Udostępnij za pośrednictwem


Samouczek: odnajdywanie niezatwierdzonych zasobów IT i zarządzanie nimi

Gdy administratorzy IT są pytani, ile aplikacji w chmurze uważa, że ich pracownicy używają, średnio 30 lub 40, gdy w rzeczywistości średnia wynosi ponad 1000 oddzielnych aplikacji używanych przez pracowników w organizacji. Shadow IT pomaga znać i identyfikować aplikacje, które są używane i jaki jest poziom ryzyka. 80% pracowników korzysta z nienależących do sankcji aplikacji, które nikt nie dokonał przeglądu i może nie być zgodne z zasadami zabezpieczeń i zgodności. Ze względu na to, że pracownicy mogą uzyskiwać dostęp do zasobów i aplikacji spoza sieci firmowej, nie wystarczy już mieć reguły i zasady zapory.

W tym samouczku dowiesz się, jak za pomocą funkcji cloud discovery dowiedzieć się, które aplikacje są używane, eksplorować ryzyko związane z tymi aplikacjami, konfigurować zasady w celu identyfikowania nowych ryzykownych aplikacji, które są używane, oraz do odsuwania tych aplikacji w celu zablokowania ich natywnie przy użyciu serwera proxy lub urządzenia zapory

Napiwek

Domyślnie usługa Defender dla Chmury Apps nie może odnaleźć aplikacji, które nie są w wykazie.

Aby wyświetlić dane Defender dla Chmury Apps dla aplikacji, która nie znajduje się obecnie w wykazie, zalecamy sprawdzenie planu działania lub utworzenie aplikacji niestandardowej.

Jak odnajdywać zasoby IT w tle i zarządzać nimi w sieci

Użyj tego procesu, aby wdrożyć odnajdywanie w chmurze IT w tle w organizacji.

cykl życia it w tle.

Faza 1. Odnajdywanie i identyfikowanie niezatwierdzonych zasobów IT

  1. Odnajdź dział IT w tle: zidentyfikuj stan zabezpieczeń organizacji, uruchamiając odnajdywanie w chmurze w organizacji, aby zobaczyć, co faktycznie dzieje się w sieci. Aby uzyskać więcej informacji, zobacz Konfigurowanie odnajdywania w chmurze. Można to zrobić przy użyciu dowolnej z następujących metod:

    • Szybko rozpocznij pracę z odnajdywaniem w chmurze, integrując się z Ochrona punktu końcowego w usłudze Microsoft Defender. Ta natywna integracja umożliwia natychmiastowe rozpoczęcie zbierania danych dotyczących ruchu w chmurze na urządzeniach z systemami Windows 10 i Windows 11, w sieci i poza siecią.

    • W przypadku pokrycia na wszystkich urządzeniach połączonych z siecią ważne jest wdrożenie modułu zbierającego dzienniki usługi Defender dla Chmury Apps na zaporach i innych serwerach proxy w celu zbierania danych z punktów końcowych i wysyłania ich do aplikacji Defender dla Chmury na potrzeby analizy.

    • Integrowanie aplikacji Defender dla Chmury z serwerem proxy. Defender dla Chmury Apps natywnie integruje się z niektórymi serwerami proxy innych firm, w tym Zscaler.

    Ponieważ zasady różnią się między grupami użytkowników, regionami i grupami biznesowymi, możesz utworzyć dedykowany raport IT w tle dla każdej z tych jednostek. Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych raportów ciągłych.

    Teraz, gdy odnajdywanie w chmurze działa w sieci, przyjrzyj się generowanym ciągłym raportom i przyjrzyj się pulpitowi nawigacyjnemu odnajdywania w chmurze, aby uzyskać pełny obraz aplikacji używanych w organizacji. Dobrym pomysłem jest przyjrzenie się im według kategorii, ponieważ często okaże się, że aplikacje nienależące do sankcji są używane do uzasadnionych celów związanych z pracą, które nie zostały rozwiązane przez zaakceptowaną sankcję.

  2. Zidentyfikuj poziomy ryzyka aplikacji: użyj katalogu Defender dla Chmury Apps, aby dokładniej poznać zagrożenia związane z każdą odnalezioną aplikacją. Wykaz aplikacji usługi Defender dla chmury obejmuje ponad 31 000 aplikacji, które są oceniane przy użyciu ponad 90 czynników ryzyka. Czynniki ryzyka zaczynają się od ogólnych informacji o aplikacji (gdzie znajduje się siedziba aplikacji, która jest wydawcą) oraz za pośrednictwem środków zabezpieczeń i mechanizmów kontroli (obsługa szyfrowania magazynowanych zapewnia dziennik inspekcji aktywności użytkownika). Aby uzyskać więcej informacji, zobacz Praca z oceną ryzyka,

    • W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Cloud Discovery. Następnie przejdź do karty Odnalezione aplikacje . Przefiltruj listę aplikacji odnalezionych w organizacji według czynników ryzyka, które cię interesują. Na przykład możesz użyć filtrów zaawansowanych, aby znaleźć wszystkie aplikacje z oceną ryzyka niższą niż 8.

    • Aby dowiedzieć się więcej o zgodności aplikacji, możesz przejść do szczegółów, wybierając nazwę aplikacji, a następnie wybierając kartę Informacje , aby wyświetlić szczegółowe informacje o czynnikach ryzyka zabezpieczeń aplikacji.

Faza 2. Ocena i analizowanie

  1. Ocena zgodności: sprawdź, czy aplikacje są certyfikowane jako zgodne ze standardami organizacji, takimi jak HIPAA lub SOC2.

    • W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Cloud Discovery. Następnie przejdź do karty Odnalezione aplikacje . Przefiltruj listę aplikacji odnalezionych w organizacji według czynników ryzyka zgodności, które cię dotyczą. Na przykład użyj sugerowanego zapytania, aby odfiltrować niezgodne aplikacje.

    • Aby dowiedzieć się więcej na temat zgodności aplikacji, możesz przejść do szczegółów, wybierając nazwę aplikacji, a następnie wybierając kartę Informacje , aby wyświetlić szczegółowe informacje o czynnikach ryzyka zgodności aplikacji.

  2. Analizowanie użycia: teraz, gdy wiesz, czy aplikacja ma być używana w organizacji, chcesz zbadać, jak i kto z niej korzysta. Jeśli jest ona używana tylko w ograniczony sposób w organizacji, być może jest w porządku, ale może jeśli użycie rośnie, chcesz otrzymywać powiadomienia o tym, aby zdecydować, czy chcesz zablokować aplikację.

    • W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Cloud Discovery. Następnie przejdź do karty Odnalezione aplikacje , a następnie przejdź do szczegółów, wybierając określoną aplikację, którą chcesz zbadać. Karta Użycie informuje, ilu aktywnych użytkowników korzysta z aplikacji i ile ruchu generuje. Może to już dać dobry obraz tego, co dzieje się z aplikacją. Następnie, jeśli chcesz zobaczyć, kto używa aplikacji, możesz przejść do szczegółów, wybierając pozycję Total active users (Łączna liczba aktywnych użytkowników). Ten ważny krok może dać odpowiednie informacje, na przykład jeśli okaże się, że wszyscy użytkownicy określonej aplikacji pochodzą z działu marketingu, istnieje możliwość, że istnieje potrzeba biznesowa dla tej aplikacji, a jeśli jest ryzykowna, porozmawiaj z nimi o alternatywie przed zablokowaniem.

    • Dowiedz się jeszcze bardziej szczegółowo podczas badania użycia odnalezionych aplikacji. Wyświetl poddomeny i zasoby, aby dowiedzieć się więcej o konkretnych działaniach, dostępie do danych i użyciu zasobów w usługach w chmurze. Aby uzyskać więcej informacji, zobacz Szczegółowe omówienie odnalezionych aplikacji i odnajdywanie zasobów i aplikacji niestandardowych.

  3. Identyfikowanie alternatywnych aplikacji: użyj wykazu aplikacji w chmurze, aby zidentyfikować bezpieczniejsze aplikacje, które osiągną podobną funkcjonalność biznesową jako wykryte ryzykowne aplikacje, ale są zgodne z zasadami organizacji. Możesz to zrobić, korzystając z filtrów zaawansowanych, aby znaleźć aplikacje w tej samej kategorii, które spełniają wymagania różnych mechanizmów kontroli zabezpieczeń.

Faza 3. Zarządzanie aplikacjami

  • Zarządzanie aplikacjami w chmurze: Defender dla Chmury Aplikacje ułatwiają proces zarządzania użyciem aplikacji w organizacji. Po zidentyfikowaniu różnych wzorców i zachowań używanych w organizacji można utworzyć nowe niestandardowe tagi aplikacji, aby sklasyfikować każdą aplikację zgodnie ze stanem biznesowym lub uzasadnieniem. Te tagi mogą być następnie używane do określonych celów monitorowania, na przykład identyfikowania dużego ruchu, który będzie używany do aplikacji oznaczonych jako ryzykowne aplikacje magazynu w chmurze. Tagi aplikacji można zarządzać w obszarze Ustawienia>Tagi aplikacji Cloud Discovery w usłudze Cloud Apps.>> Te tagi mogą być następnie używane do filtrowania na stronach odnajdywania w chmurze i tworzenia zasad za ich pomocą.

  • Zarządzanie odnalezionymi aplikacjami przy użyciu galerii Entra firmy Microsoft: Defender dla Chmury Apps używa również natywnej integracji z usługą Microsoft Entra ID, aby umożliwić zarządzanie odnalezionymi aplikacjami w galerii Microsoft Entra. W przypadku aplikacji, które są już wyświetlane w galerii Entra firmy Microsoft, możesz zastosować logowanie jednokrotne i zarządzać aplikacją przy użyciu identyfikatora Microsoft Entra ID. W tym celu w wierszu, w którym pojawia się odpowiednia aplikacja, wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Zarządzaj aplikacją za pomocą identyfikatora Microsoft Entra.

    Zarządzanie aplikacją w galerii Microsoft Entra.

  • Ciągłe monitorowanie: teraz, gdy dokładnie zbadano aplikacje, możesz ustawić zasady, które monitorują aplikacje i zapewniają kontrolę w razie potrzeby.

Teraz nadszedł czas, aby utworzyć zasady, aby można było automatycznie otrzymywać alerty, gdy coś się stanie, o czym martwisz się. Możesz na przykład utworzyć zasady odnajdywania aplikacji, które będą wiedzieć, kiedy występuje wzrost liczby pobrań lub ruchu z aplikacji, której dotyczysz. Aby to osiągnąć, należy włączyć nietypowe zachowanie w zasadach odnalezionych użytkowników, sprawdzaniu zgodności aplikacji magazynu w chmurze i nowej ryzykownej aplikacji. Należy również ustawić zasady, aby otrzymywać powiadomienia pocztą e-mail. Aby uzyskać więcej informacji, zobacz dokumentacja szablonu zasad, więcej informacji na temat zasad odnajdywania w chmurze i Konfigurowanie zasad odnajdywania aplikacji.

Przyjrzyj się stronie alertów i użyj filtru Typ zasad, aby przyjrzeć się alertom odnajdywania aplikacji. W przypadku aplikacji, które zostały dopasowane przez zasady odnajdywania aplikacji, zaleca się przeprowadzenie zaawansowanego badania, aby dowiedzieć się więcej na temat uzasadnienia biznesowego korzystania z aplikacji, na przykład, kontaktując się z użytkownikami aplikacji. Następnie powtórz kroki w fazie 2, aby ocenić ryzyko aplikacji. Następnie określ kolejne kroki dla aplikacji, niezależnie od tego, czy zatwierdzisz jej użycie w przyszłości, czy chcesz zablokować ją przy następnym uzyskiwaniu do niej dostępu, w tym przypadku należy oznaczyć ją jako niezaakceptowaną, aby mogła zostać zablokowana przy użyciu zapory, serwera proxy lub bezpiecznej bramy internetowej. Aby uzyskać więcej informacji, zobacz Integracja z Ochrona punktu końcowego w usłudze Microsoft Defender, Integracja z rozwiązaniem Zscaler, Integracja z platformą iboss i Blokowanie aplikacji przez wyeksportowanie skryptu blokowego.

Faza 4. Zaawansowane raportowanie odnajdywania IT w tle

Oprócz opcji raportowania dostępnych w usłudze Defender dla Chmury Apps można zintegrować dzienniki odnajdywania w chmurze z usługą Microsoft Sentinel w celu dalszego zbadania i analizy. Gdy dane są w usłudze Microsoft Sentinel, możesz wyświetlać je na pulpitach nawigacyjnych, uruchamiać zapytania przy użyciu języka zapytań Kusto, eksportować zapytania do usługi Microsoft Power BI, integrować się z innymi źródłami i tworzyć alerty niestandardowe. Aby uzyskać więcej informacji, zobacz Integracja usługi Microsoft Sentinel.

Faza 5. Kontrola zaakceptowanych aplikacji

  1. Aby włączyć kontrolę aplikacji za pośrednictwem interfejsów API, połącz aplikacje za pośrednictwem interfejsu API w celu ciągłego monitorowania.

  2. Ochrona aplikacji przy użyciu kontroli dostępu warunkowego.

Charakter aplikacji w chmurze oznacza, że są aktualizowane codziennie, a nowe aplikacje są wyświetlane przez cały czas. W związku z tym pracownicy stale korzystają z nowych aplikacji i ważne jest, aby śledzić i przeglądać i aktualizować zasady, sprawdzając, które aplikacje są używane przez użytkowników, a także ich wzorce użycia i zachowania. Zawsze możesz przejść do pulpitu nawigacyjnego rozwiązania Cloud Discovery i zobaczyć, jakie nowe aplikacje są używane, a następnie ponownie postępować zgodnie z instrukcjami w tym artykule, aby upewnić się, że organizacja i dane są chronione.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.

Dowiedz się więcej