Oktatóanyag: Árnyékinformatika felderítése és kezelése a hálózaton

A következőkre vonatkozik: Microsoft Cloud App Security

Fontos

A fenyegetések elleni védelem termékeinek neve a Microsofttól változik. Erről és egyéb Frissítésekről ittolvashat bővebben. A későbbiekben a termékekben és a dokumentációban is frissítjük a neveket.

Amikor a rendszergazdák megkérdezik, hogy hány felhőalkalmazást használnak az alkalmazottaik, átlagosan 30-40-et, pedig a valóságban az átlag több mint 1000 különböző alkalmazás, amelyet a szervezet alkalmazottai használnak. Az árnyék-ita szolgáltatás segít a használt alkalmazások és a kockázati szint azonosításában. Az alkalmazottak 80%-a olyan nem jóváhagyott alkalmazásokat használ, amelyek nincsenek felülvizsgálva, és nem biztos, hogy megfelelnek az Ön biztonsági és megfelelőségi szabályzatának. Mivel az alkalmazottak a vállalati hálózaton kívülről is hozzáférhetnek az erőforrásokhoz és alkalmazásokhoz, már nem elég, ha szabályok és szabályzatok vannak a tűzfalakon.

Ebből az oktatóanyagból megtudhatja, hogyan használhatja az Cloud Discovery-t a használt alkalmazások feltárására, az alkalmazások kockázatának feltárására, a szabályzatok konfigurálására a használt új kockázatos alkalmazások azonosításához, valamint ezeknek az alkalmazásoknak az a letiltására, hogy natív módon letiltsa őket a proxy vagy a tűzfal berendezés használatával

Árnyék-árnyék-felderítés és -kezelés a hálózaton

Ezzel a folyamattal az árnyék-Cloud Discovery a szervezetben.

árnyék-it életciklus.

1. fázis: Árnyék-iterátás felderítése és azonosítása

  1. Árnyék-felderítés: A szervezet biztonsági útjára úgy deríthet fel, hogy Cloud Discovery futtatásával a szervezetben, hogy lássa, mi történik valójában a hálózatban. További információ: A Cloud Discovery beállítása. Ez a következő módszerek bármelyikével létezik:

    • A microsoftos végponthoz Cloud Discovery Microsoft Defender integrálásával gyorsan és gyorsan futtathatja az alkalmazásokat. Ez a natív integráció lehetővé teszi, hogy azonnal adatokat gyűjtsön a felhőforgalomról a Windows 10 és Windows 11 eszközön, a hálózaton belül és belül.

    • A hálózatához csatlakoztatott összes eszköz lefedettsége érdekében fontos a Felhőappbiztonság naplógyűjtő üzembe helyezése a tűzfalakon és más proxykon, hogy adatokat gyűjtsön a végpontjairól, és elküldje az Felhőappbiztonság-nek elemzésre.

    • Integrálja Felhőappbiztonság a proxyval. Felhőappbiztonság natív módon integrálható néhány külső proxyval, például a Zscaler -sel.

Mivel a szabályzatok eltérőek a felhasználói csoportok, régiók és üzleti csoportok esetében, érdemes lehet dedikált árnyék-it-jelentést létrehozni mindegyik egységhez. További információ: Docker Windows helyszíni környezetben.

Most, Cloud Discovery fut a hálózaton, nézze meg a létrehozott folyamatos jelentéseket, és nézze meg az Cloud Discovery irányítópultját, hogy teljes képet kap arról, milyen alkalmazásokat használnak a szervezetben. Jó, ha kategória szerint nézzük meg őket, mert gyakran előfordul, hogy a nem jóváhagyott alkalmazásokat olyan megbízható, munkával kapcsolatos célokra használják, amelyekre nem egy jóváhagyott alkalmazás nem tér ki.

  1. Az alkalmazások kockázati szintjeinek azonosítása: A Felhőappbiztonság felhőalkalmazások katalógusával mélyebben is átveszi az egyes felderített alkalmazások kockázatait. Felhőappbiztonság-katalógus több mint 16 000 alkalmazást tartalmaz, amelyek értékelése több mint 80 kockázati tényező használatával megszabadült. A kockázati tényezők az alkalmazással kapcsolatos általános információkból indulnak (ahol az alkalmazás központi központja, ki a közzétevő), és biztonsági intézkedések és vezérlők használatával (az adattitkosítás támogatása a felhasználói tevékenység auditnaplóját biztosítja). További információ: Working with risk score ( Kockázati pontszámok)

    • A Felhőappbiztonság aFelderítés alatt kattintson a Felderített alkalmazások elemre. Szűrje a szervezetben felderített alkalmazások listáját az Ön által érintett kockázati tényezők alapján. A Speciális szűrőkkel például megkeresheti az összes olyan alkalmazást, amelynél a kockázati pontszám 8-asnál alacsonyabb.

    • Az alkalmazás megfelelőségét részletesen is részletezheti, ha az alkalmazás nevére, majd az Információ lapra kattintva további részleteket talál az alkalmazás biztonsági kockázati tényezőiről.

2. fázis: Értékelés és elemzés

  1. Megfelelőség értékelése: Ellenőrizze, hogy az alkalmazások megfelelnek-e a szervezeti szabványoknak (például HIPAA, SOC2, GDPR).

    • A Felhőappbiztonság a Felderítés alatt kattintson a Felderített alkalmazások elemre. Szűrje a szervezetben felderített alkalmazások listáját az Ön számára fontos megfelelőségi kockázati tényezők alapján. Például a javasolt lekérdezéssel kiszűrheti a nem megfelelő alkalmazásokat.

    • Az alkalmazás megfelelőségét az alkalmazás nevére kattintva, majd az Információ lapfülre kattintva tekintheti meg az alkalmazás megfelelőségi kockázati tényezőivel kapcsolatos részleteket.

    Tipp

    Értesítést kap, ha egy felderített alkalmazás egy nemrégiben közzétett biztonsági incidenshez van társítva a beépített Felderített alkalmazások biztonsági incidense riasztással. Vizsgálja meg az összes olyan felhasználót, IP-címet és eszközt, amely az elmúlt 90 napban hozzáfért a feltört alkalmazáshoz, és alkalmazza a megfelelő vezérlőket.

  2. Használat elemzése: Most, hogy tudja, hogy szeretné-e használni az alkalmazást a szervezetben, meg szeretné vizsgálni, hogyan és ki használja azt. Ha csak korlátozottan használja a szervezetben, talán nem gond, de ha a használat növekszik, szeretne erről értesítést kaphat, hogy eldöntse, le szeretné-e tiltani az alkalmazást.

    • A Felhőappbiztonság a Felderítés alatt kattintson a Felderített alkalmazások elemre, majd a vizsgálat kívánt alkalmazásra kattintva részletezhet. A Használat lapon látható, hogy hány aktív felhasználó használja az alkalmazást, és mekkora forgalmat generál. Így már elég jól képet kaphat arról, hogy mi történik az alkalmazással. Ezután ha meg szeretné tudni, hogy ki, konkrétan ki használja az alkalmazást, a Total active users (Aktív felhasználók összesen) elemre kattintva további részleteket is kaphat. Ez a fontos lépés releváns információkat adhat, például ha azt tapasztalja, hogy egy adott alkalmazás összes felhasználója a marketingosztálytól származik, előfordulhat, hogy üzleti szükség van erre az alkalmazásra, és ha kockázatos, egy alternatív megoldásról kell beszélnie velük, mielőtt letiltja azt.

    • Még mélyebben is elmerül a felderített alkalmazások használatának vizsgálatakor. Tekintse meg az altartományokat és az erőforrásokat, hogy megismerj bizonyos tevékenységeket, adatelérést és erőforrás-használatot a felhőszolgáltatásokban. További információ: A felderített alkalmazások és az Erőforrások és egyéni alkalmazások felderítése.

  3. Alternatív alkalmazások azonosítása: A felhőalkalmazások katalógusával azonosíthatja azokat a biztonságosabb alkalmazásokat, amelyek hasonló üzleti funkciókat érnek el, mint az észlelt kockázatos alkalmazások, de megfelelnek a szervezet szabályzatának. Ezt a speciális szűrőkkel is meg lehet találni ugyanabban a kategóriában, amely megfelel a különböző biztonsági vezérlőknek.

3. fázis: Az alkalmazások kezelése

  • Felhőalkalmazások kezelése: Felhőappbiztonság segít a szervezetben használt alkalmazások kezelésének folyamatában. Miután azonosította a szervezetben használt különböző mintákat és viselkedéseket, létrehozhat új egyéni alkalmazáscímkéket, hogy az egyes alkalmazásokat az üzleti állapotuk vagy indoklásuk szerint osztályozza. Ezek a címkék adott monitorozási célokra használhatók, például azonosítják a kockázatos felhőalapú tárolóalkalmazásként megjelölt alkalmazásokhoz kapcsolódó nagy forgalmú forgalmat. Az alkalmazáscímkék az Alkalmazáscímkék Cloud Discovery > kezelhetők. Ezek a címkék később felhasználhatók az oldalak szűréséhez Cloud Discovery és szabályzatok létrehozásához.

  • Felderített alkalmazások kezelése az Azure Active Directory (Azure AD) katalógusával: az Felhőappbiztonság a natív Azure AD-integrációja révén lehetővé teszi a felderített alkalmazások kezelését az Azure AD-katalógusban. Az Azure AD-katalógusban már megjelenő alkalmazások esetében alkalmazhat egyszeri bejelentkezést, és kezelheti az alkalmazást az Azure AD-val. Ha ezt meg kell tenni, a sor végén a megfelelő alkalmazás megjelenik a sorban, majd válassza az Alkalmazás kezelése az Azure AD-val lehetőséget.

    alkalmazás kezelése az Azure AD-katalógusban.

  • Folyamatos figyelés: Most, hogy alaposan megvizsgálta az alkalmazásokat, érdemes lehet olyan szabályzatokat beállítani, amelyek figyelik az alkalmazásokat, és ahol szükséges, szabályozni szeretnék őket.

Itt az ideje, hogy szabályzatokat hozzon létre, így automatikusan riasztást kaphat, ha valami történik, ami miatt aggódik. Létrehozhat például egy alkalmazásfelderítési szabályzatot, amely tudatja, ha megugróan magas a letöltések vagy a forgalom egy olyan alkalmazásból, amely miatt aggódik. Ehhez engedélyeznie kell a Rendellenes viselkedést a felderített felhasználói szabályzatban, a Felhőalapú tárolóalkalmazás megfelelőségi ellenőrzésében és az Új kockázatos alkalmazásban. A szabályzatot úgy kell beállítania, hogy e-mailben vagy szöveges üzenetben értesítse Önt. További információkért lásd a szabályzatsablonok referenciáját,a szabályzat-szabályzatok Cloud Discovery és az Alkalmazásfelderítési szabályzatok konfigurálása.

Nézze meg a riasztások oldalát, és a Szabályzattípus szűrővel nézze meg az alkalmazásfelderítési riasztásokat. Az alkalmazásfelderítési szabályzatokkal egyező alkalmazások esetében javasoljuk, hogy speciális vizsgálatot indítson, hogy többet tudjon meg az alkalmazás használatának üzleti indoklásával kapcsolatban, például vegye fel a kapcsolatot az alkalmazás felhasználóival. Ezután ismételje meg a 2. fázis lépéseit az alkalmazás kockázatának kiértékeléséhez. Ezután határozza meg az alkalmazás következő lépéseit, hogy engedélyezi-e a használatát a jövőben, vagy szeretné letiltani, amikor egy felhasználó legközelebb hozzáfér. Ebben az esetben nem jóváhagyottként kell felcímkézni, hogy blokkolható legyen a tűzfal, proxy vagy biztonságos webátjáró használatával. További információ: Integrációa Microsoft Defender for Endpoint alkalmazással, Integráció a Zscalerrel,Integráció az iboss-selés Blokkszk szkript exportálása a felderített alkalmazások szabályozására.

4. fázis: Fejlett árnyék-felderítési jelentéskészítés

A jelentésekben elérhető jelentéskészítési lehetőségek Felhőappbiztonság további vizsgálat és elemzés Cloud Discovery integrálhatók Azure Sentinel naplókba. Miután az adatok a Azure Sentinel, megtekintheti őket az irányítópultokon, lekérdezéseket futtathat a Kusto lekérdezési nyelvvel, lekérdezéseket exportálhat a Microsoft Power BI-be, integrálhatja őket más forrásokkal, és egyéni riasztásokat hozhat létre. További információ: integráció Azure Sentinel.

5. fázis: Az jóváhagyott alkalmazások vezérlése

  1. Ha API-kon keresztül szeretné engedélyezni az alkalmazásvezérlést, az alkalmazásokat API-n keresztül csatlakoztathatja a folyamatos monitorozáshoz.

  2. Alkalmazások védelme a feltételes hozzáférést biztosító alkalmazás-vezérlőhasználatával.

A felhőalkalmazások természete azt jelenti, hogy naponta frissülnek, és folyamatosan új alkalmazások jelennek meg. Emiatt az alkalmazottak folyamatosan új alkalmazásokat használnak, és fontos a szabályzatok nyomon követése, áttekintése és frissítése, a felhasználók által használt alkalmazások, valamint azok használati és viselkedési mintáinak ellenőrzése. Mindig az Cloud Discovery irányítópultján láthatja, hogy milyen új alkalmazások vannak használva, és az ebben a cikkben található utasításokat követve győződhet meg arról, hogy szervezete és adatai védve vannak.

Következő lépések

Ha problémákba fog belefutni, segítünk. Ha segítséget vagy támogatást keres a termékkel kapcsolatos problémához, nyisson egy támogatási jegyet.

Tudjon meg többet