Ajánlott eljárások a szervezet Felhőhöz készült Defender-alkalmazásokkal való védelméhez

  • Cikk

Ez a cikk ajánlott eljárásokat nyújt a szervezet védelméhez Felhőhöz készült Microsoft Defender Apps használatával. Ezek az ajánlott eljárások a Felhőhöz készült Defender-alkalmazások és az Önhöz hasonló ügyfelek tapasztalataiból származnak.

A cikkben tárgyalt ajánlott eljárások a következők:

Felhőalkalmazások felderítése és értékelése

A Felhőhöz készült Defender-alkalmazások és a Végponthoz készült Microsoft Defender integrálása lehetővé teszi a Cloud Discovery vállalati hálózaton vagy biztonságos webátjárókon túli használatát. A felhasználói és eszközinformációk együttes használatával azonosíthatja a kockázatos felhasználókat vagy eszközöket, megtekintheti, hogy milyen alkalmazásokat használnak, és további vizsgálatokat végezhet a Defender for Endpoint portálon.

Ajánlott eljárás: Árnyék informatikai felderítése engedélyezése a Defender for Endpoint használatával
Részletek: A Cloud Discovery elemzi a Defender for Endpoint által gyűjtött forgalmi naplókat, és kiértékeli az azonosított alkalmazásokat a felhőalkalmazás-katalógusban a megfelelőségi és biztonsági információk biztosítása érdekében. A Cloud Discovery konfigurálásával betekintést nyerhet a felhőhasználatba, az árnyékolási informatikába és a felhasználók által használt nem használt alkalmazások folyamatos monitorozásába.
További információ:

Ajánlott eljárás: Alkalmazásfelderítési szabályzatok konfigurálása a kockázatos, nem megfelelő és trendszerű alkalmazások proaktív azonosításához
Részletek: Az alkalmazásfelderítési szabályzatok megkönnyítik a szervezet jelentős felderített alkalmazásainak nyomon követését, hogy hatékonyan kezelhesse ezeket az alkalmazásokat. Szabályzatok létrehozása riasztások fogadásához a kockázatos, nem megfelelő, trendi vagy nagy mennyiségűként azonosított új alkalmazások észlelésekor.
További információ:

Ajánlott eljárás: A felhasználók által engedélyezett OAuth-alkalmazások kezelése
Részlet: Sok felhasználó alkalmilag OAuth-engedélyeket ad a külső alkalmazásoknak a fiókadatok eléréséhez, és ezzel véletlenül más felhőalkalmazásokban is hozzáférést biztosít az adataikhoz. Az informatikai rendszer általában nem rendelkezik betekintéssel ezekbe az alkalmazásokba, ami megnehezíti az alkalmazások biztonsági kockázatának mérlegelését az általa biztosított hatékonysági előnyökkel szemben.

Felhőhöz készült Defender Alkalmazások lehetővé teszi a felhasználók által megadott alkalmazásengedélyek vizsgálatát és monitorozását. Ez az információ egy potenciálisan gyanús alkalmazás azonosítására használható, és ha azt állapítja meg, hogy kockázatos, letilthatja a hozzáférést.
További információ:

Felhőszabályozási szabályzatok alkalmazása

Ajánlott eljárás: Alkalmazások címkézése és blokkszkriptek exportálása
Részletek: Miután áttekintette a szervezet felderített alkalmazásainak listáját, biztonságossá teheti környezetét a nemkívánatos alkalmazások használata ellen. A jóváhagyott címkét alkalmazhatja a szervezet által jóváhagyott alkalmazásokra, a nem engedélyezett címkét pedig a nem engedélyezett alkalmazásokra. Felderítési szűrőkkel figyelheti a nem engedélyezett alkalmazásokat, vagy exportálhat egy szkriptet, hogy letiltsa a nem engedélyezett alkalmazásokat a helyszíni biztonsági berendezések használatával. Címkék és exportálási szkriptek használatával rendszerezheti az alkalmazásokat, és megvédheti környezetét úgy, hogy csak biztonságos alkalmazásokat érhet el.
További információ:

A megosztott adatok expozíciójának korlátozása és az együttműködési szabályzatok kikényszerítése

