Рекомендации по защите организации с помощью приложений Defender для облака

  • Статья

В этой статье приведены рекомендации по защите организации с помощью Microsoft Defender для облака Приложений. Эти рекомендации поступают из нашего опыта работы с Defender для облака Приложениями и опытом клиентов, как вы.

Рекомендации, рассмотренные в этой статье, включают:

Обнаружение и оценка облачных приложений

Интеграция приложений Defender для облака с Microsoft Defender для конечной точки позволяет использовать Cloud Discovery за пределами корпоративной сети или безопасных веб-шлюзов. Используя объединенные сведения о пользователе и устройстве, вы можете определить рискованных пользователей или устройств, просмотреть приложения, которые они используют, и изучить дополнительные сведения на портале Defender для конечной точки.

Рекомендация. Включение теневого ИТ-обнаружения с помощью Defender для конечной точки
Сведения. Cloud Discovery анализирует журналы трафика, собранные Defender для конечной точки, и оценивает определенные приложения в каталоге облачных приложений для предоставления сведений о соответствии и безопасности. Настроив Cloud Discovery, вы получите представление об использовании облака, тени ИТ и непрерывном мониторинге неуправляемых приложений, используемых пользователями.
Дополнительные сведения см. в следующих разделах:

Рекомендация. Настройка политик обнаружения приложений для упреждающего определения рисков, несоответствующих приложений и тенденций
Сведения. Политики обнаружения приложений упрощают отслеживание важных обнаруженных приложений в организации, чтобы эффективно управлять этими приложениями. Создайте политики для получения оповещений при обнаружении новых приложений, которые определяются как рискованные, несоответствующие, тенденции или большие объемы.
Дополнительные сведения см. в следующих разделах:

Рекомендация. Управление приложениями OAuth, авторизованными пользователями
Подробные сведения. Многие пользователи случайно предоставляют разрешения OAuth сторонним приложениям для доступа к сведениям о своей учетной записи и, в этом случае, непреднамеренно предоставляют доступ к своим данным в других облачных приложениях. Как правило, ИТ-служба не имеет видимости этих приложений, что затрудняет взвешивание риска безопасности приложения в отношении преимущества производительности, которое она предоставляет.

Defender для облака Приложения предоставляют возможность исследовать и отслеживать разрешения приложения, предоставленные пользователям. Эти сведения можно использовать для выявления потенциально подозрительного приложения и, если вы определяете, что это рискованно, вы можете запретить доступ к нему.
Дополнительные сведения см. в следующих разделах:

Применение политик управления облаком

Рекомендация. Добавление тегов приложений и экспорт сценариев блоков
Подробные сведения. После просмотра списка обнаруженных приложений в организации вы можете защитить среду от нежелательного использования приложений. Тег "Санкционировано" можно применить к приложениям, утвержденным вашей организацией, и тегу Unsanctioned к приложениям, которые не являются. Вы можете отслеживать несанкционированные приложения с помощью фильтров обнаружения или экспортировать скрипт для блокировки несанкционированных приложений с помощью локальных (модуль) безопасности. Использование тегов и скриптов экспорта позволяет упорядочивать приложения и защищать среду, разрешая доступ только к безопасным приложениям.
Дополнительные сведения см. в следующих разделах:

Ограничение воздействия общих данных и применение политик совместной работы

Рекомендация: Подключение Microsoft 365
Подробные сведения: Подключение microsoft 365 для Defender для облака Apps предоставляет немедленную информацию о действиях пользователей, файлах, к которым они обращаются, и предоставляет действия по управлению для Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange и Dynamics.
Дополнительные сведения см. в следующих разделах:

Рекомендация. Подключение приложения
Подробные сведения: Подключение приложения для Defender для облака Приложения предоставляют улучшенные аналитические сведения о действиях пользователей, обнаружении угроз и возможностях управления. Чтобы узнать, какие API сторонних приложений поддерживаются, перейдите к Подключение приложениям.

Дополнительные сведения см. в следующих разделах:

Рекомендация. Создание политик для удаления общего доступа с помощью личная учетная запись
Подробные сведения: Подключение microsoft 365 для Defender для облака Apps предоставляет немедленную информацию о действиях пользователей, файлах, к которым они обращаются, и предоставляет действия по управлению для Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange и Dynamics.
Дополнительные сведения см. в следующих разделах:

Обнаружение, классификация, метка и защита регулируемых и конфиденциальных данных, хранящихся в облаке

Рекомендация. Интеграция с Защита информации Microsoft Purview
Сведения. Интеграция с Защита информации Microsoft Purview позволяет автоматически применять метки конфиденциальности и дополнительно добавлять защиту шифрования. После включения интеграции можно применять метки в качестве действия управления, просматривать файлы по классификации, исследовать файлы по уровню классификации и создавать детализированные политики, чтобы убедиться, что классифицированные файлы обрабатываются должным образом. Если интеграция не включена, вы не можете воспользоваться возможностью автоматического сканирования, метки и шифрования файлов в облаке.
Дополнительные сведения см. в следующих разделах:

Рекомендация. Создание политик раскрытия данных
Сведения. Использование политик файлов для обнаружения общего доступа к информации и проверки конфиденциальной информации в облачных приложениях. Создайте следующие политики файлов, чтобы предупредить вас об обнаружении уязвимостей данных:

  • Файлы, общие внешние содержащие конфиденциальные данные
  • Файлы, совместно используемые внешним образом и помеченные как конфиденциальные
  • Файлы, к которым предоставлен общий доступ с несанкционированными доменами
  • Защита конфиденциальных файлов в приложениях SaaS

Дополнительные сведения см. в следующих разделах:

Рекомендация. Просмотр отчетов на странице "Файлы"
Сведения. После подключения различных приложений SaaS с помощью соединителей приложений Defender для облака Apps сканирует файлы, хранящиеся в этих приложениях. Кроме того, каждый раз, когда файл изменяется, он снова сканируется. Вы можете использовать страницу "Файлы", чтобы понять и изучить типы данных, хранящихся в облачных приложениях. Для изучения можно фильтровать по доменам, группам, пользователям, дате создания, расширению, имени файла и типу, идентификатору файла, меткам конфиденциальности и т. д. С помощью этих фильтров вы можете контролировать способ анализа файлов, чтобы убедиться, что никакие данные не подвержены риску. После лучшего понимания того, как используются данные, можно создать политики для сканирования конфиденциального содержимого в этих файлах.
Дополнительные сведения см. в следующих разделах:

Применение политик защиты от потери данных и соответствия требованиям для данных, хранящихся в облаке

Рекомендация. Защита конфиденциальных данных от совместного использования внешними пользователями
Подробные сведения. Создайте политику файлов, которая определяет, когда пользователь пытается предоставить общий доступ к файлу с меткой конфиденциальности с кем-либо внешним пользователем в организации, и настроить его действие управления для удаления внешних пользователей. Эта политика гарантирует, что конфиденциальные данные не покидают вашу организацию, а внешние пользователи не могут получить к ней доступ.
Дополнительные сведения см. в следующих разделах:

Блокировать и защищать скачивание конфиденциальных данных на неуправляемые или рискованные устройства

Рекомендация. Управление доступом к устройствам с высоким уровнем риска и управление ими
Сведения. Используйте элемент управления приложениями условного доступа для задания элементов управления в приложениях SaaS. Вы можете создавать политики сеансов для мониторинга высокого риска, сеансов с низким уровнем доверия. Аналогичным образом можно создать политики сеансов для блокировки и защиты загрузки пользователями, пытающимися получить доступ к конфиденциальным данным с неуправляемых или рискованных устройств. Если вы не создаете политики сеансов для мониторинга сеансов с высоким уровнем риска, вы потеряете возможность блокировать и защищать скачивание в веб-клиенте, а также возможность отслеживать сеанс с низким уровнем доверия как в приложениях Майкрософт, так и в сторонних приложениях.
Дополнительные сведения см. в следующих разделах:

Безопасная совместная работа с внешними пользователями путем применения элементов управления сеансами в режиме реального времени

Рекомендация. Мониторинг сеансов с внешними пользователями с помощью управления приложениями условного доступа
Подробные сведения. Чтобы защитить совместную работу в вашей среде, можно создать политику сеансов для мониторинга сеансов между внутренними и внешними пользователями. Это не только дает возможность отслеживать сеанс между пользователями (и уведомлять их о том, что их действия сеанса отслеживаются), но и позволяют ограничить определенные действия, а также. При создании политик сеансов для мониторинга действий можно выбрать приложения и пользователей, которые вы хотите отслеживать.
Дополнительные сведения см. в следующих разделах:

Обнаружение облачных угроз, скомпрометированных учетных записей, злоумышленников и программ-шантажистов

Рекомендация. Настройка политик аномалий, настройка диапазонов IP-адресов, отправка отзывов для оповещений
Подробные сведения. Политики обнаружения аномалий предоставляют встроенные аналитики поведения пользователей и сущностей (UEBA) и машинного обучения (ML), чтобы можно было немедленно запустить расширенное обнаружение угроз в облачной среде.

Политики обнаружения аномалий активируются при наличии необычных действий, выполняемых пользователями в вашей среде. Defender для облака Приложения постоянно отслеживают действия пользователей и используют UEBA и ML для изучения и понимания нормального поведения пользователей. Параметры политики можно настроить в соответствии с требованиями организации, например настроить конфиденциальность политики, а также область политику определенной группе.

  • Настройка и политики обнаружения аномалий области. Например, чтобы уменьшить количество ложных срабатываний в оповещении о невозможном путешествии, можно установить ползунок конфиденциальности политики на низкий. Если у вас есть пользователи в вашей организации, которые являются частыми корпоративными путешественниками, вы можете добавить их в группу пользователей и выбрать эту группу в область политики.

  • Задайте диапазоны IP-адресов: Defender для облака Приложения могут определять известные IP-адреса после установки диапазонов IP-адресов. С настроенными диапазонами IP-адресов можно пометить, классифицировать и настроить способ отображения и изучения журналов и оповещений. Добавление диапазонов IP-адресов помогает уменьшить количество ложных срабатываний и повысить точность оповещений. Если вы решили не добавлять IP-адреса, возможно, вы увидите большее количество возможных ложных срабатываний и оповещений для изучения.

  • Отправка отзывов для оповещений

    При закрытии или разрешении оповещений обязательно отправьте отзыв по причине, по которой вы отклонили оповещение или как это было решено. Эта информация помогает Defender для облака приложениям для улучшения оповещений и уменьшения ложных срабатываний.

Дополнительные сведения см. в следующих разделах:

Рекомендация. Обнаружение действий из непредвиденных расположений или стран или регионов
Подробные сведения. Создайте политику действий, чтобы уведомить вас о входе пользователей из непредвиденных расположений или регионов. Эти уведомления могут предупреждать вас о возможно скомпрометированных сеансах в вашей среде, чтобы вы могли обнаруживать и устранять угрозы до их возникновения.
Дополнительные сведения см. в следующих разделах:

Рекомендация. Создание политик приложений OAuth
Сведения. Создайте политику приложений OAuth, чтобы уведомить вас, когда приложение OAuth соответствует определенным критериям. Например, вы можете получать уведомления, когда определенное приложение, требующее высокого уровня разрешений, было доступ более чем 100 пользователей.
Дополнительные сведения см. в следующих разделах:

Использование следа аудита действий для судебно-медицинских расследований

Рекомендация. Использование журнала аудита действий при изучении оповещений
Сведения. Оповещения активируются, когда действия пользователя, администратора или входа не соответствуют вашим политикам. Важно изучить оповещения, чтобы понять, существует ли в вашей среде возможна угроза.

Вы можете исследовать оповещение, выбрав его на странице "Оповещения" и просмотрив путь аудита действий, связанных с этим оповещением. Путь аудита позволяет просматривать действия одного типа, одного пользователя, одного и того же IP-адреса и расположения, чтобы обеспечить общую историю оповещения. Если оповещение гарантирует дальнейшее исследование, создайте план для устранения этих оповещений в организации.

При увольнении оповещений важно изучить и понять, почему они не имеют никакой важности или если они являются ложными положительными. Если существует большой объем таких действий, вы также можете рассмотреть возможность проверки и настройки политики, активируя оповещение.
Дополнительные сведения см. в следующих разделах:

Защита служб IaaS и пользовательских приложений

Рекомендация: Подключение Azure, AWS и GCP
Подробные сведения: Подключение каждой из этих облачных платформ для Defender для облака Apps помогает улучшить возможности обнаружения угроз. Отслеживая действия администратора и входа в эти службы, вы можете обнаруживать и получать уведомления о возможной атаке подбора, вредоносном использовании привилегированной учетной записи пользователя и других угрозах в вашей среде. Например, вы можете определить риски, такие как необычные удаления виртуальных машин или даже действия олицетворения в этих приложениях.
Дополнительные сведения см. в следующих разделах:

Рекомендация. Подключение пользовательских приложений
Подробные сведения. Чтобы получить дополнительную видимость действий из бизнес-приложений, можно подключить пользовательские приложения к Defender для облака Приложениям. После настройки пользовательских приложений вы увидите сведения о том, кто использует их, IP-адреса, из которых они используются, и сколько трафика поступает в приложение и из него.

Кроме того, вы можете подключить пользовательское приложение в качестве приложения управления приложениями условного доступа для мониторинга сеансов с низким уровнем доверия.
Дополнительные сведения см. в следующих разделах: