使用 Defender for Cloud Apps 保护组织的最佳做法

本文介绍使用 Microsoft Defender for Cloud Apps 保护组织的最佳做法。 这些最佳做法来自我们在 Defender for Cloud Apps 方面的经验以及客户的经验。

本文介绍的安全最佳实践包括：

• 发现和评估云应用
• 应用云治理策略
• 限制共享数据的暴露并强制执行协作策略
• 发现、分类、标记和保护存储在云中的受监管敏感数据
• 对云中存储的数据强制执行 DLP 和合规性策略
• 阻止并保护对非托管或有风险的设备上敏感数据的下载
• 通过强制实施实时会话控制来保护与外部用户的协作
• 检测云威胁、被盗用的帐户、恶意内部人员和勒索软件
• 使用活动审核线索进行取证调查
• 保护 IaaS 服务和自定义应用

发现和评估云应用

将 Defender for Cloud Apps 与 Microsoft Defender for Endpoint 集成使你能够在企业网络或安全 Web 网关之外使用 Cloud Discovery。 结合用户和设备信息，可以识别有风险的用户或设备，查看他们正在使用的应用，并在 Defender for Endpoint 门户中进一步调查。

最佳做法：使用 Defender for Endpoint 启用 Shadow IT Discovery
详细信息：Cloud Discovery 分析 Defender for Endpoint 收集的流量日志，并针对云应用目录评估已识别的应用，进而提供合规性和安全信息。 通过配置 Cloud Discovery，可以深入了解云使用情况、影子 IT 以及对用户正在使用的未批准的应用的持续监视。
详细信息：

• Microsoft Defender for Endpoint 与 Defender for Cloud Apps 集成
• 设置 Cloud Discovery
• 发现和管理网络中的影子 IT

---

最佳做法：配置应用发现策略以主动识别有风险、不合规和热门的应用
详细信息：应用发现策略可更轻松地跟踪组织中已发现的重要应用程序，从而帮助你高效地管理这些应用程序。 创建策略，以在检测到标识为有风险、不合规、热门或大容量的新应用时接收警报。
详细信息：

• Cloud Discovery 策略
• Cloud Discovery 异常情况检测策略
• 获取即时行为分析和异常情况检测

---

最佳做法：管理用户已授权的 OAuth 应用
详细信息：许多用户会随意地向第三方应用授予 OAuth 权限，以便访问其帐户信息，这样做还会无意中授予对其他云应用中数据的访问权限。 通常，IT 无法了解这些应用，因此很难权衡应用的安全风险与它提供的工作效率优势。

Defender for Cloud Apps 为你提供了调查和监视用户授予的应用权限的功能。 可以使用此信息来识别潜在的可疑应用，如果你确定存在风险，则可以禁止对它的访问。
详细信息：

• 管理 OAuth 应用
• OAuth 应用策略

---

---

---

---

应用云治理策略

最佳做法：标记应用和导出块脚本
详细信息：查看组织中发现的应用列表后，可以保护你的环境免于未经允许的应用使用。 可以将批准的标记应用于组织批准的应用，并将未批准的标记应用于未批准的应用。 可以使用发现筛选器监视未批准的应用，也可以导出脚本来阻止未批准的应用使用本地安全设备。 使用标记和导出脚本可以只允许访问安全的应用，从而组织应用和保护环境。
详细信息：

• 管理发现的应用

---

限制共享数据的暴露并强制执行协作策略

最佳做法：连接 Microsoft 365
详细信息：将 Microsoft 365 连接到 Defender for Cloud Apps，可让你立即了解用户的活动、他们访问的文件，并为 Microsoft 365、SharePoint、OneDrive、Teams、Power BI、Exchange 和 Dynamics 提供治理操作。
详细信息：

• 连接应用
• 将 Microsoft 365 连接到 Microsoft Defender for Cloud Apps

---

最佳做法：连接应用
详细信息：将应用连接到 Defender for Cloud Apps，你就能更好地了解用户的活动、威胁检测和治理功能。 要查看支持哪些第三方应用 API，请转到“连接应用”。

详细信息：

• 连接应用

---

最佳做法：创建策略以移除与个人帐户的共享
详细信息：将 Microsoft 365 连接到 Defender for Cloud Apps，可让你立即了解用户的活动、他们访问的文件，并为 Microsoft 365、SharePoint、OneDrive、Teams、Power BI、Exchange 和 Dynamics 提供治理操作。
详细信息：

• 管理已连接的应用

---

发现、分类、标记和保护存储在云中的受监管敏感数据

最佳做法：与 Microsoft Purview 信息保护集成
详细信息：与 Microsoft Purview 信息保护集成可提供自动应用敏感度标签和选择性添加加密保护的功能。 启用集成后，可以应用标签作为治理操作，按分类查看文件，按分类调查文件，并创建精细策略以确保正确处理经过分类的文件。 如果未启用集成，则无法受益于自动扫描、标记和加密云端文件的功能。
详细信息：

• Microsoft Purview 信息保护集成
• 教程：自动应用来自 Microsoft Purview 信息保护的敏感度标签

---

最佳做法：创建数据风险策略
详细信息：使用文件策略检测云应用中的信息共享并扫描机密信息。 创建以下文件策略，在检测到数据风险时发出警报：

• 包含敏感数据的外部共享文件
• 外部共享并标记为机密的文件
• 与未经授权的域共享的文件
• 保护 SaaS 应用中的敏感文件

详细信息：

• 内容检查
• 文件策略
• 信息保护策略

---

最佳做法：在“文件”页中查看报表
详细信息：使用应用连接器连接各种 SaaS 应用后，Defender for Cloud Apps 会扫描这些应用存储的文件。 此外，每次修改文件时，都会再次扫描该文件。 可以使用“文件”页来了解和调查云应用中存储的数据类型。 为了帮助进行调查，可以按域、群组、用户、创建日期、扩展名、文件名和类型、文件 ID、敏感度标签等进行筛选。 使用这些筛选器可以控制你选择调查文件的方式，以确保没有任何数据处于风险中。 更好地了解数据的使用方式后，即可创建策略来扫描这些文件中的敏感内容。
详细信息：

• 连接应用
• 文件筛选器
• 内容检查

---

---

---

---

对云中存储的数据强制执行 DLP 和合规性策略

最佳做法：防止与外部用户共享机密数据
详细信息：创建一个文件策略，检测用户尝试与组织外部人员共享具有机密敏感度标签的文件的活动，并配置其治理操作以移除外部用户。 此策略可确保机密数据不会离开组织，外部用户无法访问机密数据。
详细信息：

• 管理已连接的应用

---

---

---

---

阻止并保护对非托管或有风险的设备上敏感数据的下载

最佳做法：管理和控制对高风险设备的访问
详细信息：使用条件访问应用控制设置 SaaS 应用上的控件。 可以创建会话策略来监视高风险、低信任会话。 同样，你可以创建会话策略来阻止和避免尝试从非托管或有风险的设备访问敏感数据的用户进行下载。 如果不创建用于监视高风险会话的会话策略，你将无法阻止和保护 Web 客户端中的下载，并且无法监视 Microsoft 和第三方应用中的低信任会话。
详细信息：

• 使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用
• 会话策略

---

---

---

---

通过强制实施实时会话控制来保护与外部用户的协作

最佳做法：使用条件访问应用控制监视与外部用户的会话
详细信息：若要保护环境中的协作，可以创建会话策略来监视内部用户和外部用户之间的会话。 这样不仅能够监视用户之间的会话（并通知他们其会话活动正在被监视），而且还能够限制特定活动。 创建用于监视活动的会话策略时，可以选择要监视的应用和用户。
详细信息：

• 使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用
• 会话策略

---

---

---

---

检测云威胁、被盗用的帐户、恶意内部人员和勒索软件

最佳做法：优化异常策略、设置 IP 范围、发送警报反馈
详细信息：异常情况检测策略提供开箱即用的用户和实体行为分析 (UEBA) 以及机器学习 (ML)，让你可以立即跨云环境运行高级威胁检测。

当环境中有用户执行异常活动时，将触发异常检测策略。 Defender for Cloud Apps 持续监视用户活动，并使用 UEBA 和 ML 来了解和理解用户的正常行为。 可以优化策略设置以匹配组织要求，例如，可以设置策略的敏感度，并将策略范围限定为特定组。

• 优化异常情况检测策略并确定其范围：例如，若要减少不可能旅行警报中的误报数，可以将策略的敏感度滑块设置为低。 如果组织中有些用户需要经常公务旅行，则可以将其添加到一个用户组，并在策略范围中选择该组。

• 设置 IP 范围：设置好 IP 地址范围后，Defender for Cloud Apps 可以识别已知的 IP 地址。 配置 IP 地址范围之后，可以按显示及调查日志和警报的方式进行标记、分类和自定义。 添加 IP 地址范围有助于减少误报检测并提高警报的准确性。 如果选择不添加 IP 地址，则可能会看到有更多的误报和警报需要调查。

• 发送警报反馈

  关闭或解决警报时，请确保发送反馈并说明你关闭警报的原因或解决方式。 此信息可帮助 Defender for Cloud Apps 改进警报并减少误报。

详细信息：

• 获取即时行为分析和异常情况检测
• 使用 IP 范围和标记

---

最佳做法：检测来自意外位置或国家/地区的活动
详细信息：创建活动策略，以在用户从意外的位置或国家/地区登录时通知你。 这些通知可以提醒你环境中可能有遭到入侵的会话，以便在威胁发生之前检测和修正威胁。
详细信息：

• 威胁防护策略

---

最佳做法：创建 OAuth 应用策略
详细信息：创建 OAuth 应用策略，以在 OAuth 应用满足特定条件时通知你。 例如，可以选择在超过 100 个用户访问需要较高权限级别的特定应用时收到通知。
详细信息：

• OAuth 应用策略

---

---

---

---

使用活动审核线索进行取证调查

最佳做法：调查警报时使用活动的审核线索
详细信息：当用户、管理员或登录活动不符合你的策略时，将触发警报。 请务必调查警报，以了解环境中是否存在潜在威胁。

通过在“警报”页上选择警报并查看该警报相关活动的审核线索，可以调查警报。 审核线索可让你了解相同类型、相同用户、相同 IP 地址和位置的活动，以便掌握警报的整体背景信息。 如果警报需要进一步调查，请创建一个计划来解决组织中的这些警报。

关闭警报时，务必调查并了解警报不重要或属于误报的原因。 如果此类活动数量很多，可能还需要考虑查看和优化触发警报的策略。
详细信息：

• 活动

---

---

---

---

保护 IaaS 服务和自定义应用

最佳做法：连接 Azure、AWS 和 GCP
详细信息：将每个云平台连接到 Defender for Cloud Apps 可帮助提升威胁检测能力。 通过监视这些服务的管理和登录活动，可以检测可能的暴力攻击、恶意使用特权用户帐户以及环境中的其他威胁并收到通知。 例如，可以识别风险，比如异常删除虚拟机，甚至是这些应用中的模拟活动。
详细信息：

• 将 Azure 连接到 Microsoft Defender for Cloud Apps
• 连接 Amazon Web Services 到 Microsoft Defender for Cloud Apps
• 连接 Google Workspace 到 Microsoft Defender for Cloud Apps

---

最佳做法：载入自定义应用
详细信息：若要进一步了解业务线应用中的活动，可以将自定义应用载入 Defender for Cloud Apps。 配置自定义应用后，你将看到有关使用这些应用的用户、所用的 IP 地址以及传入和传出应用流量的信息。

此外，还可以将自定义应用作为条件访问应用控制应用载入，以监视其低信任会话。
详细信息：

• 将自定义应用添加到 Cloud Discovery
• 针对任何应用的加入和部署条件访问应用控制