Zelfstudie: Schaduw-IT detecteren en beheren

  • Artikel

Wanneer IT-beheerders worden gevraagd hoeveel cloud-apps ze denken dat hun werknemers gebruiken, zeggen ze gemiddeld 30 of 40, wanneer in werkelijkheid het gemiddelde meer dan 1000 afzonderlijke apps is die worden gebruikt door werknemers in uw organisatie. Schaduw-IT helpt u te weten welke apps worden gebruikt en wat uw risiconiveau is. 80% van de werknemers maken gebruik van niet-voorwaardelijke apps die niemand heeft beoordeeld en die mogelijk niet compatibel zijn met uw beveiligings- en nalevingsbeleid. En omdat uw werknemers toegang hebben tot uw resources en apps van buiten uw bedrijfsnetwerk, is het niet meer voldoende om regels en beleidsregels op uw firewalls te hebben.

In deze zelfstudie leert u hoe u Cloud Discovery gebruikt om te ontdekken welke apps worden gebruikt, het risico van deze apps te verkennen, beleidsregels te configureren om nieuwe riskante apps te identificeren die worden gebruikt en om deze apps te verwijderen om ze systeemeigen te blokkeren met behulp van uw proxy of firewallapparaat

Tip

Standaard kunnen Defender voor Cloud Apps geen apps detecteren die niet in de catalogus staan.

Als u Defender voor Cloud Apps-gegevens wilt zien voor een app die zich momenteel niet in de catalogus bevindt, raden we u aan onze roadmap te controleren of een aangepaste app te maken.

Schaduw-IT detecteren en beheren in uw netwerk

Gebruik dit proces om Shadow IT Cloud Discovery in uw organisatie uit te rollen.

shadow IT lifecycle.

Fase 1: Schaduw-IT detecteren en identificeren

  1. Ontdek schaduw-IT: identificeer het beveiligingspostuur van uw organisatie door Cloud Discovery in uw organisatie uit te voeren om te zien wat er daadwerkelijk gebeurt in uw netwerk. Zie Clouddetectie instellen voor meer informatie. U kunt dit doen met behulp van een van de volgende methoden:

    • Ga snel aan de slag met Cloud Discovery door te integreren met Microsoft Defender voor Eindpunt. Met deze systeemeigen integratie kunt u direct beginnen met het verzamelen van gegevens over cloudverkeer op uw Windows 10- en Windows 11-apparaten, in en uit uw netwerk.

    • Voor dekking op alle apparaten die zijn verbonden met uw netwerk, is het belangrijk om de Defender voor Cloud Apps-logboekverzamelaar te implementeren op uw firewalls en andere proxy's om gegevens van uw eindpunten te verzamelen en naar Defender voor Cloud Apps voor analyse te verzenden.

    • Integreer Defender voor Cloud Apps met uw proxy. Defender voor Cloud Apps integreert systeemeigen met sommige proxy's van derden, waaronder Zscaler.

    Omdat beleidsregels verschillen tussen gebruikersgroepen, regio's en bedrijfsgroepen, kunt u een toegewezen Schaduw-IT-rapport maken voor elk van deze eenheden. Zie Aangepaste doorlopende rapporten maken voor meer informatie.

    Nu Cloud Discovery op uw netwerk wordt uitgevoerd, bekijkt u de doorlopende rapporten die worden gegenereerd en bekijkt u het Cloud Discovery-dashboard om een volledig beeld te krijgen van welke apps in uw organisatie worden gebruikt. Het is een goed idee om ze per categorie te bekijken, omdat u vaak zult merken dat niet-sanceerde apps worden gebruikt voor legitieme werkgerelateerde doeleinden die niet zijn aangepakt door een sanceerde app.

  2. Identificeer de risiconiveaus van uw apps: gebruik de catalogus Defender voor Cloud Apps om dieper in te gaan op de risico's die betrokken zijn bij elke gedetecteerde app. De Defender voor Cloud app-catalogus bevat meer dan 31.000 apps die worden beoordeeld met meer dan 90 risicofactoren. De risicofactoren beginnen met algemene informatie over de app (waar bevinden zich het hoofdkantoor van de app, die de uitgever is) en via beveiligingsmaatregelen en besturingselementen (ondersteuning voor versleuteling-at-rest, biedt een auditlogboek van gebruikersactiviteit). Zie Werken met risicoscore voor meer informatie.

    • Selecteer Cloud Discovery in de Microsoft Defender-portal onder Cloud Apps. Ga vervolgens naar het tabblad Gedetecteerde apps . Filter de lijst met apps die in uw organisatie zijn gedetecteerd op basis van de risicofactoren waarover u zich zorgen maakt. U kunt bijvoorbeeld geavanceerde filters gebruiken om alle apps met een risicoscore lager dan 8 te vinden.

    • U kunt inzoomen op de app om meer te weten te komen over de naleving ervan door de naam van de app te selecteren en vervolgens het tabblad Info te selecteren om details te bekijken over de beveiligingsrisicofactoren van de app.

Fase 2: Evalueren en analyseren

  1. Naleving evalueren: controleer of de apps zijn gecertificeerd als compatibel met de standaarden van uw organisatie, zoals HIPAA of SOC2.

    • Selecteer Cloud Discovery in de Microsoft Defender-portal onder Cloud Apps. Ga vervolgens naar het tabblad Gedetecteerde apps . Filter de lijst met apps die in uw organisatie zijn gedetecteerd door de nalevingsrisicofactoren waarover u zich zorgen maakt. Gebruik bijvoorbeeld de voorgestelde query om niet-compatibele apps uit te filteren.

    • U kunt inzoomen op de app om meer te weten te komen over de naleving ervan door de naam van de app te selecteren en vervolgens het tabblad Info te selecteren om details te bekijken over de nalevingsrisicofactoren van de app.

  2. Gebruik analyseren: Nu u weet of u wilt dat de app in uw organisatie wordt gebruikt, wilt u onderzoeken hoe en wie deze gebruikt. Als het alleen op een beperkte manier in uw organisatie wordt gebruikt, is het misschien in orde, maar misschien als het gebruik groeit, wilt u hiervan op de hoogte worden gesteld, zodat u kunt beslissen of u de app wilt blokkeren.

    • Selecteer Cloud Discovery in de Microsoft Defender-portal onder Cloud Apps. Ga vervolgens naar het tabblad Gedetecteerde apps en zoom vervolgens in door de specifieke app te selecteren die u wilt onderzoeken. Op het tabblad Gebruik kunt u zien hoeveel actieve gebruikers de app gebruiken en hoeveel verkeer er wordt gegenereerd. Dit kan u al een goed beeld geven van wat er met de app gebeurt. Als u vervolgens wilt zien wie de app gebruikt, kunt u verder inzoomen door Totaal actieve gebruikers te selecteren. Deze belangrijke stap kan u relevante informatie geven, bijvoorbeeld als u ontdekt dat alle gebruikers van een specifieke app afkomstig zijn van de afdeling Marketing, is het mogelijk dat er een zakelijke behoefte is aan deze app en als deze riskant is, moet u met hen praten over een alternatief voordat u deze blokkeert.

    • Duik nog dieper in bij het onderzoeken van het gebruik van gedetecteerde apps. Bekijk subdomeinen en resources voor meer informatie over specifieke activiteiten, gegevenstoegang en resourcegebruik in uw cloudservices. Zie Voor meer informatie uitgebreide informatie over gedetecteerde apps en ontdek resources en aangepaste apps.

  3. Alternatieve apps identificeren: gebruik de cloud-app-catalogus om veiligere apps te identificeren die vergelijkbare bedrijfsfunctionaliteit bereiken als de gedetecteerde riskante apps, maar voldoen wel aan het beleid van uw organisatie. U kunt dit doen met behulp van de geavanceerde filters om apps te vinden in dezelfde categorie die voldoen aan uw verschillende beveiligingsmechanismen.

Fase 3: Uw apps beheren

  • Cloud-apps beheren: Defender voor Cloud Apps helpt u bij het proces voor het beheren van app-gebruik in uw organisatie. Nadat u de verschillende patronen en gedragingen hebt geïdentificeerd die in uw organisatie worden gebruikt, kunt u nieuwe aangepaste app-tags maken om elke app te classificeren op basis van de bedrijfsstatus of reden. Deze tags kunnen vervolgens worden gebruikt voor specifieke bewakingsdoeleinden, bijvoorbeeld om veel verkeer te identificeren dat naar apps gaat die zijn gelabeld als riskante cloudopslag-apps. App-tags kunnen worden beheerd onder Instellingen> Cloud Apps>Cloud Discovery>App-tags. Deze tags kunnen later worden gebruikt voor het filteren op de Cloud Discovery-pagina's en voor het maken van beleidsregels.

  • Gedetecteerde apps beheren met behulp van Microsoft Entra Gallery: Defender voor Cloud Apps maakt ook gebruik van de systeemeigen integratie met Microsoft Entra ID, zodat u uw gedetecteerde apps in Microsoft Entra Gallery kunt beheren. Voor apps die al worden weergegeven in de Microsoft Entra Gallery, kunt u eenmalige aanmelding toepassen en de app beheren met Microsoft Entra-id. Als u dit wilt doen, kiest u in de rij waar de relevante app wordt weergegeven de drie puntjes aan het einde van de rij en kiest u vervolgens App beheren met Microsoft Entra-id.

    Manage app in Microsoft Entra gallery.

  • Continue bewaking: Nu u de apps grondig hebt onderzocht, kunt u beleidsregels instellen die de apps bewaken en waar nodig controle bieden.

Nu is het tijd om beleid te maken, zodat u automatisch gewaarschuwd kunt worden wanneer er iets gebeurt waarover u zich zorgen maakt. U kunt bijvoorbeeld een app-detectiebeleid maken dat u laat weten wanneer er een piek is in downloads of verkeer van een app waarover u zich zorgen maakt. Hiervoor moet u afwijkend gedrag inschakelen in het beleid voor gedetecteerde gebruikers, nalevingscontrole van cloudopslag-apps en nieuwe riskante apps. U moet ook het beleid instellen om u per e-mail op de hoogte te stellen. Zie voor meer informatie naslaginformatie over beleidssjablonen, meer informatie over Cloud Discovery-beleid en App-detectiebeleid configureren.

Bekijk de pagina Waarschuwingen en gebruik het filter Beleidstype om waarschuwingen voor app-detectie te bekijken. Voor apps die overeenkomen met uw app-detectiebeleid, is het raadzaam om een geavanceerd onderzoek uit te voeren voor meer informatie over de zakelijke reden voor het gebruik van de app, bijvoorbeeld door contact op te leggen met de gebruikers van de app. Herhaal vervolgens de stappen in fase 2 om het risico van de app te evalueren. Bepaal vervolgens de volgende stappen voor de toepassing, of u het gebruik ervan in de toekomst goedkeurt of wilt blokkeren wanneer een gebruiker deze de volgende keer opent. In dat geval moet u deze labelen als niet-goedgekeurd, zodat deze kan worden geblokkeerd met behulp van uw firewall, proxy of beveiligde webgateway. Zie Integreren met Microsoft Defender voor Eindpunt, Integreren met Zscaler, Integreren met iboss en Apps blokkeren door een blokscript te exporteren voor meer informatie.

Fase 4: Rapportage van Advanced Shadow IT-detectie

Naast de rapportageopties die beschikbaar zijn in Defender voor Cloud Apps, kunt u Cloud Discovery-logboeken integreren in Microsoft Sentinel voor verder onderzoek en analyse. Zodra de gegevens zich in Microsoft Sentinel bevinden, kunt u deze weergeven in dashboards, query's uitvoeren met behulp van kusto-querytaal, query's exporteren naar Microsoft Power BI, integreren met andere bronnen en aangepaste waarschuwingen maken. Zie Microsoft Sentinel-integratie voor meer informatie.

Fase 5: Sanceerde apps beheren

  1. Als u app-beheer via API's wilt inschakelen, verbindt u apps via API voor continue bewaking.

  2. Apps beveiligen met app-beheer voor voorwaardelijke toegang.

De aard van cloud-apps betekent dat ze dagelijks worden bijgewerkt en dat nieuwe apps altijd worden weergegeven. Hierdoor gebruiken werknemers voortdurend nieuwe apps en is het belangrijk om uw beleid bij te houden en te controleren en bij te werken, te controleren welke apps uw gebruikers gebruiken, evenals hun gebruiks- en gedragspatronen. U kunt altijd naar het Cloud Discovery-dashboard gaan en zien welke nieuwe apps worden gebruikt en de instructies in dit artikel opnieuw volgen om ervoor te zorgen dat uw organisatie en uw gegevens zijn beveiligd.

Volgende stappen

Aanbevolen procedures voor het beveiligen van uw organisatie

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.

Meer informatie