Defender voor Cloud Apps-best practices

Notitie

We hebben de naam van Microsoft Cloud App Security. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken werken we de schermopnamen en instructies hier en op gerelateerde pagina's bij. Zie deze aankondiging voor meer informatie over de wijziging. Zie de Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

Dit artikel bevat best practices voor het beveiligen van uw organisatie met behulp van Microsoft Defender for Cloud Apps. Deze best practices zijn afkomstig uit onze ervaring Defender voor Cloud Apps en de ervaringen van klanten zoals u.

De best practices die in dit artikel worden besproken, zijn onder andere:

Cloud-apps detecteren en evalueren

De integratie Defender voor Cloud Apps met Microsoft Defender voor Eindpunt biedt u de mogelijkheid om Cloud Discovery buiten uw bedrijfsnetwerk of beveiligde webgateways te gebruiken. Met de gecombineerde gebruikers- en apparaatgegevens kunt u riskante gebruikers of apparaten identificeren, zien welke apps ze gebruiken en verder onderzoeken in de Defender for Endpoint-portal.

Best practice: Inschakelen Shadow IT Discovery Defender for Endpoint
Detail: Cloud Discovery analyseert verkeerslogboeken die zijn verzameld door Defender for Endpoint en evalueert geïdentificeerde apps op basis van de catalogus met cloud-apps om nalevings- en beveiligingsinformatie te bieden. Door het configureren Cloud Discovery krijgt u inzicht in cloudgebruik, schaduw-IT en continue bewaking van de niet-geanctioneerde apps die door uw gebruikers worden gebruikt.
Voor meer informatie:


Best practice: Configureer App Discovery-beleid om risicovolle, niet-compatibele en trending apps proactief te identificeren
Details: App Discovery-beleid maakt het gemakkelijker om de belangrijke gevonden toepassingen in uw organisatie bij te houden om u te helpen deze toepassingen efficiënt te beheren. Beleidsregels maken om waarschuwingen te ontvangen bij het detecteren van nieuwe apps die zijn geïdentificeerd als riskant, niet-compatibel, trending of groot volume.
Voor meer informatie:


Best practice: OAuth-apps beheren die zijn geautoriseerd door uw gebruikers
Detail: Veel gebruikers verlenen per ongeluk OAuth-machtigingen aan apps van derden om toegang te krijgen tot hun accountgegevens en geven daarbij per ongeluk ook toegang tot hun gegevens in andere cloud-apps. Normaal gesproken heeft IT geen inzicht in deze apps, waardoor het lastig is om het beveiligingsrisico van een app af te wegen tegen het productiviteitsvoordeel dat de app biedt.

Defender voor Cloud Apps biedt u de mogelijkheid om de app-machtigingen te onderzoeken en bewaken die uw gebruikers hebben verleend. U kunt deze informatie gebruiken om een mogelijk verdachte app te identificeren en, als u bepaalt dat deze riskant is, kunt u de toegang tot de app verbieden.
Voor meer informatie:





Beleid voor cloudbeheer toepassen

Best practice: Apps taggen en blokscripts exporteren
Detail: Nadat u de lijst met gevonden apps in uw organisatie hebt bekeken, kunt u uw omgeving beveiligen tegen ongewenst app-gebruik. U kunt de goedgekeurde tag toepassen op apps die zijn goedgekeurd door uw organisatie en de tag Niet-goedgekeurd op apps die dat niet zijn. U kunt niet-geanctioneerde apps bewaken met behulp van detectiefilters of een script exporteren om niet-geanctioneerde apps te blokkeren met behulp van uw on-premises beveiligingsapparaten. Met behulp van tags en exportscripts kunt u uw apps organiseren en uw omgeving beveiligen door alleen veilige apps toegang te geven.
Voor meer informatie:





De blootstelling van gedeelde gegevens beperken en samenwerkingsbeleid afdwingen

Best practice: Verbinding maken Office 365
Details: Als u Office 365 verbindt met Defender voor Cloud Apps, krijgt u direct inzicht in de activiteiten van uw gebruikers, de bestanden die ze openen en krijgt u beheeracties voor Office 365, SharePoint, OneDrive, Teams, Power BI, Exchange en Dynamics.
Voor meer informatie:


Best practice: Verbinding maken apps gebruiken
Detail: Als u uw apps verbindt met Defender voor Cloud Apps, krijgt u beter inzicht in de activiteiten, detectie van bedreigingen en beheermogelijkheden van uw gebruikers. Als u wilt zien welke app-API's van derden worden ondersteund, gaat u naar Verbinding maken apps

Voor meer informatie:


Best practice: De gegevensblootstelling van uw organisatie controleren
Detail: Gebruik de rapporten voor bestandsblootstelling om inzicht te krijgen in hoe uw gebruikers bestanden delen met cloud-apps. De volgende rapporten zijn beschikbaar en kunnen worden geëxporteerd naar voor verdere analyse in hulpprogramma's zoals Microsoft Power BI:

  • Overzicht van het delen van gegevens: geeft een lijst weer van bestanden op toegangsmachtigingen die zijn opgeslagen in elk van uw cloud-apps

  • Delen van uitgaand verkeer per domein: hier worden de domeinen vermeld waarmee bedrijfsbestanden worden gedeeld door uw werknemers

  • Eigenaren van gedeelde bestanden: geeft een lijst weer van gebruikers die bedrijfsbestanden delen met de buitenwereld
    Voor meer informatie:

  • Gegevensbeheerrapporten genereren


Best practice: Beleid maken om delen met persoonlijke accounts te verwijderen
Details: Als u Office 365 verbindt met Defender voor Cloud Apps, krijgt u direct inzicht in de activiteiten van uw gebruikers, de bestanden die ze openen en krijgt u beheeracties voor Office 365, SharePoint, OneDrive, Teams, Power BI, Exchange en Dynamics.
Voor meer informatie:





Gereguleerde en gevoelige gegevens die in de cloud zijn opgeslagen, detecteren, classificeren, labelen en beveiligen

Best practice: Integreren met Microsoft Information Protection
Detail: Integratie met Microsoft Information Protection biedt u de mogelijkheid om automatisch gevoeligheidslabels toe te passen en eventueel versleutelingsbeveiliging toe te voegen. Zodra de integratie is ingeschakeld, kunt u labels toepassen als een beheeractie, bestanden weergeven op classificatie, bestanden onderzoeken op classificatieniveau en gedetailleerd beleid maken om ervoor te zorgen dat geclassificeerde bestanden correct worden verwerkt. Als u de integratie niet in schakelt, kunt u niet profiteren van de mogelijkheid om bestanden automatisch te scannen, labelen en versleutelen in de cloud.
Voor meer informatie:


Best practice: Beleid voor gegevensblootstelling maken
Detail: Gebruik bestandsbeleid om het delen van gegevens te detecteren en te scannen op vertrouwelijke informatie in uw cloud-apps. Maak het volgende bestandsbeleid om u te waarschuwen wanneer gegevensblootstelling wordt gedetecteerd:

  • Bestanden die extern worden gedeeld met gevoelige gegevens
  • Bestanden die extern worden gedeeld en als vertrouwelijk zijn gelabeld
  • Bestanden die worden gedeeld met niet-geautoriseerde domeinen
  • Gevoelige bestanden in SaaS-apps beveiligen

Voor meer informatie:


Best practice: Rapporten controleren op de pagina Bestanden
Detail: nadat u verschillende SaaS-apps hebt verbonden met behulp van app-connectors, scant Defender voor Cloud Apps bestanden die door deze apps zijn opgeslagen. Bovendien wordt elke keer dat een bestand wordt gewijzigd, opnieuw gescand. U kunt de pagina Bestanden gebruiken om de typen gegevens te begrijpen en te onderzoeken die worden opgeslagen in uw cloud-apps. Om u te helpen onderzoeken, kunt u filteren op domeinen, groepen, gebruikers, aanmaakdatum, extensie, bestandsnaam en -type, bestands-id, gevoeligheidslabel en meer. Door deze filters te gebruiken, hebt u controle over hoe u bestanden wilt onderzoeken om ervoor te zorgen dat geen van uw gegevens risico lopen. Zodra u een beter inzicht hebt in hoe uw gegevens worden gebruikt, kunt u beleidsregels maken om te scannen op gevoelige inhoud in deze bestanden.
Voor meer informatie:





DLP- en nalevingsbeleid afdwingen voor gegevens die zijn opgeslagen in de cloud

Best practice: Vertrouwelijke gegevens beveiligen tegen gedeelde gegevens met externe gebruikers
Detail: maak een bestandsbeleid dat detecteert wanneer een gebruiker een bestand probeert te delen met het vertrouwelijkheidslabel met iemand buiten uw organisatie en configureer de beheeractie om externe gebruikers te verwijderen. Dit beleid zorgt ervoor dat uw vertrouwelijke gegevens uw organisatie niet verlaten en dat externe gebruikers er geen toegang toe kunnen krijgen.
Voor meer informatie:





Het downloaden van gevoelige gegevens naar onbeheerde of riskante apparaten blokkeren en beveiligen

Best practice: Toegang tot apparaten met een hoog risico beheren en beheren
Detail: gebruik App-beheer voor voorwaardelijke toegang om besturingselementen in te stellen voor uw SaaS-apps. U kunt sessiebeleid maken om uw sessies met een hoog risico en lage vertrouwensrelatie te bewaken. Op dezelfde manier kunt u sessiebeleid maken om downloads te blokkeren en te beveiligen door gebruikers die toegang proberen te krijgen tot gevoelige gegevens van onmanagede of riskante apparaten. Als u geen sessiebeleid hoeft te maken om sessies met een hoog risico te bewaken, verliest u de mogelijkheid om downloads in de webclient te blokkeren en te beveiligen, evenals de mogelijkheid om sessies met een laag vertrouwen te bewaken in microsoft- en externe apps.
Voor meer informatie:





Veilige samenwerking met externe gebruikers door realtime sessiebesturingselementen af te dwingen

Best practice: Sessies met externe gebruikers bewaken met behulp van App-beheer voor voorwaardelijke toegang
Detail: Om de samenwerking in uw omgeving te beveiligen, kunt u een sessiebeleid maken om sessies tussen uw interne en externe gebruikers te bewaken. Dit biedt u niet alleen de mogelijkheid om de sessie tussen uw gebruikers te bewaken (en hen te waarschuwen dat hun sessieactiviteiten worden bewaakt), maar u kunt ook specifieke activiteiten beperken. Wanneer u sessiebeleid maakt om activiteiten te bewaken, kunt u de apps en gebruikers kiezen die u wilt bewaken.
Voor meer informatie:





Bedreigingen van de cloud, inbreuk op accounts, kwaadaardige insiders en ransomware detecteren

Best practice: Anomaliebeleid afstemmen, IP-adresbereiken instellen, feedback verzenden voor waarschuwingen
Detail: Beleidsregels voor anomaliedetectie bieden kant-en-weer-aan-de-doos user and entity behavioral analytics (UEBA) en machine learning (ML), zodat u onmiddellijk geavanceerde detectie van bedreigingen in uw cloudomgeving kunt uitvoeren.

Beleidsregels voor anomaliedetectie worden geactiveerd wanneer er ongebruikelijke activiteiten worden uitgevoerd door de gebruikers in uw omgeving. Defender voor Cloud Apps bewaakt voortdurend uw gebruikersactiviteiten en gebruikt UEBA en ML om het normale gedrag van uw gebruikers te leren en te begrijpen. U kunt beleidsinstellingen afstemmen op de vereisten van uw organisatie. U kunt bijvoorbeeld de gevoeligheid van een beleid instellen en het bereik van een beleid aanpassen aan een specifieke groep.

  • Beleid voor anomaliedetectie afstemmen en bereiken: als voorbeeld kunt u de gevoeligheidsschuifregelaar van het beleid instellen op laag om het aantal fout-positieven binnen de onmogelijke reiswaarschuwing te verminderen. Als u gebruikers in uw organisatie hebt die regelmatig zakelijke gebruikers zijn, kunt u ze toevoegen aan een gebruikersgroep en die groep selecteren binnen het bereik van het beleid.

  • IP-adresbereiken instellen: Defender voor Cloud apps bekende IP-adressen kunnen identificeren zodra IP-adresbereiken zijn ingesteld. Als ip-adresbereiken zijn geconfigureerd, kunt u de manier waarop logboeken en waarschuwingen worden weergegeven en onderzocht taggen, categoriseren en aanpassen. Het toevoegen van IP-adresbereiken helpt bij het verminderen van fout-positieve detecties en het verbeteren van de nauwkeurigheid van waarschuwingen. Als u ervoor kiest om uw IP-adressen niet toe te voegen, ziet u mogelijk een groter aantal mogelijke fout-positieven en waarschuwingen om te onderzoeken.

  • Feedback verzenden voor waarschuwingen

    Wanneer u waarschuwingen kunt afwijzen of oplossen, moet u feedback verzenden met de reden waarom u de waarschuwing hebt afgewezen of hoe deze is opgelost. Deze informatie helpt bij het Defender voor Cloud apps om onze waarschuwingen te verbeteren en fout-positieven te verminderen.

