Pilotaż i wdrażanie usługi Microsoft Defender for Cloud Apps
Dotyczy:
- Microsoft Defender XDR
Ten artykuł zawiera przepływ pracy na potrzeby pilotażu i wdrażania usługi Microsoft Defender for Cloud Apps w organizacji. Te zalecenia umożliwiają dołączanie usługi Microsoft Defender for Cloud Apps jako indywidualnego narzędzia do cyberbezpieczeństwa lub jako część kompleksowego rozwiązania z usługą Microsoft Defender XDR.
W tym artykule przyjęto założenie, że masz produkcyjną dzierżawę platformy Microsoft 365 i pilotujesz i wdrażasz usługę Microsoft Defender for Cloud Apps w tym środowisku. Ta praktyka będzie obsługiwać wszelkie ustawienia i dostosowania skonfigurowane podczas pilotażu dla pełnego wdrożenia.
Usługa Defender dla usługi Office 365 współtworzy architekturę zero zaufania, pomagając zapobiegać naruszeniom lub zmniejszać szkody biznesowe. Aby uzyskać więcej informacji, zobacz scenariusz dotyczący zapobiegania lub zmniejszania szkód biznesowych spowodowanych naruszeniem zabezpieczeń w strukturze wdrażania programu Microsoft Zero Trust.
Kompleksowe wdrożenie usługi Microsoft Defender XDR
Jest to artykuł 5 z 6 serii, który ułatwia wdrażanie składników usługi Microsoft Defender XDR, w tym badanie zdarzeń i reagowanie na nie.
Artykuły z tej serii odpowiadają następującym fazom kompleksowego wdrożenia:
Faza | Link |
---|---|
Odp. Uruchamianie pilotażu | Uruchamianie pilotażu |
B. Pilotażowe i wdrażanie składników XDR usługi Microsoft Defender |
-
Pilotaż i wdrażanie usługi Defender for Identity - Pilot i wdrażanie usługi Defender dla usługi Office 365 - Pilotaż i wdrażanie usługi Defender dla punktu końcowego - Pilotaż i wdrażanie usługi Microsoft Defender for Cloud Apps (ten artykuł) |
C. Badanie zagrożeń i odpowiadanie na nie | Badanie i reagowanie na zdarzenia praktyczne |
Pilotażowy i wdrażany przepływ pracy dla usługi Defender for Cloud Apps
Na poniższym diagramie przedstawiono typowy proces wdrażania produktu lub usługi w środowisku IT.
Rozpoczynasz od oceny produktu lub usługi oraz sposobu jej działania w organizacji. Następnie pilotujesz produkt lub usługę za pomocą odpowiednio małego podzestawu infrastruktury produkcyjnej na potrzeby testowania, uczenia się i dostosowywania. Następnie stopniowo zwiększaj zakres wdrożenia, dopóki nie zostanie uwzględniona cała infrastruktura lub organizacja.
Oto przepływ pracy na potrzeby pilotażu i wdrażania usługi Defender for Cloud Apps w środowisku produkcyjnym.
Wykonaj następujące czynności:
- Nawiązywanie połączenia z portalem usługi Defender for Cloud Apps
- Integracja z usługą Microsoft Defender dla punktu końcowego
- Wdrażanie modułu zbierającego dzienniki w zaporach i innych serwerach proxy
- Tworzenie grupy pilotażowej
- Odnajdywanie aplikacji w chmurze i zarządzanie nimi
- Konfigurowanie kontroli aplikacji dostępu warunkowego
- Stosowanie zasad sesji do aplikacji w chmurze
- Wypróbuj dodatkowe możliwości
Poniżej przedstawiono zalecane kroki dla każdego etapu wdrażania.
Etap wdrażania | Opis |
---|---|
Oceniać | Przeprowadzanie oceny produktu dla usługi Defender for Cloud Apps. |
Pilot | Wykonaj kroki 1–4, a następnie 5–8 dla odpowiedniego podzestawu aplikacji w chmurze w środowisku produkcyjnym. |
Pełne wdrożenie | Wykonaj kroki 5–8 dla pozostałych aplikacji w chmurze, dostosowując zakres dla pilotażowych grup użytkowników lub dodając grupy użytkowników, aby rozszerzyć zakres poza pilotaż i uwzględnić wszystkie konta użytkowników. |
Ochrona organizacji przed hakerami
Usługa Defender for Cloud Apps zapewnia samodzielną zaawansowaną ochronę. Jednak w połączeniu z innymi możliwościami usługi Microsoft Defender XDR usługa Defender for Cloud Apps udostępnia dane do udostępnionych sygnałów, które razem pomagają zatrzymać ataki.
Oto przykład cyberataku i sposobu, w jaki składniki usługi Microsoft Defender XDR pomagają wykrywać i eliminować ten problem.
Usługa Defender for Cloud Apps wykrywa nietypowe zachowanie, takie jak niemożliwe podróże, dostęp poświadczeń i nietypowe działanie pobierania, udostępniania plików lub przekazywania poczty, i wyświetla te zachowania w portalu usługi Defender for Cloud Apps. Usługa Defender for Cloud Apps pomaga również zapobiegać przenoszeniu w poprzek przez hakerów i eksfiltracji poufnych danych.
Usługa Microsoft Defender XDR koreluje sygnały ze wszystkich składników usługi Microsoft Defender, aby zapewnić pełną historię ataku.
Rola usługi Defender for Cloud Apps jako casb
Broker zabezpieczeń dostępu do chmury (CASB) działa jako strażnik w celu brokera dostępu w czasie rzeczywistym między użytkownikami przedsiębiorstwa i zasobami w chmurze, z których korzystają, wszędzie tam, gdzie znajdują się użytkownicy i niezależnie od używanego urządzenia. Defender for Cloud Apps to casb dla aplikacji w chmurze organizacji. Usługa Defender for Cloud Apps natywnie integruje się z funkcjami zabezpieczeń firmy Microsoft, w tym z usługą Microsoft Defender XDR.
Bez usługi Defender for Cloud Apps aplikacje w chmurze używane przez organizację są niezarządzane i niechronione.
Na ilustracji:
- Korzystanie z aplikacji w chmurze przez organizację jest niemonitorowane i niechronione.
- To użycie wykracza poza ochronę uzyskaną w organizacji zarządzanej.
Aby odnaleźć aplikacje w chmurze używane w twoim środowisku, można zaimplementować jedną lub obie z następujących metod:
- Szybkie rozpoczęcie pracy z usługą Cloud Discovery dzięki integracji z usługą Microsoft Defender for Endpoint. Ta natywna integracja umożliwia natychmiastowe rozpoczęcie zbierania danych dotyczących ruchu w chmurze na urządzeniach z systemem Windows 10 i Windows 11 w sieci i poza niej.
- Aby odnaleźć wszystkie aplikacje w chmurze dostępne dla wszystkich urządzeń połączonych z siecią, wdróż moduł zbierający dzienniki usługi Defender for Cloud Apps w zaporach i innych serwerach proxy. To wdrożenie pomaga zbierać dane z punktów końcowych i wysyła je do usługi Defender for Cloud Apps w celu analizy. Usługa Defender for Cloud Apps natywnie integruje się z niektórymi serwerami proxy innych firm, aby uzyskać jeszcze więcej możliwości.
Ten artykuł zawiera wskazówki dotyczące obu metod.
Krok nr 1. Nawiązywanie połączenia z portalem usługi Defender for Cloud Apps
Aby zweryfikować licencjonowanie i nawiązać połączenie z portalem usługi Defender for Cloud Apps, zobacz Szybki start: Wprowadzenie do usługi Microsoft Defender for Cloud Apps.
Jeśli nie możesz od razu nawiązać połączenia z portalem, może być konieczne dodanie adresu IP do listy dozwolonych zapory. Zobacz Podstawowa konfiguracja usługi Defender for Cloud Apps.
Jeśli nadal występują problemy, zapoznaj się z wymaganiami dotyczącymi sieci.
Krok 2. Integracja z usługą Microsoft Defender dla punktu końcowego
Usługa Microsoft Defender for Cloud Apps integruje się natywnie z usługą Microsoft Defender for Endpoint. Integracja upraszcza wdrażanie funkcji Cloud Discovery, rozszerza możliwości rozwiązania Cloud Discovery poza sieć firmową i umożliwia badanie na podstawie urządzeń. Ta integracja ujawnia, że dostęp do aplikacji i usług w chmurze jest uzyskiwany z urządzeń z systemem Windows 10 i Windows 11 zarządzanych przez it.
Jeśli usługa Microsoft Defender for Endpoint została już skonfigurowana, skonfigurowanie integracji z usługą Defender for Cloud Apps to przełącznik w usłudze Microsoft Defender XDR. Po włączeniu integracji możesz wrócić do portalu usługi Defender for Cloud Apps i wyświetlić bogate dane na pulpicie nawigacyjnym usługi Cloud Discovery.
Aby wykonać te zadania, zobacz Integracja usługi Microsoft Defender for Endpoint z usługą Microsoft Defender for Cloud Apps.
Krok 3. Wdrażanie modułu zbierającego dzienniki usługi Defender for Cloud Apps na zaporach i innych serwerach proxy
Aby uzyskać pokrycie na wszystkich urządzeniach połączonych z siecią, wdróż moduł zbierający dzienniki usługi Defender for Cloud Apps w zaporach i innych serwerach proxy w celu zbierania danych z punktów końcowych i wysyłania ich do usługi Defender for Cloud Apps w celu analizy.
Jeśli używasz jednej z następujących bezpiecznych bram sieci Web (SWG), usługa Defender for Cloud Apps zapewnia bezproblemowe wdrażanie i integrację:
- Zscaler
- iboss
- Corrata
- Menlo Security
Aby uzyskać więcej informacji na temat integracji z tymi urządzeniami sieciowymi, zobacz Konfigurowanie rozwiązania Cloud Discovery.
Krok nr 4. Tworzenie grupy pilotażowej — zakres wdrożenia pilotażowego dla określonych grup użytkowników
Usługa Microsoft Defender for Cloud Apps umożliwia określanie zakresu wdrożenia. Określenie zakresu umożliwia wybranie określonych grup użytkowników, które mają być monitorowane pod kątem aplikacji lub wykluczone z monitorowania. Możesz dołączyć lub wykluczyć grupy użytkowników. Aby określić zakres wdrożenia pilotażowego, zobacz Wdrażanie w zakresie.
Krok nr 5. Odnajdywanie aplikacji w chmurze i zarządzanie nimi
Aby usługa Defender for Cloud Apps zapewniała maksymalną ochronę, musisz odnaleźć wszystkie aplikacje w chmurze w organizacji i zarządzać sposobem ich użycia.
Odnajdywanie aplikacji w chmurze
Pierwszym krokiem do zarządzania korzystaniem z aplikacji w chmurze jest odkrycie, które aplikacje w chmurze są używane przez organizację. Na następnym diagramie pokazano, jak odnajdywanie w chmurze działa z usługą Defender for Cloud Apps.
Na tej ilustracji przedstawiono dwie metody, których można użyć do monitorowania ruchu sieciego i odnajdywania aplikacji w chmurze używanych przez organizację.
Usługa Cloud App Discovery integruje się natywnie z usługą Microsoft Defender for Endpoint. Usługa Defender for Endpoint raportuje aplikacje i usługi w chmurze dostępne z urządzeń z systemem Windows 10 i Windows 11 zarządzanych przez IT.
Aby uzyskać pokrycie na wszystkich urządzeniach połączonych z siecią, należy zainstalować moduł zbierający dzienniki usługi Defender for Cloud Apps na zaporach i innych serwerach proxy w celu zbierania danych z punktów końcowych. Moduł zbierający wysyła te dane do usługi Defender for Cloud Apps w celu analizy.
Wyświetl pulpit nawigacyjny usługi Cloud Discovery, aby zobaczyć, jakie aplikacje są używane w organizacji
Pulpit nawigacyjny usługi Cloud Discovery został zaprojektowany, aby zapewnić lepszy wgląd w sposób, w jaki aplikacje w chmurze są używane w organizacji. Zawiera on szybki przegląd rodzajów używanych aplikacji, otwartych alertów i poziomów ryzyka aplikacji w organizacji.
Aby rozpocząć korzystanie z pulpitu nawigacyjnego usługi Cloud Discovery, zobacz Praca z odnalezionymi aplikacjami.
Zarządzanie aplikacjami w chmurze
Po odnalezieniu aplikacji w chmurze i przeanalizowaniu sposobu, w jaki te aplikacje są używane przez organizację, możesz rozpocząć zarządzanie wybranymi aplikacjami w chmurze.
Na tej ilustracji:
- Niektóre aplikacje są usankcjonowane do użycia. Sankcjonowanie to prosty sposób na rozpoczęcie zarządzania aplikacjami.
- Możesz włączyć większą widoczność i kontrolę, łącząc aplikacje za pomocą łączników aplikacji. Łączniki aplikacji używają interfejsów API dostawców aplikacji.
Możesz zacząć zarządzać aplikacjami od nakładania sankcji, cofania sankcji lub całkowitego blokowania aplikacji. Aby rozpocząć zarządzanie aplikacjami, zobacz Zarządzanie odnalezioną aplikacją.
Krok 6. Konfigurowanie kontroli aplikacji dostępu warunkowego
Jedną z najbardziej zaawansowanych zabezpieczeń, które można skonfigurować, jest kontrola aplikacji dostępu warunkowego. Ta ochrona wymaga integracji z identyfikatorem Microsoft Entra. Umożliwia stosowanie zasad dostępu warunkowego, w tym powiązanych zasad (takich jak wymaganie urządzeń w dobrej kondycji) do aplikacji w chmurze, które zostały zaakceptowane.
Aplikacje SaaS mogą już zostać dodane do dzierżawy usługi Microsoft Entra w celu wymuszania uwierzytelniania wieloskładnikowego i innych zasad dostępu warunkowego. Usługa Microsoft Defender for Cloud Apps natywnie integruje się z identyfikatorem Microsoft Entra. Wystarczy skonfigurować zasady w usłudze Microsoft Entra ID, aby używać kontroli aplikacji dostępu warunkowego w usłudze Defender for Cloud Apps. Powoduje to kierowanie ruchu sieciowego dla tych zarządzanych aplikacji SaaS za pośrednictwem usługi Defender for Cloud Apps jako serwera proxy, co umożliwia usłudze Defender for Cloud Apps monitorowanie tego ruchu i stosowanie kontrolek sesji.
Na tej ilustracji:
- Aplikacje SaaS są zintegrowane z dzierżawą usługi Microsoft Entra. Ta integracja umożliwia usłudze Microsoft Entra ID wymuszanie zasad dostępu warunkowego, w tym uwierzytelniania wieloskładnikowego.
- Zasady są dodawane do identyfikatora Microsoft Entra w celu kierowania ruchu dla aplikacji SaaS do usługi Defender for Cloud Apps. Zasady określają, do których aplikacji SaaS mają być stosowane te zasady. Gdy identyfikator Entra firmy Microsoft wymusza wszelkie zasady dostępu warunkowego, które mają zastosowanie do tych aplikacji SaaS, identyfikator usługi Microsoft Entra kieruje następnie (serwery proxy) ruch sesji za pośrednictwem usługi Defender for Cloud Apps.
- Usługa Defender for Cloud Apps monitoruje ten ruch i stosuje wszystkie zasady kontroli sesji skonfigurowane przez administratorów.
Być może wykryto i zaakceptowano aplikacje w chmurze przy użyciu usługi Defender for Cloud Apps, które nie zostały dodane do identyfikatora Microsoft Entra. Możesz skorzystać z kontroli dostępu warunkowego aplikacji, dodając te aplikacje w chmurze do dzierżawy usługi Microsoft Entra oraz zakres reguł dostępu warunkowego.
Pierwszym krokiem do zarządzania aplikacjami SaaS przy użyciu usługi Microsoft Defender for Cloud Apps jest odnalezienie tych aplikacji, a następnie dodanie ich do dzierżawy usługi Microsoft Entra. Jeśli potrzebujesz pomocy dotyczącej odnajdywania, zobacz Odnajdywanie aplikacji SaaS i zarządzanie nimi w sieci. Po odnalezieniu aplikacji dodaj te aplikacje do dzierżawy usługi Microsoft Entra.
Możesz rozpocząć zarządzanie tymi aplikacjami przy użyciu następujących zadań:
- W usłudze Microsoft Entra ID utwórz nowe zasady dostępu warunkowego i skonfiguruj je tak, aby "Używać kontroli aplikacji dostępu warunkowego". Ta konfiguracja ułatwia przekierowanie żądania do usługi Defender for Cloud Apps. Możesz utworzyć jedną zasadę i dodać wszystkie aplikacje SaaS do tych zasad.
- Następnie w usłudze Defender for Cloud Apps utwórz zasady sesji. Utwórz jedną zasadę dla każdej kontrolki, którą chcesz zastosować.
Aby uzyskać więcej informacji, w tym obsługiwane aplikacje i klientów, zobacz Protect apps with Microsoft Defender for Cloud Apps Conditional Access App Control (Ochrona aplikacji za pomocą kontroli aplikacji dostępu warunkowego w usłudze Microsoft Defender for Cloud Apps).
Na przykład zasady można znaleźć w temacie Zalecane zasady usługi Microsoft Defender for Cloud Apps dla aplikacji SaaS. Te zasady bazują na zestawie typowych zasad dostępu do tożsamości i urządzeń , które są zalecane jako punkt początkowy dla wszystkich klientów.
Krok 7. Stosowanie zasad sesji do aplikacji w chmurze
Usługa Microsoft Defender for Cloud Apps służy jako zwrotny serwer proxy zapewniający dostęp serwera proxy do zaakceptowanych aplikacji w chmurze. Ta aprowizowanie umożliwia usłudze Defender for Cloud Apps stosowanie skonfigurowanych zasad sesji.
Na ilustracji:
- Dostęp do zaakceptowanych aplikacji w chmurze od użytkowników i urządzeń w organizacji jest kierowany za pośrednictwem usługi Defender for Cloud Apps.
- Ten dostęp serwera proxy umożliwia stosowanie zasad sesji.
- Nie ma to wpływu na aplikacje w chmurze, które nie zostały zaakceptowane lub jawnie niezatwierdzone.
Zasady sesji umożliwiają stosowanie parametrów do sposobu, w jaki aplikacje w chmurze są używane przez organizację. Jeśli na przykład twoja organizacja korzysta z usługi Salesforce, można skonfigurować zasady sesji, które zezwalają tylko zarządzanym urządzeniom na dostęp do danych organizacji w usłudze Salesforce. Prostszym przykładem może być skonfigurowanie zasad w celu monitorowania ruchu z urządzeń niezarządzanych, dzięki czemu można analizować ryzyko związane z tym ruchem przed zastosowaniem bardziej rygorystycznych zasad.
Aby uzyskać więcej informacji, zobacz Tworzenie zasad sesji.
Krok 8. Wypróbuj dodatkowe możliwości
Skorzystaj z tych samouczków usługi Defender for Cloud Apps, aby ułatwić wykrywanie ryzyka i ochronę środowiska:
- Wykrywanie podejrzanych działań użytkowników
- Badanie ryzykownych użytkowników
- Badanie ryzykownych aplikacji OAuth
- Odnajdywanie i ochrona poufnych informacji
- Ochrona dowolnej aplikacji w organizacji w czasie rzeczywistym
- Blokuj pobieranie informacji poufnych
- Ochrona plików przy użyciu kwarantanny administratora
- Wymagaj uwierzytelniania w stopniu podwyższonym po podjęciu ryzykownych działań
Aby uzyskać więcej informacji na temat zaawansowanego wyszukiwania zagrożeń w danych usługi Microsoft Defender for Cloud Apps, zobacz ten film wideo.
Integracja zarządzania informacjami i zdarzeniami zabezpieczeń
Usługę Defender for Cloud Apps można zintegrować z usługą Microsoft Sentinel lub ogólną usługą zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), aby umożliwić scentralizowane monitorowanie alertów i działań z połączonych aplikacji. Dzięki usłudze Microsoft Sentinel można bardziej kompleksowo analizować zdarzenia zabezpieczeń w całej organizacji i tworzyć podręczniki w celu zapewnienia skutecznej i natychmiastowej reakcji.
Usługa Microsoft Sentinel zawiera łącznik usługi Defender for Cloud Apps. Dzięki temu możesz nie tylko uzyskać wgląd w aplikacje w chmurze, ale także uzyskać zaawansowaną analizę w celu identyfikowania i zwalczania cyberzagrożeń oraz kontrolowania sposobu przenoszenia danych. Aby uzyskać więcej informacji, zobacz Temat Integracja usługi Microsoft Sentinel i alerty usługi Stream oraz dzienniki usługi Cloud Discovery z usługi Defender for Cloud Apps do usługi Microsoft Sentinel.
Aby uzyskać informacje na temat integracji z systemami SIEM innych firm, zobacz Ogólna integracja SIEM.
Następny krok
Zarządzanie cyklem życia usługi Defender for Cloud Apps.
Następny krok dla kompleksowego wdrożenia usługi Microsoft Defender XDR
Kontynuuj kompleksowe wdrożenie usługi Microsoft Defender XDR za pomocą funkcji Zbadaj i odpowiadaj przy użyciu usługi Microsoft Defender XDR.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.