Najlepsze rozwiązania dotyczące ochrony organizacji za pomocą usługi Defender dla Chmury Apps

Ten artykuł zawiera najlepsze rozwiązania dotyczące ochrony organizacji przy użyciu aplikacji Microsoft Defender dla Chmury. Te najlepsze rozwiązania pochodzą z naszego doświadczenia z Defender dla Chmury Apps i środowiskami klientów, takich jak Ty.

Najlepsze rozwiązania omówione w tym artykule obejmują:

Odnajdywanie i ocenianie aplikacji w chmurze

Zintegrowanie aplikacji Defender dla Chmury z usługą Ochrona punktu końcowego w usłudze Microsoft Defender umożliwia korzystanie z rozwiązania Cloud Discovery poza siecią firmową lub zabezpieczanie bram internetowych. Dzięki połączonym informacjom o użytkowniku i urządzeniu można zidentyfikować ryzykownych użytkowników lub urządzeń, zobaczyć, jakie aplikacje używają, i dokładniej zbadać w portalu usługi Defender for Endpoint.

Najlepsze rozwiązanie: włączanie odnajdywania IT w tle przy użyciu usługi Defender dla punktu końcowego
Szczegóły: Usługa Cloud Discovery analizuje dzienniki ruchu zebrane przez usługę Defender for Endpoint i ocenia zidentyfikowane aplikacje względem katalogu aplikacji w chmurze w celu zapewnienia zgodności i informacji o zabezpieczeniach. Konfigurując rozwiązanie Cloud Discovery, uzyskujesz wgląd w użycie chmury, shadow IT i ciągłe monitorowanie niezatwierdzonych aplikacji używanych przez użytkowników.
Aby uzyskać więcej informacji:


Najlepsze rozwiązanie: Konfigurowanie zasad odnajdywania aplikacji w celu proaktywnego identyfikowania ryzykownych, niezgodnych i popularnych aplikacji
Szczegóły: Zasady odnajdywania aplikacji ułatwiają śledzenie znaczących odnalezionych aplikacji w organizacji w celu wydajnego zarządzania tymi aplikacjami. Utwórz zasady, aby otrzymywać alerty podczas wykrywania nowych aplikacji, które są identyfikowane jako ryzykowne, niezgodne, trendy lub duże ilości.
Aby uzyskać więcej informacji:


Najlepsze rozwiązanie: zarządzanie aplikacjami OAuth autoryzowanymi przez użytkowników
Szczegóły: Wielu użytkowników nieumyślnie udziela uprawnień OAuth do aplikacji innych firm w celu uzyskania dostępu do informacji o koncie i, w ten sposób, przypadkowo również przyznać dostęp do swoich danych w innych aplikacjach w chmurze. Zwykle it nie ma wglądu w te aplikacje, co utrudnia rozważenie ryzyka bezpieczeństwa aplikacji względem korzyści związanych z produktywnością.

Defender dla Chmury Apps zapewnia możliwość badania i monitorowania uprawnień aplikacji przyznanych przez użytkowników. Możesz użyć tych informacji, aby zidentyfikować potencjalnie podejrzaną aplikację, a jeśli okaże się, że jest ryzykowna, możesz zablokować dostęp do niej.
Aby uzyskać więcej informacji:





Stosowanie zasad ładu w chmurze

Najlepsze rozwiązanie: tagowanie aplikacji i eksportowanie skryptów blokowych
Szczegóły: po przejrzeniu listy odnalezionych aplikacji w organizacji możesz zabezpieczyć środowisko przed niechcianym użyciem aplikacji. Możesz zastosować tag zaakceptowany przez sankcje do aplikacji zatwierdzonych przez organizację oraz tag Niezaakceptowany do aplikacji, które nie są. Aplikacje niezatwierdzone można monitorować przy użyciu filtrów odnajdywania lub wyeksportować skrypt w celu blokowania niezatwierdzonych aplikacji przy użyciu lokalnych urządzeń zabezpieczeń. Używanie tagów i eksportowania skryptów umożliwia organizowanie aplikacji i ochronę środowiska przez zezwolenie na dostęp tylko do bezpiecznych aplikacji.
Aby uzyskać więcej informacji:


Ograniczanie ujawnienia udostępnionych danych i wymuszanie zasad współpracy

Najlepsze rozwiązanie: Połączenie Microsoft 365
Szczegóły: Połączenie platformy Microsoft 365 w celu Defender dla Chmury Apps zapewnia natychmiastowy wgląd w działania użytkowników, pliki, do których uzyskują dostęp, oraz udostępnia akcje ładu dla platformy Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange i Dynamics.
Aby uzyskać więcej informacji:


Najlepsze rozwiązanie: Połączenie aplikacji
Szczegóły: Połączenie aplikacji w celu Defender dla Chmury Apps zapewnia lepszy wgląd w działania użytkowników, wykrywanie zagrożeń i możliwości zapewniania ładu. Aby sprawdzić, które interfejsy API aplikacji innych firm są obsługiwane, przejdź do Połączenie aplikacji.

Aby uzyskać więcej informacji:


Najlepsze rozwiązanie: tworzenie zasad w celu usunięcia udostępniania z kontami osobistymi
Szczegóły: Połączenie platformy Microsoft 365 w celu Defender dla Chmury Apps zapewnia natychmiastowy wgląd w działania użytkowników, pliki, do których uzyskują dostęp, oraz udostępnia akcje ładu dla platformy Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange i Dynamics.
Aby uzyskać więcej informacji:


Odnajdywanie, klasyfikowanie, etykietowanie i ochrona danych regulowanych i poufnych przechowywanych w chmurze

Najlepsze rozwiązanie: integracja z usługą Microsoft Purview Information Protection
Szczegóły: Integracja z usługą Microsoft Purview Information Protection zapewnia możliwość automatycznego stosowania etykiet poufności i opcjonalnie dodawania ochrony szyfrowania. Po włączeniu integracji można stosować etykiety jako akcję ładu, wyświetlać pliki według klasyfikacji, badać pliki według poziomu klasyfikacji i tworzyć szczegółowe zasady, aby upewnić się, że pliki sklasyfikowane są obsługiwane prawidłowo. Jeśli nie włączysz integracji, nie możesz skorzystać z możliwości automatycznego skanowania, etykietowania i szyfrowania plików w chmurze.
Aby uzyskać więcej informacji:


Najlepsze rozwiązanie: tworzenie zasad ujawniania danych
Szczegóły: Zasady dotyczące plików służą do wykrywania udostępniania informacji i skanowania pod kątem informacji poufnych w aplikacjach w chmurze. Utwórz następujące zasady dotyczące plików, aby otrzymywać alerty po wykryciu ujawnienia danych:

  • Pliki udostępniane zewnętrznie zawierające poufne dane
  • Pliki udostępnione zewnętrznie i oznaczone jako poufne
  • Pliki udostępnione nieautoryzowanym domenom
  • Ochrona poufnych plików w aplikacjach SaaS

Aby uzyskać więcej informacji:


Najlepsze rozwiązanie: przeglądanie raportów na stronie Pliki
Szczegóły: Po połączeniu różnych aplikacji SaaS przy użyciu łączników aplikacji Defender dla Chmury Apps skanuje pliki przechowywane przez te aplikacje. Ponadto za każdym razem, gdy plik jest modyfikowany, jest skanowany ponownie. Możesz użyć strony Pliki , aby zrozumieć i zbadać typy danych przechowywanych w aplikacjach w chmurze. Aby ułatwić badanie, można filtrować według domen, grup, użytkowników, daty utworzenia, rozszerzenia, nazwy pliku i typu, identyfikatora pliku, etykiety poufności i nie tylko. Użycie tych filtrów pozwala kontrolować sposób badania plików, aby upewnić się, że żadne z danych nie jest zagrożone. Gdy lepiej zrozumiesz, jak są używane dane, możesz utworzyć zasady skanowania pod kątem poufnej zawartości w tych plikach.
Aby uzyskać więcej informacji:





Wymuszanie zasad DLP i zasad zgodności dla danych przechowywanych w chmurze

Najlepsze rozwiązanie: ochrona poufnych danych przed udostępnianiem użytkownikom zewnętrznym
Szczegóły: Utwórz zasady dotyczące plików, które wykrywają, kiedy użytkownik próbuje udostępnić plik etykiecie poufnej poufności innej osobie spoza organizacji, i skonfiguruj akcję nadzoru w celu usunięcia użytkowników zewnętrznych. Te zasady zapewniają, że poufne dane nie opuszczają organizacji, a użytkownicy zewnętrzni nie mogą uzyskać do niej dostępu.
Aby uzyskać więcej informacji:





Blokowanie i ochrona pobierania poufnych danych do niezarządzanych lub ryzykownych urządzeń

Najlepsze rozwiązanie: zarządzanie dostępem do urządzeń o wysokim ryzyku i kontrolowanie go
Szczegóły: Użyj kontroli dostępu warunkowego do ustawiania kontrolek w aplikacjach SaaS. Zasady sesji można tworzyć, aby monitorować sesje o wysokim ryzyku i niskim poziomie zaufania. Podobnie można utworzyć zasady sesji w celu blokowania i ochrony pobierania przez użytkowników próbujących uzyskać dostęp do poufnych danych z niezarządzanych lub ryzykownych urządzeń. Jeśli nie utworzysz zasad sesji w celu monitorowania sesji wysokiego ryzyka, utracisz możliwość blokowania i ochrony pobierania w kliencie internetowym, a także możliwości monitorowania sesji o niskim poziomie zaufania zarówno w aplikacjach firmy Microsoft, jak i innych firm.
Aby uzyskać więcej informacji:





Bezpieczna współpraca z użytkownikami zewnętrznymi przez wymuszanie kontroli sesji w czasie rzeczywistym

Najlepsze rozwiązanie: monitorowanie sesji z użytkownikami zewnętrznymi przy użyciu kontroli dostępu warunkowego aplikacji
Szczegóły: Aby zabezpieczyć współpracę w środowisku, można utworzyć zasady sesji do monitorowania sesji między użytkownikami wewnętrznymi i zewnętrznymi. Daje to nie tylko możliwość monitorowania sesji między użytkownikami (i powiadamiania ich o monitorowanych działaniach sesji), ale także umożliwia ograniczenie określonych działań. Podczas tworzenia zasad sesji do monitorowania aktywności możesz wybrać aplikacje i użytkowników, które chcesz monitorować.
Aby uzyskać więcej informacji:





Wykrywanie zagrożeń w chmurze, kont zagrożonych, złośliwych testerów i oprogramowania wymuszającego okup

Najlepsze rozwiązanie: dostrajanie zasad anomalii, ustawianie zakresów adresów IP, wysyłanie opinii o alertach
Szczegóły: Zasady wykrywania anomalii zapewniają gotowe do użycia analizy behawioralnej użytkowników i jednostek (UEBA) i uczenia maszynowego (ML), dzięki czemu można natychmiast uruchomić zaawansowane wykrywanie zagrożeń w środowisku chmury.

Zasady wykrywania anomalii są wyzwalane w przypadku nietypowych działań wykonywanych przez użytkowników w danym środowisku. Defender dla Chmury Apps stale monitoruje działania użytkowników i używa analizy UEBA i uczenia maszynowego, aby dowiedzieć się i zrozumieć normalne zachowanie użytkowników. Możesz dostroić ustawienia zasad, aby pasowały do wymagań organizacji, na przykład można ustawić poufność zasad, a także określić zakres zasad dla określonej grupy.

  • Dostrajanie i określanie zakresu zasad wykrywania anomalii: na przykład aby zmniejszyć liczbę wyników fałszywie dodatnich w ramach niemożliwego alertu dotyczącego podróży, możesz ustawić suwak poufności zasad na niski. Jeśli masz użytkowników w organizacji, którzy są częstymi podróżami firmowymi, możesz dodać je do grupy użytkowników i wybrać tę grupę w zakresie zasad.

  • Ustaw zakresy adresów IP: Defender dla Chmury Aplikacje mogą identyfikować znane adresy IP po ustawieniu zakresów adresów IP. Po skonfigurowaniu zakresów adresów IP można oznaczać, kategoryzować i dostosowywać sposób wyświetlania i badania dzienników oraz alertów. Dodanie zakresów adresów IP pomaga zmniejszyć liczbę wykrytych wyników fałszywie dodatnich i zwiększyć dokładność alertów. Jeśli zdecydujesz się nie dodawać swoich adresów IP, może zostać wyświetlona zwiększona liczba możliwych wyników fałszywie dodatnich i alertów w celu zbadania.

