Cloud App Security osvědčené postupy

Platí pro: Microsoft Cloud App Security

Důležité

Názvy produktů ochrany před hrozbami od Microsoftu se mění. Přečtěte si další informace o této a dalších aktualizacích. V blízké budoucnosti budeme aktualizovat názvy v produktech a v dokumentaci.

Tento článek poskytuje osvědčené postupy pro ochranu vaší organizace pomocí Microsoft Cloud App Security. Tyto osvědčené postupy docházejí z našeho prostředí s Cloud App Security a zkušenostmi se se zákazníky, jako jste vy.

Osvědčené postupy popsané v tomto článku zahrnují:

Objevování a posuzování cloudových aplikací

Integrace Cloud App Security s Microsoft Defenderem pro koncové body vám dává možnost používat Cloud Discovery mimo vaši firemní síť nebo zabezpečené webové brány. S kombinovanými informacemi o uživatelích a zařízeních můžete identifikovat rizikové uživatele nebo zařízení, zjistit, jaké aplikace používají, a další prozkoumat v programu Defender pro portál koncových bodů.

Osvědčený postup: povolení Shadow IT Discovery pomocí programu Defender pro koncový bod
Podrobnosti: Cloud Discovery analyzuje protokoly provozu shromážděné programem Defender pro koncový bod a vyhodnocuje identifikované aplikace v katalogu cloudových aplikací, aby poskytovala informace o dodržování předpisů a zabezpečení. Konfigurací Cloud Discovery získáte přehled o používání cloudu, stínovém IT a nepřetržitém monitorování neschválených aplikací, které používají vaši uživatelé.
Další informace:


Osvědčené postupy: Konfigurace zásad zjišťování aplikací pro proaktivní identifikaci rizikových, nevyhovujících a trendných aplikací
Podrobnosti: zásady zjišťování aplikací usnadňují sledování významných zjištěných aplikací ve vaší organizaci, které vám pomůžou efektivně spravovat tyto aplikace. Vytvořte zásady pro příjem výstrah při detekci nových aplikací, které se identifikují jako rizikové, nekompatibilní, vývojové nebo vysoké objemy.
Další informace:


Osvědčený postup: Správa aplikací OAuth autorizovaných uživateli
Podrobnosti: mnoho uživatelů při přístupu k informacím o svém účtu nechtěně uděluje oprávnění OAuth pro aplikace třetích stran a v takovém případě neúmyslně také poskytuje přístup ke svým datům v jiných cloudových aplikacích. Obvykle nemá žádné informace o těchto aplikacích, což by mohlo být obtížné zvážit bezpečnostní riziko aplikace v rámci zvýhodněné produktivity, kterou poskytuje.

Cloud App Security poskytuje možnost prozkoumat a monitorovat oprávnění aplikací udělených uživateli. Tyto informace můžete použít k identifikaci potenciálně podezřelé aplikace, a pokud zjistíte, že je riskantní, můžete k němu přístup zakázat.
Další informace:





Použití zásad správného řízení pro cloud

Osvědčený postup: označování aplikací značek a exportování blokovaných skriptů
Podrobnosti: po kontrole seznamu zjištěných aplikací ve vaší organizaci můžete své prostředí zabezpečit před použitím nežádoucích aplikací. Schválenou značku můžete použít u aplikací , které jsou schválené vaší organizací, a neschválené značky pro aplikace, které nejsou. Neschválené aplikace můžete sledovat pomocí filtrů zjišťování nebo exportovat skript pro blokování neschválených aplikací pomocí místních zabezpečovacích zařízení. Použití značek a exportu skriptů umožňuje organizovat aplikace a chránit vaše prostředí tím, že umožňuje přístup pouze k bezpečným aplikacím.
Další informace:





Omezení rizika odhalení sdílených dat a vynucování zásad pro spolupráci

Osvědčený postup: připojení Office 365
Podrobnosti: připojení Office 365 k Cloud App Security poskytuje okamžitý přehled o aktivitách vašich uživatelů, souborech, ke kterým přistupují, a poskytuje akce zásad správného řízení pro Office 365, SharePoint, OneDrive, týmy, Power BI, Exchange a Dynamics.
Další informace:


