共用方式為

試驗和部署適用於雲端應用程式的 Microsoft Defender

  • 發行項

適用於:

  • Microsoft Defender XDR

本文提供在組織中試驗和部署適用於雲端應用程式的 Microsoft Defender 的工作流程。 您可以使用這些建議,將適用於雲端應用程式的 Microsoft Defender 作為個別的網路安全性工具上線,或作為 Microsoft Defender XDR 端對端解決方案的一部分。

本文假設您有生產 Microsoft 365 租使用者,並在此環境中試驗和部署適用於雲端應用程式的 Microsoft Defender。 此做法會維護您在試驗期間為完整部署所設定的任何設定和自定義。

適用於 Office 365 的 Defender 藉由協助防止或減少因缺口而造成的業務損害,為零信任架構做出貢獻。 如需詳細資訊,請參閱 Microsoft 零信任採用架構中的 防止或減少因外 泄商務案例造成的業務損害。

Microsoft Defender XDR 的端對端部署

這是系列文章 6 的第 5 篇文章,可協助您部署 Microsoft Defender XDR 的元件,包括調查和回應事件。

此圖顯示試驗和部署 Microsoft Defender XDR 程式中的適用於雲端應用程式的 Microsoft Defender。

本系列文章:

階段 連結
答: 啟動試驗 啟動試驗
B. 試驗和部署 Microsoft Defender XDR 元件 - 試驗和部署適用於身分識別的Defender

- 試驗和部署適用於 Office 365 的 Defender

- 試驗和部署適用於端點的Defender

- (本文) 試驗及部署適用於雲端應用程式的 Microsoft Defender
C. 調查和回應威脅 練習事件調查和回應

試驗和部署適用於雲端應用程式的Defender工作流程

下圖說明在IT環境中部署產品或服務的常見程式。

試驗、評估和完整部署採用階段的圖表。

首先,您會評估產品或服務,以及其在組織內的運作方式。 然後,您可以使用適當的小型生產基礎結構子集來試驗產品或服務,以進行測試、學習和自定義。 然後,逐漸增加部署的範圍,直到涵蓋整個基礎結構或組織為止。

以下是在生產環境中試驗和部署適用於雲端應用程式的Defender的工作流程。

顯示適用於雲端應用程式的 Microsoft Defender 試驗和部署工作流程的圖表。

依照下列步驟執行:

  1. 線上到適用於雲端應用程式的Defender入口網站
  2. 與適用於端點的 Microsoft Defender 整合
  3. 在防火牆和其他 Proxy 上部署記錄收集器
  4. 建立試驗群組
  5. 探索和管理雲端應用程式
  6. 設定條件式存取應用程控
  7. 將會話原則套用至雲端應用程式
  8. 試用其他功能

以下是每個部署階段的建議步驟。

部署階段 描述
評估 執行適用於雲端應用程式的Defender產品評估。
試驗 針對生產環境中適合的雲端應用程式子集,執行步驟 1-4 和 5-8。
完整部署 針對剩餘的雲端應用程式執行步驟 5-8、調整試驗使用者群組的範圍,或新增使用者群組,以擴充試驗以外的範圍,並包含所有用戶帳戶。

保護您的組織免於駭客的攻擊

適用於雲端應用程式的Defender自行提供強大的保護。 不過,結合 Microsoft Defender XDR 的其他功能時,適用於雲端應用程式的 Defender 會將數據提供給共用訊號,共同協助停止攻擊。

以下是網路攻擊的範例,以及 Microsoft Defender XDR 的元件如何協助偵測並減輕攻擊。

顯示 Microsoft Defender XDR 如何停止威脅鏈結的圖表。

適用於雲端應用程式的 Defender 會偵測異常行為,例如不可能移動、認證存取,以及不尋常的下載、檔案共用或郵件轉寄活動,並在適用於雲端應用程式的 Defender 入口網站中顯示這些行為。 適用於雲端應用程式的Defender也有助於防止駭客橫向行動和敏感數據外洩。

Microsoft Defender XDR 會將來自所有 Microsoft Defender 元件的訊號相互關聯,以提供完整的攻擊案例。

作為 CASB 的適用於雲端應用程式的 Defender 角色

雲端存取安全性訊息代理程式 (CASB) 做為網關守衛,在您的企業使用者和他們使用的雲端資源之間,無論用戶位於何處,不論使用者使用的裝置為何,即時代理存取。 適用於雲端應用程式的Defender是組織雲端應用程式的CASB。 適用於 Cloud Apps 的 Defender 會原生整合 Microsoft 安全性功能,包括 Microsoft Defender XDR。

如果沒有適用於雲端應用程式的Defender,組織所使用的雲端應用程式會不受管理且不受保護。

此圖顯示不受貴組織管理和保護的雲端應用程式。

在此圖例中:

  • 組織對雲端應用程式的使用不受監視且不受保護。
  • 此使用方式不在受控組織內所達成的保護範圍內。

若要探索環境中使用的雲端應用程式,您可以實作下列其中一個或兩種方法:

  • 透過與適用於端點的 Microsoft Defender 整合,快速啟動並執行 Cloud Discovery。 此原生整合可讓您立即開始收集跨 Windows 10 和 Windows 11 裝置的雲端流量數據,以及在網路上和在網路外收集數據。
  • 若要探索所有連線到您網路之裝置存取的所有雲端應用程式,請在防火牆和其他 Proxy 上部署適用於雲端應用程式的 Defender 記錄收集器。 此部署可協助從您的端點收集數據,並將其傳送至適用於雲端應用程式的Defender進行分析。 適用於 Cloud Apps 的 Defender 會原生整合一些第三方 Proxy,以取得更多功能。

本文包含這兩種方法的指引。

步驟 1. 線上到適用於雲端應用程式的Defender入口網站

若要確認授權並連線到適用於雲端應用程式的Defender入口網站,請參閱 快速入門:開始使用適用於雲端應用程式的 Microsoft Defender

如果您無法立即連線到入口網站,您可能需要將IP位址新增至防火牆的允許清單。 請參閱 適用於雲端應用程式的Defender基本設定

如果您仍然遇到問題,請檢閱 網路需求

步驟 2:與適用於端點的 Microsoft Defender 整合

適用於雲端應用程式的 Microsoft Defender 以原生方式與適用於端點的 Microsoft Defender 整合。 整合可簡化 Cloud Discovery 的推出、將 Cloud Discovery 功能延伸到公司網路之外,並啟用裝置型調查。 這項整合顯示從IT管理的Windows 10和 Windows 11 裝置存取的雲端應用程式和服務。

如果您已設定適用於端點的 Microsoft Defender,則在 Microsoft Defender XDR 中設定與適用於雲端應用程式的 Defender 整合是一項切換。 在整合開啟之後,您可以返回適用於 Cloud Apps 的 Defender 入口網站,並在 Cloud Discovery 儀錶板中檢視豐富的數據。

若要完成這些工作,請參閱 適用於端點的 Microsoft Defender 與適用於雲端應用程式的 Microsoft Defender 整合

步驟 3:在防火牆和其他 Proxy 上部署適用於 Cloud Apps 的 Defender 記錄收集器

如需連線到您網路之所有裝置的涵蓋範圍,請在防火牆和其他 Proxy 上部署適用於雲端應用程式的 Defender 記錄收集器,以從您的端點收集數據,並將其傳送至適用於雲端應用程式的 Defender 進行分析。

如果您使用下列其中一個安全 Web 閘道 (SWG) ,適用於雲端應用程式的 Defender 可提供順暢的部署和整合:

  • Zscaler
  • iboss
  • Corrata
  • Menlo Security

如需與這些網路裝置整合的詳細資訊,請參閱 設定 Cloud Discovery

步驟 4. 建立試驗群組 — 將試驗部署的範圍設定為特定使用者群組

適用於雲端應用程式的 Microsoft Defender 可讓您設定部署範圍。 範圍可讓您選取要監視應用程式或從監視中排除的特定使用者群組。 您可以包含或排除使用者群組。 若要設定試驗部署的範圍,請參閱 限定範圍部署

步驟 5. 探索和管理雲端應用程式

若要讓適用於雲端應用程式的 Defender 提供最大保護量,您必須探索組織中的所有雲端應用程式,並管理其使用方式。

探索雲端應用程式

管理雲端應用程式使用的第一個步驟是探索貴組織使用的雲端應用程式。 下圖說明雲端探索如何與適用於雲端應用程式的Defender搭配運作。

顯示適用於雲端應用程式的 Microsoft Defender 與雲端探索架構的圖表。

在此圖中,有兩種方法可用來監視網路流量,以及探索組織正在使用的雲端應用程式。

  1. Cloud App Discovery 會以原生方式與適用於端點的 Microsoft Defender 整合。 適用於端點的 Defender 會報告從 IT 管理的 Windows 10 和 Windows 11 裝置存取的雲端應用程式和服務。

  2. 如需連線到網路之所有裝置的涵蓋範圍,您可以在防火牆和其他 Proxy 上安裝適用於 Cloud Apps 的 Defender 記錄收集器,以從端點收集數據。 收集器會將此數據傳送至適用於雲端應用程式的Defender進行分析。

檢視 Cloud Discovery 儀錶板,以查看組織中正在使用的應用程式

Cloud Discovery 儀錶板的設計目的是要讓您深入瞭解雲端應用程式在組織中的使用方式。 它提供一個概觀,概略說明正在使用的應用程式種類、您開啟的警示,以及組織中應用程式的風險層級。

若要開始使用 Cloud Discovery 儀錶板,請參閱 使用探索到的應用程式

管理雲端應用程式

探索雲端應用程式並分析組織如何使用這些應用程式之後,您可以開始管理您選擇的雲端應用程式。

此圖顯示適用於雲端應用程式的 Microsoft Defender 管理雲端應用程式的架構。

在此圖例中:

  • 有些應用程式獲批准使用。 批准是開始管理應用程式的簡單方式。
  • 您可以將應用程式與應用程式連接器連線,以啟用更高的可見度和控制。 應用程式連接器會使用應用程式提供者的 API。

您可以藉由批准、不批准或封鎖應用程式來開始管理應用程式。 若要開始管理應用程式,請參閱 治理探索到的應用程式

步驟 6. 設定條件式存取應用程控

您可以設定的最強大保護之一是條件式存取應用程控。 這項保護需要與 Microsoft Entra ID 整合。 它可讓您將條件式存取原則,包括相關的原則 (,例如要求狀況良好的裝置) ,套用至您已批准的雲端應用程式。

您可能已經將 SaaS 應用程式新增至 Microsoft Entra 租使用者,以強制執行多重要素驗證和其他條件式存取原則。 適用於雲端應用程式的 Microsoft Defender 原生整合了 Microsoft Entra ID。 您必須做的是設定 Microsoft Entra ID 中的原則,以在適用於雲端應用程式的 Defender 中使用條件式存取應用程控。 這會透過適用於雲端應用程式的Defender以 Proxy方式路由傳送這些受控 SaaS 應用程式的網路流量,讓適用於雲端應用程式的Defender能夠監視此流量並套用會話控件。

Rework 圖

此圖顯示適用於雲端應用程式的 Microsoft Defender 搭配 SaaS 應用程式的架構。

在此圖例中:

  • SaaS 應用程式已與 Microsoft Entra 租使用者整合。 此整合可讓 Microsoft Entra ID 強制執行條件式存取原則,包括多重要素驗證。
  • 系統會將原則新增至 Microsoft Entra ID,以將 SaaS 應用程式的流量導向至適用於雲端應用程式的 Defender。 原則會指定要套用此原則的 SaaS 應用程式。 在 Microsoft Entra ID 強制執行套用至這些 SaaS 應用程式的任何條件式存取原則之後,Microsoft Entra ID 接著會透過適用於雲端應用程式的 Defender,將 (Proxy 引導) 會話流量。
  • 適用於雲端應用程式的Defender會監視此流量,並套用系統管理員所設定的任何會話控制原則。

您可能已使用未新增至 Microsoft Entra ID 的適用於雲端應用程式的 Defender 來探索並批准雲端應用程式。 您可以藉由將這些雲端應用程式新增至 Microsoft Entra 租使用者和條件式存取規則的範圍,來利用條件式存取應用程控。

使用適用於雲端應用程式的 Microsoft Defender 來管理 SaaS 應用程式的第一個步驟是探索這些應用程式,然後將它們新增至您的 Microsoft Entra 租使用者。 如果您需要探索的協助,請參閱 探索和管理您網路中的 SaaS 應用程式。 探索到應用程式之後, 請將這些應用程式新增至您的 Microsoft Entra 租使用者

您可以使用下列工作開始管理這些應用程式:

  1. 在 Microsoft Entra ID 中,建立新的條件式存取原則,並將其設定為「使用條件式存取應用程控」。此設定有助於將要求重新導向至適用於雲端應用程式的Defender。 您可以建立一個原則,並將所有 SaaS 應用程式新增至此原則。
  2. 接下來,在適用於雲端應用程式的Defender中,建立會話原則。 為您想要套用的每個控件建立一個原則。

如需詳細資訊,包括支援的應用程式和用戶端,請參閱 使用適用於雲端的 Microsoft Defender 條件式存取應用程控來保護應用程式

如需範例原則,請 參閱適用於 SaaS 應用程式的建議適用於雲端應用程式的 Microsoft Defender 原則。 這些原則是以一組 常見的身分識別和裝置存取原則 為基礎,建議作為所有客戶的起點。

步驟 7. 將會話原則套用至雲端應用程式

適用於雲端應用程式的 Microsoft Defender 可做為反向 Proxy,為獲批准的雲端應用程式提供 Proxy 存取權。 此布建可讓適用於雲端應用程式的Defender套用您設定的會話原則。

此圖顯示具有 Proxy 訪問會話控制的適用於雲端應用程式的 Microsoft Defender 架構。

在此圖例中:

  • 從組織中的使用者和裝置存取獲批准的雲端應用程式,會透過適用於雲端應用程式的Defender路由傳送。
  • 此 Proxy 存取允許套用會話原則。
  • 您尚未獲批准或明確不批准的雲端應用程式不會受到影響。

會話原則可讓您將參數套用至組織使用雲端應用程式的方式。 例如,如果您的組織使用 Salesforce,您可以設定會話原則,只允許受管理的裝置存取您組織在 Salesforce 的數據。 較簡單的範例是設定原則來監視來自非受控裝置的流量,讓您可以先分析此流量的風險,再套用更嚴格的原則。

如需詳細資訊,請 參閱建立會話原則

步驟 8. 試用其他功能

使用這些適用於雲端應用程式的Defender教學課程,協助您探索風險並保護您的環境:

如需適用於雲端應用程式的 Microsoft Defender 中進階搜捕數據的詳細資訊,請參閱這段 影片

SIEM 整合

您可以整合適用於雲端應用程式的Defender與 Microsoft Sentinel 或一般安全性資訊和事件管理 (SIEM) 服務,以啟用來自已連線應用程式的警示和活動的集中監視。 透過 Microsoft Sentinel,您可以更全面地分析整個組織的安全性事件,並建置劇本以獲得有效且立即的回應。

顯示適用於雲端應用程式的 Microsoft Defender 與 SIEM 整合架構的圖表。

Microsoft Sentinel 包含適用於 Cloud Apps 的 Defender 連接器。 這可讓您不僅瞭解雲端應用程式,還能取得複雜的分析來識別和對抗網路威脅,以及控制數據的移動方式。 如需詳細資訊,請參閱 Microsoft Sentinel 整合串流警示,以及從適用於雲端應用程式的 Defender 到 Microsoft Sentinel 的 Cloud Discovery 記錄

如需與第三方 SIEM 系統整合的相關信息,請參閱 一般 SIEM 整合

下一步

執行 適用於雲端應用程式的Defender的生命週期管理

Microsoft Defender XDR 端對端部署的下一個步驟

使用 Microsoft Defender XDR 調查並回應,繼續進行 Microsoft Defender XDR 的端對端部署。

此圖顯示試驗和部署 Microsoft Defender XDR 程式中的事件調查和回應。

提示

想要深入了解? 在我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender XDR 技術社群