Udostępnij za pośrednictwem


Pilotaż i wdrażanie usługi Microsoft Defender for Cloud Apps

Dotyczy:

  • Microsoft Defender XDR

Ten artykuł zawiera przepływ pracy na potrzeby pilotażu i wdrażania usługi Microsoft Defender for Cloud Apps w organizacji. Te zalecenia umożliwiają dołączanie usługi Microsoft Defender for Cloud Apps jako indywidualnego narzędzia do cyberbezpieczeństwa lub jako część kompleksowego rozwiązania z usługą Microsoft Defender XDR.

W tym artykule przyjęto założenie, że masz produkcyjną dzierżawę platformy Microsoft 365 i pilotujesz i wdrażasz usługę Microsoft Defender for Cloud Apps w tym środowisku. Ta praktyka będzie obsługiwać wszelkie ustawienia i dostosowania skonfigurowane podczas pilotażu dla pełnego wdrożenia.

Usługa Defender dla usługi Office 365 współtworzy architekturę zero zaufania, pomagając zapobiegać naruszeniom lub zmniejszać szkody biznesowe. Aby uzyskać więcej informacji, zobacz scenariusz dotyczący zapobiegania lub zmniejszania szkód biznesowych spowodowanych naruszeniem zabezpieczeń w strukturze wdrażania programu Microsoft Zero Trust.

Kompleksowe wdrożenie usługi Microsoft Defender XDR

Jest to artykuł 5 z 6 serii, który ułatwia wdrażanie składników usługi Microsoft Defender XDR, w tym badanie zdarzeń i reagowanie na nie.

Diagram przedstawiający usługę Microsoft Defender for Cloud Apps w pilotażowym i wdrażanym procesie XDR usługi Microsoft Defender.

Artykuły z tej serii odpowiadają następującym fazom kompleksowego wdrożenia:

Faza Link
Odp. Uruchamianie pilotażu Uruchamianie pilotażu
B. Pilotażowe i wdrażanie składników XDR usługi Microsoft Defender - Pilotaż i wdrażanie usługi Defender for Identity

- Pilot i wdrażanie usługi Defender dla usługi Office 365

- Pilotaż i wdrażanie usługi Defender dla punktu końcowego

- Pilotaż i wdrażanie usługi Microsoft Defender for Cloud Apps (ten artykuł)
C. Badanie zagrożeń i odpowiadanie na nie Badanie i reagowanie na zdarzenia praktyczne

Pilotażowy i wdrażany przepływ pracy dla usługi Defender for Cloud Apps

Na poniższym diagramie przedstawiono typowy proces wdrażania produktu lub usługi w środowisku IT.

Diagram fazy wdrażania pilotażowego, oceny i pełnego wdrożenia.

Rozpoczynasz od oceny produktu lub usługi oraz sposobu jej działania w organizacji. Następnie pilotujesz produkt lub usługę za pomocą odpowiednio małego podzestawu infrastruktury produkcyjnej na potrzeby testowania, uczenia się i dostosowywania. Następnie stopniowo zwiększaj zakres wdrożenia, dopóki nie zostanie uwzględniona cała infrastruktura lub organizacja.

Oto przepływ pracy na potrzeby pilotażu i wdrażania usługi Defender for Cloud Apps w środowisku produkcyjnym.

Diagram przedstawiający pilotażowy i wdrażany przepływ pracy dla usługi Microsoft Defender for Cloud Apps.

Wykonaj następujące czynności:

  1. Nawiązywanie połączenia z portalem usługi Defender for Cloud Apps
  2. Integracja z usługą Microsoft Defender dla punktu końcowego
  3. Wdrażanie modułu zbierającego dzienniki w zaporach i innych serwerach proxy
  4. Tworzenie grupy pilotażowej
  5. Odnajdywanie aplikacji w chmurze i zarządzanie nimi
  6. Konfigurowanie kontroli aplikacji dostępu warunkowego
  7. Stosowanie zasad sesji do aplikacji w chmurze
  8. Wypróbuj dodatkowe możliwości

Poniżej przedstawiono zalecane kroki dla każdego etapu wdrażania.

Etap wdrażania Opis
Oceniać Przeprowadzanie oceny produktu dla usługi Defender for Cloud Apps.
Pilot Wykonaj kroki 1–4, a następnie 5–8 dla odpowiedniego podzestawu aplikacji w chmurze w środowisku produkcyjnym.
Pełne wdrożenie Wykonaj kroki 5–8 dla pozostałych aplikacji w chmurze, dostosowując zakres dla pilotażowych grup użytkowników lub dodając grupy użytkowników, aby rozszerzyć zakres poza pilotaż i uwzględnić wszystkie konta użytkowników.

Ochrona organizacji przed hakerami

Usługa Defender for Cloud Apps zapewnia samodzielną zaawansowaną ochronę. Jednak w połączeniu z innymi możliwościami usługi Microsoft Defender XDR usługa Defender for Cloud Apps udostępnia dane do udostępnionych sygnałów, które razem pomagają zatrzymać ataki.

Oto przykład cyberataku i sposobu, w jaki składniki usługi Microsoft Defender XDR pomagają wykrywać i eliminować ten problem.

Diagram pokazujący, jak usługa Microsoft Defender XDR zatrzymuje łańcuch zagrożeń.

Usługa Defender for Cloud Apps wykrywa nietypowe zachowanie, takie jak niemożliwe podróże, dostęp poświadczeń i nietypowe działanie pobierania, udostępniania plików lub przekazywania poczty, i wyświetla te zachowania w portalu usługi Defender for Cloud Apps. Usługa Defender for Cloud Apps pomaga również zapobiegać przenoszeniu w poprzek przez hakerów i eksfiltracji poufnych danych.

Usługa Microsoft Defender XDR koreluje sygnały ze wszystkich składników usługi Microsoft Defender, aby zapewnić pełną historię ataku.

Rola usługi Defender for Cloud Apps jako casb

Broker zabezpieczeń dostępu do chmury (CASB) działa jako strażnik w celu brokera dostępu w czasie rzeczywistym między użytkownikami przedsiębiorstwa i zasobami w chmurze, z których korzystają, wszędzie tam, gdzie znajdują się użytkownicy i niezależnie od używanego urządzenia. Defender for Cloud Apps to casb dla aplikacji w chmurze organizacji. Usługa Defender for Cloud Apps natywnie integruje się z funkcjami zabezpieczeń firmy Microsoft, w tym z usługą Microsoft Defender XDR.

Bez usługi Defender for Cloud Apps aplikacje w chmurze używane przez organizację są niezarządzane i niechronione.

Diagram przedstawiający aplikacje w chmurze, które nie są zarządzane i chronione przez organizację.

Na ilustracji:

  • Korzystanie z aplikacji w chmurze przez organizację jest niemonitorowane i niechronione.
  • To użycie wykracza poza ochronę uzyskaną w organizacji zarządzanej.

Aby odnaleźć aplikacje w chmurze używane w twoim środowisku, można zaimplementować jedną lub obie z następujących metod:

  • Szybkie rozpoczęcie pracy z usługą Cloud Discovery dzięki integracji z usługą Microsoft Defender for Endpoint. Ta natywna integracja umożliwia natychmiastowe rozpoczęcie zbierania danych dotyczących ruchu w chmurze na urządzeniach z systemem Windows 10 i Windows 11 w sieci i poza niej.
  • Aby odnaleźć wszystkie aplikacje w chmurze dostępne dla wszystkich urządzeń połączonych z siecią, wdróż moduł zbierający dzienniki usługi Defender for Cloud Apps w zaporach i innych serwerach proxy. To wdrożenie pomaga zbierać dane z punktów końcowych i wysyła je do usługi Defender for Cloud Apps w celu analizy. Usługa Defender for Cloud Apps natywnie integruje się z niektórymi serwerami proxy innych firm, aby uzyskać jeszcze więcej możliwości.

Ten artykuł zawiera wskazówki dotyczące obu metod.

Krok nr 1. Nawiązywanie połączenia z portalem usługi Defender for Cloud Apps

Aby zweryfikować licencjonowanie i nawiązać połączenie z portalem usługi Defender for Cloud Apps, zobacz Szybki start: Wprowadzenie do usługi Microsoft Defender for Cloud Apps.

Jeśli nie możesz od razu nawiązać połączenia z portalem, może być konieczne dodanie adresu IP do listy dozwolonych zapory. Zobacz Podstawowa konfiguracja usługi Defender for Cloud Apps.

Jeśli nadal występują problemy, zapoznaj się z wymaganiami dotyczącymi sieci.

Krok 2. Integracja z usługą Microsoft Defender dla punktu końcowego

Usługa Microsoft Defender for Cloud Apps integruje się natywnie z usługą Microsoft Defender for Endpoint. Integracja upraszcza wdrażanie funkcji Cloud Discovery, rozszerza możliwości rozwiązania Cloud Discovery poza sieć firmową i umożliwia badanie na podstawie urządzeń. Ta integracja ujawnia, że dostęp do aplikacji i usług w chmurze jest uzyskiwany z urządzeń z systemem Windows 10 i Windows 11 zarządzanych przez it.

Jeśli usługa Microsoft Defender for Endpoint została już skonfigurowana, skonfigurowanie integracji z usługą Defender for Cloud Apps to przełącznik w usłudze Microsoft Defender XDR. Po włączeniu integracji możesz wrócić do portalu usługi Defender for Cloud Apps i wyświetlić bogate dane na pulpicie nawigacyjnym usługi Cloud Discovery.

Aby wykonać te zadania, zobacz Integracja usługi Microsoft Defender for Endpoint z usługą Microsoft Defender for Cloud Apps.

Krok 3. Wdrażanie modułu zbierającego dzienniki usługi Defender for Cloud Apps na zaporach i innych serwerach proxy

Aby uzyskać pokrycie na wszystkich urządzeniach połączonych z siecią, wdróż moduł zbierający dzienniki usługi Defender for Cloud Apps w zaporach i innych serwerach proxy w celu zbierania danych z punktów końcowych i wysyłania ich do usługi Defender for Cloud Apps w celu analizy.

Jeśli używasz jednej z następujących bezpiecznych bram sieci Web (SWG), usługa Defender for Cloud Apps zapewnia bezproblemowe wdrażanie i integrację:

  • Zscaler
  • iboss
  • Corrata
  • Menlo Security

Aby uzyskać więcej informacji na temat integracji z tymi urządzeniami sieciowymi, zobacz Konfigurowanie rozwiązania Cloud Discovery.

Krok nr 4. Tworzenie grupy pilotażowej — zakres wdrożenia pilotażowego dla określonych grup użytkowników

Usługa Microsoft Defender for Cloud Apps umożliwia określanie zakresu wdrożenia. Określenie zakresu umożliwia wybranie określonych grup użytkowników, które mają być monitorowane pod kątem aplikacji lub wykluczone z monitorowania. Możesz dołączyć lub wykluczyć grupy użytkowników. Aby określić zakres wdrożenia pilotażowego, zobacz Wdrażanie w zakresie.

Krok nr 5. Odnajdywanie aplikacji w chmurze i zarządzanie nimi

Aby usługa Defender for Cloud Apps zapewniała maksymalną ochronę, musisz odnaleźć wszystkie aplikacje w chmurze w organizacji i zarządzać sposobem ich użycia.

Odnajdywanie aplikacji w chmurze

Pierwszym krokiem do zarządzania korzystaniem z aplikacji w chmurze jest odkrycie, które aplikacje w chmurze są używane przez organizację. Na następnym diagramie pokazano, jak odnajdywanie w chmurze działa z usługą Defender for Cloud Apps.

Diagram przedstawiający architekturę usługi Microsoft Defender for Cloud Apps z odnajdywaniem w chmurze.

Na tej ilustracji przedstawiono dwie metody, których można użyć do monitorowania ruchu sieciego i odnajdywania aplikacji w chmurze używanych przez organizację.

  1. Usługa Cloud App Discovery integruje się natywnie z usługą Microsoft Defender for Endpoint. Usługa Defender for Endpoint raportuje aplikacje i usługi w chmurze dostępne z urządzeń z systemem Windows 10 i Windows 11 zarządzanych przez IT.

  2. Aby uzyskać pokrycie na wszystkich urządzeniach połączonych z siecią, należy zainstalować moduł zbierający dzienniki usługi Defender for Cloud Apps na zaporach i innych serwerach proxy w celu zbierania danych z punktów końcowych. Moduł zbierający wysyła te dane do usługi Defender for Cloud Apps w celu analizy.

Wyświetl pulpit nawigacyjny usługi Cloud Discovery, aby zobaczyć, jakie aplikacje są używane w organizacji

Pulpit nawigacyjny usługi Cloud Discovery został zaprojektowany, aby zapewnić lepszy wgląd w sposób, w jaki aplikacje w chmurze są używane w organizacji. Zawiera on szybki przegląd rodzajów używanych aplikacji, otwartych alertów i poziomów ryzyka aplikacji w organizacji.

Aby rozpocząć korzystanie z pulpitu nawigacyjnego usługi Cloud Discovery, zobacz Praca z odnalezionymi aplikacjami.

Zarządzanie aplikacjami w chmurze

Po odnalezieniu aplikacji w chmurze i przeanalizowaniu sposobu, w jaki te aplikacje są używane przez organizację, możesz rozpocząć zarządzanie wybranymi aplikacjami w chmurze.

Diagram przedstawiający architekturę usługi Microsoft Defender for Cloud Apps do zarządzania aplikacjami w chmurze.

