Пилотный и развертывание Microsoft Defender for Cloud Apps
Область применения:
- Microsoft Defender XDR
В этой статье представлен рабочий процесс для пилотного развертывания и развертывания Microsoft Defender for Cloud Apps в организации. Эти рекомендации можно использовать для подключения Microsoft Defender for Cloud Apps как отдельного средства кибербезопасности или как части комплексного решения с Microsoft Defender XDR.
В этой статье предполагается, что у вас есть рабочий клиент Microsoft 365 и вы выполняете пилотное развертывание Microsoft Defender for Cloud Apps в этой среде. Эта практика будет поддерживать все параметры и настройки, настроенные во время пилотного проекта для полного развертывания.
Defender для Office 365 вносит свой вклад в архитектуру "Никому не доверяй", помогая предотвратить или уменьшить ущерб для бизнеса в результате нарушения безопасности. Дополнительные сведения см. в статье Предотвращение или уменьшение ущерба для бизнеса в результате нарушения бизнес-сценария платформы внедрения "Никому не доверяй" (Майкрософт).
Комплексное развертывание для Microsoft Defender XDR
Это статья 5 из 6 в серии, помогающая развертывать компоненты Microsoft Defender XDR, включая расследование инцидентов и реагирование на них.
Статьи этой серии соответствуют следующим этапам комплексного развертывания:
| Этап | Ссылка |
|---|---|
| О. Запуск пилотного проекта | Запуск пилотного проекта |
| Б. Пилотное развертывание и развертывание компонентов Microsoft Defender XDR |
-
Пилотное развертывание Defender для удостоверений - Пилотный и развертывание Defender для Office 365 - Пилотный проект и развертывание Defender для конечной точки - Пилотный и развертывание Microsoft Defender for Cloud Apps (эта статья) |
| C. Исследование угроз и реагирование на них | Практическое исследование инцидентов и реагирование на инциденты |
Пилотный и развертывание рабочего процесса для Defender for Cloud Apps
На следующей схеме показан общий процесс развертывания продукта или службы в ИТ-среде.
Вы начинаете с оценки продукта или службы и того, как они будут работать в вашей организации. Затем вы пилотируете продукт или службу с подходящим небольшим подмножеством производственной инфраструктуры для тестирования, обучения и настройки. Затем постепенно увеличивайте область развертывания, пока не будет охвачена вся инфраструктура или организация.
Ниже приведен рабочий процесс для пилотного развертывания и развертывания Defender for Cloud Apps в рабочей среде.
Выполните следующие действия:
- Подключение к порталу Defender for Cloud Apps
- Интеграция с Microsoft Defender для конечной точки
- Развертывание сборщика журналов в брандмауэрах и других прокси-серверах
- Создание пилотной группы
- Обнаружение облачных приложений и управление ими
- Настройка управления условным доступом к приложениям
- Применение политик сеансов к облачным приложениям
- Опробуйте дополнительные возможности
Ниже приведены рекомендуемые действия для каждого этапа развертывания.
| Этап развертывания | Описание |
|---|---|
| Оценка | Оценка продукта для Defender for Cloud Apps. |
| Пилотный проект | Выполните шаги 1–4, а затем 5–8 для подходящего подмножества облачных приложений в рабочей среде. |
| Полное развертывание | Выполните шаги 5–8 для остальных облачных приложений, настроив область для пилотных групп пользователей или добавив группы пользователей, чтобы выйти за рамки пилотного проекта и включить все учетные записи пользователей. |
Защита организации от хакеров
Defender for Cloud Apps обеспечивает мощную защиту. Однако в сочетании с другими возможностями Microsoft Defender XDR Defender for Cloud Apps предоставляет данные в общие сигналы, которые вместе помогают остановить атаки.
Ниже приведен пример кибератаки и того, как компоненты Microsoft Defender XDR помочь обнаружить и устранить ее.
Defender for Cloud Apps обнаруживает аномальное поведение, например невозможное перемещение, доступ к учетным данным и необычные действия скачивания, общей папки или пересылки почты, и отображает эти действия на портале Defender for Cloud Apps. Defender for Cloud Apps также помогает предотвратить боковое перемещение хакеров и кражу конфиденциальных данных.
Microsoft Defender XDR сопоставляет сигналы от всех компонентов Microsoft Defender, чтобы обеспечить полную историю атаки.
Defender for Cloud Apps роль в качестве CASB
Брокер безопасности доступа к облаку (CASB) выступает в качестве привратника для брокера доступа в режиме реального времени между корпоративными пользователями и облачными ресурсами, которые они используют, независимо от расположения пользователей и устройства, которое они используют. Defender for Cloud Apps — это CASB для облачных приложений вашей организации. Defender for Cloud Apps изначально интегрируется с возможностями безопасности Майкрософт, включая Microsoft Defender XDR.
Без Defender for Cloud Apps облачные приложения, используемые вашей организацией, не управляются и не защищены.
На этом рисунке:
- Использование облачных приложений организацией не контролируется и не защищено.
- Это использование выходит за рамки защиты, достигнутой в управляемой организации.
Чтобы обнаружить облачные приложения, используемые в вашей среде, можно реализовать один или оба следующих метода:
- Быстро приступить к работе с Cloud Discovery путем интеграции с Microsoft Defender для конечной точки. Эта встроенная интеграция позволяет сразу же начать сбор данных об облачном трафике по Windows 10 и Windows 11 устройствам в сети и вне сети.
- Чтобы обнаружить все облачные приложения, к которым обращаются все устройства, подключенные к сети, разверните сборщик журналов Defender for Cloud Apps в брандмауэрах и других прокси-серверах. Это развертывание помогает собирать данные из конечных точек и отправлять их в Defender for Cloud Apps для анализа. Defender for Cloud Apps изначально интегрируется с некоторыми сторонними прокси-серверами, чтобы получить еще больше возможностей.
В этой статье содержатся рекомендации по обоим методам.
Этап 1. Подключение к порталу Defender for Cloud Apps
Сведения о проверке лицензирования и подключении к порталу Defender for Cloud Apps см. в статье Краткое руководство. Начало работы с Microsoft Defender for Cloud Apps.
Если вы не можете подключиться к порталу сразу, может потребоваться добавить IP-адрес в список разрешенных брандмауэра. См. раздел Базовая настройка для Defender for Cloud Apps.
Если у вас по-прежнему возникают проблемы, ознакомьтесь с требованиями к сети.
Шаг 2. Интеграция с Microsoft Defender для конечной точки
Microsoft Defender for Cloud Apps интегрируется с Microsoft Defender для конечной точки в собственном коде. Интеграция упрощает развертывание Cloud Discovery, расширяет возможности Cloud Discovery за пределы корпоративной сети и позволяет проводить исследования на основе устройств. Эта интеграция показывает, что доступ к облачным приложениям и службам осуществляется с управляемых ИТ-Windows 10 и Windows 11 устройств.
Если вы уже настроили Microsoft Defender для конечной точки, настройка интеграции с Defender for Cloud Apps является переключателем в Microsoft Defender XDR. После включения интеграции можно вернуться на портал Defender for Cloud Apps и просмотреть расширенные данные на панели мониторинга Cloud Discovery.
Чтобы выполнить эти задачи, см. Microsoft Defender для конечной точки интеграции с Microsoft Defender for Cloud Apps.
Шаг 3. Развертывание сборщика журналов Defender for Cloud Apps в брандмауэрах и других прокси-серверах
Для покрытия на всех устройствах, подключенных к сети, разверните сборщик журналов Defender for Cloud Apps в брандмауэрах и других прокси-серверах, чтобы собрать данные из конечных точек и отправить их в Defender for Cloud Apps для анализа.
Если вы используете один из следующих безопасных веб-шлюзов (SWG), Defender for Cloud Apps обеспечивает простое развертывание и интеграцию:
- Zscaler
- iboss
- Коррата
- Menlo Security
Дополнительные сведения об интеграции с этими сетевыми устройствами см. в статье Настройка Cloud Discovery.
Этап 4. Создание пилотной группы — область пилотного развертывания для определенных групп пользователей
Microsoft Defender for Cloud Apps позволяет область развертывание. Область позволяет выбрать определенные группы пользователей, которые будут отслеживаться для приложений или исключаться из мониторинга. Можно включить или исключить группы пользователей. Сведения о область пилотного развертывания см. в статье Развертывание с областью действия.
Этап 5. Обнаружение облачных приложений и управление ими
Чтобы Defender for Cloud Apps обеспечить максимальный объем защиты, необходимо обнаружить все облачные приложения в организации и управлять их использованием.
Обнаружение облачных приложений
Первый шаг к управлению использованием облачных приложений — определить, какие облачные приложения используются вашей организацией. На следующей схеме показано, как облачное обнаружение работает с Defender for Cloud Apps.
На этом рисунке можно использовать два метода для мониторинга сетевого трафика и обнаружения облачных приложений, используемых вашей организацией.
Cloud App Discovery интегрируется с Microsoft Defender для конечной точки в собственном коде. Defender для конечной точки сообщает об облачных приложениях и службах, доступ к которым осуществляется с управляемых ИТ-Windows 10 и Windows 11 устройств.
Для покрытия на всех устройствах, подключенных к сети, вы устанавливаете сборщик журналов Defender for Cloud Apps на брандмауэрах и других прокси-серверах для сбора данных из конечных точек. Сборщик отправляет эти данные в Defender for Cloud Apps для анализа.
Просмотрите панель мониторинга Cloud Discovery, чтобы узнать, какие приложения используются в вашей организации
Панель мониторинга Cloud Discovery предназначена для получения дополнительных сведений о том, как облачные приложения используются в вашей организации. Он содержит краткий обзор используемых приложений, открытых оповещений и уровней риска приложений в вашей организации.
Сведения о начале работы с панелью мониторинга Cloud Discovery см. в статье Работа с обнаруженными приложениями.
Управление облачными приложениями
После того как вы обнаружите облачные приложения и проанализируете, как эти приложения используются в вашей организации, вы можете приступить к управлению выбранными облачными приложениями.
На этой иллюстрации:
- Некоторые приложения разрешены для использования. Санкционирование — это простой способ начать управление приложениями.
- Вы можете обеспечить большую видимость и контроль, подключив приложения с помощью соединителей приложений. Соединители приложений используют API поставщиков приложений.
Вы можете начать управление приложениями, санкционирование, несанкционированное или прямое блокирование приложений. Сведения о начале управления приложениями см. в статье Управление обнаруженными приложениями.
Этап 6. Настройка управления условным доступом к приложениям
Одной из самых эффективных средств защиты, которые можно настроить, является управление условным доступом к приложениям. Для этой защиты требуется интеграция с Microsoft Entra ID. Она позволяет применять политики условного доступа, включая связанные политики (например, требование работоспособности устройств) к санкционированным облачным приложениям.
Возможно, в клиент Microsoft Entra уже добавлены приложения SaaS для применения многофакторной проверки подлинности и других политик условного доступа. Microsoft Defender for Cloud Apps изначально интегрируется с Microsoft Entra ID. Достаточно настроить политику в Microsoft Entra ID для использования управления условным доступом к приложениям в Defender for Cloud Apps. Это маршрутизирует сетевой трафик для этих управляемых приложений SaaS через Defender for Cloud Apps в качестве прокси-сервера, что позволяет Defender for Cloud Apps отслеживать этот трафик и применять элементы управления сеансами.
На этой иллюстрации:
- Приложения SaaS интегрированы с клиентом Microsoft Entra. Эта интеграция позволяет Microsoft Entra ID применять политики условного доступа, включая многофакторную проверку подлинности.
- В Microsoft Entra ID добавляется политика для направления трафика приложений SaaS в Defender for Cloud Apps. Политика указывает, к каким приложениям SaaS следует применить эту политику. После Microsoft Entra ID принудительно применяет политики условного доступа, которые применяются к этим приложениям SaaS, Microsoft Entra ID затем направляет трафик сеанса через Defender for Cloud Apps (прокси-серверы).
- Defender for Cloud Apps отслеживает этот трафик и применяет все политики управления сеансами, настроенные администраторами.
Возможно, вы обнаружили и санкционировали облачные приложения с помощью Defender for Cloud Apps, которые не были добавлены в Microsoft Entra ID. Вы можете воспользоваться преимуществами управления условным доступом к приложениям, добавив эти облачные приложения в клиент Microsoft Entra и область правил условного доступа.
Первым шагом в использовании Microsoft Defender for Cloud Apps для управления приложениями SaaS является обнаружение этих приложений и их добавление в клиент Microsoft Entra. Если вам нужна помощь с обнаружением, см. статью Обнаружение приложений SaaS в сети и управление ими. После обнаружения приложений добавьте эти приложения в клиент Microsoft Entra.
Вы можете начать управление этими приложениями с помощью следующих задач:
- В Microsoft Entra ID создайте новую политику условного доступа и настройте ее для использования управления условным доступом к приложениям. Эта конфигурация помогает перенаправить запрос на Defender for Cloud Apps. Вы можете создать одну политику и добавить в нее все приложения SaaS.
- Затем в Defender for Cloud Apps создайте политики сеансов. Создайте одну политику для каждого элемента управления, который вы хотите применить.
Дополнительные сведения, включая поддерживаемые приложения и клиенты, см. в разделе Защита приложений с помощью Microsoft Defender for Cloud Apps управления условным доступом к приложениям.
Примеры политик см. в разделе Рекомендуемые политики Microsoft Defender for Cloud Apps для приложений SaaS. Эти политики создаются на основе набора общих политик доступа к удостоверениям и устройствам , которые рекомендуются в качестве отправной точки для всех клиентов.
Этап 7. Применение политик сеансов к облачным приложениям
Microsoft Defender for Cloud Apps выступает в качестве обратного прокси-сервера, предоставляя прокси-доступ к санкционированным облачным приложениям. Эта подготовка позволяет Defender for Cloud Apps применять настроенные политики сеансов.
На этом рисунке:
- Доступ к санкционированным облачным приложениям от пользователей и устройств в вашей организации направляется через Defender for Cloud Apps.
- Этот прокси-доступ позволяет применять политики сеансов.
- Облачные приложения, которые не санкционированы или явно не санкционированы, не затрагиваются.
Политики сеансов позволяют применять параметры к использованию облачных приложений в организации. Например, если ваша организация использует Salesforce, можно настроить политику сеанса, которая разрешает доступ к данным вашей организации только управляемым устройствам в Salesforce. Более простым примером может быть настройка политики для мониторинга трафика с неуправляемых устройств, чтобы можно было проанализировать риск этого трафика перед применением более строгих политик.
Дополнительные сведения см. в разделе Создание политик сеансов.
Шаг 8. Опробуйте дополнительные возможности
Используйте эти Defender for Cloud Apps руководства, чтобы выявить риски и защитить среду:
- Обнаружение подозрительных действий пользователей
- Исследование рискованных пользователей
- Изучение рискованных приложений OAuth
- Обнаружение и защита конфиденциальной информации
- Защита любого приложения в организации в режиме реального времени
- Блокировать скачивание конфиденциальной информации
- Защита файлов с помощью карантина администратора
- Требовать поэтапной проверки подлинности при рискованном действии
Дополнительные сведения о расширенной охоте в Microsoft Defender for Cloud Apps данных см. в этом видео.
Интеграция SIEM
Вы можете интегрировать Defender for Cloud Apps с Microsoft Sentinel или универсальной службой управления информационной безопасностью и событиями безопасности (SIEM), чтобы обеспечить централизованный мониторинг оповещений и действий из подключенных приложений. С помощью Microsoft Sentinel вы можете более полно анализировать события безопасности в организации и создавать сборники схем для эффективного и немедленного реагирования.
Microsoft Sentinel включает соединитель Defender for Cloud Apps. Это позволяет не только получить представление о облачных приложениях, но и получить сложную аналитику для выявления киберугроз и борьбы с ними, а также для управления перемещением данных. Дополнительные сведения см. в разделе Microsoft Sentinel интеграции и Stream оповещений и журналов Cloud Discovery из Defender for Cloud Apps в Microsoft Sentinel.
Сведения об интеграции со сторонними системами SIEM см. в разделе Универсальная интеграция SIEM.
Следующее действие
Управление жизненным циклом для Defender for Cloud Apps.
Следующий шаг для комплексного развертывания Microsoft Defender XDR
Продолжайте комплексное развертывание Microsoft Defender XDR с помощью анализа и реагирования с помощью Microsoft Defender XDR.
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.