Pilottesta och distribuera Microsoft Defender for Cloud Apps
Gäller för:
- Microsoft Defender XDR
Den här artikeln innehåller ett arbetsflöde för att testa och distribuera Microsoft Defender for Cloud Apps i din organisation. Du kan använda dessa rekommendationer för att registrera Microsoft Defender for Cloud Apps som ett enskilt cybersäkerhetsverktyg eller som en del av en heltäckande lösning med Microsoft Defender XDR.
Den här artikeln förutsätter att du har en Microsoft 365-produktionsklientorganisation och pilottestar och distribuerar Microsoft Defender for Cloud Apps i den här miljön. Den här metoden underhåller alla inställningar och anpassningar som du konfigurerar under pilottestet för din fullständiga distribution.
Defender för Office 365 bidrar till en Nolltillit arkitektur genom att hjälpa till att förhindra eller minska affärsskador från ett intrång. Mer information finns i Avsnittet om att förhindra eller minska affärsskador från ett scenario med intrång i Microsoft Nolltillit-implementeringsramverket.
Distribution från slutpunkt till slutpunkt för Microsoft Defender XDR
Det här är artikel 5 av 6 i en serie som hjälper dig att distribuera komponenterna i Microsoft Defender XDR, inklusive att undersöka och åtgärda incidenter.
Artiklarna i den här serien motsvarar följande faser i distributionen från slutpunkt till slutpunkt:
| Fas | Länk |
|---|---|
| A. Starta piloten | Starta piloten |
| B. Pilottesta och distribuera Microsoft Defender XDR komponenter |
-
Pilottesta och distribuera Defender for Identity - Pilottesta och distribuera Defender för Office 365 - Pilottesta och distribuera Defender för Endpoint - Pilottesta och distribuera Microsoft Defender for Cloud Apps (den här artikeln) |
| C. Undersöka och svara på hot | Öva incidentundersökning och svar |
Pilottesta och distribuera arbetsflöde för Defender for Cloud Apps
Följande diagram illustrerar en gemensam process för att distribuera en produkt eller tjänst i en IT-miljö.
Du börjar med att utvärdera produkten eller tjänsten och hur den fungerar i din organisation. Sedan pilottestar du produkten eller tjänsten med en lämplig liten delmängd av produktionsinfrastrukturen för testning, inlärning och anpassning. Öka sedan distributionens omfattning gradvis tills hela infrastrukturen eller organisationen omfattas.
Här är arbetsflödet för att testa och distribuera Defender for Cloud Apps i produktionsmiljön.
Gör så här:
- Ansluta till Defender for Cloud Apps-portalen
- Integrera med Microsoft Defender för Endpoint
- Distribuera logginsamlaren i dina brandväggar och andra proxyservrar
- Skapa en pilotgrupp
- Identifiera och hantera molnappar
- Konfigurera appkontroll för villkorsstyrd åtkomst
- Tillämpa sessionsprinciper på molnappar
- Prova ytterligare funktioner
Här är de rekommenderade stegen för varje distributionsfas.
| Distributionssteg | Beskrivning |
|---|---|
| Evaluera | Utför produktutvärdering för Defender for Cloud Apps. |
| Pilot | Utför steg 1–4 och sedan 5–8 för en lämplig delmängd av molnappar i produktionsmiljön. |
| Fullständig distribution | Utför steg 5–8 för dina återstående molnappar, justera omfånget för pilotanvändargrupper eller lägga till användargrupper för att expandera bortom piloten och inkludera alla dina användarkonton. |
Skydda din organisation från hackare
Defender for Cloud Apps ger ett kraftfullt skydd på egen hand. Men i kombination med de andra funktionerna i Microsoft Defender XDR tillhandahåller Defender for Cloud Apps data i de delade signalerna som tillsammans hjälper till att stoppa attacker.
Här är ett exempel på en cyberattack och hur komponenterna i Microsoft Defender XDR hjälpa till att identifiera och minimera den.
Defender for Cloud Apps identifierar avvikande beteende som omöjlig resa, åtkomst till autentiseringsuppgifter och ovanlig nedladdning, filresurs eller vidarebefordran av e-post och visar dessa beteenden i Defender for Cloud Apps-portalen. Defender for Cloud Apps hjälper också till att förhindra lateral förflyttning av hackare och exfiltrering av känsliga data.
Microsoft Defender XDR korrelerar signalerna från alla Microsoft Defender komponenter för att ge den fullständiga attackberättelsen.
Defender for Cloud Apps roll som CASB
En molnåtkomstsäkerhetskoordinator (CASB) fungerar som en gatekeeper för att asynkronisera åtkomst i realtid mellan dina företagsanvändare och molnresurser som de använder, oavsett var användarna befinner sig och oavsett vilken enhet de använder. Defender for Cloud Apps är en CASB för din organisations molnappar. Defender for Cloud Apps integreras internt med Microsofts säkerhetsfunktioner, inklusive Microsoft Defender XDR.
Utan Defender for Cloud Apps är molnappar som används av din organisation ohanterade och oskyddade.
På bilden:
- En organisations användning av molnappar är oövervakad och oskyddad.
- Den här användningen ligger utanför det skydd som uppnås inom en hanterad organisation.
Om du vill identifiera molnappar som används i din miljö kan du implementera en eller båda av följande metoder:
- Kom igång snabbt med Cloud Discovery genom att integrera med Microsoft Defender för Endpoint. Med den här interna integreringen kan du omedelbart börja samla in data om molntrafik i dina Windows 10 och Windows 11 enheter, på och utanför nätverket.
- Om du vill identifiera alla molnappar som nås av alla enheter som är anslutna till nätverket distribuerar du Defender for Cloud Apps logginsamlare i brandväggarna och andra proxyservrar. Den här distributionen hjälper dig att samla in data från dina slutpunkter och skickar dem till Defender for Cloud Apps för analys. Defender for Cloud Apps integreras internt med vissa proxyservrar från tredje part för ännu fler funktioner.
Den här artikeln innehåller vägledning för båda metoderna.
Steg 1. Ansluta till Defender for Cloud Apps-portalen
Information om hur du verifierar licensiering och ansluter till Defender for Cloud Apps-portalen finns i Snabbstart: Kom igång med Microsoft Defender for Cloud Apps.
Om du inte omedelbart kan ansluta till portalen kan du behöva lägga till IP-adressen i listan över tillåtna i brandväggen. Se Grundläggande konfiguration för Defender for Cloud Apps.
Om du fortfarande har problem kan du läsa Nätverkskrav.
Steg 2: Integrera med Microsoft Defender för Endpoint
Microsoft Defender for Cloud Apps integreras med Microsoft Defender för Endpoint internt. Integreringen förenklar distributionen av Cloud Discovery, utökar Cloud Discovery-funktionerna utanför företagets nätverk och möjliggör enhetsbaserad undersökning. Den här integreringen visar molnappar och tjänster som nås från IT-hanterade Windows 10 och Windows 11 enheter.
Om du redan har konfigurerat Microsoft Defender för Endpoint är konfiguration av integrering med Defender for Cloud Apps en växlingsknapp i Microsoft Defender XDR. När integreringen är aktiverad kan du gå tillbaka till Defender for Cloud Apps-portalen och visa omfattande data på Cloud Discovery-instrumentpanelen.
Information om hur du utför dessa uppgifter finns i Microsoft Defender för Endpoint integrering med Microsoft Defender for Cloud Apps.
Steg 3: Distribuera Defender for Cloud Apps logginsamlaren i dina brandväggar och andra proxyservrar
Om du vill ha täckning på alla enheter som är anslutna till nätverket distribuerar du Defender for Cloud Apps logginsamlare i brandväggarna och andra proxyservrar för att samla in data från dina slutpunkter och skicka dem till Defender for Cloud Apps för analys.
Om du använder någon av följande säkra webbgatewayer (SWG) ger Defender for Cloud Apps sömlös distribution och integrering:
- Zscaler
- iboss
- Corrata
- Menlo Security
Mer information om hur du integrerar med dessa nätverksenheter finns i Konfigurera Cloud Discovery.
Steg 4. Skapa en pilotgrupp – Begränsa pilotdistributionen till vissa användargrupper
Microsoft Defender for Cloud Apps gör att du kan begränsa distributionen. Med omfång kan du välja vissa användargrupper som ska övervakas för appar eller undantas från övervakning. Du kan inkludera eller exkludera användargrupper. Information om hur du omfångsbegränsar pilotdistributionen finns i Omfångsdistribution.
Steg 5: Identifiera och hantera molnappar
För att Defender for Cloud Apps ska kunna ge maximalt skydd måste du identifiera alla molnappar i din organisation och hantera hur de används.
Identifiera molnappar
Det första steget för att hantera användningen av molnappar är att identifiera vilka molnappar som används av din organisation. I nästa diagram visas hur molnidentifiering fungerar med Defender for Cloud Apps.
I den här bilden finns det två metoder som kan användas för att övervaka nätverkstrafik och identifiera molnappar som används av din organisation.
Cloud App Discovery integreras med Microsoft Defender för Endpoint internt. Defender för Endpoint rapporterar molnappar och tjänster som nås från IT-hanterade Windows 10 och Windows 11 enheter.
För täckning på alla enheter som är anslutna till ett nätverk installerar du Defender for Cloud Apps logginsamlare i brandväggar och andra proxyservrar för att samla in data från slutpunkter. Insamlaren skickar dessa data till Defender for Cloud Apps för analys.
Visa Cloud Discovery-instrumentpanelen för att se vilka appar som används i din organisation
Cloud Discovery-instrumentpanelen är utformad för att ge dig mer inblick i hur molnappar används i din organisation. Den ger en översikt över vilka typer av appar som används, dina öppna aviseringar och risknivåerna för appar i din organisation.
Information om hur du kommer igång med Cloud Discovery-instrumentpanelen finns i Arbeta med identifierade appar.
Hantera molnappar
När du har upptäckt molnappar och analyserat hur dessa appar används av din organisation kan du börja hantera molnappar som du väljer.
I den här illustrationen:
- Vissa appar sanktioneras för användning. Sanktionering är ett enkelt sätt att börja hantera appar.
- Du kan aktivera större synlighet och kontroll genom att ansluta appar med appanslutningsprogram. Appanslutningsprogram använder API:er för appleverantörer.
Du kan börja hantera appar genom att sanktionera, osanktionera eller direkt blockera appar. Information om hur du börjar hantera appar finns i Styra identifierade appar.
Steg 6. Konfigurera appkontroll för villkorsstyrd åtkomst
Ett av de mest kraftfulla skydden du kan konfigurera är Appkontroll för villkorsstyrd åtkomst. Det här skyddet kräver integrering med Microsoft Entra ID. Det gör att du kan tillämpa principer för villkorsstyrd åtkomst, inklusive relaterade principer (som att kräva felfria enheter) för molnappar som du har sanktionerat.
Du kanske redan har lagt till SaaS-appar i din Microsoft Entra klientorganisation för att framtvinga multifaktorautentisering och andra principer för villkorlig åtkomst. Microsoft Defender for Cloud Apps integreras internt med Microsoft Entra ID. Allt du behöver göra är att konfigurera en princip i Microsoft Entra ID för att använda appkontrollen för villkorsstyrd åtkomst i Defender for Cloud Apps. Detta dirigerar nätverkstrafik för dessa hanterade SaaS-appar via Defender for Cloud Apps som en proxy, vilket gör att Defender for Cloud Apps kan övervaka trafiken och tillämpa sessionskontroller.
I den här illustrationen:
- SaaS-appar är integrerade med Microsoft Entra klientorganisation. Med den här integreringen kan Microsoft Entra ID framtvinga principer för villkorlig åtkomst, inklusive multifaktorautentisering.
- En princip läggs till i Microsoft Entra ID för att dirigera trafik för SaaS-appar till Defender for Cloud Apps. Principen anger vilka SaaS-appar som principen ska tillämpas på. När Microsoft Entra ID tillämpar alla principer för villkorlig åtkomst som gäller för dessa SaaS-appar dirigerar Microsoft Entra ID (proxyservrar) sessionstrafiken via Defender for Cloud Apps.
- Defender for Cloud Apps övervakar trafiken och tillämpar alla principer för sessionskontroll som har konfigurerats av administratörer.
Du kanske har identifierat och sanktionerat molnappar med hjälp av Defender for Cloud Apps som inte har lagts till i Microsoft Entra ID. Du kan dra nytta av appkontrollen för villkorsstyrd åtkomst genom att lägga till dessa molnappar i din Microsoft Entra klientorganisation och omfånget för dina regler för villkorsstyrd åtkomst.
Det första steget i att använda Microsoft Defender for Cloud Apps för att hantera SaaS-appar är att identifiera dessa appar och sedan lägga till dem i din Microsoft Entra klientorganisation. Om du behöver hjälp med identifiering läser du Identifiera och hantera SaaS-appar i nätverket. När du har identifierat appar lägger du till dessa appar i din Microsoft Entra klientorganisation.
Du kan börja hantera dessa appar med följande uppgifter:
- I Microsoft Entra ID skapar du en ny princip för villkorlig åtkomst och konfigurerar den till "Använd appkontroll för villkorsstyrd åtkomst". Den här konfigurationen hjälper till att omdirigera begäran till Defender for Cloud Apps. Du kan skapa en princip och lägga till alla SaaS-appar i den här principen.
- Skapa sedan sessionsprinciper i Defender for Cloud Apps. Skapa en princip för varje kontroll som du vill tillämpa.
Mer information, inklusive appar och klienter som stöds, finns i Skydda appar med Microsoft Defender for Cloud Apps appkontroll för villkorsstyrd åtkomst.
Exempel på principer finns i Rekommenderade Microsoft Defender for Cloud Apps principer för SaaS-appar. Dessa principer bygger på en uppsättning vanliga principer för identitets- och enhetsåtkomst som rekommenderas som utgångspunkt för alla kunder.
Steg 7. Tillämpa sessionsprinciper på molnappar
Microsoft Defender for Cloud Apps fungerar som en omvänd proxy och ger proxyåtkomst till sanktionerade molnappar. Med den här etableringen kan Defender for Cloud Apps tillämpa sessionsprinciper som du konfigurerar.
På bilden:
- Åtkomst till sanktionerade molnappar från användare och enheter i din organisation dirigeras via Defender for Cloud Apps.
- Med den här proxyåtkomsten kan sessionsprinciper tillämpas.
- Molnappar som du inte har sanktionerat eller uttryckligen inte sanktionerat påverkas inte.
Med sessionsprinciper kan du använda parametrar för hur molnappar används av din organisation. Om din organisation till exempel använder Salesforce kan du konfigurera en sessionsprincip som endast tillåter hanterade enheter att komma åt organisationens data i Salesforce. Ett enklare exempel kan vara att konfigurera en princip för att övervaka trafik från ohanterade enheter så att du kan analysera risken för den här trafiken innan du tillämpar strängare principer.
Mer information finns i Skapa sessionsprinciper.
Steg 8. Prova ytterligare funktioner
Använd de här Defender for Cloud Apps självstudierna för att identifiera risker och skydda din miljö:
- Identifiera misstänkt användaraktivitet
- Undersöka riskfyllda användare
- Undersöka riskfyllda OAuth-appar
- Identifiera och skydda känslig information
- Skydda alla appar i din organisation i realtid
- Blockera nedladdningar av känslig information
- Skydda dina filer med administratörskarantän
- Kräv stegvis autentisering vid riskfylld åtgärd
Mer information om avancerad jakt i Microsoft Defender for Cloud Apps data finns i den här videon.
SIEM-integrering
Du kan integrera Defender for Cloud Apps med Microsoft Sentinel eller en allmän SIEM-tjänst (säkerhetsinformation och händelsehantering) för att möjliggöra centraliserad övervakning av aviseringar och aktiviteter från anslutna appar. Med Microsoft Sentinel kan du mer omfattande analysera säkerhetshändelser i organisationen och skapa spelböcker för effektiv och omedelbar respons.
Microsoft Sentinel innehåller en Defender for Cloud Apps-anslutning. På så sätt kan du inte bara få insyn i dina molnappar utan även få avancerade analyser för att identifiera och bekämpa cyberhot och styra hur dina data färdas. Mer information finns i Microsoft Sentinel integrerings- och Stream-aviseringar och Cloud Discovery-loggar från Defender for Cloud Apps till Microsoft Sentinel.
Information om integrering med SIEM-system från tredje part finns i Allmän SIEM-integrering.
Nästa steg
Utför livscykelhantering för Defender for Cloud Apps.
Nästa steg för distribution från slutpunkt till slutpunkt av Microsoft Defender XDR
Fortsätt distributionen av Microsoft Defender XDR från slutpunkt till slutpunkt med Undersök och svara med hjälp av Microsoft Defender XDR.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.