Gestire le app individuate usando Microsoft Defender per endpoint

Nota

  • Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

L'integrazione Microsoft Defender for Cloud Apps con Microsoft Defender per endpoint offre una soluzione di visibilità e controllo Shadow it senza problemi. L'integrazione consente agli amministratori di app di Defender per il cloud di bloccare l'accesso degli utenti finali alle app cloud, integrando in modo nativo i controlli di governance delle app delle app Defender per il cloud con la protezione di rete di Microsoft Defender per endpoint. In alternativa, gli amministratori possono adottare un approccio più delicato agli utenti quando accedono alle app cloud rischiose.

Prerequisiti

Bloccare l'accesso alle app cloud non autorizzate

Defender per il cloud App usa il tag di app non autorizzato predefinito per contrassegnare le app cloud come vietate per l'uso, disponibili nelle pagine del catalogo di app Cloud Discovery e Cloud. Abilitando l'integrazione con Defender per Endpoint, è possibile bloccare facilmente l'accesso alle app non autorizzate con un singolo clic nel portale di app Defender per il cloud.

Funzionamento del blocco

Le app contrassegnate come non approvate nelle app Defender per il cloud vengono sincronizzate automaticamente con Defender for Endpoint, in genere entro pochi minuti. In particolare, i domini usati da queste app non autorizzate vengono propagati ai dispositivi endpoint da bloccare da Antivirus Microsoft Defender all'interno del contratto di servizio protezione di rete.

Come abilitare il blocco delle app cloud con Defender per endpoint

Seguire questa procedura per abilitare il controllo di accesso per le app cloud:

  1. In App Defender per il cloud selezionare Impostazioni, selezionare Impostazioni, in Cloud Discovery selezionare Microsoft Defender per endpoint e quindi selezionare Blocca app non autorizzate.

    Screenshot showing how to enable blocking with Defender for Endpoint

  2. In Microsoft 365 Defender passare a Impostazioni>Endpoints>Avanzate funzionalità e quindi selezionare Indicatori di rete personalizzati. Per informazioni sugli indicatori di rete, vedere Creare indicatori per indirizzi IP e URL/domini.

    Ciò consente di sfruttare Antivirus Microsoft Defender funzionalità di protezione di rete per bloccare l'accesso a un set predefinito di URL usando app Defender per il cloud, assegnando manualmente tag di app a app specifiche o usando automaticamente un criterio di individuazione delle app.

    Screenshot showing how to enable custom network indicators in Defender for Endpoint

Informare gli utenti durante l'accesso alle app rischiose

Nota

Prerequisito: acconsentire esplicitamente alla funzionalità di anteprima pubblica in Microsoft Defender per endpoint. Per altre informazioni, vedere Microsoft Defender per endpoint funzionalità di anteprima.

Gli amministratori hanno la possibilità di avvisare gli utenti quando accedono alle app rischiose. Anziché bloccare gli utenti, viene richiesto un messaggio che fornisce un collegamento di reindirizzamento personalizzato a una pagina aziendale che elenca le app approvate per l'uso. Il prompt fornisce opzioni per gli utenti per ignorare l'avviso e continuare con l'app. Gli amministratori possono anche monitorare il numero di utenti che ignorano il messaggio di avviso.

Come funziona

Defender per il cloud App usa il tag app monitorato predefinito per contrassegnare le app cloud come rischiose per l'uso. Il tag è disponibile nelle pagine di Cloud Discovery e Cloud App Catalog. Abilitando l'integrazione con Defender for Endpoint, è possibile avvisare senza problemi gli utenti dell'accesso alle app monitorate con un singolo clic nel portale di app Defender per il cloud.

Le app contrassegnate come monitorate vengono sincronizzate automaticamente con gli indicatori di URL personalizzati di Defender per endpoint, in genere entro pochi minuti. In particolare, i domini usati dalle app monitorate vengono propagati ai dispositivi endpoint per fornire un messaggio di avviso Antivirus Microsoft Defender all'interno del contratto di servizio di protezione di rete.

Configurazione dell'URL di reindirizzamento personalizzato per il messaggio di avviso

Usare la procedura seguente per configurare un URL personalizzato che punta a una pagina Web aziendale in cui è possibile informare i dipendenti sul motivo per cui sono stati avvisati e fornire un elenco di app approvate alternative che rispettano l'accettazione del rischio dell'organizzazione o sono già gestite dall'organizzazione.

  1. In Defender per il cloud App selezionare Impostazioni e in Cloud Discovery selezionare Microsoft Defender per endpoint.

  2. Nella casella URL di notifica immettere l'URL.

    Screenshot showing how to configure notification URL

Configurazione della durata di bypass utente

Poiché gli utenti possono ignorare il messaggio di avviso, è possibile usare la procedura seguente per configurare la durata dell'applicazione del bypass. Una volta trascorsa la durata, gli utenti vengono richiesti con il messaggio di avviso la prossima volta che accedono all'app monitorata.

  1. In Defender per il cloud App selezionare Impostazioni e in Cloud Discovery selezionare Microsoft Defender per endpoint.

  2. Nella casella Ignora durata immettere la durata (ore) del bypass dell'utente.

    Screenshot showing how to configure bypass duration

Monitorare i controlli delle app applicati

Dopo aver applicato i controlli, è possibile monitorare i modelli di utilizzo delle app dai controlli applicati (accesso, blocco, bypass) usando la procedura seguente.

  1. In app Defender per il cloud, in Individuazione>app individuate, usare i filtri per trovare l'app monitorata pertinente.

  2. Selezionare il nome dell'app per visualizzare i controlli app applicati nella pagina di panoramica dell'app.

    Screenshot showing how to monitor applied controls

Passaggi successivi

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.