Ajánlott eljárás: Csatlakozás Microsoft 365
Részletek: a Microsoft 365 Felhőhöz készült Defender-alkalmazásokra való Csatlakozás azonnali betekintést nyújt a felhasználók tevékenységeibe, a hozzájuk hozzáférő fájlokba, és szabályozási műveleteket biztosít a Microsoft 365, a SharePoint, a OneDrive, a Teams, a Power BI, az Exchange és a Dynamics számára.
További információ:

Ajánlott eljárás: alkalmazások Csatlakozás
Részletek: az alkalmazások Felhőhöz készült Defender alkalmazásokhoz való Csatlakozás jobb betekintést nyújt a felhasználók tevékenységeibe, a fenyegetésészlelésbe és a szabályozási képességekbe. Annak megtekintéséhez, hogy mely külső alkalmazás API-k támogatottak, lépjen Csatlakozás alkalmazásokhoz.

További információ:

Ajánlott eljárás: Szabályzatok létrehozása a személyes fiókokkal való megosztás eltávolításához
Részletek: a Microsoft 365 Felhőhöz készült Defender-alkalmazásokra való Csatlakozás azonnali betekintést nyújt a felhasználók tevékenységeibe, a hozzájuk hozzáférő fájlokba, és szabályozási műveleteket biztosít a Microsoft 365, a SharePoint, a OneDrive, a Teams, a Power BI, az Exchange és a Dynamics számára.
További információ:

A felhőben tárolt szabályozott és bizalmas adatok felderítése, besorolása, címkézése és védelme

Ajánlott eljárás: Integrálás Microsoft Purview információvédelem
Részletek: Az Microsoft Purview információvédelem integrálása lehetővé teszi a bizalmassági címkék automatikus alkalmazását és opcionális titkosítási védelem hozzáadását. Ha az integráció be van kapcsolva, címkéket alkalmazhat irányítási műveletként, besorolás szerint tekintheti meg a fájlokat, besorolási szint szerint vizsgálhatja a fájlokat, és részletes szabályzatokat hozhat létre a minősített fájlok megfelelő kezelésének biztosítása érdekében. Ha nem kapcsolja be az integrációt, nem használhatja ki a felhőben lévő fájlok automatikus vizsgálatának, címkézésének és titkosításának lehetőségét.
További információ:

Ajánlott eljárás: Adatexpozíciós szabályzatok létrehozása
Részletek: Fájlszabályzatok használatával észlelheti az információmegosztást, és bizalmas információkat kereshet a felhőalkalmazásokban. Hozza létre a következő fájlszabályzatokat, amelyek riasztást küldenek az adatexpozíciók észlelésekor:

  • Bizalmas adatokat tartalmazó külsőleg megosztott fájlok
  • Külsőleg megosztott és bizalmasként megjelölt fájlok
  • Jogosulatlan tartományokkal megosztott fájlok
  • Bizalmas fájlok védelme SaaS-alkalmazásokban

További információ:

Ajánlott eljárás: Jelentések áttekintése a Fájlok lapon
Részletek: Miután különböző SaaS-alkalmazásokat csatlakoztatott alkalmazás-összekötők használatával, Felhőhöz készült Defender Az alkalmazások az alkalmazások által tárolt fájlokat ellenőrzik. Ezenkívül minden alkalommal, amikor módosít egy fájlt, a rendszer újra beolvasja. A Fájlok lapon megismerheti és megvizsgálhatja a felhőalkalmazásokban tárolt adatok típusait. A vizsgálathoz tartományok, csoportok, felhasználók, létrehozási dátum, bővítmény, fájlnév és típus, fájlazonosító, bizalmassági címke stb. alapján szűrhet. Ezek a szűrők lehetővé teszik, hogy ön döntse el, hogyan vizsgálja meg a fájlokat, hogy meggyőződjön arról, hogy egyik adat sem áll veszélyben. Miután jobban megismerte az adatok használatát, szabályzatokat hozhat létre a fájlok bizalmas tartalmának kereséséhez.
További információ:

DLP- és megfelelőségi szabályzatok kényszerítése a felhőben tárolt adatokhoz

Ajánlott eljárás: A bizalmas adatok külső felhasználókkal való megosztásának védelme
Részletek: Hozzon létre egy fájlszabályzatot, amely észleli, ha egy felhasználó megkísérli megosztani a fájlt a bizalmas bizalmassági címkével a szervezeten kívüli személyekkel, és konfigurálja annak szabályozási műveletét a külső felhasználók eltávolítására. Ez a szabályzat biztosítja, hogy a bizalmas adatok ne hagyják el a szervezetet, és a külső felhasználók nem férhetnek hozzá.
További információ:

Bizalmas adatok letöltésének letiltása és védelme nem felügyelt vagy kockázatos eszközökre

Ajánlott eljárás: Magas kockázatú eszközökhöz való hozzáférés kezelése és szabályozása
Részletek: Az SaaS-alkalmazások vezérlőinek beállításához használja a feltételes hozzáférésű alkalmazásvezérlőt. Munkamenet-szabályzatokat hozhat létre a magas kockázatú, alacsony megbízhatósági munkamenetek figyeléséhez. Hasonlóképpen létrehozhat munkamenet-szabályzatokat a letöltések letiltására és védelmére olyan felhasználók számára, amelyek nem felügyelt vagy kockázatos eszközökről próbálnak bizalmas adatokat elérni. Ha nem hoz létre munkamenet-szabályzatokat a magas kockázatú munkamenetek monitorozásához, elveszíti a webes ügyfél letöltéseinek letiltásának és védelmének lehetőségét, valamint az alacsony megbízhatóságú munkamenetek monitorozásának képességét mind a Microsoft, mind a külső alkalmazásokban.
További információ:

A külső felhasználókkal való együttműködés biztonságossá tétele valós idejű munkamenet-vezérlők kényszerítésével

Ajánlott eljárás: Munkamenetek figyelése külső felhasználókkal a feltételes hozzáférésű alkalmazásvezérlés használatával
Részletek: A környezetbeli együttműködés biztonságossá tételéhez létrehozhat egy munkamenet-szabályzatot a belső és a külső felhasználók közötti munkamenetek figyeléséhez. Ez nemcsak lehetővé teszi a felhasználók közötti munkamenet monitorozását (és a munkamenet-tevékenységek figyelésének értesítését), hanem lehetővé teszi bizonyos tevékenységek korlátozását is. Amikor munkamenet-szabályzatokat hoz létre a tevékenység figyeléséhez, kiválaszthatja a figyelni kívánt alkalmazásokat és felhasználókat.
További információ:

Felhőalapú fenyegetések, feltört fiókok, rosszindulatú bennfentesek és zsarolóprogramok észlelése

Ajánlott eljárás: Anomáliadetektálási szabályzatok finomhangolása, IP-tartományok beállítása, visszajelzés küldése riasztásokhoz
Részletek: Az anomáliadetektálási szabályzatok beépített felhasználói és entitás-viselkedési elemzéseket (UEBA) és gépi tanulást (ML) biztosítanak, így azonnal futtathat speciális fenyegetésészlelést a felhőkörnyezetben.

Az anomáliadetektálási szabályzatok akkor aktiválódnak, ha a felhasználók szokatlan tevékenységeket végeznek a környezetben. Felhőhöz készült Defender Az alkalmazások folyamatosan figyelik a felhasználói tevékenységeket, és az UEBA és az ML használatával tanulják meg és értelmezik a felhasználók normál viselkedését. A szabályzatbeállításokat a szervezeti követelményeknek megfelelően hangolhatja, például beállíthatja egy szabályzat bizalmassági beállításait, valamint egy szabályzat hatókörét egy adott csoportra.

  • Anomáliadetektálási szabályzatok finomhangolása és hatóköre: Például ha csökkenteni szeretné a hamis pozitívok számát a lehetetlen utazási riasztásban, beállíthatja, hogy a házirend bizalmassági csúszkája alacsony legyen. Ha a szervezet olyan felhasználóival rendelkezik, amelyek gyakori vállalati utazók, hozzáadhatja őket egy felhasználói csoporthoz, és kiválaszthatja azt a csoportot a szabályzat hatókörében.

  • IP-tartományok beállítása: Felhőhöz készült Defender Az alkalmazások az IP-címtartományok beállítása után azonosítják az ismert IP-címeket. A konfigurált IP-címtartományokkal címkézheti, kategorizálhatja és testre szabhatja a naplók és riasztások megjelenítésének és vizsgálatának módját. Az IP-címtartományok hozzáadása segít csökkenteni a hamis pozitív észleléseket, és javítani a riasztások pontosságát. Ha úgy dönt, hogy nem adja hozzá az IP-címeket, előfordulhat, hogy egyre több lehetséges hamis pozitív és riasztás jelenik meg a vizsgálathoz.

  • Visszajelzés küldése riasztásokhoz

    A riasztások elvetésekor vagy feloldásakor mindenképpen küldjön visszajelzést a riasztás elutasításának okával vagy a megoldás módjával. Ez az információ segít Felhőhöz készült Defender alkalmazásoknak a riasztások javításában és a hamis pozitív értékek csökkentésében.

További információ:

Ajánlott eljárás: Tevékenység észlelése váratlan helyekről vagy országokból/régiókból
Részletek: Hozzon létre egy tevékenységszabályzatot, amely értesíti Önt, ha a felhasználók váratlan helyekről vagy országokból vagy régiókból jelentkeznek be. Ezek az értesítések riasztást adhatnak a környezetben esetleg feltört munkamenetekre, hogy észlelhesse és elháríthassa a fenyegetéseket, mielőtt azok bekövetkeznének.
További információ:

Ajánlott eljárás: OAuth-alkalmazásszabályzatok létrehozása
Részletek: OAuth-alkalmazásszabályzat létrehozása, amely értesíti Önt, ha egy OAuth-alkalmazás megfelel bizonyos feltételeknek. Beállíthatja például, hogy értesítést kapjon, ha egy magas jogosultsági szintet igénylő alkalmazáshoz több mint 100 felhasználó fért hozzá.
További információ:

A kriminalisztikai vizsgálatokhoz szükséges tevékenységek ellenőrzési nyomvonalának használata

Ajánlott eljárás: A tevékenységek naplózási nyomvonalának használata riasztások vizsgálatakor
Részletek: A riasztások akkor aktiválódnak, ha a felhasználói, rendszergazdai vagy bejelentkezési tevékenységek nem felelnek meg a szabályzatoknak. Fontos kivizsgálni a riasztásokat, hogy megtudjuk, van-e lehetséges fenyegetés a környezetben.

A riasztások kivizsgálásához jelölje ki a Riasztások lapon, és tekintse át az adott riasztással kapcsolatos tevékenységek naplózási nyomvonalát. Az auditnaplóval áttekintheti az azonos típusú, ugyanazzal a felhasználóval, ugyanazzal az IP-címmel és tartózkodási hellyel rendelkező tevékenységeket, hogy a riasztások teljes történetét el tudja mesélni. Ha egy riasztás további vizsgálatot indokol, hozzon létre egy tervet a riasztások szervezeten belüli megoldására.

A riasztások elvetésekor fontos megvizsgálni és megérteni, hogy miért nem fontosak, vagy ha hamis pozitívak. Ha nagy mennyiségű ilyen tevékenység van, érdemes lehet áttekinteni és finomhangolni a riasztást kiváltó szabályzatot.
További információ:

IaaS-szolgáltatások és egyéni alkalmazások biztonságossá tétele

Ajánlott eljárás: Csatlakozás Azure, AWS és GCP
Részletek: az egyes felhőplatformok Csatlakozás az alkalmazások Felhőhöz készült Defender segítségével javíthatja a fenyegetésészlelési képességeket. A szolgáltatások felügyeleti és bejelentkezési tevékenységeinek monitorozásával észlelheti és értesítheti a lehetséges találgatásos támadásokat, a kiemelt felhasználói fiókok rosszindulatú használatát és a környezet egyéb fenyegetéseit. Azonosíthat például olyan kockázatokat, mint a virtuális gépek szokatlan törlése, vagy akár megszemélyesítési tevékenységek ezekben az alkalmazásokban.
További információ:

Ajánlott eljárás: Egyéni alkalmazások előkészítése
Részletek: Az üzletági alkalmazások tevékenységeinek további megismerése érdekében egyéni alkalmazásokat készíthet Felhőhöz készült Defender alkalmazásokba. Miután konfigurálta az egyéni alkalmazásokat, megjelenik az az információ, hogy ki használja őket, milyen IP-címekről használják őket, és hogy mennyi forgalom érkezik az alkalmazásba és ki az alkalmazásból.

Emellett az egyéni alkalmazásokat feltételes hozzáférésű alkalmazásvezérlő alkalmazásként is előkészítheti az alacsony megbízhatóságú munkamenetek monitorozásához.
További információ: