试点和部署Microsoft Defender for Cloud Apps

适用于:

  • Microsoft Defender XDR

本文提供了在组织中试点和部署Microsoft Defender for Cloud Apps的工作流。 可以使用这些建议将Microsoft Defender for Cloud Apps加入为单个网络安全工具,或作为具有Microsoft Defender XDR的端到端解决方案的一部分。

本文假设你有一个生产Microsoft 365 租户,并且正在试点和部署此环境中的Microsoft Defender for Cloud Apps。 这种做法将维护在试点期间为完整部署配置的任何设置和自定义项。

Defender for Office 365有助于防止或减少违规造成的业务损失,从而为零信任体系结构做出贡献。 有关详细信息,请参阅Microsoft零信任采用框架中的防止或减少违规业务造成的业务损失

Microsoft Defender XDR的端到端部署

这是系列文章 5(共 6 篇),可帮助你部署Microsoft Defender XDR组件,包括调查和响应事件。

显示试点和部署Microsoft Defender XDR过程中Microsoft Defender for Cloud Apps的关系图。

本系列文章对应于端到端部署的以下阶段:

阶段 链接
A. 启动试点 启动试点
B. 试点和部署Microsoft Defender XDR组件 - 试点和部署 Defender for Identity

- 试点和部署Defender for Office 365

- 试点和部署 Defender for Endpoint

- 本文) (试点和部署Microsoft Defender for Cloud Apps
C. 调查并响应威胁 实践事件调查和响应

试点和部署Defender for Cloud Apps工作流

下图演示了在 IT 环境中部署产品或服务的常见过程。

试点、评估和完整部署采用阶段的示意图。

首先评估产品或服务及其在组织中的工作方式。 然后,使用适当的一小部分生产基础结构来试用产品或服务,以便进行测试、学习和自定义。 然后,逐步增加部署范围,直到涵盖整个基础结构或组织。

下面是在生产环境中试点和部署Defender for Cloud Apps的工作流。

显示Microsoft Defender for Cloud Apps的试点和部署工作流的关系图。

请按照下列步骤操作:

  1. 连接到Defender for Cloud Apps门户
  2. 与 Microsoft Defender for Endpoint 集成
  3. 在防火墙和其他代理上部署日志收集器
  4. 创建试点组
  5. 发现和管理云应用
  6. 配置条件访问应用控制
  7. 将会话策略应用到云应用
  8. 试用其他功能

下面是每个部署阶段的建议步骤。

部署阶段 说明
评估 对Defender for Cloud Apps执行产品评估。
试点 针对生产环境中合适的云应用子集执行步骤 1-4 和步骤 5-8。
完全部署 对剩余的云应用执行步骤 5-8,调整试点用户组的范围,或添加用户组以扩展到试点之外,并包括所有用户帐户。

保护组织免受黑客攻击

Defender for Cloud Apps本身提供强大的保护。 但是,当与 Microsoft Defender XDR 的其他功能结合使用时,Defender for Cloud Apps向共享信号提供数据,共同帮助阻止攻击。

下面是网络攻击的示例,以及Microsoft Defender XDR组件如何帮助检测和缓解网络攻击。

显示Microsoft Defender XDR如何阻止威胁链的关系图。

Defender for Cloud Apps检测异常行为,例如不可能访问、凭据访问和异常下载、文件共享或邮件转发活动,并在Defender for Cloud Apps门户中显示这些行为。 Defender for Cloud Apps还有助于防止黑客的横向移动和敏感数据外泄。

Microsoft Defender XDR关联来自所有Microsoft Defender组件的信号,以提供完整的攻击情况。

Defender for Cloud Apps CASB 角色

云访问安全代理 (CASB) 充当企业用户与其使用的云资源之间实时代理访问的守护程序,无论用户位于何处,也不管他们使用何种设备。 Defender for Cloud Apps是适用于组织的云应用的 CASB。 Defender for Cloud Apps本机与Microsoft安全功能(包括Microsoft Defender XDR)集成。

如果没有Defender for Cloud Apps,组织使用的云应用将不受管理且不受保护。

显示不受组织管理和保护的云应用的关系图。

在此图中:

  • 组织对云应用的使用不受监视且不受保护。
  • 这种使用不属于托管组织内实现的保护范围。

若要发现环境中使用的云应用,可以实现以下一种或两种方法:

  • 通过与 Microsoft Defender for Endpoint 集成,通过 Cloud Discovery 快速启动和运行。 通过这种本机集成,可以立即开始跨Windows 10和Windows 11设备(在网络上和网络上)收集有关云流量的数据。
  • 若要发现连接到网络的所有设备访问的所有云应用,请在防火墙和其他代理上部署Defender for Cloud Apps日志收集器。 此部署有助于从终结点收集数据,并将其发送到Defender for Cloud Apps进行分析。 Defender for Cloud Apps本机与某些第三方代理集成,以获取更多功能。

本文包含这两种方法的指南。

步骤 1. 连接到Defender for Cloud Apps门户

若要验证许可并连接到 Defender for Cloud Apps 门户,请参阅快速入门:Microsoft Defender for Cloud Apps入门

如果无法立即连接到门户,则可能需要将 IP 地址添加到防火墙的允许列表。 有关Defender for Cloud Apps,请参阅基本设置

如果仍然遇到问题,请查看 网络要求

步骤 2:与 Microsoft Defender for Endpoint 集成

Microsoft Defender for Cloud Apps本机与 Microsoft Defender for Endpoint 集成。 集成简化了 Cloud Discovery 的推出,将云发现功能扩展到企业网络之外,并支持基于设备的调查。 此集成显示从 IT 管理的Windows 10和Windows 11设备访问的云应用和服务。

如果已设置Microsoft Defender for Endpoint,则配置与 Defender for Cloud Apps 的集成是Microsoft Defender XDR中的一个切换。 启用集成后,可以返回到Defender for Cloud Apps门户,并在 Cloud Discovery 仪表板中查看丰富的数据。

若要完成这些任务,请参阅Microsoft Defender for Endpoint与 Microsoft Defender for Cloud Apps 集成

步骤 3:在防火墙和其他代理上部署Defender for Cloud Apps日志收集器

若要覆盖连接到网络的所有设备,请在防火墙和其他代理上部署Defender for Cloud Apps日志收集器,以从终结点收集数据并将其发送到Defender for Cloud Apps进行分析。

如果使用以下安全 Web 网关之一 (SWG) ,Defender for Cloud Apps提供无缝部署和集成:

  • Zscaler
  • iboss
  • Corrata
  • Menlo Security

有关与这些网络设备集成的详细信息,请参阅 设置 Cloud Discovery

步骤 4. 创建试点组 - 将试点部署范围限定为特定用户组

Microsoft Defender for Cloud Apps使你能够确定部署范围。 通过范围,你可以选择要监视应用或从监视中排除的特定用户组。 可以包括或排除用户组。 若要确定试点部署的范围,请参阅 作用域内部署

步骤 5. 发现和管理云应用

若要Defender for Cloud Apps提供最大保护量,必须发现组织中的所有云应用并管理其使用方式。

发现云应用

管理云应用使用的第一步是发现组织使用哪些云应用。 下图演示了云发现如何与 Defender for Cloud Apps 配合使用。

显示云发现Microsoft Defender for Cloud Apps体系结构的关系图。

在此图中,有两种方法可用于监视网络流量和发现组织正在使用的云应用。

  1. Cloud App Discovery 以本机方式与 Microsoft Defender for Endpoint 集成。 Defender for Endpoint 报告从 IT 管理的Windows 10和Windows 11设备访问的云应用和服务。

  2. 为了覆盖连接到网络的所有设备,请在防火墙和其他代理上安装 Defender for Cloud Apps 日志收集器,以从终结点收集数据。 收集器将此数据发送到Defender for Cloud Apps进行分析。

查看 Cloud Discovery 仪表板,了解组织中正在使用的应用

Cloud Discovery 仪表板旨在让你更深入地了解组织中如何使用云应用。 它简要概述了正在使用的应用类型、打开的警报以及组织中应用的风险级别。

若要开始使用 Cloud Discovery 仪表板,请参阅使用发现的应用

管理云应用

发现云应用并分析组织如何使用这些应用后,即可开始管理所选的云应用。

显示用于管理云应用的Microsoft Defender for Cloud Apps体系结构的关系图。

在此图中:

  • 某些应用被批准使用。 批准是开始管理应用的一种简单方法。
  • 可以通过将应用与应用连接器连接来启用更高的可见性和控制力。 应用连接器使用应用提供程序的 API。

可以通过批准、取消批准或彻底阻止应用来开始管理应用。 若要开始管理应用,请参阅 治理发现的应用

步骤 6. 配置条件访问应用控制

可以配置的最强大的保护之一是条件访问应用控制。 此保护需要与 Microsoft Entra ID 集成。 它允许将条件访问策略(包括相关策略 ((如要求设备) 正常)应用到已批准的云应用。

你可能已将 SaaS 应用添加到Microsoft Entra租户,以强制实施多重身份验证和其他条件访问策略。 Microsoft Defender for Cloud Apps本机与 Microsoft Entra ID 集成。 只需在 Microsoft Entra ID 中配置策略,以在 Defender for Cloud Apps 中使用条件访问应用控制。 这会通过代理Defender for Cloud Apps路由这些托管 SaaS 应用的网络流量,从而允许Defender for Cloud Apps监视此流量并应用会话控制。

显示 SaaS 应用的Microsoft Defender for Cloud Apps体系结构的关系图。

在此图中:

  • SaaS 应用与 Microsoft Entra 租户集成。 此集成允许Microsoft Entra ID强制实施条件访问策略,包括多重身份验证。
  • 将策略添加到Microsoft Entra ID,以将 SaaS 应用的流量定向到Defender for Cloud Apps。 该策略指定要应用此策略的 SaaS 应用。 Microsoft Entra ID强制实施适用于这些 SaaS 应用的任何条件访问策略后,Microsoft Entra ID然后通过 Defender for Cloud Apps 定向 (代理) 会话流量。
  • Defender for Cloud Apps监视此流量,并应用管理员配置的任何会话控制策略。

你可能已使用尚未添加到Microsoft Entra ID Defender for Cloud Apps发现并批准云应用。 通过将这些云应用添加到Microsoft Entra租户和条件访问规则的范围,可以利用条件访问应用控制。

使用 Microsoft Defender for Cloud Apps 管理 SaaS 应用的第一步是发现这些应用,然后将其添加到Microsoft Entra租户。 如果需要有关发现方面的帮助,请参阅 发现和管理网络中 SaaS 应用。 发现应用后,将这些应用添加到Microsoft Entra租户

可以通过以下任务开始管理这些应用:

  1. 在 Microsoft Entra ID 中,创建新的条件访问策略并将其配置为“使用条件访问应用控制”。此配置有助于将请求重定向到 Defender for Cloud Apps。 可以创建一个策略,并将所有 SaaS 应用添加到此策略。
  2. 接下来,在 Defender for Cloud Apps 中创建会话策略。 为要应用的每个控件创建一个策略。

有关详细信息,包括支持的应用和客户端,请参阅使用Microsoft Defender for Cloud Apps条件访问应用控制保护应用

有关策略示例,请参阅 SaaS 应用的建议Microsoft Defender for Cloud Apps策略。 这些策略基于一组 常见的标识和设备访问策略 ,建议作为所有客户的起点。

步骤 7. 将会话策略应用到云应用

Microsoft Defender for Cloud Apps充当反向代理,提供对批准的云应用的代理访问权限。 此预配允许Defender for Cloud Apps应用配置的会话策略。

显示具有代理访问会话控制的Microsoft Defender for Cloud Apps体系结构的关系图。

在此图中:

  • 从组织中的用户和设备访问批准的云应用是通过Defender for Cloud Apps路由的。
  • 此代理访问允许应用会话策略。
  • 未批准或明确未批准的云应用不受影响。

会话策略允许将参数应用于组织使用云应用的方式。 例如,如果你的组织正在使用 Salesforce,则可以配置一个会话策略,该策略仅允许托管设备访问 Salesforce 中的组织数据。 一个更简单的示例是配置策略以监视来自非托管设备的流量,以便在应用更严格的策略之前分析此流量的风险。

有关详细信息,请参阅 创建会话策略

步骤 8. 试用其他功能

使用以下Defender for Cloud Apps教程来帮助你发现风险并保护环境:

有关Microsoft Defender for Cloud Apps数据中的高级搜寻的详细信息,请参阅此视频

SIEM 集成

可以将Defender for Cloud Apps与Microsoft Sentinel或泛型安全信息和事件管理 (SIEM) 服务集成,以集中监视来自连接的应用的警报和活动。 借助Microsoft Sentinel,你可以更全面地分析整个组织的安全事件,并生成 playbook,以便进行有效和即时的响应。

显示 SIEM 集成的Microsoft Defender for Cloud Apps体系结构的关系图。

Microsoft Sentinel包括Defender for Cloud Apps连接器。 这样,你不仅可以了解云应用,还可以获得复杂的分析,以识别和打击网络威胁,并控制数据的传输方式。 有关详细信息,请参阅Microsoft Sentinel集成以及从Defender for Cloud Apps到Microsoft Sentinel Stream警报和 Cloud Discovery 日志

有关与第三方 SIEM 系统集成的信息,请参阅 通用 SIEM 集成

后续步骤

对Defender for Cloud Apps执行生命周期管理

Microsoft Defender XDR的端到端部署的下一步

使用Microsoft Defender XDR进行调查和响应,继续Microsoft Defender XDR的端到端部署。

显示试点中的事件调查和响应以及部署Microsoft Defender XDR过程的关系图。

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区