Dela via


Metodtips för att skydda din organisation med Defender for Cloud Apps

Den här artikeln innehåller metodtips för att skydda din organisation med hjälp av Microsoft Defender för Cloud Apps. De här metodtipsen kommer från vår erfarenhet av Defender for Cloud Apps och upplevelserna hos kunder som du.

Metodtipsen som beskrivs i den här artikeln är:

Identifiera och utvärdera molnappar

Genom att integrera Defender för Cloud Apps med Microsoft Defender za krajnju tačku kan du använda molnidentifiering utöver företagets nätverk eller säkra webbgatewayer. Med den kombinerade användar- och enhetsinformationen kan du identifiera riskfyllda användare eller enheter, se vilka appar de använder och undersöka vidare i Defender för Endpoint-portalen.

Bästa praxis: Aktivera Identifiering av skugg-IT med hjälp av Defender för Endpoint
Information: Molnidentifiering analyserar trafikloggar som samlats in av Defender för Endpoint och utvärderar identifierade appar mot molnappkatalogen för att tillhandahålla efterlevnads- och säkerhetsinformation. Genom att konfigurera molnidentifiering får du insyn i molnanvändning, Skugg-IT och kontinuerlig övervakning av de icke-sanktionerade appar som används av dina användare.
Mer information finns i:


Bästa praxis: Konfigurera App Discovery-principer för att proaktivt identifiera riskfyllda, icke-kompatibla och trendande appar
Information: Appidentifieringsprinciper gör det enklare att spåra viktiga identifierade program i din organisation för att hjälpa dig att hantera dessa program effektivt. Skapa principer för att ta emot aviseringar när du identifierar nya appar som identifieras som antingen riskfyllda, icke-kompatibla, trendande eller stora volymer.
Mer information finns i:


Bästa praxis: Hantera OAuth-appar som är auktoriserade av dina användare
Information: Många användare beviljar oauth-behörigheter till appar från tredje part för att få åtkomst till sin kontoinformation och ger därmed oavsiktligt även åtkomst till sina data i andra molnappar. Vanligtvis har IT ingen insyn i dessa appar, vilket gör det svårt att väga säkerhetsrisken för en app mot den produktivitetsförmån som den ger.

Defender för Cloud Apps ger dig möjlighet att undersöka och övervaka de appbehörigheter som dina användare har beviljat. Du kan använda den här informationen för att identifiera en potentiellt misstänkt app och om du bedömer att det är riskabelt kan du förbjuda åtkomst till den.
Mer information finns i:





Tillämpa principer för molnstyrning

Bästa praxis: Tagga appar och exportera blockskript
Information: När du har granskat listan över identifierade appar i din organisation kan du skydda din miljö mot oönskad appanvändning. Du kan använda taggen Sanktionerad för appar som är godkända av din organisation och taggen Unsanctioned för appar som inte är det. Du kan övervaka icke-sanktionerade appar med hjälp av identifieringsfilter eller exportera ett skript för att blockera icke-sanktionerade appar med hjälp av dina lokala säkerhetsinstallationer. Med hjälp av taggar och exportskript kan du organisera dina appar och skydda din miljö genom att endast tillåta att säkra appar nås.
Mer information finns i:


Begränsa exponeringen av delade data och framtvinga samarbetsprinciper

Bästa praxis: Ansluta Microsoft 365
Information: Om du ansluter Microsoft 365 till Defender för molnappar får du omedelbar insyn i användarnas aktiviteter, filer som de kommer åt och tillhandahåller styrningsåtgärder för Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange och Dynamics.
Mer information finns i:


Bästa praxis: Ansluta dina appar
Information: När du ansluter dina appar till Defender for Cloud Apps får du bättre insikter om användarnas aktiviteter, hotidentifiering och styrningsfunktioner. Om du vill se vilka app-API:er från tredje part som stöds går du till Anslut appar.

Mer information finns i:


Bästa praxis: Skapa principer för att ta bort delning med personliga konton
Information: Om du ansluter Microsoft 365 till Defender för molnappar får du omedelbar insyn i användarnas aktiviteter, filer som de kommer åt och tillhandahåller styrningsåtgärder för Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange och Dynamics.
Mer information finns i:


Identifiera, klassificera, märka och skydda reglerade och känsliga data som lagras i molnet

Bästa praxis: Integrera med Microsoft Purview Information Protection
Information: Integrering med Microsoft Purview Information Protection ger dig möjlighet att automatiskt tillämpa känslighetsetiketter och eventuellt lägga till krypteringsskydd. När integreringen är aktiverad kan du använda etiketter som en styrningsåtgärd, visa filer efter klassificering, undersöka filer efter klassificeringsnivå och skapa detaljerade principer för att se till att klassificerade filer hanteras korrekt. Om du inte aktiverar integreringen kan du inte dra nytta av möjligheten att automatiskt skanna, märka och kryptera filer i molnet.
Mer information finns i:


Bästa praxis: Skapa principer för dataexponering
Information: Använd filprinciper för att identifiera informationsdelning och söka efter konfidentiell information i dina molnappar. Skapa följande filprinciper för att varna dig när dataexponeringar identifieras:

  • Filer som delas externt med känsliga data
  • Filer som delas externt och är märkta som konfidentiella
  • Filer som delas med obehöriga domäner
  • Skydda känsliga filer i SaaS-appar

Mer information finns i:


Bästa praxis: Granska rapporter på sidan Filer
Information: När du har anslutit olika SaaS-appar med appanslutningsprogram genomsöker Defender for Cloud Apps filer som lagras av dessa appar. Varje gång en fil ändras genomsöks den dessutom igen. Du kan använda sidan Filer för att förstå och undersöka vilka typer av data som lagras i dina molnappar. För att hjälpa dig att undersöka kan du filtrera efter domäner, grupper, användare, skapandedatum, tillägg, filnamn och typ, fil-ID, känslighetsetikett med mera. Med hjälp av dessa filter får du kontroll över hur du väljer att undersöka filer för att se till att ingen av dina data är i fara. När du har bättre förståelse för hur dina data används kan du skapa principer för att söka efter känsligt innehåll i dessa filer.
Mer information finns i:





Tillämpa DLP- och efterlevnadsprinciper för data som lagras i molnet

Bästa praxis: Skydda konfidentiella data från att delas med externa användare
Information: Skapa en filprincip som identifierar när en användare försöker dela en fil med känslighetsetiketten Konfidentiellt med någon utanför organisationen och konfigurera dess styrningsåtgärd för att ta bort externa användare. Den här principen säkerställer att dina konfidentiella data inte lämnar organisationen och att externa användare inte kan få åtkomst till dem.
Mer information finns i:





Blockera och skydda nedladdning av känsliga data till ohanterade eller riskfyllda enheter

Bästa praxis: Hantera och kontrollera åtkomst till högriskenheter
Information: Använd appkontroll för villkorsstyrd åtkomst för att ange kontroller för dina SaaS-appar. Du kan skapa sessionsprinciper för att övervaka dina sessioner med hög risk och lågt förtroende. På samma sätt kan du skapa sessionsprinciper för att blockera och skydda nedladdningar av användare som försöker komma åt känsliga data från ohanterade eller riskfyllda enheter. Om du inte skapar sessionsprinciper för att övervaka högrisksessioner förlorar du möjligheten att blockera och skydda nedladdningar i webbklienten, samt möjligheten att övervaka sessionen med låg förtroende både i Microsoft- och tredjepartsappar.
Mer information finns i:





Skydda samarbete med externa användare genom att framtvinga sessionskontroller i realtid

Bästa praxis: Övervaka sessioner med externa användare med hjälp av appkontroll för villkorsstyrd åtkomst
Information: För att skydda samarbete i din miljö kan du skapa en sessionsprincip för att övervaka sessioner mellan dina interna och externa användare. Detta ger dig inte bara möjlighet att övervaka sessionen mellan dina användare (och meddela dem att deras sessionsaktiviteter övervakas), men det gör också att du kan begränsa specifika aktiviteter också. När du skapar sessionsprinciper för att övervaka aktivitet kan du välja de appar och användare som du vill övervaka.
Mer information finns i:





Identifiera molnhot, komprometterade konton, skadliga insiders och utpressningstrojaner

Bästa praxis: Justera avvikelseprinciper, ange IP-intervall, skicka feedback för aviseringar
Information: Principer för avvikelseidentifiering tillhandahåller användar- och entitetsbeteendeanalys (UEBA) och maskininlärning (ML) så att du omedelbart kan köra avancerad hotidentifiering i molnmiljön.

Principer för avvikelseidentifiering utlöses när det finns ovanliga aktiviteter som utförs av användarna i din miljö. Defender för Cloud Apps övervakar kontinuerligt användarnas aktiviteter och använder UEBA och ML för att lära sig och förstå användarnas normala beteende. Du kan justera principinställningarna så att de passar organisationens krav, till exempel kan du ange känsligheten för en princip samt omfånget för en princip till en viss grupp.

  • Justera och omfångsprinciper för avvikelseidentifiering: Om du till exempel vill minska antalet falska positiva identifieringar i den omöjliga reseaviseringen kan du ställa in principens känslighetsreglage till låg. Om du har användare i din organisation som är frekventa företagsresenärer kan du lägga till dem i en användargrupp och välja den gruppen i omfånget för principen.

  • Ange IP-intervall: Defender för Cloud Apps kan identifiera kända IP-adresser när IP-adressintervall har angetts. Med konfigurerade IP-adressintervall kan du tagga, kategorisera och anpassa hur loggar och aviseringar visas och undersöks. Genom att lägga till IP-adressintervall kan du minska falska positiva identifieringar och förbättra aviseringarnas noggrannhet. Om du väljer att inte lägga till dina IP-adresser kan du se ett ökat antal möjliga falska positiva identifieringar och aviseringar att undersöka.

  • Skicka feedback för aviseringar

    När du stänger eller löser aviseringar ska du skicka feedback med anledningen till att du avvisade aviseringen eller hur den har lösts. Den här informationen hjälper Defender for Cloud Apps att förbättra våra aviseringar och minska falska positiva identifieringar.

Mer information finns i:


Bästa praxis: Identifiera aktivitet från oväntade platser eller länder/regioner
Information: Skapa en aktivitetsprincip som meddelar dig när användare loggar in från oväntade platser eller länder/regioner. De här meddelandena kan varna dig för eventuellt komprometterade sessioner i din miljö så att du kan identifiera och åtgärda hot innan de inträffar.
Mer information finns i:


Bästa praxis: Skapa OAuth-appprinciper
Information: Skapa en OAuth-appprincip för att meddela dig när en OAuth-app uppfyller vissa kriterier. Du kan till exempel välja att bli meddelad när en specifik app som kräver en hög behörighetsnivå har använts av fler än 100 användare.
Mer information finns i:





Använda spårningsloggen för aktiviteter för kriminaltekniska undersökningar

Bästa praxis: Använd spårningsspåret för aktiviteter när du undersöker aviseringar
Information: Aviseringar utlöses när användar-, administratörs- eller inloggningsaktiviteter inte följer dina principer. Det är viktigt att undersöka aviseringar för att förstå om det finns ett möjligt hot i din miljö.

Du kan undersöka en avisering genom att välja den på sidan Aviseringar och granska spårningsspåret för aktiviteter som är relaterade till aviseringen. Granskningsloggen ger dig insyn i aktiviteter av samma typ, samma användare, samma IP-adress och plats, för att ge dig den övergripande berättelsen om en avisering. Om en avisering kräver ytterligare undersökning skapar du en plan för att lösa dessa aviseringar i din organisation.

När aviseringar avvisas är det viktigt att undersöka och förstå varför de inte har någon betydelse eller om de är falska positiva identifieringar. Om det finns en stor mängd sådana aktiviteter kan du också överväga att granska och justera principen som utlöser aviseringen.
Mer information finns i:





Skydda IaaS-tjänster och anpassade appar

Bästa praxis: Ansluta Azure, AWS och GCP
Information: Genom att ansluta var och en av dessa molnplattformar till Defender for Cloud Apps kan du förbättra funktionerna för hotidentifiering. Genom att övervaka administrativa aktiviteter och inloggningsaktiviteter för dessa tjänster kan du identifiera och meddelas om möjliga råstyrkeattacker, skadlig användning av ett privilegierat användarkonto och andra hot i din miljö. Du kan till exempel identifiera risker som ovanliga borttagningar av virtuella datorer eller till och med personifieringsaktiviteter i dessa appar.
Mer information finns i:


Bästa praxis: Registrera anpassade appar
Information: Om du vill få ytterligare insyn i aktiviteter från dina verksamhetsspecifika appar kan du registrera anpassade appar till Defender för Cloud Apps. När anpassade appar har konfigurerats ser du information om vem som använder dem, de IP-adresser som de används från och hur mycket trafik som kommer in i och ut ur appen.

Dessutom kan du registrera en anpassad app som en kontrollapp för villkorlig åtkomst för att övervaka deras sessioner med lågt förtroende. Microsoft Entra-ID-appar registreras automatiskt.

Mer information finns i: