Osvědčené postupy pro ochranu organizace pomocí Defenderu for Cloud Apps

  • Článek

Tento článek obsahuje osvědčené postupy pro ochranu vaší organizace pomocí Programu Microsoft Defender for Cloud Apps. Tyto osvědčené postupy pocházejí z našeho prostředí s Programem Defender for Cloud Apps a prostředími zákazníků, jako jste vy.

Mezi osvědčené postupy probírané v tomto článku patří:

Zjišťování a posouzení cloudových aplikací

Integrace Defenderu for Cloud Apps s Microsoft Defenderem for Endpoint vám umožňuje používat Cloud Discovery nad rámec podnikové sítě nebo zabezpečených webových bran. Díky kombinovaným informacím o uživatelích a zařízeních můžete identifikovat rizikové uživatele nebo zařízení, zjistit, jaké aplikace používají, a dále prozkoumat na portálu Defender for Endpoint Portal.

Osvědčený postup: Povolení stínového zjišťování IT pomocí defenderu pro koncový bod
Podrobnosti: Cloud Discovery analyzuje protokoly přenosů shromažďované defenderem for Endpoint a vyhodnocuje identifikované aplikace v katalogu cloudových aplikací, aby poskytovaly informace o dodržování předpisů a zabezpečení. Konfigurací Cloud Discovery získáte přehled o používání cloudu, stínovém IT a průběžném monitorování neschválené aplikace používané vašimi uživateli.
Další informace:

Osvědčený postup: Konfigurace zásad zjišťování aplikací pro proaktivní identifikaci rizikových, nekompatibilních a populárních aplikací
Podrobnosti: Zásady zjišťování aplikací usnadňují sledování významných zjištěných aplikací ve vaší organizaci, které vám pomůžou efektivně spravovat tyto aplikace. Vytvořte zásady pro příjem výstrah při zjišťování nových aplikací, které jsou identifikovány jako rizikové, nevyhovující, trendové nebo vysoké objemy.
Další informace:

Osvědčený postup: Správa aplikací OAuth autorizovaných vašimi uživateli
Podrobnosti: Mnoho uživatelů příležitostně uděluje oprávnění OAuth aplikacím třetích stran pro přístup k informacím o svém účtu a neúmyslně také dává přístup ke svým datům v jiných cloudových aplikacích. IT oddělení obvykle nemá žádný přehled o těchto aplikacích, takže je obtížné zvážit bezpečnostní riziko aplikace proti výhodě produktivity, kterou poskytuje.

Defender for Cloud Apps poskytuje možnost prozkoumat a monitorovat oprávnění aplikace udělená uživateli. Tyto informace můžete použít k identifikaci potenciálně podezřelé aplikace a pokud zjistíte, že je riziková, můžete k ní zakázat přístup.
Další informace:

Použití zásad správného řízení v cloudu

Osvědčený postup: Označování aplikací a export blokových skriptů
Podrobnosti: Po kontrole seznamu zjištěných aplikací ve vaší organizaci můžete své prostředí zabezpečit před nežádoucím použitím aplikací. Schválenou značku můžete použít u aplikací schválených vaší organizací a neschválené značky u aplikací, které nejsou. Neschválené aplikace můžete monitorovat pomocí filtrů zjišťování nebo exportovat skript, který blokuje neschválené aplikace pomocí místních bezpečnostních zařízení. Použití značek a exportních skriptů umožňuje uspořádat aplikace a chránit vaše prostředí tak, že povolíte přístup jenom k bezpečným aplikacím.
Další informace:

Omezení vystavení sdílených dat a vynucení zásad spolupráce

Osvědčený postup: Připojení Microsoft 365
Podrobnosti: Připojení Microsoft 365 to Defender for Cloud Apps vám poskytne okamžitý přehled o aktivitách uživatelů, souborech, ke kterým přistupují, a poskytuje akce zásad správného řízení pro Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange a Dynamics.
Další informace:

Osvědčený postup: Připojení aplikací
Podrobnosti: Připojení aplikací do Defenderu for Cloud Apps získáte lepší přehled o aktivitách uživatelů, detekci hrozeb a možnostech zásad správného řízení. Pokud chcete zjistit, která rozhraní API aplikací třetích stran jsou podporovaná, přejděte do Připojení aplikací.

Další informace:

Osvědčený postup: Vytvoření zásad pro odebrání sdílení s osobními účty
Podrobnosti: Připojení Microsoft 365 to Defender for Cloud Apps vám poskytne okamžitý přehled o aktivitách uživatelů, souborech, ke kterým přistupují, a poskytuje akce zásad správného řízení pro Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange a Dynamics.
Další informace:

Zjišťování, klasifikace, označování a ochrana regulovaných a citlivých dat uložených v cloudu

Osvědčený postup: Integrace se službou Microsoft Purview Information Protection
Podrobnosti: Integrace se službou Microsoft Purview Information Protection umožňuje automaticky používat popisky citlivosti a volitelně přidat ochranu šifrování. Po zapnutí integrace můžete popisky použít jako akci zásad správného řízení, zobrazit soubory podle klasifikace, prozkoumat soubory podle úrovně klasifikace a vytvořit podrobné zásady, které zajistí správné zpracování klasifikovaných souborů. Pokud integraci nezapnete, nebudete moct automaticky prohledávat, popisovat a šifrovat soubory v cloudu.
Další informace:

Osvědčený postup: Vytvoření zásad expozice dat
Podrobnosti: Pomocí zásad souborů můžete zjišťovat sdílení informací a vyhledávat důvěrné informace v cloudových aplikacích. Vytvořte následující zásady souborů, které vás upozorní při zjištění ohrožení dat:

  • Soubory sdílené externě obsahující citlivá data
  • Soubory sdílené externě a označené jako důvěrné
  • Soubory sdílené s neoprávněnými doménami
  • Ochrana citlivých souborů v aplikacích SaaS

Další informace:

Osvědčený postup: Kontrola sestav na stránce Soubory
Podrobnosti: Jakmile připojíte různé aplikace SaaS pomocí konektorů aplikací, Defender for Cloud Apps prohledá soubory uložené těmito aplikacemi. Kromě toho se při každé změně souboru znovu zkontroluje. Stránku Soubory můžete použít k pochopení a prozkoumání typů dat uložených v cloudových aplikacích. Abyste ho mohli prozkoumat, můžete filtrovat podle domén, skupin, uživatelů, data vytvoření, přípony, názvu a typu souboru, ID souboru, popisku citlivosti a dalších. Použití těchto filtrů vám dává kontrolu nad tím, jak se rozhodnete prozkoumat soubory, abyste měli jistotu, že žádná z vašich dat není ohrožená. Jakmile lépe pochopíte, jak se vaše data používají, můžete vytvořit zásady pro vyhledávání citlivého obsahu v těchto souborech.
Další informace:

Vynucení zásad ochrany před únikem informací a dodržování předpisů pro data uložená v cloudu

Osvědčený postup: Ochrana důvěrných dat před sdílením s externími uživateli
Podrobnosti: Vytvořte zásadu souboru, která zjistí, kdy se uživatel pokusí sdílet soubor s popiskem Důvěrné citlivosti s někým externím ve vaší organizaci, a nakonfigurujte jeho akci zásad správného řízení tak, aby odebrala externí uživatele. Tato zásada zajistí, že vaše důvěrná data neopustí vaši organizaci a externí uživatelé k ní nebudou moct získat přístup.
Další informace:

Blokování a ochrana stahování citlivých dat do nespravovaných nebo rizikových zařízení

Osvědčený postup: Správa a řízení přístupu k vysoce rizikovým zařízením
Podrobnosti: Nastavení ovládacích prvků v aplikacích SaaS pomocí řízení podmíněného přístupu k aplikacím Můžete vytvořit zásady relace pro monitorování vysoce rizikových relací a relací s nízkou důvěryhodností. Podobně můžete vytvořit zásady relace, které blokují a chrání stahování uživatelům, kteří se pokoušejí o přístup k citlivým datům z nespravovaných nebo rizikových zařízení. Pokud nevytvoříte zásady relací pro monitorování vysoce rizikových relací, ztratíte možnost blokovat a chránit stahování ve webovém klientovi a také možnost monitorovat relaci s nízkou důvěryhodností jak v aplikacích Microsoftu, tak i v aplikacích třetích stran.
Další informace:

Zabezpečená spolupráce s externími uživateli vynucením řízení relací v reálném čase

Osvědčený postup: Monitorování relací s externími uživateli pomocí řízení podmíněného přístupu k aplikacím
Podrobnosti: Pokud chcete ve svém prostředí zabezpečit spolupráci, můžete vytvořit zásadu relace pro monitorování relací mezi interními a externími uživateli. To vám nejen umožňuje monitorovat relaci mezi uživateli (a upozornit je, že se monitorují jejich aktivity relace), ale také umožňuje omezit konkrétní aktivity. Při vytváření zásad relace pro monitorování aktivit můžete zvolit aplikace a uživatele, které chcete monitorovat.
Další informace:

Detekce cloudových hrozeb, ohrožených účtů, škodlivých insiderů a ransomwaru

Osvědčený postup: Ladění zásad anomálií, nastavení rozsahů IP adres, odeslání zpětné vazby pro upozornění
Podrobnosti: Zásady detekce anomálií poskytují okamžitě okamžité analýzy chování uživatelů a entit (UEBA) a strojové učení (ML), abyste mohli okamžitě spustit pokročilou detekci hrozeb v cloudovém prostředí.

Zásady detekce anomálií se aktivují, když uživatelé ve vašem prostředí provádějí neobvyklé aktivity. Defender for Cloud Apps průběžně monitoruje aktivity uživatelů a používá UEBA a ML k učení a pochopení normálního chování uživatelů. Nastavení zásad můžete ladit tak, aby vyhovovala požadavkům vaší organizace, například můžete nastavit citlivost zásad a nastavit rozsah zásad pro konkrétní skupinu.

  • Vyladění a obor zásad detekce anomálií: Pokud chcete například snížit počet falešně pozitivních výsledků v rámci upozornění na neuskuteční cestu, můžete nastavit posuvník citlivosti zásad na nízkou hodnotu. Pokud máte ve vaší organizaci uživatele, kteří jsou častými firemními cestovateli, můžete je přidat do skupiny uživatelů a vybrat tuto skupinu v rozsahu zásad.

  • Nastavit rozsahy IP adres: Defender for Cloud Apps dokáže identifikovat známé IP adresy, jakmile jsou nastavené rozsahy IP adres. S nakonfigurovanými rozsahy IP adres můžete označit, zařadit do kategorií a přizpůsobit způsob zobrazení a vyšetřování protokolů a upozornění. Přidání rozsahů IP adres pomáhá omezit detekce falešně pozitivních výsledků a zlepšit přesnost výstrah. Pokud se rozhodnete ip adresy nepřidat, může se zobrazit vyšší počet možných falešně pozitivních výsledků a výstrah, které je potřeba prošetřit.

  • Odeslání zpětné vazby pro upozornění

    Při zavření nebo řešení upozornění nezapomeňte poslat zpětnou vazbu s důvodem, proč jste upozornění zavřeli nebo jak se vyřešil. Tyto informace pomáhají defenderu for Cloud Apps zlepšit naše výstrahy a snížit falešně pozitivní výsledky.

Další informace:

Osvědčený postup: Detekce aktivity z neočekávaných umístění nebo zemí nebo oblastí
Podrobnosti: Vytvořte zásadu aktivity, která vás upozorní, když se uživatelé přihlásí z neočekávaných míst nebo zemí nebo oblastí. Tato oznámení vás můžou upozornit na potenciálně ohrožené relace ve vašem prostředí, abyste mohli detekovat a opravovat hrozby dříve, než k nim dojde.
Další informace:

Osvědčený postup: Vytvoření zásad aplikací OAuth
Podrobnosti: Vytvořte zásadu aplikace OAuth, která vás upozorní, když aplikace OAuth splňuje určitá kritéria. Můžete se například rozhodnout, že dostanete oznámení, když k určité aplikaci, která vyžaduje vysokou úroveň oprávnění, přistupovalo více než 100 uživatelů.
Další informace:

Použití záznamu auditu aktivit pro forenzní šetření

Osvědčený postup: Použití záznamu auditu aktivit při vyšetřování výstrah
Podrobnosti: Upozornění se aktivují, když aktivity uživatele, správce nebo přihlašování nevyhovují vašim zásadám. Je důležité prozkoumat výstrahy, abyste pochopili, jestli ve vašem prostředí existuje možná hrozba.

Výstrahu můžete prozkoumat tak, že ji vyberete na stránce Výstrahy a zkontrolujete záznam auditu aktivit souvisejících s tímto upozorněním. Záznam auditu vám poskytuje přehled o aktivitách stejného typu, stejného uživatele, stejné IP adresy a umístění, abyste měli celkový přehled o upozornění. Pokud výstraha zaručuje další šetření, vytvořte plán řešení těchto upozornění ve vaší organizaci.

Při zavření výstrah je důležité prozkoumat a pochopit, proč nejsou důležité nebo jestli jsou falešně pozitivní. Pokud existuje velký objem takových aktivit, můžete zvážit také kontrolu a ladění zásad aktivující výstrahu.
Další informace:

Zabezpečení služeb IaaS a vlastních aplikací

Osvědčený postup: Připojení Azure, AWS a GCP
Podrobnosti: Připojení každé z těchto cloudových platforem pro Defender for Cloud Apps vám pomůže zlepšit možnosti detekce hrozeb. Monitorováním aktivit správy a přihlašování pro tyto služby můžete detekovat a dostávat oznámení o možném útoku hrubou silou, škodlivém použití privilegovaného uživatelského účtu a dalších hrozbách ve vašem prostředí. Můžete například identifikovat rizika, jako jsou neobvyklé odstranění virtuálních počítačů nebo dokonce aktivity zosobnění v těchto aplikacích.
Další informace:

Osvědčený postup: Onboarding vlastních aplikací
Podrobnosti: Pokud chcete získat další přehled o aktivitách z obchodních aplikací, můžete do Defenderu for Cloud Apps připojit vlastní aplikace. Jakmile jsou vlastní aplikace nakonfigurované, zobrazí se informace o tom, kdo je používá, IP adresy, ze které se používají, a informace o tom, kolik provozu přichází do a z aplikace.

Kromě toho můžete připojit vlastní aplikaci jako aplikaci řízení podmíněného přístupu k aplikacím, abyste mohli monitorovat jejich relace s nízkou důvěryhodností.
Další informace: