試驗和部署 Microsoft Defender for Cloud Apps
適用於:
- Microsoft Defender XDR
本文提供在組織中試驗和部署 Microsoft Defender for Cloud Apps 的工作流程。 您可以使用這些建議,將 Microsoft Defender for Cloud Apps 作為個別的網路安全性工具上線,或作為端對端解決方案的一部分,Microsoft Defender 全面偵測回應。
本文假設您有生產Microsoft 365 租使用者,並在此環境中試驗和部署 Microsoft Defender for Cloud Apps。 此做法會維護您在試驗期間為完整部署所設定的任何設定和自定義。
適用於 Office 365 的 Defender 藉由協助防止或減少因缺口而造成的業務損害,為 零信任 架構做出貢獻。 如需詳細資訊,請參閱 Microsoft 零信任 採用架構中的防止或減少因外泄商務案例而造成的業務損害。
Microsoft Defender 全面偵測回應 的端對端部署
這是系列文章 6 的第 5 篇文章,可協助您部署 Microsoft Defender 全面偵測回應 的元件,包括調查和回應事件。
本系列中的文章會對應至下列端對端部署階段:
階段 | 連結 |
---|---|
答: 啟動試驗 | 啟動試驗 |
B. 試驗和部署 Microsoft Defender 全面偵測回應元件 |
-
試驗和部署適用於身分識別的Defender - 試驗和部署 適用於 Office 365 的 Defender - 試驗和部署適用於端點的Defender - (本文) 試驗和部署 Microsoft Defender for Cloud Apps |
C. 調查和回應威脅 | 練習事件調查和回應 |
試驗和部署 Defender for Cloud Apps 的工作流程
下圖說明在IT環境中部署產品或服務的常見程式。
首先,您會評估產品或服務,以及其在組織內的運作方式。 然後,您可以使用適當的小型生產基礎結構子集來試驗產品或服務,以進行測試、學習和自定義。 然後,逐漸增加部署的範圍,直到涵蓋整個基礎結構或組織為止。
以下是在生產環境中試驗和部署 Defender for Cloud Apps 的工作流程。
依照下列步驟執行:
- 線上到 Defender for Cloud Apps入口網站
- 與 適用於端點的 Microsoft Defender整合
- 在防火牆和其他 Proxy 上部署記錄收集器
- 建立試驗群組
- 探索和管理雲端應用程式
- 設定條件式存取應用程控
- 將會話原則套用至雲端應用程式
- 試用其他功能
以下是每個部署階段的建議步驟。
部署階段 | 描述 |
---|---|
評估 | 執行 Defender for Cloud Apps 的產品評估。 |
試驗 | 針對生產環境中適合的雲端應用程式子集,執行步驟 1-4 和 5-8。 |
完整部署 | 針對剩餘的雲端應用程式執行步驟 5-8、調整試驗使用者群組的範圍,或新增使用者群組,以擴充試驗以外的範圍,並包含所有用戶帳戶。 |
保護您的組織免於駭客的攻擊
Defender for Cloud Apps 自行提供強大的保護。 不過,結合 Microsoft Defender 全面偵測回應的其他功能時,Defender for Cloud Apps 將數據提供給共用訊號,共同協助停止攻擊。
以下是網路攻擊的範例,以及 Microsoft Defender 全面偵測回應元件如何協助偵測並減輕攻擊。
Defender for Cloud Apps 偵測到異常行為,例如不可能移動、認證存取,以及不尋常的下載、檔案共享或郵件轉寄活動,並在 Defender for Cloud Apps 入口網站中顯示這些行為。 Defender for Cloud Apps 也有助於防止駭客橫向移動和敏感數據外流。
Microsoft Defender 全面偵測回應 將來自所有 Microsoft Defender元件的訊號相互關聯,以提供完整的攻擊案例。
Defender for Cloud Apps 角色作為 CASB
雲端存取安全性訊息代理程式 (CASB) 做為網關守衛,在您的企業使用者和他們使用的雲端資源之間,無論用戶位於何處,不論使用者使用的裝置為何,即時代理存取。 Defender for Cloud Apps 是組織雲端應用程式的 CASB。 Defender for Cloud Apps 原生整合Microsoft安全性功能,包括 Microsoft Defender 全面偵測回應。
如果沒有 Defender for Cloud Apps,組織所使用的雲端應用程式會不受管理且不受保護。
在此圖例中:
- 組織對雲端應用程式的使用不受監視且不受保護。
- 此使用方式不在受控組織內所達成的保護範圍內。
若要探索環境中使用的雲端應用程式,您可以實作下列其中一個或兩種方法:
- 藉由與 適用於端點的 Microsoft Defender 整合,快速啟動並執行 Cloud Discovery。 此原生整合可讓您立即開始收集跨 Windows 10 和 Windows 11 裝置的雲端流量數據,以及在網路上和網路外收集數據。
- 若要探索所有連線到您網路之裝置存取的所有雲端應用程式,請在防火牆和其他 Proxy 上部署 Defender for Cloud Apps 記錄收集器。 此部署可協助從您的端點收集數據,並將其傳送至 Defender for Cloud Apps 進行分析。 Defender for Cloud Apps 原生方式與某些第三方 Proxy 整合,以取得更多功能。
本文包含這兩種方法的指引。
步驟 1. 線上到 Defender for Cloud Apps入口網站
若要確認授權並連線到 Defender for Cloud Apps 入口網站,請參閱快速入門:開始使用 Microsoft Defender for Cloud Apps。
如果您無法立即連線到入口網站,您可能需要將IP位址新增至防火牆的允許清單。 請參閱 Defender for Cloud Apps 的基本設定。
如果您仍然遇到問題,請檢閱 網路需求。
步驟 2:與 適用於端點的 Microsoft Defender 整合
Microsoft Defender for Cloud Apps 以原生方式與 適用於端點的 Microsoft Defender 整合。 整合可簡化 Cloud Discovery 的推出、將 Cloud Discovery 功能延伸到公司網路之外,並啟用裝置型調查。 這項整合顯示從IT管理的 Windows 10和 Windows 11裝置存取的雲端應用程式和服務。
如果您已設定 適用於端點的 Microsoft Defender,則設定與 Defender for Cloud Apps的整合是 Microsoft Defender 全面偵測回應 的切換。 開啟整合之後,您可以返回 Defender for Cloud Apps 入口網站,並在 Cloud Discovery 儀錶板中檢視豐富的數據。
若要完成這些工作,請參閱 適用於端點的 Microsoft Defender 與 Microsoft Defender for Cloud Apps 整合。
步驟 3:在防火牆和其他 Proxy 上部署 Defender for Cloud Apps 記錄收集器
如需連線到網路之所有裝置的涵蓋範圍,請在防火牆和其他 Proxy 上部署 Defender for Cloud Apps 記錄收集器,以從您的端點收集數據,並將其傳送至 Defender for Cloud Apps 進行分析。
如果您使用下列其中一個安全 Web 閘道 (SWG) ,Defender for Cloud Apps 提供順暢的部署和整合:
- Zscaler
- iboss
- Corrata
- Menlo Security
如需與這些網路裝置整合的詳細資訊,請參閱 設定 Cloud Discovery。
步驟 4. 建立試驗群組 — 將試驗部署的範圍設定為特定使用者群組
Microsoft Defender for Cloud Apps 可讓您設定部署範圍。 範圍可讓您選取要監視應用程式或從監視中排除的特定使用者群組。 您可以包含或排除使用者群組。 若要設定試驗部署的範圍,請參閱 限定範圍部署。
步驟 5. 探索和管理雲端應用程式
若要 Defender for Cloud Apps 提供最大保護量,您必須探索組織中的所有雲端應用程式,並管理其使用方式。
探索雲端應用程式
管理雲端應用程式使用的第一個步驟是探索貴組織使用的雲端應用程式。 下圖說明雲端探索如何與 Defender for Cloud Apps 搭配運作。
在此圖中,有兩種方法可用來監視網路流量,以及探索組織正在使用的雲端應用程式。
Cloud App Discovery 會以原生方式與 適用於端點的 Microsoft Defender 整合。 適用於端點的 Defender 會報告從 IT 管理的 Windows 10 和 Windows 11 裝置存取的雲端應用程式和服務。
如需連線到網路之所有裝置的涵蓋範圍,請在防火牆和其他 Proxy 上安裝 Defender for Cloud Apps 記錄收集器,以從端點收集數據。 收集器會將此數據傳送至 Defender for Cloud Apps 進行分析。
檢視 Cloud Discovery 儀錶板,以查看組織中正在使用的應用程式
Cloud Discovery 儀錶板的設計目的是要讓您深入瞭解雲端應用程式在組織中的使用方式。 它提供一個概觀,概略說明正在使用的應用程式種類、您開啟的警示,以及組織中應用程式的風險層級。
若要開始使用 Cloud Discovery 儀錶板,請參閱 使用探索到的應用程式。
管理雲端應用程式
探索雲端應用程式並分析組織如何使用這些應用程式之後,您可以開始管理您選擇的雲端應用程式。
在此圖例中:
- 有些應用程式獲批准使用。 批准是開始管理應用程式的簡單方式。
- 您可以將應用程式與應用程式連接器連線,以啟用更高的可見度和控制。 應用程式連接器會使用應用程式提供者的 API。
您可以藉由批准、不批准或封鎖應用程式來開始管理應用程式。 若要開始管理應用程式,請參閱 治理探索到的應用程式。
步驟 6. 設定條件式存取應用程控
您可以設定的最強大保護之一是條件式存取應用程控。 此保護需要與 Microsoft Entra ID整合。 它可讓您將條件式存取原則,包括相關的原則 (,例如要求狀況良好的裝置) ,套用至您已批准的雲端應用程式。
您可能已將 SaaS 應用程式新增至 Microsoft Entra 租使用者,以強制執行多重要素驗證和其他條件式存取原則。 Microsoft Defender for Cloud Apps 原生方式與 Microsoft Entra ID 整合。 您必須做的就是在 Microsoft Entra ID 中設定原則,以在 Defender for Cloud Apps 中使用條件式存取應用程控。 這會透過 Defender for Cloud Apps 作為 Proxy 來路由傳送這些受控 SaaS 應用程式的網路流量,讓 Defender for Cloud Apps 監視此流量並套用會話控件。
在此圖例中:
- SaaS 應用程式會與 Microsoft Entra 租使用者整合。 此整合可讓 Microsoft Entra ID 強制執行條件式存取原則,包括多重要素驗證。
- 系統會將原則新增至 Microsoft Entra ID,以將 SaaS 應用程式的流量導向 Defender for Cloud Apps。 原則會指定要套用此原則的 SaaS 應用程式。 在 Microsoft Entra ID 強制執行套用至這些 SaaS 應用程式的任何條件式存取原則之後,Microsoft Entra ID 然後透過 Defender for Cloud Apps 將 (Proxy 導向) 會話流量。
- Defender for Cloud Apps 監視此流量,並套用系統管理員所設定的任何會話控制原則。
您可能已使用尚未新增至 Microsoft Entra ID 的 Defender for Cloud Apps 來探索並批准雲端應用程式。 您可以將這些雲端應用程式新增至 Microsoft Entra 租使用者,以及條件式存取規則的範圍,以利用條件式存取應用程控。
使用 Microsoft Defender for Cloud Apps 來管理 SaaS 應用程式的第一個步驟是探索這些應用程式,然後將它們新增至您的 Microsoft Entra 租使用者。 如果您需要探索的協助,請參閱 探索和管理您網路中的 SaaS 應用程式。 探索到應用程式之後,請將這些應用程式新增至您的 Microsoft Entra 租使用者。
您可以使用下列工作開始管理這些應用程式:
- 在 Microsoft Entra ID 中,建立新的條件式存取原則,並將其設定為[使用條件式存取應用程控]。此設定有助於將要求重新導向至 Defender for Cloud Apps。 您可以建立一個原則,並將所有 SaaS 應用程式新增至此原則。
- 接下來,在 Defender for Cloud Apps 中建立會話原則。 為您想要套用的每個控件建立一個原則。
如需詳細資訊,包括支援的應用程式和用戶端,請參閱使用 Microsoft Defender for Cloud Apps 條件式存取應用程控來保護應用程式。
如需範例原則,請參閱 SaaS 應用程式的建議 Microsoft Defender for Cloud Apps 原則。 這些原則是以一組 常見的身分識別和裝置存取原則 為基礎,建議作為所有客戶的起點。
步驟 7. 將會話原則套用至雲端應用程式
Microsoft Defender for Cloud Apps 做為反向 Proxy,為獲批准的雲端應用程式提供 Proxy 存取權。 此布建可讓 Defender for Cloud Apps 套用您設定的會話原則。
在此圖例中:
- 從組織中的使用者和裝置存取獲批准的雲端應用程式,會透過 Defender for Cloud Apps 路由傳送。
- 此 Proxy 存取允許套用會話原則。
- 您尚未獲批准或明確不批准的雲端應用程式不會受到影響。
會話原則可讓您將參數套用至組織使用雲端應用程式的方式。 例如,如果您的組織使用 Salesforce,您可以設定會話原則,只允許受管理的裝置存取您組織在 Salesforce 的數據。 較簡單的範例是設定原則來監視來自非受控裝置的流量,讓您可以先分析此流量的風險,再套用更嚴格的原則。
如需詳細資訊,請 參閱建立會話原則。
步驟 8. 試用其他功能
使用下列 Defender for Cloud Apps 教學課程,協助您探索風險並保護您的環境:
- 偵測可疑的用戶活動
- 調查有風險的使用者
- 調查有風險的 OAuth 應用程式
- 探索及保護敏感性資訊
- 即時保護組織中的任何應用程式
- 封鎖敏感性信息的下載
- 使用系統管理員隔離來保護您的檔案
- 需要在有風險的動作時進行逐步驗證
如需 Microsoft Defender for Cloud Apps 數據中進階搜捕的詳細資訊,請參閱這段影片。
SIEM 整合
您可以將 Defender for Cloud Apps 與 Microsoft Sentinel 或一般安全性資訊和事件管理整合 (SIEM) 服務,以啟用從連線應用程式集中監視警示和活動的功能。 透過 Microsoft Sentinel,您可以更全面地分析整個組織的安全性事件,並建置劇本以獲得有效且立即的回應。
Microsoft Sentinel 包含 Defender for Cloud Apps 連接器。 這可讓您不僅瞭解雲端應用程式,還能取得複雜的分析來識別和對抗網路威脅,以及控制數據的移動方式。 如需詳細資訊,請參閱 Microsoft Sentinel 整合和 Stream 警示,以及從 Defender for Cloud Apps 到 Microsoft Sentinel 的 Cloud Discovery 記錄。
如需與第三方 SIEM 系統整合的相關信息,請參閱 一般 SIEM 整合。
下一步
執行 Defender for Cloud Apps的生命週期管理。
端對端部署 Microsoft Defender 全面偵測回應的下一個步驟
使用 Microsoft Defender 全面偵測回應 調查和回應,繼續進行 Microsoft Defender 全面偵測回應 的端對端部署。
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。