Osvědčené postupy: připojení aplikací třetích stran
Podrobnosti: připojení aplikací třetích stran k Cloud App Security poskytuje lepší přehled o aktivitách vašich uživatelů, detekci hrozeb a možnostech zásad správného řízení. Podporují se následující rozhraní API aplikací třetích stran: Amazon Web Services (AWS), box, Dropbox, Google Workspace, okta, Salesforce, ServiceNow, WebExa Workday.
Další informace:


Osvědčený postup: Kontrola vystavení dat vaší organizace
Podrobnosti: pomocí sestav o expozici souborů můžete získat přehled o tom, jak uživatelé sdílejí soubory s využitím cloudových aplikací. K dispozici jsou následující sestavy, které lze exportovat do nástroje pro účely další analýzy v nástrojích, jako je například Microsoft Power BI:

  • Přehled sdílení dat: Vypisuje soubory podle přístupových oprávnění uložených v každé z vašich cloudových aplikací.

  • Odchozí sdílení podle domény: zobrazuje seznam domén, se kterými se zaměstnanci sdílí firemní soubory.

  • Vlastníci sdílených souborů: vypíše uživatele, kteří sdílí firemní soubory s vnějším světem.
    Další informace:

  • Generování sestav o správě dat


Osvědčený postup: Vytvoření zásad pro odebrání sdílení s osobními účty
Podrobnosti: připojení Office 365 k Cloud App Security poskytuje okamžitý přehled o aktivitách vašich uživatelů, souborech, ke kterým přistupují, a poskytuje akce zásad správného řízení pro Office 365, SharePoint, OneDrive, týmy, Power BI, Exchange a Dynamics.
Další informace:





Zjišťování, klasifikace, označování a ochrana regulovaných a citlivých dat uložených v cloudu

Osvědčený postup: integrace s Azure Information Protection
Podrobnosti: integrace s Azure Information Protection poskytuje možnost automaticky použít popisky klasifikace a volitelně přidat ochranu šifrování. Jakmile je integrace zapnutá, můžete použít popisky jako akci zásad správného řízení, zobrazit soubory podle klasifikace, prozkoumat soubory podle úrovně klasifikace a vytvořit podrobné zásady, abyste se ujistili, že jsou klasifikované soubory správně zpracovávány. Pokud integraci nepovolíte, nebudete mít možnost automaticky kontrolovat, označovat a šifrovat soubory v cloudu.
Další informace:


Osvědčený postup: Vytvoření zásad pro expozici dat
Podrobnosti: k detekci sdílení informací a kontrole důvěrných informací v cloudových aplikacích použijte zásady souborů. Vytvořte následující zásady souborů, které vás upozorní, když jsou zjištěna rizika pro data:

  • Soubory sdílené externě obsahující citlivá data
  • Soubory sdílené externě a označené jako důvěrné
  • Soubory sdílené s neoprávněnými doménami
  • Ochrana citlivých souborů v aplikacích SaaS

Další informace:


Osvědčené postupy: Kontrola sestav na stránce soubory
Podrobnosti: po připojení různých aplikací SaaS pomocí konektorů aplikací Cloud App Security prověřování souborů uložených těmito aplikacemi. Kromě toho se pokaždé, když se soubor upraví, znovu prohledá. Na stránce soubory můžete pochopit a prozkoumat typy dat uložených ve vašich cloudových aplikacích. Abyste mohli prozkoumat, můžete filtrovat podle domén, skupin, uživatelů, data vytvoření, přípony, názvu souboru a typu, ID souboru, klasifikačního popisku a dalších. Pomocí těchto filtrů můžete řídit, jak se rozhodnete soubory prozkoumat, abyste se ujistili, že žádná data nehrozí. Jakmile budete mít lepší přehled o tom, jak se vaše data používají, můžete vytvořit zásady pro hledání citlivého obsahu v těchto souborech.
Další informace:





Vynucování zásad ochrany před únikem informací a dodržování předpisů u dat uložených v cloudu

Osvědčený postup: ochrana důvěrných dat před sdílením s externími uživateli
Podrobnosti: Vytvořte zásady souborů, které zjistí, kdy se uživatel pokusí sdílet soubor s popiskem klasifikace důvěrného s někým, kdo je externí pro vaši organizaci, a nakonfigurujte akci zásad správného řízení pro odebrání externích uživatelů. Tato zásada zajišťuje, že vaše důvěrná data neodejdou z vaší organizace a externí uživatelé k nim nezískají přístup.
Další informace:





Blokování a ochrana stahování citlivých dat u nespravovaných nebo rizikových zařízení

Osvědčený postup: Správa a řízení přístupu k zařízením s vysokým rizikem
Podrobnosti: k nastavení ovládacích prvků v aplikacích SaaS použijte řízení podmíněného přístupu k aplikacím. Můžete vytvořit zásady relace pro monitorování vysokého rizika a méně důvěryhodných relací. Podobně můžete vytvořit zásady relace pro blokování a ochranu souborů ke stažení pro uživatele, kteří se pokoušejí získat přístup k citlivým datům z nespravovaných nebo rizikových zařízení. Pokud nevytvoříte zásady relace pro monitorování vysoce rizikových relací, ztratíte možnost blokování a ochrany souborů ke stažení ve webovém klientovi a také možnost monitorovat relaci s nízkou důvěryhodností v aplikacích Microsoftu a třetích stran.
Další informace:





Zabezpečení spolupráce s externími uživateli vynucováním řízení relací v reálném čase

Osvědčený postup: monitorování relací s externími uživateli pomocí řízení podmíněného přístupu k aplikacím
Podrobnosti: Chcete-li zabezpečit spolupráci ve vašem prostředí, můžete vytvořit zásadu relace, která bude monitorovat relace mezi interními a externími uživateli. To vám nejen umožní monitorovat relaci mezi vašimi uživateli (a upozorňovat na to, že se aktivity jejich relací monitorují), ale taky umožňuje omezit konkrétní aktivity také. Při vytváření zásad relace pro monitorování aktivity můžete zvolit aplikace a uživatele, které chcete monitorovat.
Další informace:





Zjišťování cloudových hrozeb, narušených účtů, interních pracovníků se zlými úmysly a ransomwaru

Osvědčený postup: optimalizace zásad anomálií, nastavení ROZSAHŮ IP adres a odeslání zpětné vazby pro výstrahy
Podrobnosti: zásady detekce anomálií poskytují předem připravený uživatel a UEBA a Machine Learning (ml), abyste mohli okamžitě spustit pokročilou detekci hrozeb v rámci vašeho cloudového prostředí.

Zásady detekce anomálií se aktivují, když uživatelé ve vašem prostředí provádějí neobvyklé aktivity. Cloud App Security průběžně monitoruje aktivity uživatelů a využívají UEBA a ML k tomu, abyste se seznámili a pochopili normální chování vašich uživatelů. Nastavení zásad můžete ladit tak, aby vyhovovalo vašim potřebám vaší organizace, například můžete nastavit citlivost zásady a také nastavit obor zásady na konkrétní skupinu.

  • Optimalizace a rozsah zásad detekce anomálií: jako příklad můžete snížit počet falešně pozitivních signálů v rámci nereálného oznámení o tom, že nastavíte posuvník citlivosti zásad na hodnotu Nízká. Pokud máte uživatele ve vaší organizaci, kteří jsou často podnikovými služebních cestách, můžete je přidat do skupiny uživatelů a vybrat tuto skupinu v oboru zásad.

  • Nastavit rozsahy IP adres: Cloud App Security můžou identifikovat známé IP adresy, po kterých se nastaví rozsahy IP adres. Díky nakonfigurovaným rozsahům IP adres můžete označit, kategorizovat a přizpůsobit způsob zobrazení a zkoumání protokolů a výstrah. Přidání rozsahů IP adres pomáhá omezit falešně pozitivní detekci a zlepšit přesnost výstrah. Pokud se rozhodnete, že nechcete přidat IP adresy, může se zobrazit větší počet možných falešně pozitivních hodnot a upozornění, které je třeba prozkoumat.

  • Odeslat zpětnou vazbu k výstrahám

    Když vynecháte nebo vyřešíte výstrahy, nezapomeňte vám poslat zpětnou vazbu s důvodem, proč se výstraha ztratila, nebo jak byla vyřešena. Tyto informace pomáhají Cloud App Security zlepšit naše výstrahy a snížit falešně pozitivní výsledky.

