Oktatóanyag: Árnyékinformatika felderítése és kezelése a hálózaton

Megjegyzés

Átneveztük Microsoft Cloud App Security. Most Microsoft Defender for Cloud Apps- nak hívják. Az elkövetkező hetekben itt és a kapcsolódó oldalakon frissítjük a képernyőképeket és az utasításokat. A módosítással kapcsolatos további információkért tekintse meg ezt a bejelentést. A Microsoft biztonsági szolgáltatásainak legutóbbi átnevezéséről a Microsoft Ignite Security blogban talál további információt.

Amikor a rendszergazdáktól megkérdezik, hogy az alkalmazottak hány felhőalkalmazást használnak, átlagosan 30-at vagy 40-et, amikor a valóságban az átlag több mint 1000 különálló alkalmazást használnak a szervezet alkalmazottai. Az árnyék-informatikai részleg segít megállapítani és azonosítani, hogy mely alkalmazásokat használják, és hogy mi a kockázati szintje. Az alkalmazottak 80%-a nem engedélyezett alkalmazásokat használ, amelyeket senki nem tekintett át, és nem feltétlenül felel meg az Ön biztonsági és megfelelőségi szabályzatainak. Mivel az alkalmazottak a vállalati hálózaton kívülről is hozzáférhetnek az erőforrásaihoz és az alkalmazásaihoz, már nem elég, hogy szabályok és szabályzatok legyenek a tűzfalakon.

Ebből az oktatóanyagból megtudhatja, hogyan derítheti fel a Cloud Discovery segítségével, hogy mely alkalmazásokat használják, hogyan fedezheti fel az alkalmazások kockázatát, hogyan konfigurálhat szabályzatokat a használt új kockázatos alkalmazások azonosításához, és hogyan tilthatja le ezeket az alkalmazásokat natív módon a proxy- vagy tűzfalberendezés használatával

Árnyék-informatikai szolgáltatások felderítése és kezelése a hálózatban

Ez a folyamat az árnyék-informatikai felhőfelderítés bevezetésére használható a szervezetben.

shadow IT lifecycle.

1. fázis: Az árnyék-informatikai részleg felderítése és azonosítása

  1. Árnyék-informatikai részleg felderítése: A Cloud Discovery futtatásával azonosíthatja a szervezet biztonsági helyzetét, hogy lássa, mi történik valójában a hálózatban. További információ: A felhőfelderítés beállítása. Ez az alábbi módszerek bármelyikével elvégezhető:

    • Gyorsan üzembe helyezheti a Cloud Discoveryt a Végponthoz készült Microsoft Defender integrálásával. Ez a natív integráció lehetővé teszi, hogy azonnal megkezdje az adatok gyűjtését a felhőbeli forgalomról a Windows 10 és a Windows 11-eszközökön a hálózaton és azon kívül.

    • A hálózathoz csatlakoztatott összes eszköz lefedettsége érdekében fontos üzembe helyezni a Felhőhöz készült Defender Apps naplógyűjtőjét a tűzfalakon és más proxykon, hogy adatokat gyűjtsön a végpontokról, és elküldje azokat az Felhőhöz készült Defender Apps alkalmazásba elemzés céljából.

    • Integrálhatja Felhőhöz készült Defender-alkalmazásokat a proxyjával. Felhőhöz készült Defender Apps natív módon integrálható néhány külső proxyval, köztük a Zscalerrel.

Mivel a szabályzatok felhasználói csoportokban, régiókban és üzleti csoportokban eltérőek, érdemes lehet külön árnyék-informatikai jelentést létrehozni ezekhez az egységekhez. További információ: Docker a helyszínen Windows.

Most, hogy a Cloud Discovery fut a hálózaton, tekintse meg a létrehozott folyamatos jelentéseket, és tekintse meg a Cloud Discovery irányítópultját , hogy teljes képet kapjon arról, hogy milyen alkalmazásokat használnak a szervezetben. Érdemes kategóriák szerint áttekinteni őket, mert gyakran azt tapasztalja, hogy a nem engedélyezett alkalmazásokat olyan jogszerű, munkával kapcsolatos célokra használják, amelyeket nem egy engedélyezett alkalmazás kezelt.

  1. Az alkalmazások kockázati szintjeinek azonosítása: Az Felhőhöz készült Defender-alkalmazások katalógusával részletesebben is megismerheti az egyes felderített alkalmazások kockázatait. A Felhőhöz készült Defender appkatalógus több mint 25 000 alkalmazást tartalmaz, amelyek értékelése több mint 80 kockázati tényező alapján történik. A kockázati tényezők az alkalmazással kapcsolatos általános információkból indulnak ki (hol található az alkalmazás központja, ki a közzétevő), valamint biztonsági intézkedésekkel és vezérlőkkel (az inaktív adatok titkosításának támogatása, a felhasználói tevékenység auditnaplóját tartalmazza). További információ: A kockázati pontszám használata

    • Az Felhőhöz készült Defender Alkalmazások portálfelderítése területén válassza a Felderített alkalmazások lehetőséget. Szűrje a szervezetében felderített alkalmazások listáját az önt érintő kockázati tényezők alapján. A Speciális szűrőkkel például megkeresheti a 8-nál alacsonyabb kockázati pontszámmal rendelkező összes alkalmazást.

    • Az alkalmazás nevének kiválasztásával, majd az Információ fülre kattintva részletesebb információkat kaphat az alkalmazás megfelelőségéről.

2. fázis: Értékelés és elemzés

  1. Megfelelőség kiértékelése: Ellenőrizze, hogy az alkalmazások megfelelnek-e a szervezet szabványainak, például HIPAA, SOC2, GDPR.

    • Az Felhőhöz készült Defender Alkalmazások portál felderítése területén válassza a Felderített alkalmazások lehetőséget. Szűrje a szervezetében felderített alkalmazások listáját az Önt érintő megfelelőségi kockázati tényezők alapján. A javasolt lekérdezés használatával például kiszűrheti a nem megfelelő alkalmazásokat.

    • Az alkalmazás nevének kiválasztásával, majd az Információ fülre kattintva részletesebben is megismerheti az alkalmazás megfelelőségi kockázati tényezőit.

    Tipp

    Értesítést kaphat, ha egy felderített alkalmazás egy nemrég közzétett biztonsági incidenssel van társítva a beépített felderített alkalmazásbiztonsági incidens riasztásával. Vizsgálja meg az összes olyan felhasználót, IP-címet és eszközt, amely az elmúlt 90 napban hozzáfért a feltört alkalmazáshoz, és alkalmazza a megfelelő vezérlőket.

  2. Használat elemzése: Most, hogy már tudja, hogy szeretné-e használni az alkalmazást a szervezetében, meg kell vizsgálnia, hogyan és ki használja. Ha csak korlátozott módon használják a szervezetben, akkor lehet, hogy rendben van, de ha a használat növekszik, szeretne értesítést kapni róla, hogy eldönthesse, letiltja-e az alkalmazást.

    • Az Felhőhöz készült Defender Alkalmazások portál felfedezése területén válassza a Felderített alkalmazások elemet, majd a részletezést a vizsgálni kívánt alkalmazás kiválasztásával. A Használat lapon megtudhatja, hogy hány aktív felhasználó használja az alkalmazást, és mekkora forgalmat generál. Ez már jó képet adhat arról, hogy mi történik az alkalmazással. Ezután, ha látni szeretné, hogy ki használja konkrétan az alkalmazást, részletesebben is lehatolást végezhet a Total active users (Összes aktív felhasználó) lehetőség kiválasztásával. Ez a fontos lépés fontos információkat nyújthat, például ha azt észleli, hogy egy adott alkalmazás összes felhasználója a Marketing részlegtől származik, lehetséges, hogy üzleti igény van az alkalmazásra, és ha kockázatos, a blokkolás előtt beszéljen velük egy alternatíváról.

    • A felderített alkalmazások használatának vizsgálata során még mélyebbre merüljön. Az altartományok és erőforrások megtekintésével megismerheti a felhőszolgáltatások adott tevékenységeit, adathozzáféréseit és erőforrás-használatát. További információ: A felderített alkalmazások részletes bemutatása , erőforrások és egyéni alkalmazások felderítése.

  3. Alternatív alkalmazások azonosítása: A Cloud App Catalog használatával azonosíthatja azokat a biztonságosabb alkalmazásokat, amelyek hasonló üzleti funkciókat érnek el, mint az észlelt kockázatos alkalmazások, de megfelelnek a szervezet szabályzatának. Ezt úgy teheti meg, hogy a speciális szűrőkkel olyan alkalmazásokat keres ugyanabban a kategóriában, amelyek megfelelnek a különböző biztonsági vezérlőknek.

3. fázis: Az alkalmazások kezelése

  • Felhőalkalmazások kezelése: Felhőhöz készült Defender Az alkalmazások segítségével kezelheti az alkalmazáshasználatot a szervezetben. Miután azonosította a szervezetben használt különböző mintákat és viselkedéseket, létrehozhat új egyéni alkalmazáscímkéket, hogy az egyes alkalmazásokat az üzleti állapota vagy indoklása szerint osztályozza. Ezek a címkék ezután felhasználhatók adott monitorozási célokra, például azonosíthatják a kockázatos felhőtárhely-alkalmazásként címkézett alkalmazásokba irányuló nagy forgalmat. Az alkalmazáscímkék a Cloud Discovery beállításaiBan>kezelhetőkAppcímkék. Ezek a címkék később felhasználhatók a Cloud Discovery oldalainak szűrésére és szabályzatok létrehozására.

  • Felderített alkalmazások kezelése Azure Active Directory (Azure AD) katalógus használatával: Felhőhöz készült Defender Az alkalmazások a Azure AD natív integrációjával lehetővé teszik a felderített alkalmazások kezelését Azure AD Katalógusban. A Azure AD Katalógusban már szereplő alkalmazások esetében alkalmazhat egyszeri bejelentkezést, és kezelheti az alkalmazást Azure AD. Ehhez válassza ki a sor végén található három elemet azon a sorban, ahol a megfelelő alkalmazás megjelenik, majd válassza az Alkalmazás kezelése Azure AD lehetőséget.

    manage app in azure ad gallery.

  • Folyamatos monitorozás: Most, hogy alaposan megvizsgálta az alkalmazásokat, érdemes lehet olyan szabályzatokat beállítani, amelyek figyelik az alkalmazásokat, és szükség esetén biztosítják az irányítást.

Itt az ideje, hogy szabályzatokat hozzon létre, így automatikusan riasztást kaphat, ha valami történik, ami miatt aggódik. Előfordulhat például, hogy olyan alkalmazásfelderítési szabályzatot szeretne létrehozni, amely tájékoztatja, ha kiugróan magas a letöltések száma vagy a forgalom egy olyan alkalmazásból, amely miatt aggódik. Ehhez engedélyeznie kell a rendellenes viselkedést a felderített felhasználói szabályzatokban, a felhőtárhely-alkalmazások megfelelőségi ellenőrzésében és az új kockázatos alkalmazásokban. A házirendet úgy is be kell állítania, hogy e-mailben vagy sms-ben értesítse. További információ: szabályzatsablonok referenciája, további információ a Cloud Discovery-szabályzatokról és az alkalmazásfelderítési szabályzatok konfigurálásáról.

Tekintse meg a riasztások oldalát, és a Szabályzattípus szűrővel tekintse meg az alkalmazásfelderítési riasztásokat. Az alkalmazásfelderítési szabályzatok által egyeztetett alkalmazások esetében javasoljuk, hogy végezze el a speciális vizsgálatot, hogy többet tudjon meg az alkalmazás használatának üzleti indokairól, például az alkalmazás felhasználóival való kapcsolatfelvétellel. Ezután ismételje meg a 2. fázis lépéseit az alkalmazás kockázatának kiértékeléséhez. Ezután határozza meg az alkalmazás következő lépéseit, függetlenül attól, hogy a jövőben jóváhagyja-e a használatát, vagy le szeretné tiltani, amikor egy felhasználó legközelebb hozzáfér hozzá. Ebben az esetben nem engedélyezettként kell megjelölnie, hogy blokkolhassa a tűzfal, a proxy vagy a biztonságos webátjáró használatával. További információ: Integrálás Végponthoz készült Microsoft Defender, integráció a Zscalerrel, integráció az iboss-zal és alkalmazások blokkolása blokkszkript exportálásával.

4. fázis: Speciális árnyék-informatikai felderítési jelentéskészítés

A Felhőhöz készült Defender Appsben elérhető jelentéskészítési lehetőségek mellett a Cloud Discovery-naplókat integrálhatja a Microsoft Sentinelbe további vizsgálat és elemzés céljából. Miután az adatok a Microsoft Sentinelben vannak, megtekintheti azokat irányítópultokon, lekérdezéseket futtathat Kusto lekérdezési nyelv használatával, lekérdezéseket exportálhat a Microsoft Power BI-be, integrálhatja más forrásokkal, és egyéni riasztásokat hozhat létre. További információ: Microsoft Sentinel-integráció.

5. fázis: Engedélyezett alkalmazások szabályozása

  1. Az alkalmazások API-kon keresztüli vezérlésének engedélyezéséhez csatlakoztassa az alkalmazásokat API-val a folyamatos monitorozás érdekében.

  2. Alkalmazások védelme feltételes hozzáférésű alkalmazásvezérlővel.

A felhőalkalmazások természete azt jelenti, hogy naponta frissülnek, és folyamatosan jelennek meg új alkalmazások. Emiatt az alkalmazottak folyamatosan új alkalmazásokat használnak, és fontos, hogy folyamatosan nyomon követjék és felülvizsgálják és frissítsék a szabályzatokat, ellenőrizzék, hogy mely alkalmazásokat használják a felhasználók, valamint a használati és viselkedési mintákat. Bármikor megnyithatja a Cloud Discovery irányítópultját, megtekintheti, hogy milyen új alkalmazásokat használnak, és ismét követheti a cikkben található utasításokat, hogy biztosítsa a szervezet és az adatok védelmét.

Következő lépések

Ha bármilyen problémába ütközik, segítünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson támogatási jegyet.

Tudjon meg többet