Na tej ilustracji:

  • Niektóre aplikacje są usankcjonowane do użycia. Sankcjonowanie to prosty sposób na rozpoczęcie zarządzania aplikacjami.
  • Możesz włączyć większą widoczność i kontrolę, łącząc aplikacje za pomocą łączników aplikacji. Łączniki aplikacji używają interfejsów API dostawców aplikacji.

Możesz zacząć zarządzać aplikacjami od nakładania sankcji, cofania sankcji lub całkowitego blokowania aplikacji. Aby rozpocząć zarządzanie aplikacjami, zobacz Zarządzanie odnalezioną aplikacją.

Krok 6. Konfigurowanie kontroli aplikacji dostępu warunkowego

Jedną z najbardziej zaawansowanych zabezpieczeń, które można skonfigurować, jest kontrola aplikacji dostępu warunkowego. Ta ochrona wymaga integracji z identyfikatorem Microsoft Entra. Umożliwia stosowanie zasad dostępu warunkowego, w tym powiązanych zasad (takich jak wymaganie urządzeń w dobrej kondycji) do aplikacji w chmurze, które zostały zaakceptowane.

Aplikacje SaaS mogą już zostać dodane do dzierżawy usługi Microsoft Entra w celu wymuszania uwierzytelniania wieloskładnikowego i innych zasad dostępu warunkowego. Usługa Microsoft Defender for Cloud Apps natywnie integruje się z identyfikatorem Microsoft Entra. Wystarczy skonfigurować zasady w usłudze Microsoft Entra ID, aby używać kontroli aplikacji dostępu warunkowego w usłudze Defender for Cloud Apps. Powoduje to kierowanie ruchu sieciowego dla tych zarządzanych aplikacji SaaS za pośrednictwem usługi Defender for Cloud Apps jako serwera proxy, co umożliwia usłudze Defender for Cloud Apps monitorowanie tego ruchu i stosowanie kontrolek sesji.

Diagram przedstawiający architekturę usługi Microsoft Defender for Cloud Apps z aplikacjami SaaS.

Na tej ilustracji:

  • Aplikacje SaaS są zintegrowane z dzierżawą usługi Microsoft Entra. Ta integracja umożliwia usłudze Microsoft Entra ID wymuszanie zasad dostępu warunkowego, w tym uwierzytelniania wieloskładnikowego.
  • Zasady są dodawane do identyfikatora Microsoft Entra w celu kierowania ruchu dla aplikacji SaaS do usługi Defender for Cloud Apps. Zasady określają, do których aplikacji SaaS mają być stosowane te zasady. Gdy identyfikator Entra firmy Microsoft wymusza wszelkie zasady dostępu warunkowego, które mają zastosowanie do tych aplikacji SaaS, identyfikator usługi Microsoft Entra kieruje następnie (serwery proxy) ruch sesji za pośrednictwem usługi Defender for Cloud Apps.
  • Usługa Defender for Cloud Apps monitoruje ten ruch i stosuje wszystkie zasady kontroli sesji skonfigurowane przez administratorów.

Być może wykryto i zaakceptowano aplikacje w chmurze przy użyciu usługi Defender for Cloud Apps, które nie zostały dodane do identyfikatora Microsoft Entra. Możesz skorzystać z kontroli dostępu warunkowego aplikacji, dodając te aplikacje w chmurze do dzierżawy usługi Microsoft Entra oraz zakres reguł dostępu warunkowego.

Pierwszym krokiem do zarządzania aplikacjami SaaS przy użyciu usługi Microsoft Defender for Cloud Apps jest odnalezienie tych aplikacji, a następnie dodanie ich do dzierżawy usługi Microsoft Entra. Jeśli potrzebujesz pomocy dotyczącej odnajdywania, zobacz Odnajdywanie aplikacji SaaS i zarządzanie nimi w sieci. Po odnalezieniu aplikacji dodaj te aplikacje do dzierżawy usługi Microsoft Entra.

Możesz rozpocząć zarządzanie tymi aplikacjami przy użyciu następujących zadań:

  1. W usłudze Microsoft Entra ID utwórz nowe zasady dostępu warunkowego i skonfiguruj je tak, aby "Używać kontroli aplikacji dostępu warunkowego". Ta konfiguracja ułatwia przekierowanie żądania do usługi Defender for Cloud Apps. Możesz utworzyć jedną zasadę i dodać wszystkie aplikacje SaaS do tych zasad.
  2. Następnie w usłudze Defender for Cloud Apps utwórz zasady sesji. Utwórz jedną zasadę dla każdej kontrolki, którą chcesz zastosować.

Aby uzyskać więcej informacji, w tym obsługiwane aplikacje i klientów, zobacz Protect apps with Microsoft Defender for Cloud Apps Conditional Access App Control (Ochrona aplikacji za pomocą kontroli aplikacji dostępu warunkowego w usłudze Microsoft Defender for Cloud Apps).

Na przykład zasady można znaleźć w temacie Zalecane zasady usługi Microsoft Defender for Cloud Apps dla aplikacji SaaS. Te zasady bazują na zestawie typowych zasad dostępu do tożsamości i urządzeń , które są zalecane jako punkt początkowy dla wszystkich klientów.

Krok 7. Stosowanie zasad sesji do aplikacji w chmurze

Usługa Microsoft Defender for Cloud Apps służy jako zwrotny serwer proxy zapewniający dostęp serwera proxy do zaakceptowanych aplikacji w chmurze. Ta aprowizowanie umożliwia usłudze Defender for Cloud Apps stosowanie skonfigurowanych zasad sesji.

Diagram przedstawiający architekturę usługi Microsoft Defender for Cloud Apps z kontrolą sesji dostępu serwera proxy.

Na ilustracji:

  • Dostęp do zaakceptowanych aplikacji w chmurze od użytkowników i urządzeń w organizacji jest kierowany za pośrednictwem usługi Defender for Cloud Apps.
  • Ten dostęp serwera proxy umożliwia stosowanie zasad sesji.
  • Nie ma to wpływu na aplikacje w chmurze, które nie zostały zaakceptowane lub jawnie niezatwierdzone.

Zasady sesji umożliwiają stosowanie parametrów do sposobu, w jaki aplikacje w chmurze są używane przez organizację. Jeśli na przykład twoja organizacja korzysta z usługi Salesforce, można skonfigurować zasady sesji, które zezwalają tylko zarządzanym urządzeniom na dostęp do danych organizacji w usłudze Salesforce. Prostszym przykładem może być skonfigurowanie zasad w celu monitorowania ruchu z urządzeń niezarządzanych, dzięki czemu można analizować ryzyko związane z tym ruchem przed zastosowaniem bardziej rygorystycznych zasad.

Aby uzyskać więcej informacji, zobacz Tworzenie zasad sesji.

Krok 8. Wypróbuj dodatkowe możliwości

Skorzystaj z tych samouczków usługi Defender for Cloud Apps, aby ułatwić wykrywanie ryzyka i ochronę środowiska:

Aby uzyskać więcej informacji na temat zaawansowanego wyszukiwania zagrożeń w danych usługi Microsoft Defender for Cloud Apps, zobacz ten film wideo.

Integracja zarządzania informacjami i zdarzeniami zabezpieczeń

Usługę Defender for Cloud Apps można zintegrować z usługą Microsoft Sentinel lub ogólną usługą zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), aby umożliwić scentralizowane monitorowanie alertów i działań z połączonych aplikacji. Dzięki usłudze Microsoft Sentinel można bardziej kompleksowo analizować zdarzenia zabezpieczeń w całej organizacji i tworzyć podręczniki w celu zapewnienia skutecznej i natychmiastowej reakcji.

Diagram przedstawiający architekturę usługi Microsoft Defender for Cloud Apps z integracją rozwiązania SIEM.

Usługa Microsoft Sentinel zawiera łącznik usługi Defender for Cloud Apps. Dzięki temu możesz nie tylko uzyskać wgląd w aplikacje w chmurze, ale także uzyskać zaawansowaną analizę w celu identyfikowania i zwalczania cyberzagrożeń oraz kontrolowania sposobu przenoszenia danych. Aby uzyskać więcej informacji, zobacz Temat Integracja usługi Microsoft Sentinel i alerty usługi Stream oraz dzienniki usługi Cloud Discovery z usługi Defender for Cloud Apps do usługi Microsoft Sentinel.

Aby uzyskać informacje na temat integracji z systemami SIEM innych firm, zobacz Ogólna integracja SIEM.

Następny krok

Zarządzanie cyklem życia usługi Defender for Cloud Apps.

Następny krok dla kompleksowego wdrożenia usługi Microsoft Defender XDR

Kontynuuj kompleksowe wdrożenie usługi Microsoft Defender XDR za pomocą funkcji Zbadaj i odpowiadaj przy użyciu usługi Microsoft Defender XDR.

Diagram przedstawiający badanie i reagowanie na zdarzenia w pilotażowym i wdrażanym procesie XDR usługi Microsoft Defender.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.