Další informace:


Osvědčený postup: zjištění aktivity z neočekávaných umístění nebo zemí
Podrobnosti: vytvořte zásadu aktivity, která vás upozorní, když se uživatelé přihlásí z neočekávaných umístění nebo zemí nebo oblastí. Tato oznámení vás můžou upozornit na potenciálně ohrožené relace ve vašem prostředí, abyste mohli detekovat a opravovat hrozby dřív, než k nim dojde.
Další informace:


Osvědčený postup: Vytvoření zásad aplikace OAuth
Podrobnosti: vytvořte zásadu aplikace OAuth, která vás upozorní, když aplikace OAuth splní určitá kritéria. Například se můžete rozhodnout, že se má upozornit na konkrétní aplikaci, která vyžaduje vysokou úroveň oprávnění, k přístupu více než 100 uživatelů.
Další informace:





Použití protokolu auditu aktivit pro forenzní vyšetřování

Osvědčený postup: použití záznamu auditu aktivit při vyšetřování výstrah
Podrobnosti: výstrahy se aktivují, když uživatelé, správci nebo aktivity přihlašování nevyhovují vašim zásadám. Je důležité prozkoumat výstrahy, abyste zjistili, jestli ve vašem prostředí existuje možná hrozba.

Výstrahu můžete prozkoumat tak, že ji vyberete na stránce výstrahy a zkontrolujete záznam auditu aktivit souvisejících s danou výstrahou. Záznam pro audit vám poskytne přehled o aktivitách stejného typu, stejného uživatele, stejné IP adresy a umístění, aby vám poskytl celkový příběh výstrahy. Pokud výstraha opravňuje k dalšímu šetření, vytvořte plán, který tyto výstrahy vyřeší ve vaší organizaci.

V případě chybějících výstrah je důležité prozkoumat a pochopit, proč nejsou důležité nebo zda jsou falešně pozitivní. Pokud existuje velký objem takových aktivit, možná budete chtít zvážit kontrolu a ladění zásad, které aktivují výstrahu.
Další informace:





Zabezpečení služeb IaaS a vlastních aplikací

Osvědčený postup: připojení Azure, AWS a GCP
Podrobnosti: připojení každé z těchto cloudových platforem k Cloud App Security vám pomůže vylepšit možnosti detekce hrozeb. Monitorováním aktivit pro správu a přihlašování těchto služeb můžete zjistit a upozornit na možný útok hrubou silou, škodlivý způsob používání privilegovaného uživatelského účtu a další hrozby ve vašem prostředí. Například můžete identifikovat rizika, jako jsou neobvyklé odstranění virtuálních počítačů nebo dokonce aktivity zosobnění v těchto aplikacích.
Další informace:


Osvědčený postup: Kontrola vyhodnocení konfigurace zabezpečení pro Azure, AWS a GCP
Podrobnosti: integrace s Azure Security Center poskytuje posouzení konfigurace zabezpečení vašeho prostředí Azure. Posouzení poskytuje doporučení pro chybějící konfiguraci a kontrolu zabezpečení. Kontrola těchto doporučení vám pomůže identifikovat anomálie a potenciální ohrožení zabezpečení ve vašem prostředí a přejít přímo do příslušného umístění na portálu zabezpečení Azure a vyřešit jejich řešení.

AWS a GCP vám umožní získat přehled o doporučeních vašich konfigurací zabezpečení, jak vylepšit zabezpečení cloudu.

Pomocí těchto doporučení můžete monitorovat stav dodržování předpisů a stav zabezpečení celé organizace, včetně předplatných Azure, účtů AWS a GCP projektů.
Další informace:


Osvědčené postupy: zprovoznění vlastních aplikací
Podrobnosti: Pokud chcete získat další přehled o aktivitách z obchodních aplikací, můžete vlastní aplikace připojit k Cloud App Security. Jakmile se nakonfigurují vlastní aplikace, zobrazí se informace o jejich použití, IP adresy, ze kterých se používají, a množství přenosů dat do aplikace a z ní.

Kromě toho můžete integrovat vlastní aplikaci jako aplikaci Řízení podmíněného přístupu k aplikacím a monitorovat tak relace s nízkým vztahem důvěryhodnosti.
Další informace: