Oktatóanyag: Árnyék informatikai részleg felderítése és kezelése

  • Cikk

Amikor a rendszergazdáktól megkérdezik, hogy hány felhőalkalmazást használnak az alkalmazottaik, átlagosan 30-at vagy 40-et, amikor a valóságban az átlag több mint 1000 különálló alkalmazást használnak a szervezet alkalmazottai. Az árnyék informatikai részleg segítségével megismerheti és azonosíthatja, hogy mely alkalmazásokat használják, és mi a kockázati szintje. Az alkalmazottak 80%-a nem szentesített alkalmazásokat használ, amelyeket senki sem tekintett át, és nem felel meg az Ön biztonsági és megfelelőségi szabályzatainak. Mivel az alkalmazottak a vállalati hálózaton kívülről is hozzáférhetnek az erőforrásokhoz és az alkalmazásokhoz, már nem elég, ha szabályok és szabályzatok vannak a tűzfalakon.

Ebben az oktatóanyagban megtudhatja, hogyan használhatja a Cloud Discoveryt a használt alkalmazások felderítésére, az alkalmazások kockázatának feltárására, a használt új kockázatos alkalmazások azonosítására szolgáló szabályzatok konfigurálására, valamint az alkalmazások letiltására a proxy- vagy tűzfalberendezés natív letiltásához

Tipp.

Alapértelmezés szerint Felhőhöz készült Defender alkalmazások nem tudják felderíteni a katalógusban nem szereplő alkalmazásokat.

A katalógusban jelenleg nem szereplő alkalmazások Felhőhöz készült Defender Alkalmazások adatainak megtekintéséhez javasoljuk, hogy tekintse meg az ütemtervet, vagy hozzon létre egy egyéni alkalmazást.

Árnyék it felderítése és kezelése a hálózaton

Ezzel a folyamattal gördítheti üzembe a Shadow IT Cloud Discoveryt a szervezetben.

shadow IT lifecycle.

1. fázis: Árnyék informatikai részleg felderítése és azonosítása

  1. Fedezze fel az árnyék informatikát: A Cloud Discovery szervezeten belüli futtatásával azonosíthatja a szervezet biztonsági állapotát, hogy lássa, mi történik valójában a hálózaton. További információ: Felhőfelderítés beállítása. Ez az alábbi módszerek bármelyikével elvégezhető:

    • Az Végponthoz készült Microsoft Defender integrálva gyorsan megismerkedhet a Cloud Discovery szolgáltatással. Ez a natív integráció lehetővé teszi, hogy azonnal megkezdje az adatok gyűjtését a Windows 10- és Windows 11-eszközök felhőbeli forgalmáról a hálózaton belül és kívül.

    • A hálózathoz csatlakoztatott összes eszköz lefedettsége érdekében fontos a Felhőhöz készült Defender-alkalmazások naplógyűjtőjének üzembe helyezése a tűzfalakon és más proxykon, hogy adatokat gyűjtsenek a végpontokról, és elküldjék azokat a Felhőhöz készült Defender-alkalmazásoknak elemzés céljából.

    • Integrálja a Felhőhöz készült Defender-alkalmazásokat a proxyjával. Felhőhöz készült Defender Alkalmazások natív módon integrálhatók néhány külső proxyval, beleértve a Zscaler.

    Mivel a szabályzatok felhasználói csoportokban, régiókban és üzleti csoportokban eltérőek, érdemes külön árnyék informatikai jelentést létrehozni ezekhez az egységekhez. További információ: Egyéni folyamatos jelentések létrehozása.

    Most, hogy a Cloud Discovery fut a hálózaton, tekintse meg a létrehozott folyamatos jelentéseket, és tekintse meg a Cloud Discovery irányítópultját , hogy teljes képet kapjon arról, hogy milyen alkalmazásokat használnak a szervezetében. Érdemes kategóriák szerint áttekinteni őket, mert gyakran tapasztalja, hogy a nem engedélyezett alkalmazásokat olyan jogszerű, munkával kapcsolatos célokra használják, amelyeket nem egy engedélyezett alkalmazás kezelt.

  2. Az alkalmazások kockázati szintjeinek azonosítása: Az Felhőhöz készült Defender Alkalmazáskatalógus használatával részletesebben is megismerkedhet az egyes felderített alkalmazásokkal járó kockázatokkal. A Felhőhöz készült Defender alkalmazáskatalógus több mint 31 000 alkalmazást tartalmaz, amelyeket több mint 90 kockázati tényező alapján értékelnek. A kockázati tényezők az alkalmazással kapcsolatos általános információkból indulnak ki (hol található az alkalmazás központja, ki a közzétevő), valamint biztonsági intézkedésekkel és vezérlőkkel (a inaktív titkosítás támogatása, a felhasználói tevékenység naplózási naplóját biztosítja). További információ: A kockázati pontszám használata,

    • A Microsoft Defender portál Cloud Apps területén válassza a Cloud Discovery lehetőséget. Ezután lépjen a Felderített alkalmazások lapra. Szűrje a szervezetében felfedezett alkalmazások listáját az Önt foglalkoztató kockázati tényezők alapján. Speciális szűrőkkel például megkeresheti a 8-nál alacsonyabb kockázati pontszámú alkalmazásokat.

    • Az alkalmazás nevének kiválasztásával, majd az Információ fülre kattintva részletesebben is megismerkedhet az alkalmazás megfelelőségével, és az alkalmazás biztonsági kockázati tényezőivel kapcsolatos részletek megtekintéséhez.

2. fázis: Értékelés és elemzés

  1. Megfelelőség értékelése: Ellenőrizze, hogy az alkalmazások megfelelnek-e a szervezet szabványainak, például a HIPAA-nak vagy az SOC2-nek.

    • A Microsoft Defender portál Cloud Apps területén válassza a Cloud Discovery lehetőséget. Ezután lépjen a Felderített alkalmazások lapra. Szűrje a szervezetében felfedezett alkalmazások listáját a megfelelőségi kockázati tényezők alapján, amelyek miatt aggódik. A javasolt lekérdezés használatával például kiszűrheti a nem megfelelő alkalmazásokat.

    • Az alkalmazás nevének kiválasztásával, majd az Információ fülre kattintva részletesebben is megismerkedhet az alkalmazás megfelelőségi kockázati tényezőivel.

  2. Használat elemzése: Most, hogy tudja, hogy szeretné-e használni az alkalmazást a szervezetében, meg kell vizsgálnia, hogyan és ki használja. Ha csak korlátozott módon használják a szervezetében, akkor lehet, hogy rendben van, de ha a használat növekszik, szeretne értesítést kapni róla, hogy eldönthesse, szeretné-e letiltani az alkalmazást.

    • A Microsoft Defender portál Cloud Apps területén válassza a Cloud Discovery lehetőséget. Ezután lépjen a Felderített alkalmazások lapra, majd a részletezéshez válassza ki a vizsgálandó alkalmazást. A Használat lapon megtudhatja, hogy hány aktív felhasználó használja az alkalmazást, és mekkora forgalmat generál. Ezzel már jó képet kaphat arról, hogy mi történik az alkalmazással. Ezután, ha azt szeretné megtudni, hogy ki használja az alkalmazást, részletesebben is részletezheti az összes aktív felhasználó kiválasztásával. Ez a fontos lépés fontos információkat adhat önnek, például ha azt észleli, hogy egy adott alkalmazás összes felhasználója a Marketing részlegtől származik, lehetséges, hogy üzleti igény van az alkalmazásra, és ha kockázatos, akkor a letiltás előtt beszéljen velük egy másik lehetőségről.

    • A felderített alkalmazások használatának vizsgálatakor még mélyebbre merüljön. Az altartományok és az erőforrások megtekintésével megismerheti a felhőszolgáltatások adott tevékenységeit, adathozzáféréseit és erőforrás-használatát. További információt a Felderített alkalmazások és az Erőforrások és az egyéni alkalmazások felfedezése című témakörben talál.

  3. Alternatív alkalmazások azonosítása: A Cloud App Catalog használatával azonosíthatja azokat a biztonságosabb alkalmazásokat, amelyek hasonló üzleti funkciókat érnek el, mint az észlelt kockázatos alkalmazások, de megfelelnek a szervezet házirendjének. Ezt úgy teheti meg, hogy a speciális szűrőkkel ugyanabban a kategóriában talál alkalmazásokat, amelyek megfelelnek a különböző biztonsági vezérlőknek.

3. fázis: Alkalmazások kezelése

  • Felhőalkalmazások kezelése: Felhőhöz készült Defender Alkalmazások segítségével kezelheti az alkalmazáshasználatot a szervezetben. Miután azonosította a szervezetben használt különböző mintákat és viselkedéseket, létrehozhat új egyéni alkalmazáscímkéket, hogy az egyes alkalmazásokat az üzleti állapota vagy indoklása szerint osztályozza. Ezeket a címkéket ezután meghatározott figyelési célokra használhatja, például azonosíthatja a nagy forgalmat, amely kockázatos felhőalapú tárolóalkalmazásként címkézett alkalmazásokba kerül. Az alkalmazáscímkék Gépház Cloud Apps>Cloud Discovery>alkalmazáscímkék alatt> kezelhetők. Ezek a címkék később felhasználhatók a Cloud Discovery-lapok szűrésére és a szabályzatok használatával történő létrehozására.

  • Felderített alkalmazások kezelése a Microsoft Entra Gallery használatával: Felhőhöz készült Defender Az alkalmazások a Microsoft Entra ID-val való natív integrációjával is lehetővé teszik a felderített alkalmazások kezelését a Microsoft Entra Katalógusban. A Microsoft Entra Katalógusban már megjelenő alkalmazások esetében alkalmazhat egyszeri bejelentkezést, és kezelheti az alkalmazást a Microsoft Entra-azonosítóval. Ehhez válassza ki a sor végén található három elemet azon a sorban, ahol a megfelelő alkalmazás megjelenik, majd válassza az Alkalmazás kezelése Microsoft Entra-azonosítóval lehetőséget.

    Manage app in Microsoft Entra gallery.

  • Folyamatos figyelés: Most, hogy alaposan megvizsgálta az alkalmazásokat, érdemes lehet olyan szabályzatokat beállítani, amelyek figyelik az alkalmazásokat, és szükség esetén szabályozhatják azokat.

Most itt az ideje, hogy szabályzatokat hozzon létre, hogy automatikusan riasztást kaphasson, ha valami olyan történik, ami miatt aggódik. Előfordulhat például, hogy olyan alkalmazásfelderítési szabályzatot szeretne létrehozni, amely tájékoztatja, ha megnő a letöltések vagy a forgalom egy olyan alkalmazásból, amely miatt aggódik. Ennek eléréséhez engedélyeznie kell a rendellenes viselkedést a felderített felhasználói szabályzatokban, a felhőalapú tárolóalkalmazások megfelelőségi ellenőrzésében és az Új kockázatos alkalmazásokban. A szabályzatot úgy is be kell állítania, hogy e-mailben értesítést küldjön Önnek. További információ: szabályzatsablonok referenciája, további információ a Cloud Discovery-szabályzatokrólés az alkalmazásfelderítési szabályzatok konfigurálásáról.

Tekintse meg a riasztások lapot, és a Szabályzattípus szűrővel tekintse meg az alkalmazásfelderítési riasztásokat. Az alkalmazásfelderítési szabályzatokkal egyeztetett alkalmazások esetében ajánlott speciális vizsgálatot végezni, hogy többet tudjon meg az alkalmazás használatának üzleti indokairól, például az alkalmazás felhasználóival való kapcsolatfelvétellel. Ezután ismételje meg a 2. fázis lépéseit az alkalmazás kockázatának kiértékeléséhez. Ezután határozza meg az alkalmazás következő lépéseit, függetlenül attól, hogy a jövőben jóváhagyja-e a használatát, vagy letiltja azt, amikor a felhasználó legközelebb hozzáfér hozzá, ebben az esetben nem engedélyezettként kell megjelölnie, hogy letilthassa a tűzfal, a proxy vagy a biztonságos webátjáró használatával. További információ: Integrálás Végponthoz készült Microsoft Defender, Integrálás Zscalerrel, Integrálás ibosssal és Alkalmazások blokkolása blokkszkript exportálásával.

4. fázis: Advanced Shadow IT discovery reporting

Az Felhőhöz készült Defender Appsben elérhető jelentéskészítési lehetőségek mellett a Cloud Discovery-naplókat integrálhatja a Microsoft Sentinelbe további vizsgálat és elemzés céljából. Miután az adatok a Microsoft Sentinelben vannak, megtekintheti az irányítópultokon, lekérdezéseket futtathat a Kusto lekérdezési nyelv használatával, lekérdezéseket exportálhat a Microsoft Power BI-ba, integrálhatja más forrásokkal, és egyéni riasztásokat hozhat létre. További információ: Microsoft Sentinel-integráció.

5. fázis: Engedélyezett alkalmazások szabályozása

  1. Az alkalmazások API-kon keresztüli vezérlésének engedélyezéséhez csatlakoztassa az alkalmazásokat AZ API-val a folyamatos monitorozáshoz.

  2. Alkalmazások védelme feltételes hozzáférésű alkalmazásvezérlővel.

A felhőalkalmazások természete azt jelenti, hogy naponta frissülnek, és folyamatosan jelennek meg az új alkalmazások. Emiatt az alkalmazottak folyamatosan új alkalmazásokat használnak, és fontos, hogy folyamatosan nyomon követhessék és áttekintsék és frissítsék a szabályzatokat, ellenőrizhessék, hogy mely alkalmazásokat használják a felhasználók, valamint hogy milyen használati és viselkedési mintákat használnak. Bármikor megnyithatja a Cloud Discovery irányítópultját, és megtekintheti, hogy milyen új alkalmazásokat használnak, és a cikkben szereplő utasításokat követve gondoskodhat arról, hogy a szervezet és az adatok védettek legyenek.

Következő lépések

Ajánlott eljárások a szervezet védelméhez

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.

További információ