Esercitazione: Individuare e gestire Shadow IT in una rete

Si applica a: Microsoft Cloud App Security

Importante

I nomi dei prodotti per la protezione dalle minacce di Microsoft stanno cambiando. Per altre informazioni su questo e altri aggiornamenti, leggere qui. I nomi dei prodotti e dei documenti verranno aggiornati a breve.

quando viene chiesto agli amministratori IT di indicare il numero di app cloud usate dai dipendenti, la risposta è in media 30 o 40, nonostante la media effettiva sia di oltre 1.000 app distinte usate dai dipendenti di un'organizzazione. Shadow IT consente di conoscere e identificare le app usate e il livello di rischio. L'80% dei dipendenti usa app non approvate che nessuno ha mai verificato e che potrebbero non essere conformi ai criteri di sicurezza e conformità. Poiché, inoltre, i dipendenti possono accedere alle risorse e alle app anche dall'esterno della rete aziendale, non è più sufficiente avere criteri e regole per i firewall.

In questa esercitazione si apprenderà come usare Cloud Discovery per individuare le app usate, esplorare il rischio di queste app, configurare criteri per identificare le nuove app a rischio usate e annullare l'sanzione di queste app per bloccarle in modo nativo usando il proxy o l'appliance firewall

Come individuare e gestire Shadow IT nella rete

Usare questo processo per implementare Shadow IT Cloud Discovery nell'organizzazione.

shadow IT ciclo di vita.

Fase 1: Individuare e identificare gli utenti non autorizzati

  1. Individuare la presenza di Shadow IT: identificare il comportamento di sicurezza dell'organizzazione eseguendo Cloud Discovery nell'organizzazione per verificare che cosa accade effettivamente nella rete. Per altre informazioni vedere Configurare Cloud Discovery. A tale scopo, usare uno dei metodi seguenti:

    • Iniziare a usare subito Cloud Discovery integrandolo con Microsoft Defender per endpoint. Questa integrazione nativa consente di iniziare immediatamente a raccogliere dati sul traffico cloud tra Windows 10 e Windows 11 dispositivi, all'interno e all'uscita dalla rete.

    • Per coprire tutti i dispositivi connessi alla rete, è importante distribuire l'agente di raccolta log di Cloud App Security nei firewall e negli altri proxy per raccogliere i dati dagli endpoint e inviarli a Cloud App Security per l'analisi.

    • Integrare Cloud App Security con il proxy. Cloud App Security si integra in modo nativo con alcuni proxy di terze parti, incluso Zscaler.

Poiché i criteri sono diversi a seconda dei gruppi di utenti, delle aree e dei gruppi aziendali, potrebbe essere necessario creare un report sulla presenza di Shadow IT per ognuna di queste unità. Per altre informazioni, vedere Docker in Windows locale.

Ora che Cloud Discovery è in esecuzione nella rete, esaminare i report continui generati e il dashboard di Cloud Discovery per avere un quadro completo delle app usate nell'organizzazione. È consigliabile esaminarli per categoria, perché spesso si noterà che le app non approvate vengono usate per attività lavorative legittime che non è possibile gestire con un'app approvata.

  1. Identificare i livelli di rischio delle app: usare il catalogo di app cloud di Cloud App Security per esaminare in modo più approfondito i rischi correlati a ogni app individuata. Il catalogo dei rischi di Cloud App Security include oltre 16.000 app che vengono valutate usando più di 80 fattori di rischio. I fattori di rischio vanno dalle informazioni generali sull'app (sede centrale e autore dell'app) ai controlli e alle misure di sicurezza (supporto per la crittografia dei dati inattivi, specifica di un log di controllo delle attività degli utenti). Per altre informazioni, vedere Uso del punteggio di rischio.

    • Nel portale Cloud App Security ,in Individua, fare clic su App individuate. Filtrare l'elenco di app individuate nell'organizzazione in base ai fattori di rischio a cui si è interessati. È ad esempio possibile usare i filtri avanzati per trovare tutte le app con un punteggio di rischio inferiore a 8.

    • È possibile esaminare in modo dettagliato l'app per ottenere altre informazioni sulla conformità facendo clic sul nome dell'app, quindi sulla scheda Informazioni e visualizzare i dettagli sui fattori di rischio per la sicurezza dell'app.

Fase 2: Valutare e analizzare

  1. Valutare la conformità: controllare se le app sono certificate come conformi agli standard dell'organizzazione, ad esempio HIPAA, SOC2 e GDPR.

    • Nel portale di Cloud App Security, in Individua fare clic su App individuate. Filtrare l'elenco di app individuate nell'organizzazione in base ai fattori di rischio per la conformità a cui si è interessati. Usare, ad esempio, la query suggerita per filtrare le app non conformi.

    • È possibile esaminare in modo dettagliato l'app per ottenere altre informazioni sulla conformità facendo clic sul nome dell'app, quindi sulla scheda Informazioni e visualizzare i dettagli sui fattori di rischio della conformità dell'app.

    Suggerimento

    Ricevere una notifica quando un'app individuata viene associata a una violazione della sicurezza pubblicata di recente usando l'avviso È stata individuata una violazione della sicurezza dell'app. Esaminare tutti gli utenti, gli indirizzi IP e i dispositivi che accedono all'app violata negli ultimi 90 giorni e applicare i controlli pertinenti.

  2. Analizzare l'utilizzo: dopo aver stabilito se consentire o meno l'uso dell'app nell'organizzazione, è possibile esaminare come e da chi viene usata. Se viene usata solo in modo limitato nell'organizzazione, può essere accettabile, ma se ne viene fatto un uso sempre maggiore, potrebbe essere opportuno ricevere una notifica in proposito per decidere se bloccare l'app.

    • Nel portale di Cloud App Security, in individua fare clic su App individuate e quindi eseguire il drill-down facendo clic sull'app specifica che si vuole esaminare. La scheda Utilizzo consente di sapere quanti utenti attivi stanno usando l'app e quanto traffico sta generando. Queste informazioni possono già offrire un quadro abbastanza preciso dell'app. Se poi si vuole anche sapere chi sta usando l'app, è possibile eseguire un ulteriore drill-down facendo clic su Totale utenti attivi. Questo importante passaggio può offrire informazioni dettagliate. Se ad esempio si scopre che tutti gli utenti di un'app specifica sono del reparto Marketing, è possibile che questa app sia effettivamente necessaria per l'azienda e, se è rischiosa, è consigliabile cercare un'alternativa con chi ne fa uso prima di bloccarla.

    • Approfondire quando si esamina l'uso delle app individuate. Visualizzare sottodomini e risorse per ottenere informazioni su attività specifiche, accesso ai dati e utilizzo delle risorse nei servizi cloud. Per altre informazioni, vedere Informazioni approfondite sulle app individuate e Individuare le risorse e le app personalizzate.

  3. Identificare le app alternative: usare il catalogo delle app cloud per identificare app sicure che offrono funzionalità aziendali simili a quelle delle app rischiose rilevate, ma sono conformi ai criteri dell'organizzazione. Questa operazione può essere eseguita usando i filtri avanzati per trovare le app nella stessa categoria che soddisfano i diversi controlli di sicurezza.

Fase 3: Gestire le proprie app

  • Gestire le app cloud: Cloud App Security semplifica il processo di gestione dell'uso delle app nell'organizzazione. Dopo aver identificato i diversi modelli e comportamenti usati nell'organizzazione, è possibile creare nuovi tag delle app personalizzati per classificare ogni app in base allo stato o alla motivazione aziendale. Questi tag possono quindi essere usati per scopi di monitoraggio specifici, ad esempio identificare il traffico elevato verso le app contrassegnate come app di archiviazione cloud rischiose. I tag delle app possono essere gestiti in Impostazioni di Cloud Discovery > Tag dell'app. Questi tag possono essere usati anche in un secondo momento per applicare filtri nelle pagine di Cloud Discovery e creare criteri basati su di essi.

  • Gestire le app individuate usando la raccolta di Azure Active Directory (Azure AD) : Cloud App Security sfrutta anche l'integrazione nativa con Azure AD per facilitare la gestione delle app individuate nella raccolta di Azure AD. Per le app già visualizzate nella raccolta di Azure AD, è possibile applicare Single Sign-On e gestire l'app con Azure AD. A tale scopo, nella riga in cui viene visualizzata l'app di interesse scegliere i tre puntini alla fine della riga e quindi scegliere Gestisci l'app con Azure AD.

    gestire l'app nella raccolta di Azure Ad.

  • Monitoraggio continuo: ora che le app sono state attentamente analizzate, è possibile impostare criteri per monitorare le app e fornire controllo dove è necessario.

A questo punto è possibile creare i criteri per ricevere automaticamente un avviso quando si verifica un evento che può costituire un problema. Potrebbe essere necessario, ad esempio, creare un criterio di individuazione delle app che consente di sapere quando si verifica un picco nei download o nel traffico da un'app a cui si è interessati. A tale scopo, è consigliabile abilitare il criterio Comportamento anomalo negli utenti individuati, Verifica della conformità dell'app di archiviazione cloud e Nuova app rischiosa. Impostare anche il criterio per ricevere una notifica tramite posta elettronica o SMS. Per altre informazioni, vedere Informazioni di riferimento sui modelli di criteri, Criteri di Cloud Discovery e configurare i criteri di individuazione delle app.

Esaminare la pagina degli avvisi e usare il filtro Tipo di criteri per analizzare gli avvisi di individuazione delle app. Per le app corrispondenti ai criteri di individuazione delle app, è consigliabile eseguire un'analisi avanzata per ottenere altre informazioni sulla motivazione aziendale per l'uso dell'app, ad esempio contattando gli utenti dell'app. Ripetere quindi i passaggi della fase 2 per valutare il rischio dell'app. Determinare infine i passaggi successivi per l'applicazione, indipendentemente dal fatto che se ne approvi l'uso per il futuro o che la si voglia bloccare non appena un utente vi accederà. In questo caso è consigliabile contrassegnarla come non approvata in modo che possa essere bloccata tramite il firewall, il proxy o il gateway Web sicuro. Per altre informazioni, vedere Eseguire l'integrazione con Microsoft Defender per endpoint, Eseguire l'integrazione con Zscaler, Eseguire l'integrazione con iBoss ed Esportare uno script di blocco per la governance delle app individuate.

Fase 4: Creazione avanzata di report di Shadow IT Discovery

Oltre alle opzioni per la creazione di report disponibili in Cloud App Security, è possibile integrare i log di Cloud Discovery in Azure Sentinel per approfondire l'indagine e l'analisi. Quando i dati si trovano in Azure Sentinel, è possibile visualizzarli nei dashboard, eseguire query usando il linguaggio di query Kusto, esportare query in Microsoft Power BI, integrare altre origini e creare avvisi personalizzati. Per altre informazioni, vedere Integrazione di Azure Sentinel.

Fase 5: Controllare le app approvate

  1. Per abilitare il controllo delle app tramite API, connettere le app tramite API per un monitoraggio continuo.

  2. Proteggere le app con Controllo app per l'accesso condizionale.

La natura delle app cloud comporta che vengano aggiornate ogni giorno e che siano sempre disponibili nuove app. Per questo motivo, i dipendenti usano costantemente nuove app ed è importante tener traccia dei criteri, esaminarli e aggiornarli, controllando non solo quali app vengono usate dagli utenti, ma anche i modelli di utilizzo e comportamento. È sempre possibile passare al dashboard di Cloud Discovery per verificare quali nuove app vengono usate e seguire nuovamente le istruzioni di questo articolo per assicurarsi che l'organizzazione e i dati siano protetti.

Passaggi successivi

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.

Altre informazioni