  • Wysyłanie opinii o alertach

    Podczas odrzucania lub rozwiązywania alertów upewnij się, że wysyłasz opinię z przyczyną odrzucenia alertu lub sposobu jego rozwiązania. Te informacje ułatwiają Defender dla Chmury Apps ulepszanie alertów i zmniejszanie wyników fałszywie dodatnich.

Aby uzyskać więcej informacji:


Najlepsze rozwiązanie: wykrywanie aktywności z nieoczekiwanych lokalizacji lub krajów/regionów
Szczegóły: Utwórz zasady działań, aby otrzymywać powiadomienia, gdy użytkownicy logują się z nieoczekiwanych lokalizacji lub krajów/regionów. Te powiadomienia mogą powiadamiać o potencjalnie naruszonych sesjach w środowisku, aby można było wykrywać i korygować zagrożenia przed ich wystąpieniem.
Aby uzyskać więcej informacji:


Najlepsze rozwiązanie: tworzenie zasad aplikacji OAuth
Szczegóły: Utwórz zasady aplikacji OAuth, aby otrzymywać powiadomienia o spełnieniu określonych kryteriów przez aplikację OAuth. Możesz na przykład otrzymywać powiadomienia, gdy określona aplikacja, która wymaga wysokiego poziomu uprawnień, była uzyskiwana przez ponad 100 użytkowników.
Aby uzyskać więcej informacji:





Używanie dziennika inspekcji działań na potrzeby badań kryminalistycznych

Najlepsze rozwiązanie: używanie dziennika inspekcji działań podczas badania alertów
Szczegóły: Alerty są wyzwalane, gdy działania użytkownika, administratora lub logowania nie są zgodne z zasadami. Ważne jest, aby zbadać alerty, aby zrozumieć, czy w danym środowisku istnieje możliwe zagrożenie.

Możesz zbadać alert, wybierając go na stronie Alerty i przeglądając dziennik inspekcji działań związanych z tym alertem. Dziennik inspekcji zapewnia wgląd w działania tego samego typu, tego samego użytkownika, tego samego adresu IP i lokalizacji, aby zapewnić ogólną historię alertu. Jeśli alert gwarantuje dalsze badanie, utwórz plan rozwiązywania tych alertów w organizacji.

Podczas odrzucania alertów należy zbadać i zrozumieć, dlaczego nie mają znaczenia lub czy są fałszywie dodatnie. Jeśli istnieje duża liczba takich działań, warto również rozważyć przejrzenie i dostrojenie zasad wyzwalających alert.
Aby uzyskać więcej informacji:





Zabezpieczanie usług IaaS i aplikacji niestandardowych

Najlepsze rozwiązanie: Połączenie Azure, AWS i GCP
Szczegóły: Połączenie każdej z tych platform w chmurze w celu Defender dla Chmury Apps pomaga zwiększyć możliwości wykrywania zagrożeń. Monitorując działania administracyjne i logowania dla tych usług, można wykrywać i otrzymywać powiadomienia o możliwym ataku siłowym, złośliwym użyciu uprzywilejowanego konta użytkownika i innych zagrożeniach w danym środowisku. Można na przykład zidentyfikować zagrożenia, takie jak nietypowe usunięcia maszyn wirtualnych, a nawet działania personifikacji w tych aplikacjach.
Aby uzyskać więcej informacji:


Najlepsze rozwiązanie: dołączanie aplikacji niestandardowych
Szczegóły: Aby uzyskać dodatkowy wgląd w działania z aplikacji biznesowych, możesz dołączyć aplikacje niestandardowe do aplikacji Defender dla Chmury. Po skonfigurowaniu aplikacji niestandardowych zobaczysz informacje o tym, kto z nich korzysta, adresy IP, z których są używane, oraz o tym, ile ruchu przechodzi do i z aplikacji.

Ponadto możesz dołączyć aplikację niestandardową jako aplikację kontroli dostępu warunkowego w celu monitorowania sesji o niskim zaufaniu.
Aby uzyskać więcej informacji: