Tutorial: Mencari dan mengelola shadow IT di jaringan Anda

Catatan

• Kami telah mengganti nama Microsoft Cloud App Security. Sekarang disebut Microsoft Defender for Cloud Apps. Dalam beberapa minggu mendatang, kami akan memperbarui cuplikan layar dan instruksi di sini dan di halaman terkait. Untuk informasi selengkapnya tentang perubahan tersebut, lihat pengumuman ini. Untuk mempelajari selengkapnya tentang penggantian nama layanan keamanan Microsoft baru-baru ini, lihat blog Microsoft Ignite Security.

• Microsoft Defender for Cloud Apps sekarang menjadi bagian dari Pertahanan Microsoft 365. Portal Pertahanan Microsoft 365 memungkinkan admin keamanan untuk melakukan tugas keamanan mereka di satu lokasi. Ini akan menyederhanakan alur kerja, dan menambahkan fungsionalitas layanan Pertahanan Microsoft 365 lainnya. Pertahanan Microsoft 365 akan menjadi rumah bagi pemantauan dan pengelolaan keamanan di seluruh identitas, data, perangkat, aplikasi, dan infrastruktur Microsoft Anda. Untuk informasi selengkapnya tentang perubahan ini, lihat Microsoft Defender for Cloud Apps di Pertahanan Microsoft 365.

Ketika admin TI ditanyai berapa banyak aplikasi cloud yang menurut mereka digunakan karyawan, rata-rata mereka mengatakan 30 atau 40, padahal kenyataannya, rata-rata lebih dari 1.000 aplikasi terpisah yang digunakan oleh karyawan di organisasi Anda. Shadow IT membantu Anda mengetahui dan mengidentifikasi aplikasi mana yang digunakan dan tingkat risiko Anda. 80% karyawan menggunakan aplikasi yang tidak diberi sanksi yang tidak ditinjau oleh siapa pun, dan mungkin tidak mematuhi kebijakan keamanan dan kepatuhan Anda. Dan karena karyawan Anda dapat mengakses sumber daya dan aplikasi Anda dari luar jaringan perusahaan, tidak cukup lagi memiliki aturan dan kebijakan di firewall Anda.

Dalam tutorial ini, Anda akan mempelajari cara menggunakan Cloud Discovery untuk menemukan aplikasi mana yang digunakan, menjelajahi risiko aplikasi ini, mengonfigurasi kebijakan untuk mengidentifikasi aplikasi berisiko baru yang sedang digunakan, dan untuk membatalkan penerimaan aplikasi ini untuk memblokirnya secara asli menggunakan proksi atau appliance firewall Anda

• Menemukan dan mengidentifikasi IT Bayangan
• Mengevaluasi dan menganalisis
• Mengelola aplikasi Anda
• Pelaporan penemuan IT Bayangan Tingkat Lanjut
• Mengontrol aplikasi berizin

Cara menemukan dan mengelola Shadow IT di jaringan Anda

Gunakan proses ini untuk meluncurkan Shadow IT Cloud Discovery di organisasi Anda.

Fase 1: Menemukan dan mengidentifikasi IT Bayangan

1. Temukan SHADOW IT: Identifikasi postur keamanan organisasi Anda dengan menjalankan Cloud Discovery di organisasi Anda untuk melihat apa yang sebenarnya terjadi di jaringan Anda. Untuk informasi selengkapnya, lihat Menyiapkan penemuan cloud. Ini dapat dilakukan menggunakan salah satu metode berikut:

   • Mulai dan jalankan dengan cepat cloud Discovery dengan mengintegrasikan dengan Pertahanan Microsoft untuk Titik Akhir. Integrasi asli ini memungkinkan Anda untuk segera mulai mengumpulkan data pada lalu lintas cloud di seluruh perangkat Windows 10 dan Windows 11 Anda, di dalam dan di luar jaringan Anda.

   • Untuk cakupan di semua perangkat yang terhubung ke jaringan Anda, penting untuk menyebarkan pengumpul log Defender untuk Cloud Apps di firewall Anda dan proksi lain untuk mengumpulkan data dari titik akhir Anda dan mengirimkannya ke Defender untuk Cloud Apps untuk analisis.

   • Integrasikan Defender untuk Cloud Apps dengan proksi Anda. Defender untuk Cloud Apps terintegrasi secara asli dengan beberapa proksi pihak ketiga, termasuk Zscaler.

Karena kebijakan berbeda di seluruh grup pengguna, wilayah, dan grup bisnis, Anda mungkin ingin membuat laporan IT Bayangan khusus untuk setiap unit ini. Untuk informasi selengkapnya, lihat Docker di Windows lokal.

Setelah Cloud Discovery berjalan di jaringan Anda, lihat laporan berkelanjutan yang dihasilkan dan lihat dasbor Cloud Discovery untuk mendapatkan gambaran lengkap tentang aplikasi apa yang digunakan di organisasi Anda. Ada baiknya untuk melihatnya berdasarkan kategori, karena Anda akan sering menemukan bahwa aplikasi yang tidak diberi sanksi digunakan untuk tujuan terkait pekerjaan yang sah yang tidak ditangani oleh aplikasi yang diberi sanksi.

1. Mengidentifikasi tingkat risiko aplikasi Anda: Gunakan katalog Defender untuk Cloud Apps untuk menyelami risiko yang terlibat dengan setiap aplikasi yang ditemukan. Katalog Aplikasi Defender untuk Cloud mencakup lebih dari 25.000 aplikasi yang dinilai menggunakan lebih dari 80 faktor risiko. Faktor risiko dimulai dari informasi umum tentang aplikasi (di mana kantor pusat aplikasi, siapa penerbitnya), dan melalui langkah dan kontrol keamanan (dukungan untuk enkripsi saat tidak aktif, menyediakan log audit aktivitas pengguna). Untuk informasi selengkapnya, lihat Bekerja dengan skor risiko,

   • Di portal aplikasi Defender untuk Cloud, di bawah Temukan, pilih Aplikasi yang ditemukan. Filter daftar aplikasi yang ditemukan di organisasi Anda berdasarkan faktor risiko yang Anda khawatirkan. Misalnya, Anda dapat menggunakan filter Tingkat Lanjut untuk menemukan semua aplikasi dengan skor risiko lebih rendah dari 8.

   • Anda dapat menelusuri paling detail aplikasi untuk memahami selengkapnya tentang kepatuhannya dengan memilih nama aplikasi lalu memilih tab Info untuk melihat detail tentang faktor risiko keamanan aplikasi.

Fase 2: Mengevaluasi dan menganalisis

1. Mengevaluasi kepatuhan: Periksa apakah aplikasi disertifikasi sesuai dengan standar organisasi Anda, seperti HIPAA, SOC2, GDPR.

   • Di portal aplikasi Defender untuk Cloud, di bawah Temukan, pilih Aplikasi yang ditemukan. Filter daftar aplikasi yang ditemukan di organisasi Anda berdasarkan faktor risiko kepatuhan yang Anda khawatirkan. Misalnya, gunakan kueri yang disarankan untuk memfilter aplikasi yang tidak sesuai.

   • Anda dapat menelusuri paling detail aplikasi untuk memahami selengkapnya tentang kepatuhannya dengan memilih nama aplikasi lalu memilih tab Info untuk melihat detail tentang faktor risiko kepatuhan aplikasi.

   Tip

   Dapatkan pemberitahuan saat aplikasi yang ditemukan dikaitkan dengan pelanggaran keamanan yang baru saja dipublikasikan menggunakan pemberitahuan pelanggaran keamanan aplikasi yang ditemukan bawaan. Selidiki semua pengguna, alamat IP, dan perangkat yang mengakses aplikasi yang dilanggar dalam 90 hari terakhir, dan terapkan kontrol yang relevan.

2. Analisis penggunaan: Sekarang setelah Anda mengetahui apakah Anda ingin aplikasi digunakan di organisasi Anda atau tidak, Anda ingin menyelidiki bagaimana dan siapa yang menggunakannya. Jika hanya digunakan dengan cara terbatas di organisasi Anda mungkin tidak apa-apa, tetapi mungkin jika penggunaannya bertambah, Anda ingin diberi tahu tentang hal itu sehingga Anda dapat memutuskan apakah Anda ingin memblokir aplikasi.

   • Di portal Defender untuk Cloud Apps, di bawah Temukan, pilih Aplikasi yang ditemukan lalu telusuri paling detail dengan memilih aplikasi tertentu yang ingin Anda selidiki. Tab Gunakan memungkinkan Anda mengetahui berapa banyak pengguna aktif yang menggunakan aplikasi dan berapa banyak lalu lintas yang dihasilkannya. Ini sudah dapat memberi Anda gambaran yang baik tentang apa yang terjadi dengan aplikasi. Kemudian, jika Anda ingin melihat siapa, khususnya, yang menggunakan aplikasi, Anda dapat menelusuri lebih lanjut dengan memilih Total pengguna aktif. Langkah penting ini dapat memberi Anda informasi yang bersangkutan, misalnya, jika Anda menemukan bahwa semua pengguna aplikasi tertentu berasal dari departemen Pemasaran, ada kemungkinan bahwa ada kebutuhan bisnis untuk aplikasi ini, dan jika berisiko Anda harus berbicara dengan mereka tentang alternatif sebelum memblokirnya.

   • Selidiki lebih dalam saat menyelidiki penggunaan aplikasi yang ditemukan. Lihat subdomain dan sumber daya untuk mempelajari aktivitas, akses data, dan penggunaan sumber daya tertentu di layanan cloud Anda. Untuk informasi selengkapnya, lihat Mendalami aplikasi yang ditemukan dan Menemukan sumber daya dan aplikasi kustom.

3. Mengidentifikasi aplikasi alternatif: Gunakan Katalog Aplikasi Cloud untuk mengidentifikasi aplikasi yang lebih aman yang mencapai fungsionalitas bisnis serupa sebagai aplikasi berisiko yang terdeteksi, tetapi mematuhi kebijakan organisasi Anda. Anda dapat melakukan ini dengan menggunakan filter tingkat lanjut untuk menemukan aplikasi dalam kategori yang sama yang memenuhi kontrol keamanan Anda yang berbeda.

Fase 3: Mengelola aplikasi Anda

• Mengelola aplikasi cloud: Defender untuk Cloud Apps membantu Anda dalam proses pengelolaan penggunaan aplikasi di organisasi Anda. Setelah mengidentifikasi berbagai pola dan perilaku yang digunakan di organisasi, Anda dapat membuat tag aplikasi kustom baru untuk mengklasifikasikan setiap aplikasi sesuai dengan status atau pembenaran bisnisnya. Tag ini kemudian dapat digunakan untuk tujuan pemantauan tertentu, misalnya, mengidentifikasi lalu lintas tinggi yang masuk ke aplikasi yang ditandai sebagai aplikasi penyimpanan cloud berisiko. Tag aplikasi dapat dikelola di bawahTag aplikasipengaturan> Cloud Discovery. Tag ini kemudian dapat digunakan nanti untuk pemfilteran di halaman Cloud Discovery dan membuat kebijakan menggunakannya.

• Mengelola aplikasi yang ditemukan menggunakan Galeri Azure Active Directory (Azure AD): Defender untuk Cloud Apps juga menggunakan integrasi aslinya dengan Azure AD untuk memungkinkan Anda mengelola aplikasi yang ditemukan di galeri Azure AD. Untuk aplikasi yang sudah muncul di galeri Azure AD, Anda dapat menerapkan akses menyeluruh dan mengelola aplikasi dengan Azure AD. Untuk melakukannya, pada baris tempat aplikasi yang relevan muncul, pilih tiga titik di akhir baris, lalu pilih Kelola aplikasi dengan Azure AD.

  

• Pemantauan berkelanjutan: Sekarang setelah Anda menyelidiki aplikasi secara menyeluruh, Anda mungkin ingin menetapkan kebijakan yang memantau aplikasi dan memberikan kontrol jika diperlukan.

Sekarang saatnya untuk membuat kebijakan sehingga Anda dapat secara otomatis diberi tahu ketika sesuatu terjadi yang Anda khawatirkan. Misalnya, Anda mungkin ingin membuat kebijakan Penemuan aplikasi yang memberi tahu Anda saat ada lonjakan unduhan atau lalu lintas dari aplikasi yang Anda khawatirkan. Untuk mencapai hal ini, Anda harus mengaktifkan Perilaku anomali dalam kebijakan pengguna yang ditemukan, pemeriksaan kepatuhan aplikasi penyimpanan Cloud, dan Aplikasi berisiko baru. Anda juga harus mengatur kebijakan untuk memberi tahu Anda melalui email atau pesan teks. Untuk informasi selengkapnya, lihat referensi templat kebijakan, selengkapnya tentang kebijakan Cloud Discovery dan Mengonfigurasi kebijakan Penemuan aplikasi.

Lihat halaman pemberitahuan dan gunakan filter Jenis kebijakan untuk melihat pemberitahuan penemuan aplikasi. Untuk aplikasi yang dicocokkan dengan kebijakan penemuan aplikasi Anda, disarankan agar Anda melakukan penyelidikan lanjutan untuk mempelajari selengkapnya tentang pembenaran bisnis untuk menggunakan aplikasi, misalnya, dengan menghubungi pengguna aplikasi. Kemudian, ulangi langkah-langkah di Fase 2 untuk mengevaluasi risiko aplikasi. Kemudian tentukan langkah berikutnya untuk aplikasi, apakah Anda menyetujui penggunaannya di masa mendatang atau ingin memblokirnya lain kali pengguna mengaksesnya, dalam hal ini Anda harus menandainya sebagai tidak disanksi sehingga dapat diblokir menggunakan firewall, proksi, atau gateway web aman Anda. Untuk informasi selengkapnya, lihat Mengintegrasikan dengan Pertahanan Microsoft untuk Titik Akhir, Mengintegrasikan dengan Zscaler, Mengintegrasikan dengan iboss, dan Memblokir aplikasi dengan mengekspor skrip blok.

Fase 4: Pelaporan penemuan TI Bayangan Tingkat Lanjut

Selain opsi pelaporan yang tersedia di Defender untuk Cloud Apps, Anda dapat mengintegrasikan log Cloud Discovery ke Microsoft Sentinel untuk penyelidikan dan analisis lebih lanjut. Setelah data berada di Microsoft Azure Sentinel, Anda dapat menampilkannya di dasbor, menjalankan kueri menggunakan bahasa kueri Kusto, mengekspor kueri ke Microsoft Power BI, berintegrasi dengan sumber lain, dan membuat pemberitahuan kustom. Untuk informasi selengkapnya, lihat Integrasi Microsoft Azure Sentinel.

Fase 5: Mengontrol aplikasi yang diberi sanksi

1. Untuk mengaktifkan kontrol aplikasi melalui API, sambungkan aplikasi melalui API untuk pemantauan berkelanjutan.

2. Lindungi aplikasi menggunakan Kontrol Aplikasi Akses Bersyar.

Sifat aplikasi cloud berarti aplikasi tersebut diperbarui setiap hari dan aplikasi baru muncul sepanjang waktu. Karena itu, karyawan terus menggunakan aplikasi baru dan penting untuk terus melacak dan meninjau serta memperbarui kebijakan Anda, memeriksa aplikasi mana yang digunakan pengguna Anda, serta pola penggunaan dan perilaku mereka. Anda selalu dapat masuk ke dasbor Cloud Discovery dan melihat aplikasi baru apa yang digunakan, dan mengikuti instruksi dalam artikel ini lagi untuk memastikan organisasi dan data Anda terlindungi.

Langkah berikutnya

Aktivitas harian untuk melindungi lingkungan cloud Anda

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, silakan buka tiket dukungan.

Pelajari lebih lanjut

• Coba panduan interaktif kami: Menemukan dan mengelola penggunaan aplikasi cloud dengan Microsoft Defender for Cloud Apps