Руководство. Обнаружение и управление теневым ИТ-ит-решением

  • Статья

Как выяснилось при опросе, ИТ-администраторы считают, что их сотрудники в среднем используют 30 или 40 приложений. Но по реальным подсчетам, сотрудники в среднем используют больше 1000 отдельных приложений в организации. Теневая ИТ-служба помогает вам знать и определять, какие приложения используются и какой уровень риска. 80% сотрудников используют не санкционированные приложения, которые никто не рассмотрел, и может не соответствовать вашим политикам безопасности и соответствия требованиям. Так как ваши сотрудники могут получить доступ к ресурсам и приложениям за пределами корпоративной сети, вам больше не достаточно правил и политик в брандмауэрах.

В этом руководстве вы узнаете, как использовать Cloud Discovery для обнаружения используемых приложений, изучения риска этих приложений, настройки политик для выявления новых рискованных приложений, которые используются, а также для отмены несанкционированного применения этих приложений, чтобы заблокировать их в собственном коде с помощью прокси-сервера или брандмауэра (модуль)

Совет

По умолчанию Defender для облака приложения не могут обнаруживать приложения, не входящие в каталог.

Чтобы просмотреть данные Defender для облака Приложения для приложения, которое сейчас не находится в каталоге, рекомендуется проверка нашу стратегию или создать пользовательское приложение.

Как обнаруживать и контролировать теневые ИТ в вашей сети

Ниже описан процесс развертывания Cloud Discovery для теневых ИТ в вашей организации.

shadow IT lifecycle.

Этап 1. Обнаружение и идентификация теневых ИТ-специалистов

  1. Обнаружение теневого ИТ-решения. Определите состояние безопасности вашей организации, выполнив Cloud Discovery в вашей организации, чтобы узнать, что происходит в вашей сети. Дополнительные сведения см. в разделе "Настройка облачного обнаружения". Это можно сделать с помощью любого из следующих методов:

    • Быстро получите и работаете с Cloud Discovery, интегрируясь с Microsoft Defender для конечной точки. Эта встроенная интеграция позволяет немедленно начать сбор данных об облачном трафике на устройствах Windows 10 и Windows 11 в сети и вне сети.

    • Для покрытия на всех устройствах, подключенных к сети, важно развернуть сборщик журналов Defender для облака Apps на брандмауэрах и других прокси-серверах, чтобы собирать данные из конечных точек и отправлять их в Defender для облака Приложения для анализа.

    • Интеграция приложений Defender для облака с прокси-сервером. Defender для облака Приложения изначально интегрируются с некоторыми сторонними прокси-серверами, включая Zscaler.

    Так как в разных группах пользователей, регионах и бизнес-группах используются разные политики, возможно, имеет смысл создать для них отдельные отчеты о теневых ИТ. Дополнительные сведения см. в разделе "Создание пользовательских непрерывных отчетов".

    Запустив Cloud Discovery в своей сети, ознакомьтесь с создаваемыми непрерывными отчетами и панелью мониторинга Cloud Discovery, чтобы получить полное представление об используемых в вашей организации приложениях. Рекомендуется ознакомиться с ними по категориям, так как часто вы обнаружите, что не санкционированные приложения используются для законных целей, связанных с работой, которые не были устранены санкционированным приложением.

  2. Определите уровни риска приложений: используйте каталог приложений Defender для облака для более глубокого анализа рисков, связанных с каждым обнаруженным приложением. Каталог приложений Defender для облака включает более 31 000 приложений, которые оцениваются с использованием более чем 90 факторов риска. Факторы риска включают как общую информацию о приложении (в каких регионах оно используется, кто его издатель), так и средства безопасности (поддержка шифрования неактивных данных, журнал аудита пользовательских действий). Дополнительные сведения: Работа с оценкой рисков.

    • На портале Microsoft Defender в разделе "Облачные приложения" выберите Cloud Discovery. Затем перейдите на вкладку "Обнаруженные приложения". Отфильтруйте список приложений , обнаруженных в вашей организации, по факторам риска, о которым вы обеспокоены. Например, можно использовать расширенные фильтры для поиска всех приложений с оценкой риска ниже 8.

    • Вы можете детализировать приложение, чтобы узнать больше о его соответствии, выбрав имя приложения и выбрав вкладку "Сведения ", чтобы просмотреть сведения о факторах риска безопасности приложения.

Этап 2. Оценка и анализ

  1. Оценка соответствия. Проверьте, сертифицированы ли приложения в соответствии со стандартами вашей организации, такими как HIPAA или SOC2.

    • На портале Microsoft Defender в разделе "Облачные приложения" выберите Cloud Discovery. Затем перейдите на вкладку "Обнаруженные приложения". Отфильтруйте список приложений , обнаруженных в вашей организации, по факторам риска соответствия требованиям, которые вы обеспокоены. Например, используйте предложенный запрос, чтобы отфильтровать приложения, не соответствующие требованиям.

    • Вы можете детализировать приложение, чтобы узнать больше о его соответствии, выбрав имя приложения, а затем выбрав вкладку "Сведения ", чтобы просмотреть сведения о факторах риска соответствия приложения.

  2. Анализ использования. Теперь, когда вы знаете, хотите ли вы использовать приложение в вашей организации, вы хотите изучить, как и кто его использует. Если оно используется только в ограниченном ряде случаев, возможно, это нормально. Однако если оно применяется все чаще, то вы наверняка захотите знать об этом, чтобы принять решение о возможной блокировке.

    • На портале Microsoft Defender в разделе "Облачные приложения" выберите Cloud Discovery. Затем перейдите на вкладку "Обнаруженные приложения" , а затем выполните детализацию, выбрав конкретное приложение, которое вы хотите исследовать. Вкладка "Использование" позволяет узнать, сколько активных пользователей использует приложение и сколько трафика он создает. Это уже может дать вам хорошее представление о том, что происходит с приложением. Затем, если вы хотите узнать, кто, в частности, использует приложение, вы можете выполнить детализацию, выбрав "Всего активных пользователей". Это важное действие даст вам актуальную информацию: например, если вы обнаружите, что все пользователи определенного приложения — из отдела маркетинга, то возможно, такое приложение необходимо организации. Если оно связано с высоким риском, следует предложить альтернативу, прежде чем блокировать его.

    • Более глубокое изучение использования обнаруженных приложений. Просматривайте поддомены и ресурсы, чтобы узнать о конкретных действиях, доступе к данным и использовании ресурсов в облачных службах. Дополнительные сведения см. в статье "Глубокое знакомство с обнаруженными приложениями " и "Обнаружение ресурсов" и пользовательских приложений.

  3. Определение альтернативных приложений: используйте каталог облачных приложений для выявления более безопасных приложений, которые обеспечивают аналогичные бизнес-функции, как обнаруженные рискованные приложения, но соблюдайте политику вашей организации. Это можно сделать с помощью расширенных фильтров для поиска приложений в той же категории, которая соответствует различным элементам управления безопасностью.

Этап 3. Управление приложениями

  • Управление облачными приложениями: Defender для облака Приложения помогают вам управлять использованием приложений в организации. Определив в ней типичные действия и шаблоны поведения, вы можете создавать настраиваемые теги для классификации приложений в соответствии с их бизнес-статусом и обоснованием использования. Эти теги затем можно применять для конкретных целей мониторинга, например для выявления больших объемов входящего трафика в приложениях, помеченных тегом облачного хранилища с высоким риском. Теги приложений можно управлять с помощью тегов приложения Параметры> Cloud Apps>Cloud Discovery>App. В дальнейшем вы можете использовать эти теги для фильтрации на страницах Cloud Discovery и создавать с их помощью политики.

  • Управление обнаруженными приложениями с помощью коллекции Microsoft Entra: Defender для облака Apps также использует собственную интеграцию с идентификатором Microsoft Entra, чтобы обеспечить управление обнаруженными приложениями в коллекции Microsoft Entra. Для приложений, которые уже отображаются в коллекции Microsoft Entra, вы можете применить единый вход и управлять приложением с помощью идентификатора Microsoft Entra. Для этого в строке, в которой отображается соответствующее приложение, выберите три точки в конце строки, а затем выберите "Управление приложением с идентификатором Microsoft Entra".

    Manage app in Microsoft Entra gallery.

  • Непрерывный мониторинг. Теперь, когда вы тщательно изучили приложения, вам может потребоваться задать политики, которые отслеживают приложения и обеспечивают контроль, где это необходимо.

Теперь пришло время создать политики, чтобы вы получали автоматические оповещения о важных для вас событиях. Например, вам может потребоваться создать политику обнаружения приложений, которая позволяет узнать, когда возникает пик загрузки или трафик из приложения, о которой вы беспокоитесь. Для этого необходимо включить аномальное поведение в обнаруженной политике пользователей, соответствии приложений облачного хранилища проверка и новом рискованном приложении. Вы также должны задать политику, чтобы уведомить вас по электронной почте. Дополнительные сведения см . в справочнике по шаблону политики, дополнительные сведения о политиках Cloud Discovery и настройке политик обнаружения приложений.

Откройте страницу предупреждений и используйте фильтр Тип политики, чтобы найти предупреждения обнаружения приложений. Для приложений, которые были сопоставлены политиками обнаружения приложений, рекомендуется выполнить расширенное исследование, чтобы узнать больше о бизнес-оправдании использования приложения, например путем обращения к пользователям приложения. Затем повторите действия на этапе 2, чтобы оценить риск приложения. После этого примите решение о дальнейших действиях: утвердите приложение для будущего использования или отметьте его как несанкционированное, чтобы доступ к нему пользователей блокировался брандмауэром, прокси-сервером или защищенным веб-шлюзом. Дополнительные сведения см. в статье "Интеграция с Microsoft Defender для конечной точки", "Интеграция с Zscaler", "Интеграция с iboss" и "Блокировать приложения", экспортируя скрипт блокировки.

Этап 4. Отчеты о расширенном обнаружении теневых ИТ-специалистов

Помимо вариантов создания отчетов, доступных в Defender для облака Apps, вы можете интегрировать журналы Cloud Discovery в Microsoft Sentinel для дальнейшего изучения и анализа. После того как данные будут доступны в Microsoft Sentinel, вы можете просматривать их на панелях мониторинга, выполнять запросы с помощью языка запросов Kusto, экспортировать запросы в Microsoft Power BI, интегрировать с другими источниками и создавать пользовательские оповещения. Дополнительные сведения см. в статье об интеграции Microsoft Sentinel.

Этап 5. Управление санкционированными приложениями

  1. Чтобы включить управление приложениями через API, подключите приложения через API для непрерывного мониторинга.

  2. Защитите приложение с помощью Управления условным доступом к приложениям.

Характер облачных приложений означает, что они обновляются ежедневно и новые приложения отображаются все время. Из-за этого сотрудники все время используют новые приложения, поэтому важно отслеживать, проверять и обновлять ваши политики, а также контролировать, какие приложения используют пользователи и как они с ними работают. Вы всегда можете открыть панель мониторинга Cloud Discovery и узнать, какие новые приложения сейчас используются, а затем вновь выполнить указания этой статьи для обеспечения защиты вашей организации и ее данных.

Следующие шаги

Рекомендации по защите организации

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.

Подробнее