Granska arkitekturkrav och viktiga begrepp för Microsoft Defender for Cloud Apps
Gäller för:
- Microsoft Defender XDR
Den här artikeln är steg 1 av 3 i processen att konfigurera utvärderingsmiljön för Microsoft Defender for Cloud Apps tillsammans med Microsoft Defender XDR. Mer information om den här processen finns i översiktsartikeln.
Innan du aktiverar Microsoft Defender for Cloud Apps måste du förstå arkitekturen och uppfylla kraven.
Förstå arkitekturen
Microsoft Defender for Cloud Apps är en molnåtkomstsäkerhetskoordinator (CASB). CASB:er fungerar som gatekeeper för att asynkronisera åtkomst i realtid mellan dina företagsanvändare och molnresurser som de använder, oavsett var användarna befinner sig och oavsett vilken enhet de använder. Microsoft Defender for Cloud Apps integreras internt med Microsofts säkerhetsfunktioner, inklusive Microsoft Defender XDR.
Utan Defender för Cloud Apps får användarna åtkomst till molnappar direkt utan hanterings- eller säkerhetsskydd.
Identifiera molnappar
Det första steget för att hantera användningen av molnappar är att identifiera vilka molnappar som används av din organisation. I nästa diagram visas hur molnidentifiering fungerar med Defender för Cloud Apps.
I den här bilden finns det två metoder som kan användas för att övervaka nätverkstrafik och identifiera molnappar som används av din organisation.
- Cloud App Discovery integreras med Microsoft Defender för Endpoint internt. Defender för Endpoint rapporterar molnappar och tjänster som nås från IT-hanterade Windows 10 och Windows 11 enheter.
- För täckning på alla enheter som är anslutna till ett nätverk installeras Defender for Cloud Apps-logginsamlaren på brandväggar och andra proxyservrar för att samla in data från slutpunkter. Dessa data skickas till Defender för Cloud Apps för analys.
Hantera molnappar
När du har upptäckt molnappar och analyserat hur dessa appar används av din organisation kan du börja hantera molnappar som du väljer.
I den här illustrationen:
- Vissa appar sanktioneras för användning. Den här påföljden är ett enkelt sätt att börja hantera appar.
- Du kan aktivera större synlighet och kontroll genom att ansluta appar med appanslutningsprogram. Appanslutningsprogram använder API:er för appleverantörer.
Tillämpa sessionskontroller på molnappar
Microsoft Defender for Cloud Apps fungerar som en omvänd proxy och ger proxyåtkomst till sanktionerade molnappar. Med den här etableringen kan Defender för Cloud Apps tillämpa sessionskontroller som du konfigurerar.
I den här illustrationen:
- Åtkomst till sanktionerade molnappar från användare och enheter i din organisation dirigeras via Defender for Cloud Apps.
- Med den här proxyåtkomsten kan sessionskontroller tillämpas.
- Molnappar som du inte har sanktionerat eller uttryckligen inte sanktionerat påverkas inte.
Med sessionskontroller kan du använda parametrar för hur molnappar används av din organisation. Om din organisation till exempel använder Salesforce kan du konfigurera en sessionsprincip som endast tillåter hanterade enheter att komma åt organisationens data i Salesforce. Ett enklare exempel kan vara att konfigurera en princip för att övervaka trafik från ohanterade enheter så att du kan analysera risken för den här trafiken innan du tillämpar strängare principer.
Integrera med Microsoft Entra ID med appkontroll för villkorsstyrd åtkomst
Du kanske redan har Lagt till SaaS-appar i din Microsoft Entra klientorganisation för att framtvinga multifaktorautentisering och andra principer för villkorlig åtkomst. Microsoft Defender for Cloud Apps integreras internt med Microsoft Entra ID. Allt du behöver göra är att konfigurera en princip i Microsoft Entra ID för att använda appkontroll för villkorsstyrd åtkomst i Defender för Cloud Apps. Detta dirigerar nätverkstrafik för dessa hanterade SaaS-appar via Defender for Cloud Apps som en proxy, vilket gör att Defender för Cloud Apps kan övervaka trafiken och tillämpa sessionskontroller.
I den här illustrationen:
- SaaS-appar är integrerade med Microsoft Entra klientorganisation. Med den här integreringen kan Microsoft Entra ID framtvinga principer för villkorlig åtkomst, inklusive multifaktorautentisering.
- En princip läggs till i Microsoft Entra ID för att dirigera trafik för SaaS-appar till Defender för Cloud Apps. Principen anger vilka SaaS-appar som principen ska tillämpas på. Efter Microsoft Entra ID tillämpar därför alla principer för villkorlig åtkomst som gäller för dessa SaaS-appar, Microsoft Entra ID sedan dirigerar (proxyservrar) sessionstrafiken via Defender för Cloud Apps.
- Defender för Cloud Apps övervakar trafiken och tillämpar alla principer för sessionskontroll som har konfigurerats av administratörer.
Du kanske har identifierat och sanktionerat molnappar med defender för molnappar som inte har lagts till i Microsoft Entra ID. Du kan dra nytta av appkontrollen för villkorsstyrd åtkomst genom att lägga till dessa molnappar i din Microsoft Entra klientorganisation och omfånget för dina regler för villkorsstyrd åtkomst.
Skydda din organisation från hackare
Defender för Cloud Apps ger ett kraftfullt skydd på egen hand. Men i kombination med de andra funktionerna i Microsoft Defender XDR tillhandahåller Defender för Cloud Apps data till de delade signalerna som (tillsammans) hjälper till att stoppa attacker.
Det är värt att upprepa den här bilden från översikten till den här Microsoft Defender XDR utvärderings- och pilotguiden.
Microsoft Defender for Cloud Apps märker avvikande beteende som omöjlig resa, åtkomst till autentiseringsuppgifter och ovanlig nedladdning, filresurs eller vidarebefordran av e-post och rapporterar dessa beteenden till säkerhetsteamet. Defender för Cloud Apps hjälper till att förhindra lateral förflyttning av hackare och exfiltrering av känsliga data. Microsoft 356 Defender för molnet korrelerar signalerna från alla komponenter för att ge en fullständig attackberättelse.
Förstå viktiga begrepp
I följande tabell identifierades viktiga begrepp som är viktiga att förstå när du utvärderar, konfigurerar och distribuerar Microsoft Defender for Cloud Apps.
| Koncept | Beskrivning | Mer information |
|---|---|---|
| Instrumentpanel för Defender för Cloud Apps | Visar en översikt över den viktigaste informationen om din organisation och ger länkar till djupare undersökning. | Arbeta med instrumentpanelen |
| Programkontroll med villkorsstyrd åtkomst | Omvänd proxyarkitektur som integreras med din identitetsprovider (IdP) för att ge Microsoft Entra principer för villkorsstyrd åtkomst och selektivt framtvinga sessionskontroller. | Skydda appar med Microsoft Defender for Cloud Apps appkontroll för villkorsstyrd åtkomst |
| Cloud App Catalog | Cloud App Catalog ger dig en fullständig bild mot Microsoft-katalogen med över 16 000 molnappar som rangordnas och poängsätts baserat på mer än 80 riskfaktorer. | Arbeta med riskpoäng för appar |
| Cloud Discovery-instrumentpanel | Cloud Discovery analyserar dina trafikloggar och är utformat för att ge mer inblick i hur molnappar används i din organisation samt ge aviseringar och risknivåer. | Arbeta med identifierade appar |
| Anslutna appar | Defender för Cloud Apps ger heltäckande skydd för anslutna appar med hjälp av moln-till-moln-integrering, API-anslutningsappar och realtidsåtkomst- och sessionskontroller med hjälp av våra åtkomstkontroller för villkorlig app. | Skydda anslutna appar |
Granska arkitekturkraven
Identifiera molnappar
Om du vill identifiera molnappar som används i din miljö kan du implementera en eller båda av följande metoder:
- Kom igång snabbt med Cloud Discovery genom att integrera med Microsoft Defender för Endpoint. Med den här interna integreringen kan du omedelbart börja samla in data om molntrafik i dina Windows 11 och Windows 10 enheter, på och utanför nätverket.
- Om du vill identifiera alla molnappar som nås av alla enheter som är anslutna till nätverket distribuerar du Logginsamlaren för Defender for Cloud Apps i dina brandväggar och andra proxyservrar. Den här distributionen hjälper dig att samla in data från dina slutpunkter och skickar dem till Defender för Cloud Apps för analys. Defender för Cloud Apps integreras internt med vissa proxyservrar från tredje part för ännu fler funktioner.
De här alternativen ingår i steg 2. Aktivera utvärderingsmiljön.
Tillämpa Microsoft Entra principer för villkorsstyrd åtkomst i molnappar
Appkontroll för villkorsstyrd åtkomst (möjligheten att tillämpa principer för villkorsstyrd åtkomst för molnappar) kräver integrering med Microsoft Entra ID. Den här integreringen är inte ett krav för att komma igång med Defender för Cloud Apps. Det är ett steg som vi rekommenderar att du provar under pilotfasen – steg 3. Pilot Microsoft Defender for Cloud Apps.
SIEM-integrering
Du kan integrera Microsoft Defender for Cloud Apps med den allmänna SIEM-servern eller med Microsoft Sentinel för att aktivera centraliserad övervakning av aviseringar och aktiviteter från anslutna appar.
Dessutom innehåller Microsoft Sentinel en Microsoft Defender for Cloud Apps-anslutningsapp för djupare integrering med Microsoft Sentinel. Med det här arrangemanget kan du inte bara få insyn i dina molnappar utan även få avancerade analyser för att identifiera och bekämpa cyberhot och styra hur dina data färdas.
- Allmän SIEM-integrering
- Stream aviseringar och Cloud Discovery-loggar från Defender för Cloud Apps till Microsoft Sentinel
Nästa steg
Steg 2 av 3: Aktivera utvärderingsmiljön för Microsoft Defender for Cloud Apps.
Gå tillbaka till översikten för Utvärdera Microsoft Defender for Cloud Apps.
Gå tillbaka till översikten för Utvärdera och pilottesta Microsoft Defender XDR.
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för