Pilottesta och distribuera Microsoft Defender för Cloud Apps
Gäller för:
- Microsoft Defender XDR
Den här artikeln innehåller ett arbetsflöde för att testa och distribuera Microsoft Defender för molnappar i din organisation. Du kan använda dessa rekommendationer för att publicera Microsoft Defender för molnappar som ett enskilt cybersäkerhetsverktyg eller som en del av en heltäckande lösning med Microsoft Defender XDR.
Den här artikeln förutsätter att du har en Microsoft 365-produktionsklientorganisation och pilottestar och distribuerar Microsoft Defender för molnappar i den här miljön. Den här metoden underhåller alla inställningar och anpassningar som du konfigurerar under pilottestet för din fullständiga distribution.
Defender för Office 365 bidrar till en Zero Trust-arkitektur genom att hjälpa till att förhindra eller minska företagsskador från ett intrång. Mer information finns i Avsnittet om att förhindra eller minska affärsskador från ett scenario med intrång i Microsoft Zero Trust-implementeringsramverket.
Distribution från slutpunkt till slutpunkt för Microsoft Defender XDR
Det här är artikel 5 av 6 i en serie som hjälper dig att distribuera komponenterna i Microsoft Defender XDR, inklusive att undersöka och åtgärda incidenter.
Artiklarna i den här serien motsvarar följande faser i distributionen från slutpunkt till slutpunkt:
| Fas | Länk |
|---|---|
| A. Starta piloten | Starta piloten |
| B. Pilottesta och distribuera Microsoft Defender XDR-komponenter |
-
Pilottesta och distribuera Defender for Identity - Pilottesta och distribuera Defender för Office 365 - Pilottesta och distribuera Defender för Endpoint - Pilottesta och distribuera Microsoft Defender för Cloud Apps (den här artikeln) |
| C. Undersöka och svara på hot | Öva incidentundersökning och svar |
Pilot- och distributionsarbetsflöde för Defender för Cloud Apps
Följande diagram illustrerar en gemensam process för att distribuera en produkt eller tjänst i en IT-miljö.
Du börjar med att utvärdera produkten eller tjänsten och hur den fungerar i din organisation. Sedan pilottestar du produkten eller tjänsten med en lämplig liten delmängd av produktionsinfrastrukturen för testning, inlärning och anpassning. Öka sedan distributionens omfattning gradvis tills hela infrastrukturen eller organisationen omfattas.
Här är arbetsflödet för att testa och distribuera Defender for Cloud Apps i din produktionsmiljö.
Gör så här:
- Ansluta till Defender för Cloud Apps-portalen
- Integrera med Microsoft Defender för Endpoint
- Distribuera logginsamlaren i dina brandväggar och andra proxyservrar
- Skapa en pilotgrupp
- Identifiera och hantera molnappar
- Konfigurera appkontroll för villkorsstyrd åtkomst
- Tillämpa sessionsprinciper på molnappar
- Prova ytterligare funktioner
Här är de rekommenderade stegen för varje distributionsfas.
| Distributionssteg | Beskrivning |
|---|---|
| Evaluera | Utför produktutvärdering för Defender för Cloud Apps. |
| Pilot | Utför steg 1–4 och sedan 5–8 för en lämplig delmängd av molnappar i produktionsmiljön. |
| Fullständig distribution | Utför steg 5–8 för dina återstående molnappar, justera omfånget för pilotanvändargrupper eller lägga till användargrupper för att expandera bortom piloten och inkludera alla dina användarkonton. |
Skydda din organisation från hackare
Defender för Cloud Apps ger ett kraftfullt skydd på egen hand. Men i kombination med de andra funktionerna i Microsoft Defender XDR tillhandahåller Defender för Cloud Apps data till de delade signalerna som tillsammans hjälper till att stoppa attacker.
Här är ett exempel på en cyberattack och hur komponenterna i Microsoft Defender XDR hjälper till att identifiera och åtgärda det.
Defender för Cloud Apps identifierar avvikande beteende som omöjlig resa, åtkomst till autentiseringsuppgifter och ovanlig nedladdning, filresurs eller vidarebefordran av e-post och visar dessa beteenden i Defender för Cloud Apps-portalen. Defender för Cloud Apps hjälper också till att förhindra lateral förflyttning av hackare och exfiltrering av känsliga data.
Microsoft Defender XDR korrelerar signalerna från alla Microsoft Defender-komponenter för att ge den fullständiga attackberättelsen.
Rollen Defender för Cloud Apps som CASB
En molnåtkomstsäkerhetskoordinator (CASB) fungerar som en gatekeeper för att asynkronisera åtkomst i realtid mellan dina företagsanvändare och molnresurser som de använder, oavsett var användarna befinner sig och oavsett vilken enhet de använder. Defender for Cloud Apps är en CASB för din organisations molnappar. Defender för Cloud Apps integreras internt med Microsofts säkerhetsfunktioner, inklusive Microsoft Defender XDR.
Utan Defender för Cloud Apps är molnappar som används av din organisation ohanterade och oskyddade.
På bilden:
- En organisations användning av molnappar är oövervakad och oskyddad.
- Den här användningen ligger utanför det skydd som uppnås inom en hanterad organisation.
Om du vill identifiera molnappar som används i din miljö kan du implementera en eller båda av följande metoder:
- Kom igång snabbt med Cloud Discovery genom att integrera med Microsoft Defender för Endpoint. Med den här interna integreringen kan du omedelbart börja samla in data om molntrafik på dina Windows 10- och Windows 11-enheter, på och utanför nätverket.
- Om du vill identifiera alla molnappar som nås av alla enheter som är anslutna till nätverket distribuerar du Logginsamlaren för Defender for Cloud Apps i dina brandväggar och andra proxyservrar. Den här distributionen hjälper dig att samla in data från dina slutpunkter och skickar dem till Defender för Cloud Apps för analys. Defender för Cloud Apps integreras internt med vissa proxyservrar från tredje part för ännu fler funktioner.
Den här artikeln innehåller vägledning för båda metoderna.
Steg 1. Ansluta till Defender för Cloud Apps-portalen
Information om hur du verifierar licensiering och ansluter till Defender för Cloud Apps-portalen finns i Snabbstart: Komma igång med Microsoft Defender för molnappar.
Om du inte omedelbart kan ansluta till portalen kan du behöva lägga till IP-adressen i listan över tillåtna i brandväggen. Se Grundläggande konfiguration för Defender för Cloud Apps.
Om du fortfarande har problem kan du läsa Nätverkskrav.
Steg 2: Integrera med Microsoft Defender för Endpoint
Microsoft Defender för Cloud Apps integreras med Microsoft Defender för Endpoint internt. Integreringen förenklar distributionen av Cloud Discovery, utökar Cloud Discovery-funktionerna utanför företagets nätverk och möjliggör enhetsbaserad undersökning. Den här integreringen visar molnappar och tjänster som används från IT-hanterade Windows 10- och Windows 11-enheter.
Om du redan har konfigurerat Microsoft Defender för Endpoint är konfiguration av integrering med Defender för Cloud Apps en växlingsknapp i Microsoft Defender XDR. När integreringen är aktiverad kan du gå tillbaka till Defender for Cloud Apps-portalen och visa omfattande data på instrumentpanelen för Cloud Discovery.
Information om hur du utför dessa uppgifter finns i Microsoft Defender för Endpoint-integrering med Microsoft Defender för Cloud Apps.
Steg 3: Distribuera Defender för Cloud Apps-logginsamlaren i dina brandväggar och andra proxyservrar
Om du vill ha täckning på alla enheter som är anslutna till nätverket distribuerar du logginsamlaren Defender för Cloud Apps i dina brandväggar och andra proxyservrar för att samla in data från dina slutpunkter och skicka dem till Defender för Cloud Apps för analys.
Om du använder någon av följande säkra webbgatewayer (SWG) ger Defender for Cloud Apps sömlös distribution och integrering:
- Zscaler
- iboss
- Corrata
- Menlo Security
Mer information om hur du integrerar med dessa nätverksenheter finns i Konfigurera Cloud Discovery.
Steg 4. Skapa en pilotgrupp – Begränsa pilotdistributionen till vissa användargrupper
Med Microsoft Defender för Cloud Apps kan du begränsa distributionen. Med omfång kan du välja vissa användargrupper som ska övervakas för appar eller undantas från övervakning. Du kan inkludera eller exkludera användargrupper. Information om hur du omfångsbegränsar pilotdistributionen finns i Omfångsdistribution.
Steg 5: Identifiera och hantera molnappar
För att Defender for Cloud Apps ska kunna ge maximalt skydd måste du identifiera alla molnappar i din organisation och hantera hur de används.
Identifiera molnappar
Det första steget för att hantera användningen av molnappar är att identifiera vilka molnappar som används av din organisation. I nästa diagram visas hur molnidentifiering fungerar med Defender för Cloud Apps.
I den här bilden finns det två metoder som kan användas för att övervaka nätverkstrafik och identifiera molnappar som används av din organisation.
Cloud App Discovery integreras med Microsoft Defender för Endpoint internt. Defender för Endpoint rapporterar molnappar och tjänster som nås från IT-hanterade Windows 10- och Windows 11-enheter.
För täckning på alla enheter som är anslutna till ett nätverk installerar du Logginsamlaren för Defender för Cloud Apps i brandväggar och andra proxyservrar för att samla in data från slutpunkter. Insamlaren skickar dessa data till Defender för Cloud Apps för analys.
Visa Cloud Discovery-instrumentpanelen för att se vilka appar som används i din organisation
Cloud Discovery-instrumentpanelen är utformad för att ge dig mer inblick i hur molnappar används i din organisation. Den ger en översikt över vilka typer av appar som används, dina öppna aviseringar och risknivåerna för appar i din organisation.
Information om hur du kommer igång med Cloud Discovery-instrumentpanelen finns i Arbeta med identifierade appar.
Hantera molnappar
När du har upptäckt molnappar och analyserat hur dessa appar används av din organisation kan du börja hantera molnappar som du väljer.
I den här illustrationen:
- Vissa appar sanktioneras för användning. Sanktionering är ett enkelt sätt att börja hantera appar.
- Du kan aktivera större synlighet och kontroll genom att ansluta appar med appanslutningsprogram. Appanslutningsprogram använder API:er för appleverantörer.
Du kan börja hantera appar genom att sanktionera, osanktionera eller direkt blockera appar. Information om hur du börjar hantera appar finns i Styra identifierade appar.
Steg 6. Konfigurera appkontroll för villkorsstyrd åtkomst
Ett av de mest kraftfulla skydden du kan konfigurera är Appkontroll för villkorsstyrd åtkomst. Det här skyddet kräver integrering med Microsoft Entra-ID. Det gör att du kan tillämpa principer för villkorsstyrd åtkomst, inklusive relaterade principer (som att kräva felfria enheter) för molnappar som du har sanktionerat.
Du kanske redan har Lagt till SaaS-appar i din Microsoft Entra-klientorganisation för att framtvinga multifaktorautentisering och andra principer för villkorlig åtkomst. Microsoft Defender för Cloud Apps integreras internt med Microsoft Entra-ID. Allt du behöver göra är att konfigurera en princip i Microsoft Entra-ID för att använda appkontroll för villkorsstyrd åtkomst i Defender för molnappar. Detta dirigerar nätverkstrafik för dessa hanterade SaaS-appar via Defender for Cloud Apps som en proxy, vilket gör att Defender för Cloud Apps kan övervaka trafiken och tillämpa sessionskontroller.
I den här illustrationen:
- SaaS-appar är integrerade med Microsoft Entra-klientorganisationen. Med den här integreringen kan Microsoft Entra-ID:t framtvinga principer för villkorlig åtkomst, inklusive multifaktorautentisering.
- En princip läggs till i Microsoft Entra-ID för att dirigera trafik för SaaS-appar till Defender för Cloud Apps. Principen anger vilka SaaS-appar som principen ska tillämpas på. När Microsoft Entra-ID har tillämpat alla principer för villkorlig åtkomst som gäller för dessa SaaS-appar dirigerar Microsoft Entra-ID (proxyservrar) sessionstrafiken via Defender för Cloud Apps.
- Defender för Cloud Apps övervakar trafiken och tillämpar alla principer för sessionskontroll som har konfigurerats av administratörer.
Du kanske har identifierat och sanktionerat molnappar med defender för molnappar som inte har lagts till i Microsoft Entra-ID. Du kan dra nytta av appkontrollen för villkorsstyrd åtkomst genom att lägga till dessa molnappar i din Microsoft Entra-klientorganisation och omfånget för dina regler för villkorsstyrd åtkomst.
Det första steget i att använda Microsoft Defender för Cloud Apps för att hantera SaaS-appar är att identifiera dessa appar och sedan lägga till dem i din Microsoft Entra-klientorganisation. Om du behöver hjälp med identifiering läser du Identifiera och hantera SaaS-appar i nätverket. När du har identifierat appar lägger du till dessa appar i din Microsoft Entra-klientorganisation.
Du kan börja hantera dessa appar med följande uppgifter:
- I Microsoft Entra-ID skapar du en ny princip för villkorlig åtkomst och konfigurerar den till "Använd appkontroll för villkorsstyrd åtkomst". Den här konfigurationen hjälper dig att omdirigera begäran till Defender for Cloud Apps. Du kan skapa en princip och lägga till alla SaaS-appar i den här principen.
- Skapa sedan sessionsprinciper i Defender för Cloud Apps. Skapa en princip för varje kontroll som du vill tillämpa.
Mer information, inklusive appar och klienter som stöds, finns i Skydda appar med Microsoft Defender för molnappar för appkontroll med villkorsstyrd åtkomst.
Exempel på principer finns i Rekommenderade Microsoft Defender för Cloud Apps-principer för SaaS-appar. Dessa principer bygger på en uppsättning vanliga principer för identitets- och enhetsåtkomst som rekommenderas som utgångspunkt för alla kunder.
Steg 7. Tillämpa sessionsprinciper på molnappar
Microsoft Defender för Cloud Apps fungerar som en omvänd proxy som ger proxyåtkomst till sanktionerade molnappar. Med den här etableringen kan Defender för Cloud Apps tillämpa sessionsprinciper som du konfigurerar.
På bilden:
- Åtkomst till sanktionerade molnappar från användare och enheter i din organisation dirigeras via Defender for Cloud Apps.
- Med den här proxyåtkomsten kan sessionsprinciper tillämpas.
- Molnappar som du inte har sanktionerat eller uttryckligen inte sanktionerat påverkas inte.
Med sessionsprinciper kan du använda parametrar för hur molnappar används av din organisation. Om din organisation till exempel använder Salesforce kan du konfigurera en sessionsprincip som endast tillåter hanterade enheter att komma åt organisationens data i Salesforce. Ett enklare exempel kan vara att konfigurera en princip för att övervaka trafik från ohanterade enheter så att du kan analysera risken för den här trafiken innan du tillämpar strängare principer.
Mer information finns i Skapa sessionsprinciper.
Steg 8. Prova ytterligare funktioner
Använd de här självstudierna om Defender för Cloud Apps för att identifiera risker och skydda din miljö:
- Identifiera misstänkt användaraktivitet
- Undersöka riskfyllda användare
- Undersöka riskfyllda OAuth-appar
- Identifiera och skydda känslig information
- Skydda alla appar i din organisation i realtid
- Blockera nedladdningar av känslig information
- Skydda dina filer med administratörskarantän
- Kräv stegvis autentisering vid riskfylld åtgärd
Mer information om avancerad jakt i Microsoft Defender för Cloud Apps-data finns i den här videon.
SIEM-integrering
Du kan integrera Defender for Cloud Apps med Microsoft Sentinel eller en allmän SIEM-tjänst (säkerhetsinformation och händelsehantering) för att aktivera centraliserad övervakning av aviseringar och aktiviteter från anslutna appar. Med Microsoft Sentinel kan du mer omfattande analysera säkerhetshändelser i organisationen och skapa spelböcker för effektiv och omedelbar respons.
Microsoft Sentinel innehåller en Defender för Cloud Apps-anslutning. På så sätt kan du inte bara få insyn i dina molnappar utan även få avancerade analyser för att identifiera och bekämpa cyberhot och styra hur dina data färdas. Mer information finns i Microsoft Sentinel-integrering och Stream-aviseringar och Cloud Discovery-loggar från Defender för Cloud Apps till Microsoft Sentinel.
Information om integrering med SIEM-system från tredje part finns i Allmän SIEM-integrering.
Nästa steg
Utföra livscykelhantering för Defender för Cloud Apps.
Nästa steg för distribution från slutpunkt till slutpunkt av Microsoft Defender XDR
Fortsätt distributionen från slutpunkt till slutpunkt av Microsoft Defender XDR med Undersök och svara med Hjälp av Microsoft Defender XDR.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för