Пилотный проект и развертывание Microsoft Defender для облачных приложений
Область применения:
- Microsoft Defender XDR
В этой статье представлен рабочий процесс для пилотного развертывания и развертывания Microsoft Defender для облачных приложений в организации. Эти рекомендации можно использовать для подключения Microsoft Defender для облачных приложений в качестве отдельного средства кибербезопасности или в составе комплексного решения с помощью Microsoft Defender XDR.
В этой статье предполагается, что у вас есть рабочий клиент Microsoft 365 и вы выполняете пилотное развертывание Microsoft Defender для облачных приложений в этой среде. Эта практика будет поддерживать все параметры и настройки, настроенные во время пилотного проекта для полного развертывания.
Defender для Office 365 вносит свой вклад в архитектуру "Никому не доверяй", помогая предотвратить или уменьшить ущерб для бизнеса от брейка. Дополнительные сведения см. в статье Предотвращение или уменьшение ущерба для бизнеса в результате нарушения бизнес-сценария платформы внедрения "Никому не доверяй" (Майкрософт).
Комплексное развертывание XDR в Microsoft Defender
Это статья 5 из 6 в серии, помогающая развернуть компоненты XDR в Microsoft Defender, включая расследование инцидентов и реагирование на них.
Статьи этой серии:
| Этап | Ссылка |
|---|---|
| О. Запуск пилотного проекта | Запуск пилотного проекта |
| Б. Пилотный проект и развертывание компонентов XDR в Microsoft Defender | - Пилотное развертывание Defender для удостоверений - Пилотное развертывание Defender для Office 365 - Пилотный проект и развертывание Defender для конечной точки - Пилотный проект и развертывание Microsoft Defender для облачных приложений (эта статья) |
| C. Исследование угроз и реагирование на них | Практическое исследование инцидентов и реагирование на инциденты |
Пилотный и развертывание рабочего процесса для Defender for Cloud Apps
На следующей схеме показан общий процесс развертывания продукта или службы в ИТ-среде.
Вы начинаете с оценки продукта или службы и того, как они будут работать в вашей организации. Затем вы пилотируете продукт или службу с подходящим небольшим подмножеством производственной инфраструктуры для тестирования, обучения и настройки. Затем постепенно увеличивайте область развертывания, пока не будет охвачена вся инфраструктура или организация.
Ниже приведен рабочий процесс для пилотного развертывания и развертывания Defender for Cloud Apps в рабочей среде.
Выполните следующие действия:
- Подключение к порталу Defender for Cloud Apps
- Интеграция с Microsoft Defender для конечной точки
- Развертывание сборщика журналов в брандмауэрах и других прокси-серверах
- Создание пилотной группы
- Обнаружение облачных приложений и управление ими
- Настройка управления условным доступом к приложениям
- Применение политик сеансов к облачным приложениям
- Опробуйте дополнительные возможности
Ниже приведены рекомендуемые действия для каждого этапа развертывания.
| Этап развертывания | Описание |
|---|---|
| Оценка | Выполните оценку продукта для Defender for Cloud Apps. |
| Пилотный проект | Выполните шаги 1–4, а затем 5–8 для подходящего подмножества облачных приложений в рабочей среде. |
| Полное развертывание | Выполните шаги 5–8 для остальных облачных приложений, настроив область для пилотных групп пользователей или добавив группы пользователей, чтобы выйти за рамки пилотного проекта и включить все учетные записи пользователей. |
Защита организации от хакеров
Defender for Cloud Apps обеспечивает мощную защиту самостоятельно. Однако в сочетании с другими возможностями XDR в Microsoft Defender Defender Приложение Defender для облака предоставляет данные в общие сигналы, которые вместе помогают предотвратить атаки.
Ниже приведен пример кибератаки и того, как компоненты XDR в Microsoft Defender помогают обнаруживать и устранять ее.
Defender for Cloud Apps обнаруживает аномальное поведение, такое как невозможное перемещение, доступ к учетным данным, а также необычные действия скачивания, общей папки или пересылки почты, и отображает эти действия на портале Defender for Cloud Apps. Defender for Cloud Apps также помогает предотвратить боковое перемещение хакеров и кражу конфиденциальных данных.
XDR в Microsoft Defender сопоставляет сигналы от всех компонентов Microsoft Defender, чтобы предоставить полную историю атаки.
Роль Defender для облачных приложений в качестве CASB
Брокер безопасности доступа к облаку (CASB) выступает в качестве привратника для брокера доступа в режиме реального времени между корпоративными пользователями и облачными ресурсами, которые они используют, независимо от расположения пользователей и устройства, которое они используют. Defender for Cloud Apps — это CASB для облачных приложений вашей организации. Defender for Cloud Apps изначально интегрируется с возможностями безопасности Майкрософт, включая Microsoft Defender XDR.
Без Defender for Cloud Apps облачные приложения, используемые вашей организацией, не управляются и не защищены.
На этом рисунке:
- Использование облачных приложений организацией не контролируется и не защищено.
- Это использование выходит за рамки защиты, достигнутой в управляемой организации.
Чтобы обнаружить облачные приложения, используемые в вашей среде, можно реализовать один или оба следующих метода:
- Быстро приступить к работе с Cloud Discovery путем интеграции с Microsoft Defender для конечной точки. Эта встроенная интеграция позволяет сразу же начать сбор данных об облачном трафике на устройствах с Windows 10 и Windows 11 в сети и вне сети.
- Чтобы обнаружить все облачные приложения, к которым обращаются все устройства, подключенные к сети, разверните сборщик журналов Defender for Cloud Apps в брандмауэрах и других прокси-серверах. Это развертывание помогает собирать данные из конечных точек и отправлять их в Defender for Cloud Apps для анализа. Defender для облачных приложений изначально интегрируется с некоторыми сторонними прокси-серверами, чтобы получить еще больше возможностей.
В этой статье содержатся рекомендации по обоим методам.
Этап 1. Подключение к порталу Defender for Cloud Apps
Сведения о проверке лицензирования и подключении к порталу Defender for Cloud Apps см. в статье Краткое руководство. Начало работы с Microsoft Defender for Cloud Apps.
Если вы не можете подключиться к порталу сразу, может потребоваться добавить IP-адрес в список разрешенных брандмауэра. См. раздел Базовая настройка для Defender for Cloud Apps.
Если у вас по-прежнему возникают проблемы, ознакомьтесь с требованиями к сети.
Шаг 2. Интеграция с Microsoft Defender для конечной точки
Microsoft Defender для облачных приложений изначально интегрируется с Microsoft Defender для конечной точки. Интеграция упрощает развертывание Cloud Discovery, расширяет возможности Cloud Discovery за пределы корпоративной сети и позволяет проводить исследования на основе устройств. Эта интеграция показывает, что доступ к облачным приложениям и службам осуществляется с управляемых ИТ-служб устройствами Windows 10 и Windows 11.
Если вы уже настроили Microsoft Defender для конечной точки, настройка интеграции с Defender for Cloud Apps является переключателем в XDR в Microsoft Defender. После включения интеграции можно вернуться на портал Defender for Cloud Apps и просмотреть расширенные данные на панели мониторинга Cloud Discovery.
Чтобы выполнить эти задачи, см . статью Интеграция Microsoft Defender для конечной точки с Microsoft Defender для облачных приложений.
Шаг 3. Развертывание сборщика журналов Defender for Cloud Apps в брандмауэрах и других прокси-серверах
Для покрытия на всех устройствах, подключенных к сети, разверните сборщик журналов Defender for Cloud Apps в брандмауэрах и других прокси-серверах, чтобы собрать данные из конечных точек и отправить их в Defender for Cloud Apps для анализа.
Если вы используете один из следующих безопасных веб-шлюзов (SWG), Defender for Cloud Apps обеспечивает простое развертывание и интеграцию:
- Zscaler
- iboss
- Коррата
- Menlo Security
Дополнительные сведения об интеграции с этими сетевыми устройствами см. в статье Настройка Cloud Discovery.
Этап 4. Создание пилотной группы — область пилотного развертывания для определенных групп пользователей
Microsoft Defender for Cloud Apps позволяет определить область развертывания. Область позволяет выбрать определенные группы пользователей, которые будут отслеживаться для приложений или исключаться из мониторинга. Можно включить или исключить группы пользователей. Сведения о области пилотного развертывания см. в разделе Развертывание с областью действия.
Этап 5. Обнаружение облачных приложений и управление ими
Чтобы defender for Cloud Apps обеспечил максимальный объем защиты, необходимо обнаружить все облачные приложения в организации и управлять их использованием.
Обнаружение облачных приложений
Первый шаг к управлению использованием облачных приложений — определить, какие облачные приложения используются вашей организацией. На следующей схеме показано, как облачное обнаружение работает с Defender for Cloud Apps.
На этом рисунке можно использовать два метода для мониторинга сетевого трафика и обнаружения облачных приложений, используемых вашей организацией.
Cloud App Discovery изначально интегрируется с Microsoft Defender для конечной точки. Defender для конечной точки сообщает об облачных приложениях и службах, доступ к которым осуществляется с управляемых ИТ-служб устройств Windows 10 и Windows 11.
Для покрытия на всех устройствах, подключенных к сети, вы устанавливаете сборщик журналов Defender for Cloud Apps на брандмауэрах и других прокси-серверах для сбора данных из конечных точек. Сборщик отправляет эти данные в Defender for Cloud Apps для анализа.
Просмотрите панель мониторинга Cloud Discovery, чтобы узнать, какие приложения используются в вашей организации
Панель мониторинга Cloud Discovery предназначена для получения дополнительных сведений о том, как облачные приложения используются в вашей организации. Он содержит краткий обзор используемых приложений, открытых оповещений и уровней риска приложений в вашей организации.
Сведения о начале работы с панелью мониторинга Cloud Discovery см. в статье Работа с обнаруженными приложениями.
Управление облачными приложениями
После того как вы обнаружите облачные приложения и проанализируете, как эти приложения используются в вашей организации, вы можете приступить к управлению выбранными облачными приложениями.
На этой иллюстрации:
- Некоторые приложения разрешены для использования. Санкционирование — это простой способ начать управление приложениями.
- Вы можете обеспечить большую видимость и контроль, подключив приложения с помощью соединителей приложений. Соединители приложений используют API поставщиков приложений.
Вы можете начать управление приложениями, санкционирование, несанкционированное или прямое блокирование приложений. Сведения о начале управления приложениями см. в статье Управление обнаруженными приложениями.
Этап 6. Настройка управления условным доступом к приложениям
Одной из самых эффективных средств защиты, которые можно настроить, является управление условным доступом к приложениям. Для этой защиты требуется интеграция с Идентификатором Microsoft Entra. Она позволяет применять политики условного доступа, включая связанные политики (например, требование работоспособности устройств) к санкционированным облачным приложениям.
Возможно, у вас уже есть приложения SaaS, добавленные в клиент Microsoft Entra для применения многофакторной проверки подлинности и других политик условного доступа. Microsoft Defender для облачных приложений изначально интегрируется с Идентификатором Microsoft Entra. Все, что нужно сделать, это настроить политику в Идентификаторе Microsoft Entra для использования управления условным доступом к приложениям в Defender for Cloud Apps. Это маршрутизирует сетевой трафик для этих управляемых приложений SaaS через Defender for Cloud Apps в качестве прокси-сервера, что позволяет Defender для облачных приложений отслеживать этот трафик и применять элементы управления сеансами.
На этой иллюстрации:
- Приложения SaaS интегрированы с клиентом Microsoft Entra. Эта интеграция позволяет Идентификатору Microsoft Entra применять политики условного доступа, включая многофакторную проверку подлинности.
- В Идентификатор Microsoft Entra добавляется политика для перенаправления трафика для приложений SaaS в Defender for Cloud Apps. Политика указывает, к каким приложениям SaaS следует применить эту политику. После того как Microsoft Entra ID принудительно применяет политики условного доступа, применяемые к этим приложениям SaaS, Microsoft Entra ID направляет трафик сеанса (прокси-серверы) через Defender for Cloud Apps.
- Defender for Cloud Apps отслеживает этот трафик и применяет все политики управления сеансами, настроенные администраторами.
Возможно, вы обнаружили и санкционировали облачные приложения с помощью Defender for Cloud Apps, которые не были добавлены в идентификатор Microsoft Entra. Вы можете воспользоваться преимуществами управления условным доступом к приложениям, добавив эти облачные приложения в клиент Microsoft Entra и область действия правил условного доступа.
Первым шагом в использовании Microsoft Defender for Cloud Apps для управления приложениями SaaS является обнаружение этих приложений и их добавление в клиент Microsoft Entra. Если вам нужна помощь с обнаружением, см. статью Обнаружение приложений SaaS в сети и управление ими. После обнаружения приложений добавьте их в клиент Microsoft Entra.
Вы можете начать управление этими приложениями с помощью следующих задач:
- В Microsoft Entra ID создайте новую политику условного доступа и настройте для нее значение "Использовать управление условным доступом к приложениям". Эта конфигурация помогает перенаправить запрос в Defender for Cloud Apps. Вы можете создать одну политику и добавить в нее все приложения SaaS.
- Затем в Defender for Cloud Apps создайте политики сеансов. Создайте одну политику для каждого элемента управления, который вы хотите применить.
Дополнительные сведения, включая поддерживаемые приложения и клиенты, см. в статье Защита приложений с помощью управления условным доступом к приложениям в Microsoft Defender for Cloud Apps.
Примеры политик см. в разделе Рекомендуемые политики Microsoft Defender для облачных приложений для приложений SaaS. Эти политики создаются на основе набора общих политик доступа к удостоверениям и устройствам , которые рекомендуются в качестве отправной точки для всех клиентов.
Этап 7. Применение политик сеансов к облачным приложениям
Microsoft Defender для облачных приложений выступает в качестве обратного прокси-сервера, предоставляя прокси-доступ к санкционированным облачным приложениям. Эта подготовка позволяет Defender для облачных приложений применять настроенные вами политики сеансов.
На этом рисунке:
- Доступ к санкционированным облачным приложениям от пользователей и устройств в вашей организации направляется через Defender для облачных приложений.
- Этот прокси-доступ позволяет применять политики сеансов.
- Облачные приложения, которые не санкционированы или явно не санкционированы, не затрагиваются.
Политики сеансов позволяют применять параметры к использованию облачных приложений в организации. Например, если ваша организация использует Salesforce, можно настроить политику сеанса, которая разрешает доступ к данным вашей организации только управляемым устройствам в Salesforce. Более простым примером может быть настройка политики для мониторинга трафика с неуправляемых устройств, чтобы можно было проанализировать риск этого трафика перед применением более строгих политик.
Дополнительные сведения см. в разделе Создание политик сеансов.
Шаг 8. Опробуйте дополнительные возможности
Используйте эти учебники по Defender для облачных приложений, чтобы выявить риски и защитить среду:
- Обнаружение подозрительных действий пользователей
- Исследование рискованных пользователей
- Изучение рискованных приложений OAuth
- Обнаружение и защита конфиденциальной информации
- Защита любого приложения в организации в режиме реального времени
- Блокировать скачивание конфиденциальной информации
- Защита файлов с помощью карантина администратора
- Требовать поэтапной проверки подлинности при рискованном действии
Дополнительные сведения о расширенном поиске данных в Microsoft Defender for Cloud Apps см. в этом видео.
Интеграция SIEM
Вы можете интегрировать Defender for Cloud Apps с Microsoft Sentinel или универсальной службой управления информационной безопасностью и событиями (SIEM), чтобы обеспечить централизованный мониторинг оповещений и действий из подключенных приложений. С помощью Microsoft Sentinel вы можете более полно анализировать события безопасности в организации и создавать сборники схем для эффективного и немедленного реагирования.
Microsoft Sentinel включает соединитель Defender для облачных приложений. Это позволяет не только получить представление о облачных приложениях, но и получить сложную аналитику для выявления киберугроз и борьбы с ними, а также для управления перемещением данных. Дополнительные сведения см. в статье Интеграция Microsoft Sentinel и оповещения Stream и журналы Cloud Discovery из Defender for Cloud Apps в Microsoft Sentinel.
Сведения об интеграции со сторонними системами SIEM см. в разделе Универсальная интеграция SIEM.
Следующее действие
Управление жизненным циклом для Defender for Cloud Apps.
Следующий шаг для комплексного развертывания XDR в Microsoft Defender
Продолжайте комплексное развертывание XDR в Microsoft Defender с помощью анализа и реагирования с помощью XDR в Microsoft Defender.
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по