Voor meer informatie:


Best practice: Activiteit detecteren vanaf onverwachte locaties of landen
Detail: maak een activiteitenbeleid om u op de hoogte te stellen wanneer gebruikers zich aanmelden vanaf onverwachte locaties of landen/regio's. Deze meldingen kunnen u waarschuwen voor mogelijk aangetaste sessies in uw omgeving, zodat u bedreigingen kunt detecteren en verhelpen voordat ze optreden.
Voor meer informatie:


Best practice: OAuth-app-beleid maken
Detail: maak een OAuth-app-beleid om u te waarschuwen wanneer een OAuth-app aan bepaalde criteria voldoet. U kunt er bijvoorbeeld voor kiezen om een melding te ontvangen wanneer meer dan 100 gebruikers toegang hebben gekregen tot een specifieke app die een hoog machtigingsniveau vereist.
Voor meer informatie:





De audittrail van activiteiten voor forensische onderzoeken gebruiken

Best practice: Gebruik het audittrail van activiteiten bij het onderzoeken van waarschuwingen
Detail: Waarschuwingen worden geactiveerd wanneer gebruikers-, beheerders- of aanmeldingsactiviteiten niet voldoen aan uw beleid. Het is belangrijk om waarschuwingen te onderzoeken om te begrijpen of er een mogelijke bedreiging in uw omgeving is.

U kunt een waarschuwing onderzoeken door deze te selecteren op de pagina Waarschuwingen en het audittrail van activiteiten met betrekking tot die waarschuwing te bekijken. De audittrail geeft u inzicht in activiteiten van hetzelfde type, dezelfde gebruiker, hetzelfde IP-adres en dezelfde locatie, om u het algemene verhaal van een waarschuwing te bieden. Als een waarschuwing verder onderzoek rechtvaardigt, maakt u een plan om deze waarschuwingen in uw organisatie op te lossen.

Bij het afwijzen van waarschuwingen is het belangrijk om te onderzoeken en te begrijpen waarom ze niet belangrijk zijn of dat ze fout-positieven zijn. Als er een groot aantal van dergelijke activiteiten is, kunt u ook overwegen het beleid te controleren en af te stemmen dat de waarschuwing activeert.
Voor meer informatie:





Beveiligde IaaS-services en aangepaste apps

Best practice: Verbinding maken Azure, AWS en GCP
Detail: Door elk van deze cloudplatforms te verbinden met Defender voor Cloud Apps kunt u de mogelijkheden voor detectie van bedreigingen verbeteren. Door beheer- en aanmeldingsactiviteiten voor deze services te bewaken, kunt u mogelijke brute force-aanvallen, schadelijk gebruik van een gebruikersaccount met bevoegdheden en andere bedreigingen in uw omgeving detecteren en hiervan op de hoogte worden gebracht. U kunt bijvoorbeeld risico's identificeren, zoals ongebruikelijke verwijderingen van VM's of zelfs imitatieactiviteiten in deze apps.
Voor meer informatie:


Best practice: Beoordelingen van beveiligingsconfiguraties controleren voor Azure, AWS en GCP
Detail: Integratie met Microsoft Defender voor Cloud biedt u een beveiligingsconfiguratie-evaluatie van uw Azure-omgeving. De evaluatie bevat aanbevelingen voor ontbrekende configuratie- en beveiligingsbeheer. Door deze aanbevelingen te bekijken, kunt u afwijkingen en potentiële beveiligingsproblemen in uw omgeving identificeren en rechtstreeks naar de relevante locatie in de Azure-beveiligingsportal navigeren om deze op te lossen.

AWS en GCP bieden u de mogelijkheid om inzicht te krijgen in uw aanbevelingen voor beveiligingsconfiguraties voor het verbeteren van uw cloudbeveiliging.

Gebruik deze aanbevelingen om de nalevingsstatus en beveiligingsstatus van uw hele organisatie te bewaken, waaronder Azure-abonnementen, AWS-accounts en GCP-projecten.
Voor meer informatie:


Best practice: Onboarding van aangepaste apps
Details: Als u meer inzicht wilt krijgen in activiteiten van uw Line-Of-Business-apps, kunt u aangepaste apps onboarden om Defender voor Cloud Apps. Zodra aangepaste apps zijn geconfigureerd, ziet u informatie over wie ze gebruikt, de IP-adressen waar ze vandaan worden gebruikt en hoeveel verkeer van en naar de app komt.

Daarnaast kunt u een aangepaste app onboarden als een App-beheer voor voorwaardelijke toegang app om hun sessies met weinig vertrouwen te bewaken.
Voor meer informatie: