Praktik terbaik untuk melindungi organisasi Anda dengan aplikasi Defender untuk Cloud

  • Artikel

Artikel ini menyediakan praktik terbaik untuk melindungi organisasi Anda dengan menggunakan aplikasi Microsoft Defender untuk Cloud. Praktik terbaik ini berasal dari pengalaman kami dengan Defender untuk Cloud Apps dan pengalaman pelanggan seperti Anda.

Praktik terbaik yang dibahas dalam artikel ini meliputi:

Menemukan dan menilai aplikasi cloud

Mengintegrasikan Defender untuk Cloud Apps dengan Microsoft Defender untuk Titik Akhir memberi Anda kemampuan untuk menggunakan Cloud Discovery di luar jaringan perusahaan Anda atau gateway web yang aman. Dengan informasi gabungan pengguna dan perangkat, Anda dapat mengidentifikasi pengguna atau perangkat berisiko, melihat aplikasi apa yang mereka gunakan, dan menyelidiki lebih lanjut di portal Defender for Endpoint.

Praktik terbaik: Mengaktifkan Penemuan IT Bayangan menggunakan Pertahanan untuk Titik Akhir
Detail: Cloud Discovery menganalisis log lalu lintas yang dikumpulkan oleh Defender for Endpoint dan menilai aplikasi yang diidentifikasi terhadap katalog aplikasi cloud untuk memberikan informasi kepatuhan dan keamanan. Dengan mengonfigurasi Cloud Discovery, Anda mendapatkan visibilitas ke dalam penggunaan cloud, Shadow IT, dan pemantauan berkelanjutan dari aplikasi yang tidak disanksi yang digunakan oleh pengguna Anda.
Untuk informasi selengkapnya:

Praktik terbaik: Mengonfigurasi kebijakan Penemuan Aplikasi untuk secara proaktif mengidentifikasi aplikasi berisiko, tidak patuh, dan tren
Detail: Kebijakan Penemuan Aplikasi memudahkan untuk melacak aplikasi yang ditemukan secara signifikan di organisasi Anda untuk membantu Anda mengelola aplikasi ini secara efisien. Buat kebijakan untuk menerima pemberitahuan saat mendeteksi aplikasi baru yang diidentifikasi berisiko, tidak patuh, tren, atau volume tinggi.
Untuk informasi selengkapnya:

Praktik terbaik: Mengelola aplikasi OAuth yang diotorisasi oleh pengguna Anda
Detail: Banyak pengguna dengan santai memberikan izin OAuth ke aplikasi pihak ketiga untuk mengakses informasi akun mereka dan, dengan demikian, secara tidak sengaja juga memberikan akses ke data mereka di aplikasi cloud lainnya. Biasanya, IT tidak memiliki visibilitas ke dalam aplikasi ini sehingga sulit untuk menimbang risiko keamanan aplikasi terhadap manfaat produktivitas yang disediakannya.

Defender untuk Cloud Apps memberi Anda kemampuan untuk menyelidiki dan memantau izin aplikasi yang diberikan pengguna Anda. Anda dapat menggunakan informasi ini untuk mengidentifikasi aplikasi yang berpotensi mencurigakan dan, jika Anda menentukan bahwa itu berisiko, Anda dapat melarang akses ke aplikasi tersebut.
Untuk informasi selengkapnya:

Menerapkan kebijakan tata kelola cloud

Praktik terbaik: Menandai aplikasi dan mengekspor skrip blok
Detail: Setelah meninjau daftar aplikasi yang ditemukan di organisasi, Anda dapat mengamankan lingkungan terhadap penggunaan aplikasi yang tidak diinginkan. Anda dapat menerapkan tag Sanksi ke aplikasi yang disetujui oleh organisasi Anda dan tag Tidak Disetujui ke aplikasi yang tidak. Anda dapat memantau aplikasi yang tidak disanksi menggunakan filter penemuan atau mengekspor skrip untuk memblokir aplikasi yang tidak disanksi menggunakan appliance keamanan lokal Anda. Menggunakan tag dan skrip ekspor memungkinkan Anda mengatur aplikasi dan melindungi lingkungan Hanya dengan memungkinkan aplikasi yang aman diakses.
Untuk informasi selengkapnya:

Membatasi paparan data bersama dan menerapkan kebijakan kolaborasi

Praktik terbaik: Koneksi Microsoft 365
Detail: Koneksi Aplikasi Microsoft 365 ke Defender untuk Cloud memberi Anda visibilitas langsung ke dalam aktivitas pengguna, file yang mereka akses, dan menyediakan tindakan tata kelola untuk Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange, dan Dynamics.
Untuk informasi selengkapnya:

Praktik terbaik: Koneksi aplikasi Anda
Detail: Koneksi aplikasi Anda untuk Defender untuk Cloud Apps memberi Anda wawasan yang ditingkatkan tentang aktivitas, deteksi ancaman, dan kemampuan tata kelola pengguna Anda. Untuk melihat API aplikasi pihak ketiga mana yang didukung, buka aplikasi Koneksi.

Untuk informasi selengkapnya:

Praktik terbaik: Membuat kebijakan untuk menghapus berbagi dengan akun pribadi
Detail: Koneksi Aplikasi Microsoft 365 ke Defender untuk Cloud memberi Anda visibilitas langsung ke dalam aktivitas pengguna, file yang mereka akses, dan menyediakan tindakan tata kelola untuk Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange, dan Dynamics.
Untuk informasi selengkapnya:

Temukan, klasifikasikan, beri label, dan lindungi data yang diatur dan sensitif yang disimpan di cloud

Praktik terbaik: Integrasikan dengan Perlindungan Informasi Microsoft Purview
Detail: Mengintegrasikan dengan Perlindungan Informasi Microsoft Purview memberi Anda kemampuan untuk menerapkan label sensitivitas secara otomatis dan secara opsional menambahkan perlindungan enkripsi. Setelah integrasi diaktifkan, Anda dapat menerapkan label sebagai tindakan tata kelola, melihat file berdasarkan klasifikasi, menyelidiki file berdasarkan tingkat klasifikasi, dan membuat kebijakan terperinci untuk memastikan file rahasia ditangani dengan benar. Jika Anda tidak mengaktifkan integrasi, Anda tidak dapat memperoleh manfaat dari kemampuan untuk memindai, memberi label, dan mengenkripsi file secara otomatis di cloud.
Untuk informasi selengkapnya:

Praktik terbaik: Membuat kebijakan paparan data
Detail: Gunakan kebijakan file untuk mendeteksi berbagi informasi dan memindai informasi rahasia di aplikasi cloud Anda. Buat kebijakan file berikut untuk memberi tahu Anda saat paparan data terdeteksi:

  • File yang dibagikan secara eksternal berisi data sensitif
  • File yang dibagikan secara eksternal dan diberi label Sebagai Rahasia
  • File yang dibagikan dengan domain yang tidak sah
  • Melindungi file sensitif pada aplikasi SaaS

Untuk informasi selengkapnya:

Praktik terbaik: Meninjau laporan di halaman File
Detail: Setelah Anda menghubungkan berbagai aplikasi SaaS menggunakan konektor aplikasi, Defender untuk Cloud Apps memindai file yang disimpan oleh aplikasi ini. Selain itu, setiap kali file dimodifikasi, file dipindai lagi. Anda dapat menggunakan halaman File untuk memahami dan menyelidiki jenis data yang disimpan di aplikasi cloud Anda. Untuk membantu Anda menyelidiki, Anda dapat memfilter menurut domain, grup, pengguna, tanggal pembuatan, ekstensi, nama dan jenis file, ID file, label sensitivitas, dan lainnya. Menggunakan filter ini menempatkan Anda dalam kontrol atas cara Anda memilih untuk menyelidiki file untuk memastikan tidak ada data Anda yang berisiko. Setelah Anda memiliki pemahaman yang lebih baik tentang bagaimana data Anda digunakan, Anda dapat membuat kebijakan untuk memindai konten sensitif dalam file-file ini.
Untuk informasi selengkapnya:

Menerapkan kebijakan DLP dan kepatuhan untuk data yang disimpan di cloud

Praktik terbaik: Melindungi data rahasia agar tidak dibagikan dengan pengguna eksternal
Detail: Buat kebijakan file yang mendeteksi kapan pengguna mencoba berbagi file dengan label Sensitivitas rahasia dengan seseorang di luar organisasi Anda, dan konfigurasikan tindakan tata kelolanya untuk menghapus pengguna eksternal. Kebijakan ini memastikan data rahasia Anda tidak meninggalkan organisasi dan pengguna eksternal Anda tidak dapat mengaksesnya.
Untuk informasi selengkapnya:

Memblokir dan melindungi unduhan data sensitif ke perangkat yang tidak dikelola atau berisiko

Praktik terbaik: Mengelola dan mengontrol akses ke perangkat berisiko tinggi
Detail: Gunakan Kontrol Aplikasi Akses Bersyarah untuk mengatur kontrol pada aplikasi SaaS Anda. Anda dapat membuat kebijakan sesi untuk memantau sesi kepercayaan yang berisiko tinggi dan rendah. Demikian pula, Anda dapat membuat kebijakan sesi untuk memblokir dan melindungi unduhan oleh pengguna yang mencoba mengakses data sensitif dari perangkat yang tidak dikelola atau berisiko. Jika Anda tidak membuat kebijakan sesi untuk memantau sesi berisiko tinggi, Anda akan kehilangan kemampuan untuk memblokir dan melindungi unduhan di klien web, serta kemampuan untuk memantau sesi kepercayaan rendah baik di Microsoft maupun aplikasi pihak ketiga.
Untuk informasi selengkapnya:

Mengamankan kolaborasi dengan pengguna eksternal dengan memberlakukan kontrol sesi real time

Praktik terbaik: Memantau sesi dengan pengguna eksternal menggunakan Kontrol Aplikasi Akses Bersyar
Detail: Untuk mengamankan kolaborasi di lingkungan Anda, Anda dapat membuat kebijakan sesi untuk memantau sesi antara pengguna internal dan eksternal Anda. Ini tidak hanya memberi Anda kemampuan untuk memantau sesi antara pengguna Anda (dan memberi tahu mereka bahwa aktivitas sesi mereka sedang dipantau), tetapi juga memungkinkan Anda untuk membatasi aktivitas tertentu juga. Saat membuat kebijakan sesi untuk memantau aktivitas, Anda dapat memilih aplikasi dan pengguna yang ingin Anda pantau.
Untuk informasi selengkapnya:

Mendeteksi ancaman cloud, akun yang disusupi, orang dalam berbahaya, dan ransomware

Praktik terbaik: Sesuaikan kebijakan Anomali, atur rentang IP, kirim umpan balik untuk pemberitahuan
Detail: Kebijakan deteksi anomali menyediakan analitik perilaku pengguna dan entitas (UEBA) dan pembelajaran mesin (ML) di luar kotak sehingga Anda dapat segera menjalankan deteksi ancaman tingkat lanjut di seluruh lingkungan cloud Anda.

Kebijakan deteksi anomali dipicu ketika ada aktivitas yang tidak biasa yang dilakukan oleh pengguna di lingkungan Anda. Defender untuk Cloud Apps terus memantau aktivitas pengguna Anda dan menggunakan UEBA dan ML untuk mempelajari dan memahami perilaku normal pengguna Anda. Anda dapat menyetel pengaturan kebijakan agar sesuai dengan persyaratan organisasi, misalnya, Anda dapat mengatur sensitivitas kebijakan, serta mencakup kebijakan ke grup tertentu.

  • Sesuaikan dan Kebijakan Deteksi Anomali Cakupan: Sebagai contoh, untuk mengurangi jumlah positif palsu dalam pemberitahuan perjalanan yang tidak memungkinkan, Anda dapat mengatur penggeledah sensitivitas kebijakan menjadi rendah. Jika Anda memiliki pengguna di organisasi yang sering menjadi pelancong perusahaan, Anda dapat menambahkannya ke grup pengguna dan memilih grup tersebut dalam cakupan kebijakan.

  • Atur Rentang IP: Defender untuk Cloud Apps dapat mengidentifikasi alamat IP yang diketahui setelah rentang alamat IP diatur. Dengan rentang alamat IP yang dikonfigurasi, Anda dapat menandai, mengategorikan, dan menyesuaikan cara log dan pemberitahuan ditampilkan dan diselidiki. Menambahkan rentang alamat IP membantu mengurangi deteksi positif palsu dan meningkatkan akurasi pemberitahuan. Jika Anda memilih untuk tidak menambahkan alamat IP, Anda mungkin melihat peningkatan jumlah kemungkinan positif palsu dan pemberitahuan untuk diselidiki.

