通过

试点和部署 Microsoft Defender for Cloud Apps

  • 项目

适用于:

  • Microsoft Defender XDR

本文提供在组织中试点和部署 Microsoft Defender for Cloud Apps 的工作流。 可以使用这些建议将 Microsoft Defender for Cloud Apps 作为单个网络安全工具加入,或者作为使用 Microsoft Defender XDR 的端到端解决方案的一部分加入。

本文假设你有一个生产Microsoft 365 租户,并且正在在此环境中试点和部署 Microsoft Defender for Cloud Apps。 这种做法将维护在试点期间为完整部署配置的任何设置和自定义项。

Defender for Office 365 有助于防止或减少违规造成的业务损失,从而为零信任体系结构做出贡献。 有关详细信息,请参阅Microsoft零信任采用框架中的 防止或减少违规 业务造成的业务损失。

Microsoft Defender XDR 的端到端部署

这是系列文章 5(共 6 篇),可帮助你部署 Microsoft Defender XDR 的组件,包括调查和响应事件。

此图显示了在试点和部署 Microsoft Defender XDR 过程中Microsoft Defender for Cloud Apps。

本系列文章对应于端到端部署的以下阶段:

阶段 链接
A. 启动试点 启动试点
B. 试点和部署 Microsoft Defender XDR 组件 - 试点和部署 Defender for Identity

- 试点和部署 Defender for Office 365

- 试点和部署 Defender for Endpoint

- 本文 () Microsoft Defender for Cloud Apps 试点和部署
C. 调查并响应威胁 实践事件调查和响应

为 Defender for Cloud Apps 试点和部署工作流

下图演示了在 IT 环境中部署产品或服务的常见过程。

试点、评估和完整部署采用阶段的示意图。

首先评估产品或服务及其在组织中的工作方式。 然后,使用适当的一小部分生产基础结构来试用产品或服务,以便进行测试、学习和自定义。 然后,逐步增加部署范围,直到涵盖整个基础结构或组织。

下面是在生产环境中试点和部署 Defender for Cloud Apps 的工作流。

显示 Microsoft Defender for Cloud Apps 的试点和部署工作流的关系图。

请按照下列步骤操作:

  1. 连接到 Defender for Cloud Apps 门户
  2. 与 Microsoft Defender for Endpoint 集成
  3. 在防火墙和其他代理上部署日志收集器
  4. 创建试点组
  5. 发现和管理云应用
  6. 配置条件访问应用控制
  7. 将会话策略应用到云应用
  8. 试用其他功能

下面是每个部署阶段的建议步骤。

部署阶段 说明
评估 对 Defender for Cloud Apps 执行产品评估。
试点 针对生产环境中合适的云应用子集执行步骤 1-4 和步骤 5-8。
完全部署 对剩余的云应用执行步骤 5-8,调整试点用户组的范围,或添加用户组以扩展到试点之外,并包括所有用户帐户。

保护组织免受黑客攻击

Defender for Cloud Apps 本身提供强大的保护。 但是,当与 Microsoft Defender XDR 的其他功能结合使用时,Defender for Cloud Apps 会将数据提供给共享信号,共同帮助阻止攻击。

下面是网络攻击的示例,以及 Microsoft Defender XDR 的组件如何帮助检测和缓解它。

显示 Microsoft Defender XDR 如何阻止威胁链的关系图。

Defender for Cloud Apps 检测异常行为,例如不可能访问、凭据访问和异常下载、文件共享或邮件转发活动,并在 Defender for Cloud Apps 门户中显示这些行为。 Defender for Cloud Apps 还有助于防止黑客的横向移动和敏感数据外泄。

Microsoft Defender XDR 关联来自所有 Microsoft Defender 组件的信号,以提供完整的攻击情况。

作为 CASB 的 Defender for Cloud Apps 角色

云访问安全代理 (CASB) 充当企业用户与其使用的云资源之间实时代理访问的守护程序,无论用户位于何处,也不管他们使用何种设备。 Defender for Cloud Apps 是适用于组织的云应用的 CASB。 Defender for Cloud Apps 原生集成了Microsoft安全功能,包括 Microsoft Defender XDR。

如果没有 Defender for Cloud Apps,组织使用的云应用将不受管理且不受保护。

显示不受组织管理和保护的云应用的关系图。

在此图中:

  • 组织对云应用的使用不受监视且不受保护。
  • 这种使用不属于托管组织内实现的保护范围。

若要发现环境中使用的云应用,可以实现以下一种或两种方法:

  • 通过与 Microsoft Defender for Endpoint 集成,快速启动并运行 Cloud Discovery。 通过这种本机集成,你可以立即开始在网络上和网络上跨 Windows 10 和 Windows 11 设备收集有关云流量的数据。
  • 若要发现连接到网络的所有设备访问的所有云应用,请在防火墙和其他代理上部署 Defender for Cloud Apps 日志收集器。 此部署有助于从终结点收集数据,并将其发送到 Defender for Cloud Apps 进行分析。 Defender for Cloud Apps 本机与某些第三方代理集成,以获取更多功能。

本文包含这两种方法的指南。

步骤 1. 连接到 Defender for Cloud Apps 门户

若要验证许可并连接到 Defender for Cloud Apps 门户,请参阅 快速入门:Microsoft Defender for Cloud Apps 入门

如果无法立即连接到门户,则可能需要将 IP 地址添加到防火墙的允许列表。 请参阅 Defender for Cloud Apps 的基本设置

如果仍然遇到问题,请查看 网络要求

步骤 2:与 Microsoft Defender for Endpoint 集成

Microsoft Defender for Cloud Apps 与 Microsoft Defender for Endpoint 本机集成。 集成简化了 Cloud Discovery 的推出,将云发现功能扩展到企业网络之外,并支持基于设备的调查。 此集成显示了从 IT 管理的 Windows 10 和 Windows 11 设备访问的云应用和服务。

如果已设置 Microsoft Defender for Endpoint,则配置与 Defender for Cloud Apps 的集成是 Microsoft Defender XDR 中的切换。 启用集成后,可以返回到 Defender for Cloud Apps 门户,并在 Cloud Discovery 仪表板中查看丰富的数据。

若要完成这些任务,请参阅 Microsoft Defender for Endpoint 与 Microsoft Defender for Cloud Apps 集成

步骤 3:在防火墙和其他代理上部署 Defender for Cloud Apps 日志收集器

若要覆盖连接到网络的所有设备,请在防火墙和其他代理上部署 Defender for Cloud Apps 日志收集器,以从终结点收集数据,并将其发送到 Defender for Cloud Apps 进行分析。

如果使用以下安全 Web 网关之一 (SWG) ,Defender for Cloud Apps 可提供无缝部署和集成:

  • Zscaler
  • iboss
  • Corrata
  • Menlo Security

有关与这些网络设备集成的详细信息,请参阅 设置 Cloud Discovery

步骤 4. 创建试点组 - 将试点部署范围限定为特定用户组

Microsoft Defender for Cloud Apps 使你能够确定部署范围。 通过范围,你可以选择要监视应用或从监视中排除的特定用户组。 可以包括或排除用户组。 若要确定试点部署的范围,请参阅 作用域内部署

步骤 5. 发现和管理云应用

要使 Defender for Cloud Apps 提供最大保护量,必须发现组织中的所有云应用并管理它们的使用方式。

发现云应用

管理云应用使用的第一步是发现组织使用哪些云应用。 下图演示了云发现如何与 Defender for Cloud Apps 配合使用。

显示具有云发现的 Microsoft Defender for Cloud Apps 的体系结构的关系图。

在此图中,有两种方法可用于监视网络流量和发现组织正在使用的云应用。

  1. Cloud App Discovery 以本机方式与 Microsoft Defender for Endpoint 集成。 Defender for Endpoint 报告从 IT 管理的 Windows 10 和 Windows 11 设备访问的云应用和服务。

  2. 为了覆盖连接到网络的所有设备,可以在防火墙和其他代理上安装 Defender for Cloud Apps 日志收集器,以便从终结点收集数据。 收集器将此数据发送到 Defender for Cloud Apps 进行分析。

查看 Cloud Discovery 仪表板,查看组织中正在使用的应用

Cloud Discovery 仪表板旨在让你更深入地了解云应用在组织中的使用方式。 它简要概述了正在使用的应用类型、打开的警报以及组织中应用的风险级别。

若要开始使用 Cloud Discovery 仪表板,请参阅 使用发现的应用

管理云应用

发现云应用并分析组织如何使用这些应用后,即可开始管理所选的云应用。

此图显示了用于管理云应用的 Microsoft Defender for Cloud Apps 的体系结构。

在此图中:

  • 某些应用被批准使用。 批准是开始管理应用的一种简单方法。
  • 可以通过将应用与应用连接器连接来启用更高的可见性和控制力。 应用连接器使用应用提供程序的 API。

可以通过批准、取消批准或彻底阻止应用来开始管理应用。 若要开始管理应用,请参阅 治理发现的应用

步骤 6. 配置条件访问应用控制

可以配置的最强大的保护之一是条件访问应用控制。 此保护需要与 Microsoft Entra ID 集成。 它允许将条件访问策略(包括相关策略 ((如要求设备) 正常)应用到已批准的云应用。

你可能已将 SaaS 应用添加到 Microsoft Entra 租户,以强制实施多重身份验证和其他条件访问策略。 Microsoft Defender for Cloud Apps 本机与 Microsoft Entra ID 集成。 只需在 Microsoft Entra ID 中配置策略,以便在 Defender for Cloud Apps 中使用条件访问应用控制。 这会通过 Defender for Cloud Apps 作为代理路由这些托管 SaaS 应用的网络流量,从而允许 Defender for Cloud Apps 监视此流量并应用会话控制。

显示具有 SaaS 应用的 Microsoft Defender for Cloud Apps 的体系结构的关系图。

在此图中:

  • SaaS 应用与 Microsoft Entra 租户集成。 此集成允许Microsoft Entra ID 强制实施条件访问策略,包括多重身份验证。
  • 将策略添加到 Microsoft Entra ID,以将 SaaS 应用的流量定向到 Defender for Cloud Apps。 该策略指定要应用此策略的 SaaS 应用。 Microsoft Entra ID 强制实施适用于这些 SaaS 应用的任何条件访问策略后,Microsoft Entra ID 通过 Defender for Cloud Apps 将 (代理) 会话流量。
  • Defender for Cloud Apps 监视此流量,并应用管理员配置的任何会话控制策略。

你可能已使用 Defender for Cloud Apps 发现并批准尚未添加到 entra ID Microsoft 的云应用。 通过将这些云应用添加到Microsoft Entra 租户和条件访问规则的范围,可以利用条件访问应用控制。

使用 Microsoft Defender for Cloud Apps 管理 SaaS 应用的第一步是发现这些应用,然后将其添加到 Microsoft Entra 租户。 如果需要有关发现方面的帮助,请参阅 发现和管理网络中 SaaS 应用。 发现应用后, 将这些应用添加到Microsoft Entra 租户

可以通过以下任务开始管理这些应用:

  1. 在 Microsoft Entra ID 中,创建新的条件访问策略并将其配置为“使用条件访问应用控制”。此配置有助于将请求重定向到 Defender for Cloud Apps。 可以创建一个策略,并将所有 SaaS 应用添加到此策略。
  2. 接下来,在 Defender for Cloud Apps 中创建会话策略。 为要应用的每个控件创建一个策略。

有关详细信息,包括支持的应用和客户端,请参阅 使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用

有关策略示例,请参阅 SaaS 应用的建议Microsoft Defender for Cloud Apps 策略。 这些策略基于一组 常见的标识和设备访问策略 ,建议作为所有客户的起点。

步骤 7. 将会话策略应用到云应用

Microsoft Defender for Cloud Apps 充当反向代理,提供对已批准的云应用的代理访问权限。 此预配允许 Defender for Cloud Apps 应用你配置的会话策略。

此图显示了具有代理访问会话控制的 Microsoft Defender for Cloud Apps 的体系结构。

在此图中:

  • 从组织中的用户和设备访问批准的云应用通过 Defender for Cloud Apps 进行路由。
  • 此代理访问允许应用会话策略。
  • 未批准或明确未批准的云应用不受影响。

会话策略允许将参数应用于组织使用云应用的方式。 例如,如果你的组织正在使用 Salesforce,则可以配置一个会话策略,该策略仅允许托管设备访问 Salesforce 中的组织数据。 一个更简单的示例是配置策略以监视来自非托管设备的流量,以便在应用更严格的策略之前分析此流量的风险。

有关详细信息,请参阅 创建会话策略

步骤 8. 试用其他功能

使用以下 Defender for Cloud Apps 教程来帮助发现风险并保护环境:

有关 Microsoft Defender for Cloud Apps 数据中的高级搜寻的详细信息,请参阅此 视频

SIEM 集成

可以将 Defender for Cloud Apps 与 Microsoft Sentinel 或通用安全信息和事件管理集成 (SIEM) 服务,以集中监视来自连接的应用的警报和活动。 使用 Microsoft Sentinel,可以更全面地分析整个组织的安全事件,并生成 playbook,以便进行有效和即时的响应。

此图显示了具有 SIEM 集成的 Microsoft Defender for Cloud Apps 的体系结构。

Microsoft Sentinel 包括 Defender for Cloud Apps 连接器。 这样,你不仅可以了解云应用,还可以获得复杂的分析,以识别和打击网络威胁,并控制数据的传输方式。 有关详细信息,请参阅 Microsoft Sentinel 集成将警报和 Cloud Discovery 日志从 Defender for Cloud Apps 流式传输到 Microsoft Sentinel

有关与第三方 SIEM 系统集成的信息,请参阅 通用 SIEM 集成

后续步骤

为 Defender for Cloud Apps 执行生命周期管理

Microsoft Defender XDR 端到端部署的下一步

使用 Microsoft Defender XDR 进行调查 和响应,继续Microsoft Defender XDR 的端到端部署。

显示试点和部署 Microsoft Defender XDR 过程中的事件调查和响应的关系图。

提示

想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动