalczania cyberzagrożeń oraz kontrolowania sposobu przenoszenia danych. Aby uzyskać więcej informacji, zobacz temat Microsoft Sentinel integration and Stream alerts and Cloud Discovery logs from Defender for Cloud Apps to Microsoft Sentinel (Microsoft Sentinel integration and Stream alerts and Cloud Discovery logs from Defender for Cloud Apps into Microsoft Sentinel (Alerty dotyczące integracji i Stream oraz dzienniki usługi Cloud Discovery z Defender for Cloud Apps do Microsoft Sentinel.
Aby uzyskać informacje na temat integracji z systemami SIEM innych firm, zobacz Ogólna integracja SIEM.
Następny krok
Zarządzanie cyklem życia dla Defender for Cloud Apps.
Następny krok dla kompleksowego wdrożenia Microsoft Defender XDR
Kontynuuj kompleksowe wdrożenie Microsoft Defender XDR, sprawdzaj i odpowiadaj przy użyciu Microsoft Defender XDR.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.