  • Kirim Umpan Balik untuk pemberitahuan

    Saat menutup atau menyelesaikan pemberitahuan, pastikan untuk mengirim umpan balik dengan alasan Anda menutup pemberitahuan atau cara mengatasinya. Informasi ini membantu aplikasi Defender untuk Cloud untuk meningkatkan pemberitahuan kami dan mengurangi positif palsu.

Untuk informasi selengkapnya:

Praktik terbaik: Mendeteksi aktivitas dari lokasi atau negara/wilayah yang tidak terduga
Detail: Buat kebijakan aktivitas untuk memberi tahu Anda saat pengguna masuk dari lokasi atau negara/wilayah yang tidak terduga. Pemberitahuan ini dapat memberi tahu Anda tentang sesi yang mungkin disusupi di lingkungan Anda sehingga Anda dapat mendeteksi dan memulihkan ancaman sebelum terjadi.
Untuk informasi selengkapnya:

Praktik terbaik: Membuat kebijakan aplikasi OAuth
Detail: Buat kebijakan aplikasi OAuth untuk memberi tahu Anda saat aplikasi OAuth memenuhi kriteria tertentu. Misalnya, Anda dapat memilih untuk diberi tahu saat aplikasi tertentu yang memerlukan tingkat izin tinggi diakses oleh lebih dari 100 pengguna.
Untuk informasi selengkapnya:

Menggunakan jejak audit aktivitas untuk investigasi forensik

Praktik terbaik: Gunakan jejak audit aktivitas saat menyelidiki pemberitahuan
Detail: Pemberitahuan dipicu saat aktivitas pengguna, admin, atau masuk tidak mematuhi kebijakan Anda. Penting untuk menyelidiki pemberitahuan untuk memahami apakah ada kemungkinan ancaman di lingkungan Anda.

Anda dapat menyelidiki pemberitahuan dengan memilihnya di halaman Pemberitahuan dan meninjau jejak audit aktivitas yang berkaitan dengan pemberitahuan tersebut. Jejak audit memberi Anda visibilitas ke dalam aktivitas dengan jenis yang sama, pengguna yang sama, alamat IP dan lokasi yang sama, untuk memberi Anda cerita keseluruhan pemberitahuan. Jika pemberitahuan menjamin penyelidikan lebih lanjut, buat rencana untuk menyelesaikan pemberitahuan ini di organisasi Anda.

Saat menutup pemberitahuan, penting untuk menyelidiki dan memahami mengapa pemberitahuan tersebut tidak penting atau jika mereka positif palsu. Jika ada volume aktivitas yang tinggi, Anda mungkin juga ingin mempertimbangkan untuk meninjau dan menyetel kebijakan yang memicu pemberitahuan.
Untuk informasi selengkapnya:

Mengamankan layanan IaaS dan aplikasi kustom

Praktik terbaik: Koneksi Azure, AWS, dan GCP
Detail: Koneksi masing-masing platform cloud ini ke Defender untuk Cloud Apps membantu Anda meningkatkan kemampuan deteksi ancaman Anda. Dengan memantau aktivitas administratif dan masuk untuk layanan ini, Anda dapat mendeteksi dan diberi tahu tentang kemungkinan serangan brute force, penggunaan berbahaya dari akun pengguna istimewa, dan ancaman lain di lingkungan Anda. Misalnya, Anda dapat mengidentifikasi risiko seperti penghapusan VM yang tidak biasa, atau bahkan aktivitas peniruan di aplikasi ini.
Untuk informasi selengkapnya:

Praktik terbaik: Onboard aplikasi kustom
Detail: Untuk mendapatkan visibilitas tambahan ke dalam aktivitas dari aplikasi lini bisnis, Anda dapat melakukan onboarding aplikasi kustom ke aplikasi Defender untuk Cloud. Setelah aplikasi kustom dikonfigurasi, Anda akan melihat informasi tentang siapa yang menggunakannya, alamat IP tempat aplikasi digunakan, dan berapa banyak lalu lintas yang masuk dan keluar dari aplikasi.

Selain itu, Anda dapat melakukan onboarding aplikasi kustom sebagai aplikasi Kontrol Aplikasi Akses Bersyar untuk memantau sesi kepercayaan rendah mereka.
Untuk informasi selengkapnya: