Best practices voor Defender for Cloud Apps
Notitie
De naam van de Microsoft Cloud App Security. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken werken we de schermopnamen en instructies hier en op gerelateerde pagina's bij. Zie deze aankondiging voor meer informatie over de wijziging. Zie de Microsoft Ignite-beveiligingsblog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.
Dit artikel bevat best practices voor het beveiligen van uw organisatie met behulp van Microsoft Defender for Cloud Apps. Deze best practices zijn afkomstig uit onze ervaring met Defender for Cloud Apps en de ervaringen van klanten zoals u.
De best practices die in dit artikel worden besproken, zijn onder andere:
- Cloud-apps detecteren en evalueren
- Beleid voor cloudbeheer toepassen
- De blootstelling van gedeelde gegevens beperken en samenwerkingsbeleid afdwingen
- Gereguleerde en gevoelige gegevens die in de cloud zijn opgeslagen, detecteren, classificeren, labelen en beveiligen
- DLP- en nalevingsbeleid afdwingen voor gegevens die zijn opgeslagen in de cloud
- Het downloaden van gevoelige gegevens naar onbeheerde of riskante apparaten blokkeren en beveiligen
- Veilige samenwerking met externe gebruikers door realtime sessiebesturingselementen af te dwingen
- Bedreigingen van de cloud, inbreuk op accounts, kwaadaardige insiders en ransomware detecteren
- De audittrail van activiteiten voor forensische onderzoeken gebruiken
- Beveiligde IaaS-services en aangepaste apps
Cloud-apps detecteren en evalueren
De integratie van Defender for Cloud Apps met Microsoft Defender for Endpoint biedt u de mogelijkheid om Cloud Discovery buiten uw bedrijfsnetwerk of beveiligde webgateways te gebruiken. Met de gecombineerde gebruikers- en apparaatgegevens kunt u riskante gebruikers of apparaten identificeren, zien welke apps ze gebruiken en verder onderzoeken in de Defender for Endpoint-portal.
Best practice:Het gebruik Shadow IT Discovery Defender voor eindpunt inschakelen
Detail:Cloud Discovery analyseert verkeerslogboeken die zijn verzameld door Defender for Endpoint en evalueert geïdentificeerde apps op basis van de catalogus met cloud-apps om nalevings- en beveiligingsinformatie te bieden. Door het configureren Cloud Discovery krijgt u inzicht in cloudgebruik, Shadow IT en continue bewaking van de niet-geanctioneerde apps die door uw gebruikers worden gebruikt.
Voor meer informatie:
- Microsoft Defender voor eindpuntintegratie met Defender for Cloud Apps
- Cloud Discovery instellen
- Schaduw-IT in uw netwerk detecteren en beheren
Best practice:Configureer App Discovery-beleid om proactief riskante, niet-compatibele en trending apps te identificeren
Details:app-detectiebeleid maakt het gemakkelijker om de belangrijke gevonden toepassingen in uw organisatie bij te houden om u te helpen deze toepassingen efficiënt te beheren. Beleidsregels maken om waarschuwingen te ontvangen bij het detecteren van nieuwe apps die zijn geïdentificeerd als riskant, niet-compatibel, trending of groot volume.
Voor meer informatie:
- Cloud Discovery-beleid
- Beleid voor anomaliedetectie voor Cloud Discovery
- Directe gedragsanalyses en anomaliedetectie
Best practice:OAuth-apps beheren die zijn geautoriseerd door uw gebruikers
Detail:veel gebruikers verlenen per ongeluk OAuth-machtigingen aan apps van derden om toegang te krijgen tot hun accountgegevens en geven daarbij per ongeluk ook toegang tot hun gegevens in andere cloud-apps. Normaal gesproken heeft IT geen inzicht in deze apps, waardoor het lastig is om het beveiligingsrisico van een app af te wegen tegen het productiviteitsvoordeel dat de app biedt.
Defender for Cloud Apps biedt u de mogelijkheid om de app-machtigingen te onderzoeken en te controleren die uw gebruikers hebben verleend. U kunt deze informatie gebruiken om een mogelijk verdachte app te identificeren en, als u bepaalt dat deze riskant is, kunt u de toegang tot de app verbieden.
Voor meer informatie:
Beleid voor cloudbeheer toepassen
Best practice:Apps taggen en blokkeerscripts exporteren
Detail:nadat u de lijst met gevonden apps in uw organisatie hebt bekeken, kunt u uw omgeving beveiligen tegen ongewenst app-gebruik. U kunt de goedgekeurde tag toepassen op apps die zijn goedgekeurd door uw organisatie en de tag Niet-goedgekeurd op apps die dat niet zijn. U kunt niet-geanctioneerde apps bewaken met behulp van detectiefilters of een script exporteren om niet-geanctioneerde apps te blokkeren met behulp van uw on-premises beveiligingsapparaten. Door tags te gebruiken en scripts te exporteren, kunt u uw apps organiseren en uw omgeving beveiligen door alleen veilige apps toegang te geven.
Voor meer informatie:
De blootstelling van gedeelde gegevens beperken en samenwerkingsbeleid afdwingen
Best practice:Verbinding maken Office 365
Detail:als u Office 365 verbindt met Defender for Cloud Apps, hebt u direct inzicht in de activiteiten van uw gebruikers, bestanden die ze openen en krijgt u beheeracties voor Office 365, SharePoint, OneDrive, Teams, Power BI, Exchange en Dynamics.
Voor meer informatie:
Best practice:Verbinding maken apps van derden gebruiken
Detail:Als u apps van derden verbindt met Defender for Cloud Apps, krijgt u beter inzicht in de activiteiten, detectie van bedreigingen en beheermogelijkheden van uw gebruikers. De volgende app-API's van derden worden ondersteund: Amazon Web Services (AWS),Box, Dropbox, Google Workspace,Okta,Salesforce,ServiceNow,WebExen Workday.
Voor meer informatie:
Best practice:De gegevensblootstelling van uw organisatie controleren
Detail:gebruik de rapporten voor bestandsblootstelling om inzicht te krijgen in hoe uw gebruikers bestanden delen met cloud-apps. De volgende rapporten zijn beschikbaar en kunnen worden geëxporteerd naar voor verdere analyse in hulpprogramma's zoals Microsoft Power BI:
Overzicht van het delen vangegevens: geeft een lijst weer van bestanden op toegangsmachtigingen die zijn opgeslagen in al uw cloud-apps
Delen van uitgaand verkeer per domein:geeft een lijst weer van de domeinen waarmee bedrijfsbestanden worden gedeeld door uw werknemers
Eigenaren van gedeelde bestanden:geeft een lijst weer van gebruikers die bedrijfsbestanden delen met de buitenwereld
Voor meer informatie:
Best practice:beleid maken om delen met persoonlijke accounts te verwijderen
Detail:als u Office 365 verbindt met Defender for Cloud Apps, hebt u direct inzicht in de activiteiten van uw gebruikers, bestanden die ze openen en krijgt u beheeracties voor Office 365, SharePoint, OneDrive, Teams, Power BI, Exchange en Dynamics.
Voor meer informatie:
Gereguleerde en gevoelige gegevens die in de cloud zijn opgeslagen, detecteren, classificeren, labelen en beveiligen
Best practice:Integreren met Azure Information Protection
Detail:Integratie met Azure Information Protection biedt u de mogelijkheid om automatisch classificatielabels toe te passen en eventueel versleutelingsbeveiliging toe te voegen. Zodra de integratie is ingeschakeld, kunt u labels toepassen als een beheeractie, bestanden weergeven op classificatie, bestanden onderzoeken op classificatieniveau en gedetailleerde beleidsregels maken om ervoor te zorgen dat geclassificeerde bestanden correct worden verwerkt. Als u de integratie niet in schakelt, kunt u niet profiteren van de mogelijkheid om bestanden in de cloud automatisch te scannen, labelen en versleutelen.
Voor meer informatie:
- Integratie van Azure Information Protection
- Zelfstudie: Automatisch Azure Information Protection-classificatielabels toepassen
Best practice:Beleid voor gegevensblootstelling maken
Detail:gebruik bestandsbeleid om het delen van gegevens te detecteren en te scannen op vertrouwelijke informatie in uw cloud-apps. Maak het volgende bestandsbeleid om u te waarschuwen wanneer gegevensblootstelling wordt gedetecteerd:
- Bestanden die extern worden gedeeld met gevoelige gegevens
- Extern gedeelde bestanden met het label Vertrouwelijk
- Bestanden die worden gedeeld met niet-geautoriseerde domeinen
- Gevoelige bestanden in SaaS-apps beveiligen
Voor meer informatie:
Best practice:controleer rapporten op de pagina Bestanden
Detail:zodra u verschillende SaaS-apps hebt verbonden met behulp van app-connectors, scant Defender for Cloud Apps bestanden die door deze apps zijn opgeslagen. Bovendien wordt elke keer dat een bestand wordt gewijzigd, opnieuw gescand. U kunt de pagina Bestanden gebruiken om de typen gegevens te begrijpen en te onderzoeken die worden opgeslagen in uw cloud-apps. Om u te helpen onderzoeken, kunt u filteren op domeinen, groepen, gebruikers, aanmaakdatum, extensie, bestandsnaam en -type, bestands-id, classificatielabel en meer. Door deze filters te gebruiken, hebt u controle over hoe u bestanden wilt onderzoeken om ervoor te zorgen dat geen van uw gegevens risico lopen. Zodra u een beter inzicht hebt in hoe uw gegevens worden gebruikt, kunt u beleidsregels maken om te scannen op gevoelige inhoud in deze bestanden.
Voor meer informatie:
DLP- en nalevingsbeleid afdwingen voor gegevens die zijn opgeslagen in de cloud
Best practice:vertrouwelijke gegevens beveiligen tegen gedeelde gegevens met externe gebruikers
Detail:maak een bestandsbeleid dat detecteert wanneer een gebruiker probeert een bestand te delen met het label Vertrouwelijke classificatie met iemand buiten uw organisatie en configureer de beheeractie om externe gebruikers te verwijderen. Dit beleid zorgt ervoor dat uw vertrouwelijke gegevens uw organisatie niet verlaten en dat externe gebruikers er geen toegang toe kunnen krijgen.
Voor meer informatie:
Het downloaden van gevoelige gegevens naar onbeheerde of riskante apparaten blokkeren en beveiligen
Best practice:Toegang tot apparaten met een hoog risico beheren en beheren
Detail:gebruik App-beheer voor voorwaardelijke toegang om besturingselementen in te stellen voor uw SaaS-apps. U kunt sessiebeleid maken om uw sessies met een hoog risico en lage vertrouwensrelatie te bewaken. Op dezelfde manier kunt u sessiebeleid maken om downloads te blokkeren en te beveiligen door gebruikers die toegang proberen te krijgen tot gevoelige gegevens van onmanagede of riskante apparaten. Als u geen sessiebeleid hoeft te maken om sessies met een hoog risico te bewaken, verliest u de mogelijkheid om downloads in de webclient te blokkeren en te beveiligen, evenals de mogelijkheid om sessies met een laag vertrouwen te bewaken in microsoft- en externe apps.
Voor meer informatie:
- Apps beveiligen met Microsoft Defender for Cloud Apps App-beheer voor voorwaardelijke toegang
- Sessiebeleid
Veilige samenwerking met externe gebruikers door realtime sessiebesturingselementen af te dwingen
Best practice:Sessies met externe gebruikers bewaken met behulp van App-beheer voor voorwaardelijke toegang
Detail:om de samenwerking in uw omgeving te beveiligen, kunt u een sessiebeleid maken om sessies tussen uw interne en externe gebruikers te bewaken. Dit biedt u niet alleen de mogelijkheid om de sessie tussen uw gebruikers te bewaken (en hen te waarschuwen dat hun sessieactiviteiten worden bewaakt), maar u kunt ook specifieke activiteiten beperken. Wanneer u sessiebeleid maakt om activiteiten te bewaken, kunt u de apps en gebruikers kiezen die u wilt bewaken.
Voor meer informatie:
- Apps beveiligen met Microsoft Defender for Cloud Apps App-beheer voor voorwaardelijke toegang
- Sessiebeleid
Bedreigingen van de cloud, inbreuk op accounts, kwaadaardige insiders en ransomware detecteren
Best practice:Anomaliebeleid afstemmen, IP-adresbereiken instellen, feedback verzenden voor waarschuwingen
Detail:Beleidsregels voor anomaliedetectie bieden kant-en-weer-aan-de-doos user and entity behavioral analytics (UEBA) en machine learning (ML), zodat u onmiddellijk geavanceerde detectie van bedreigingen in uw cloudomgeving kunt uitvoeren.
Beleidsregels voor anomaliedetectie worden geactiveerd wanneer er ongebruikelijke activiteiten worden uitgevoerd door de gebruikers in uw omgeving. Defender for Cloud Apps bewaakt voortdurend uw gebruikersactiviteiten en gebruikt UEBA en ML om het normale gedrag van uw gebruikers te leren en te begrijpen. U kunt beleidsinstellingen afstemmen op de vereisten van uw organisatie. U kunt bijvoorbeeld de gevoeligheid van een beleid instellen en het bereik van een beleid aanpassen aan een specifieke groep.
Beleid vooranomaliedetectie afstemmen en bereiken: als voorbeeld kunt u de gevoeligheidsschuifregelaar van het beleid instellen op laag om het aantal fout-positieven binnen de waarschuwing voor onmogelijke reizen te verminderen. Als u gebruikers in uw organisatie hebt die regelmatig zakelijke gebruikers zijn, kunt u ze toevoegen aan een gebruikersgroep en die groep selecteren binnen het bereik van het beleid.
IP-adresbereiken instellen:Defender for Cloud Apps kan bekende IP-adressen identificeren zodra IP-adresbereiken zijn ingesteld. Als ip-adresbereiken zijn geconfigureerd, kunt u de manier waarop logboeken en waarschuwingen worden weergegeven en onderzocht taggen, categoriseren en aanpassen. Het toevoegen van IP-adresbereiken helpt bij het verminderen van fout-positieve detecties en het verbeteren van de nauwkeurigheid van waarschuwingen. Als u ervoor kiest om uw IP-adressen niet toe te voegen, ziet u mogelijk een groter aantal mogelijke fout-positieven en waarschuwingen om te onderzoeken.
Feedback verzenden voor waarschuwingen
Wanneer u waarschuwingen kunt afwijzen of oplossen, moet u feedback verzenden met de reden waarom u de waarschuwing hebt afgewezen of hoe deze is opgelost. Deze informatie helpt Defender for Cloud Apps onze waarschuwingen te verbeteren en fout-positieven te verminderen.
Voor meer informatie:
- Directe gedragsanalyses en anomaliedetectie
- Werken met IP-adresbereiken en -tags
- Waarschuwingen bewaken in Defender for Cloud Apps
Best practice:Activiteit detecteren vanaf onverwachte locaties of landen
Detail:maak een activiteitenbeleid om u op de hoogte te stellen wanneer gebruikers zich aanmelden vanaf onverwachte locaties of landen/regio's. Deze meldingen kunnen u waarschuwen voor mogelijk aangetaste sessies in uw omgeving, zodat u bedreigingen kunt detecteren en verhelpen voordat ze optreden.
Voor meer informatie:
Best practice:OAuth-app-beleid maken
Detail:maak een OAuth-app-beleid om u te waarschuwen wanneer een OAuth-app aan bepaalde criteria voldoet. U kunt er bijvoorbeeld voor kiezen om een melding te ontvangen wanneer meer dan 100 gebruikers toegang hebben gekregen tot een specifieke app die een hoog machtigingsniveau vereist.
Voor meer informatie:
De audittrail van activiteiten voor forensische onderzoeken gebruiken
Best practice:Gebruik het audittrail van activiteiten bij het onderzoeken van waarschuwingen
Detail:waarschuwingen worden geactiveerd wanneer gebruikers-, beheerders- of aanmeldingsactiviteiten niet voldoen aan uw beleid. Het is belangrijk om waarschuwingen te onderzoeken om te begrijpen of er een mogelijke bedreiging in uw omgeving is.
U kunt een waarschuwing onderzoeken door deze te selecteren op de pagina Waarschuwingen en het audittrail van activiteiten met betrekking tot die waarschuwing te bekijken. De audittrail geeft u inzicht in activiteiten van hetzelfde type, dezelfde gebruiker, hetzelfde IP-adres en dezelfde locatie, om u het algemene verhaal van een waarschuwing te bieden. Als een waarschuwing verder onderzoek rechtvaardigt, maakt u een plan om deze waarschuwingen in uw organisatie op te lossen.
Bij het afwijzen van waarschuwingen is het belangrijk om te onderzoeken en te begrijpen waarom ze niet belangrijk zijn of dat ze fout-positieven zijn. Als er een groot aantal van dergelijke activiteiten is, kunt u ook overwegen het beleid te controleren en af te stemmen dat de waarschuwing activeert.
Voor meer informatie:
Beveiligde IaaS-services en aangepaste apps
Best practice:Verbinding maken Azure, AWS en GCP
Detail:Door elk van deze cloudplatforms te verbinden met Defender for Cloud Apps kunt u de mogelijkheden voor detectie van bedreigingen verbeteren. Door beheer- en aanmeldingsactiviteiten voor deze services te bewaken, kunt u mogelijke brute force-aanvallen, schadelijk gebruik van een gebruikersaccount met bevoegdheden en andere bedreigingen in uw omgeving detecteren en hiervan op de hoogte worden gebracht. U kunt bijvoorbeeld risico's identificeren, zoals ongebruikelijke verwijderingen van VM's of zelfs imitatieactiviteiten in deze apps.
Voor meer informatie:
- Verbinding maken Azure naar Microsoft Defender voor Cloud Apps
- Verbinding maken AWS naar Microsoft Defender for Cloud Apps
- Verbinding maken GCP naar Microsoft Defender for Cloud Apps (preview)
Best practice:Beoordelingen van beveiligingsconfiguraties controleren voor Azure, AWS en GCP
Details:Integratie met Microsoft Defender for Cloud biedt u een evaluatie van de beveiligingsconfiguratie van uw Azure-omgeving. De evaluatie bevat aanbevelingen voor ontbrekende configuratie- en beveiligingsbeheer. Door deze aanbevelingen te bekijken, kunt u afwijkingen en potentiële beveiligingsproblemen in uw omgeving identificeren en rechtstreeks naar de relevante locatie in de Azure-beveiligingsportal navigeren om deze op te lossen.
AWS en GCP bieden u de mogelijkheid om inzicht te krijgen in uw aanbevelingen voor beveiligingsconfiguraties voor het verbeteren van uw cloudbeveiliging.
Gebruik deze aanbevelingen om de nalevingsstatus en beveiligingsstatus van uw hele organisatie te bewaken, waaronder Azure-abonnementen, AWS-accounts en GCP-projecten.
Voor meer informatie:
- Beveiligingsconfiguratie voor Azure
- Beveiligingsconfiguratie voor AWS
- Beveiligingsconfiguratie voor GCP
Best practice:Onboarding van aangepaste apps
Details:als u meer inzicht wilt krijgen in activiteiten van uw Line-Of-Business-apps, kunt u aangepaste apps onboarden voor Defender for Cloud Apps. Zodra aangepaste apps zijn geconfigureerd, ziet u informatie over wie ze gebruikt, de IP-adressen waar ze vandaan worden gebruikt en hoeveel verkeer van en naar de app gaat.
Daarnaast kunt u een aangepaste app onboarden als een App-beheer voor voorwaardelijke toegang app om hun sessies met weinig vertrouwen te bewaken.
Voor meer informatie: