Wprowadzenie do usługi Microsoft Defender dla Chmury Apps

  • Artykuł

W tym przewodniku Szybki start opisano, jak rozpocząć pracę z aplikacjami Microsoft Defender dla Chmury w witrynie Microsoft Defender Portal.

Defender dla Chmury Apps może pomóc w korzystaniu z zalet aplikacji w chmurze przy zachowaniu kontroli nad zasobami firmowymi. Defender dla Chmury Apps zwiększa wgląd w aktywność w chmurze i pomaga zwiększyć ochronę danych firmowych.

Napiwek

Jako uzupełnienie tego artykułu zalecamy użycie przewodnika automatycznego konfigurowania aplikacji Microsoft Defender dla Chmury po zalogowaniu się do Centrum administracyjne platformy Microsoft 365. Ten przewodnik dostosuje środowisko na podstawie środowiska. Aby zapoznać się z najlepszymi rozwiązaniami bez logowania się i aktywowania funkcji automatycznej konfiguracji, przejdź do portalu konfiguracji platformy Microsoft 365.

Wymagania wstępne

Aby skonfigurować aplikacje Defender dla Chmury, musisz być administratorem globalnym Administracja lub Administracja istratorem zabezpieczeń w usłudze Microsoft Entra ID lub Microsoft 365.

Użytkownicy z rolami administratora mają te same uprawnienia administratora dla wszystkich aplikacji w chmurze, do których twoja organizacja jest subskrybowana, niezależnie od tego, gdzie przypisano tę rolę. Aby uzyskać więcej informacji, zobacz Przypisywanie ról administratora i Przypisywanie ról administratorów w identyfikatorze Entra firmy Microsoft.

Microsoft Defender dla Chmury Apps to narzędzie zabezpieczeń, dlatego nie wymaga licencji pakietu produktywności platformy Microsoft 365. W przypadku usługi Microsoft 365 Cloud App Security (tylko aplikacje Microsoft Defender dla Chmury dla platformy Microsoft 365) zobacz Jakie są różnice między usługami Microsoft Defender dla Chmury Apps i Microsoft 365 Cloud App Security?.

Uzyskiwanie dostępu do aplikacji Defender dla Chmury

  1. Uzyskaj licencję Defender dla Chmury Apps dla każdego użytkownika, który ma być chroniony przez aplikacje Defender dla Chmury. Aby uzyskać więcej informacji, zobacz arkusz danych licencjonowania platformy Microsoft 365.

    Wersja próbna usługi Defender dla Chmury Apps jest dostępna w ramach wersji próbnej platformy Microsoft 365 E5 i możesz kupić licencje z witryny Centrum administracyjne platformy Microsoft 365 >Marketplace. Aby uzyskać więcej informacji, zobacz Wypróbuj lub kup platformę Microsoft 365 lub Uzyskaj pomoc techniczną dotyczącą platformy Microsoft 365 dla firm.

    Uwaga

    Microsoft Defender dla Chmury Apps to narzędzie zabezpieczeń, dlatego nie wymaga licencji pakietu produktywności platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Jakie są różnice między usługami Microsoft Defender dla Chmury Apps i Microsoft 365 Cloud App Security?.

  2. Uzyskaj dostęp do aplikacji Defender dla Chmury w witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze. Na przykład:

    Screenshot of the Defender for Cloud Apps Cloud Discovery page.

Krok 1. Ustawianie natychmiastowej widoczności, ochrony i akcji ładu dla aplikacji

Strona Instrukcje: ustawianie natychmiastowej widoczności, ochrony i akcji ładu dla aplikacji

Wymagane zadanie: Połączenie aplikacje

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.
  2. W obszarze aplikacje Połączenie ed wybierz pozycję Połączenie or aplikacji.
  3. Wybierz pozycję +Połączenie aplikację, aby dodać aplikację, a następnie wybierz aplikację.
  4. Wykonaj kroki konfiguracji, aby połączyć aplikację.

Dlaczego warto połączyć aplikację? Po podłączeniu aplikacji można uzyskać lepszy wgląd umożliwiający sprawdzanie działań, plików i kont w środowisku chmury dla aplikacji.

Krok 2. Ochrona poufnych informacji za pomocą zasad DLP

Strona Instrukcje: ochrona poufnych informacji za pomocą zasad DLP

Zalecane zadanie: Włączanie monitorowania plików i tworzenie zasad dotyczących plików

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.
  2. W obszarze Ochrona informacji wybierz pozycję Pliki.
  3. Wybierz pozycję Włącz monitorowanie plików, a następnie wybierz pozycję Zapisz.
  4. Jeśli używasz etykiet poufności z usługi Microsoft Purview Information Protection, w obszarze Information Protection wybierz pozycję Microsoft Information Protection.
  5. Wybierz wymagane ustawienia, a następnie wybierz pozycję Zapisz.
  6. W kroku 3 utwórz zasady plików, aby spełnić wymagania organizacji.

Napiwek

Pliki z połączonych aplikacji można wyświetlać, przechodząc do usługi Cloud Apps>Files w witrynie Microsoft Defender Portal.

Zalecenie dotyczące migracji
Zalecamy używanie ochrony informacji poufnych w usłudze Defender dla Chmury Apps równolegle z bieżącym rozwiązaniem Cloud Access Security Broker (CASB). Zacznij od połączenia aplikacji, które chcesz chronić w celu Microsoft Defender dla Chmury Apps. Ponieważ łączniki interfejsu API używają łączności poza pasmem, nie wystąpi konflikt. Następnie stopniowo przeprowadź migrację zasad z bieżącego rozwiązania CASB do usługi Defender dla Chmury Apps.

Uwaga

W przypadku aplikacji innych firm sprawdź, czy bieżące obciążenie nie przekracza maksymalnej liczby dozwolonych wywołań interfejsu API aplikacji.

Krok 3. Kontrolowanie aplikacji w chmurze przy użyciu zasad

Strona Instrukcje: Kontrolowanie aplikacji w chmurze przy użyciu zasad

Wymagane zadanie: Tworzenie zasad

Aby utworzyć zasady

  1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze wybierz pozycję Zasady ->Szablony zasad.
  2. Wybierz szablon zasad z listy, a następnie wybierz ikonę + , aby utworzyć zasady.
  3. Dostosuj zasady, wybierając filtry, akcje i inne ustawienia, a następnie wybierz pozycję Utwórz.
  4. W obszarze Aplikacje w chmurze wybierz pozycję Zasady —> zarządzanie zasadami, aby wybrać zasady i wyświetlić odpowiednie dopasowania (działania, pliki, alerty).

Napiwek

Aby uwzględnić wszystkie scenariusze zabezpieczeń środowiska chmury, utwórz zasady dla każdej kategorii ryzyka.

Jak zasady mogą pomóc organizacji?

Zasady ułatwiają monitorowanie trendów, dostrzeganie zagrożeń bezpieczeństwa i generowanie raportów oraz alertów niestandardowych. Za pomocą zasad można tworzyć akcje nadzoru oraz ustawiać zapobieganie utracie danych i kontrolki do udostępniania plików.

Krok 4. Konfigurowanie rozwiązania Cloud Discovery

Strona Instrukcje: Konfigurowanie rozwiązania Cloud Discovery

Wymagane zadanie: Włącz Defender dla Chmury Apps, aby wyświetlić użycie aplikacji w chmurze

  1. Integracja z Ochrona punktu końcowego w usłudze Microsoft Defender umożliwia automatyczne włączanie aplikacji Defender dla Chmury do monitorowania urządzeń z systemami Windows 10 i Windows 11 wewnątrz i poza firmą.

  2. Jeśli używasz rozwiązania Zscaler, zintegruj go z aplikacjami Defender dla Chmury.

  3. Aby uzyskać pełne pokrycie, utwórz ciągły raport usługi Cloud Discovery

    1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.
    2. W obszarze Cloud Discovery wybierz pozycję Automatyczne przekazywanie dziennika.
    3. Na karcie Źródła danych dodaj źródła.
    4. Na karcie Moduły zbierające dzienniki skonfiguruj moduł zbierający dzienniki.

Zalecenie dotyczące migracji
Zalecamy używanie odnajdywania aplikacji Defender dla Chmury równolegle z bieżącym rozwiązaniem CASB. Rozpocznij od skonfigurowania automatycznego przekazywania dziennika zapory do modułów zbierających dzienniki usługi Defender dla Chmury Apps. Jeśli używasz usługi Defender dla punktu końcowego, w usłudze Microsoft Defender XDR włącz opcję przekazywania sygnałów do usługi Defender dla Chmury Apps. Skonfigurowanie rozwiązania Cloud Discovery nie spowoduje konfliktu z kolekcją dzienników bieżącego rozwiązania CASB.

Aby utworzyć raport migawek usługi Cloud Discovery

  1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze wybierz pozycję Odnajdywanie w chmurze.
  2. W prawym górnym rogu wybierz pozycję Akcje —> Utwórz raport migawki rozwiązania Cloud Discovery.

Dlaczego należy skonfigurować raporty usługi Cloud Discovery?

Wgląd w zasoby informatyczne niezatwierdzone przez dział IT w organizacji jest bardzo istotny. Po przeanalizowaniu dzienników można łatwo znaleźć aplikacje w chmurze, przez które osoby i na jakich urządzeniach.

Krok 5. Wdrażanie kontroli dostępu warunkowego aplikacji dla aplikacji wykazu

Strona Instrukcje: wdrażanie kontroli dostępu warunkowego aplikacji dla aplikacji katalogu przy użyciu identyfikatora Entra firmy Microsoft

Zalecane zadanie: Wdrażanie kontroli dostępu warunkowego aplikacji dla aplikacji katalogu

  1. Skonfiguruj dostawcę tożsamości do pracy z aplikacjami Defender dla Chmury. Jeśli masz identyfikator Entra firmy Microsoft, możesz korzystać z wbudowanych kontrolek, takich jak Tylko monitorowanie i Blokowanie pobierania, które będą działać w przypadku dowolnej aplikacji wykazu gotowej do użycia.
  2. Dołączanie aplikacji do kontrolek dostępu i sesji.
    1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.
    2. W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego*.
    3. Zaloguj się do każdej aplikacji przy użyciu użytkownika objętego zakresem zasad
    4. Odśwież stronę Aplikacji kontroli dostępu warunkowego i wyświetl aplikację.
  3. Sprawdzanie, czy aplikacje są skonfigurowane do używania kontroli dostępu i sesji

Aby skonfigurować kontrolki sesji dla niestandardowych aplikacji biznesowych, nienależących do funkcji Aplikacji SaaS i aplikacji lokalnych, zobacz Deploy Conditional Access App Control for custom apps using Microsoft Entra ID (Wdrażanie kontroli aplikacji dostępu warunkowego dla niestandardowych aplikacji przy użyciu identyfikatora Entra firmy Microsoft).

Zalecenie dotyczące migracji
Użycie kontroli dostępu warunkowego aplikacji równolegle z innym rozwiązaniem CASB może potencjalnie prowadzić do dwukrotnego proxied aplikacji, co powoduje opóźnienie lub inne błędy. W związku z tym zalecamy stopniowe migrowanie aplikacji i zasad do kontroli dostępu warunkowego, tworzenie odpowiednich zasad sesji lub dostępu w aplikacjach Defender dla Chmury zgodnie z rzeczywistym użyciem.

Krok 6. Personalizowanie środowiska

Strona Instrukcje: personalizowanie środowiska

Zalecane zadanie: Dodawanie szczegółów organizacji

Aby wprowadzić ustawienia poczty e-mail

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.
  2. W obszarze System wybierz pozycję Ustawienia poczty.
  3. W obszarze Tożsamość nadawcy wiadomości e-mail wprowadź swoje adresy e-mail i nazwę wyświetlaną.
  4. W obszarze Projekt wiadomości e-mail przekaż szablon wiadomości e-mail organizacji.

Aby ustawić powiadomienia administratorów

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Microsoft Defender XDR.
  2. Wybierz pozycję Powiadomienia e-mail.
  3. Skonfiguruj metody, które chcesz ustawić dla powiadomień systemowych.

Aby dostosować metryki oceny

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.
  2. W obszarze Cloud Discovery wybierz pozycję Score metrics (Generowanie wyników metryk).
  3. Skonfiguruj znaczenie różnych wartości ryzyka.
  4. Wybierz pozycję Zapisz.

Teraz oceny ryzyka nadane odnalezionym aplikacjom są skonfigurowane dokładnie według potrzeb i priorytetów organizacji.

Dlaczego warto personalizować środowisko?

Niektóre funkcje działają najlepiej, gdy są dostosowane do Twoich potrzeb. Zapewnij użytkownikom lepsze środowisko pracy z własnymi szablonami poczty e-mail. Zdecyduj, jakie powiadomienia otrzymujesz i dostosuj metrykę oceny ryzyka, aby dopasować je do preferencji organizacji.

Krok 7. Organizowanie danych zgodnie z potrzebami

Strona Instrukcje: praca z zakresami adresów IP i tagami

Zalecane zadanie: Konfigurowanie ważnych ustawień

Aby utworzyć tagi adresów IP

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

  2. W obszarze System wybierz pozycję Zakresy adresów IP.

  3. Wybierz pozycję + Dodaj zakres adresów IP, aby dodać zakres adresów IP.

  4. Wprowadź zakres adresów IP, zakresy adresów IP, Kategorię i Tagi.

  5. Wybierz pozycję Utwórz.

    Teraz możesz używać tagów IP podczas tworzenia zasad oraz filtrowania i tworzenia raportów ciągłych.

Aby utworzyć raporty ciągłe

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.
  2. W obszarze Cloud Discovery wybierz pozycję Raporty ciągłe.
  3. Wybierz pozycję Utwórz raport.
  4. Wykonaj kroki konfiguracji.
  5. Wybierz pozycję Utwórz.

Teraz można wyświetlać odnalezione dane na podstawie własnych preferencji, takich jak jednostki biznesowe czy zakresy IP.

Aby dodać domeny

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.
  2. W obszarze System wybierz pozycję Szczegóły organizacji.
  3. Dodaj domeny wewnętrzne organizacji.
  4. Wybierz pozycję Zapisz.

Dlaczego należy skonfigurować te ustawienia?

Te ustawienia ułatwiają lepsze kontrolowanie różnych funkcji w konsoli. Tagi adresów IP ułatwiają tworzenie zasad odpowiadających potrzebom, pozwalają dokładniej filtrować dane itp. Widoki danych służą do grupowania danych w kategorie logiczne.

Następne kroki

Kontrola aplikacji w chmurze za pomocą zasad.

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.