Zelfstudie: Schaduw-IT in uw netwerk detecteren en beheren

Notitie

We hebben de naam van Microsoft Cloud App Security gewijzigd. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken worden de schermafbeeldingen en instructies hier en op gerelateerde pagina's bijgewerkt. Zie deze aankondiging voor meer informatie over de wijziging. Zie het Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

Wanneer IT-beheerders wordt gevraagd hoeveel cloud-apps ze denken dat hun werknemers gebruiken, zeggen ze gemiddeld 30 of 40, in werkelijkheid is het gemiddelde meer dan 1000 afzonderlijke apps die door werknemers in uw organisatie worden gebruikt. Schaduw-IT helpt u te weten en te identificeren welke apps worden gebruikt en wat uw risiconiveau is. 80% van de werknemers gebruiken niet-voorwaardelijke apps die niemand heeft beoordeeld en die mogelijk niet voldoen aan uw beveiligings- en nalevingsbeleid. En omdat uw werknemers toegang hebben tot uw resources en apps van buiten uw bedrijfsnetwerk, is het niet meer voldoende om regels en beleidsregels op uw firewalls te hebben.

In deze zelfstudie leert u hoe u Cloud Discovery kunt gebruiken om te ontdekken welke apps worden gebruikt, het risico van deze apps te verkennen, beleidsregels te configureren om nieuwe riskante apps te identificeren die worden gebruikt, en om deze apps op te heffen om ze systeemeigen te blokkeren met behulp van uw proxy of firewallapparaat

Shadow IT detecteren en beheren in uw netwerk

Gebruik dit proces om Shadow IT Cloud Discovery in uw organisatie uit te rollen.

shadow IT lifecycle.

Fase 1: Schaduw-IT detecteren en identificeren

  1. Discover Shadow IT: Identificeer de beveiligingspostuur van uw organisatie door Cloud Discovery in uw organisatie uit te voeren om te zien wat er daadwerkelijk gebeurt in uw netwerk. Zie Clouddetectie instellen voor meer informatie. U kunt dit doen met behulp van een van de volgende methoden:

    • Ga snel aan de slag met Cloud Discovery door te integreren met Microsoft Defender voor Eindpunt. Met deze systeemeigen integratie kunt u direct beginnen met het verzamelen van gegevens over cloudverkeer op uw Windows 10 en Windows 11 apparaten, in en uit uw netwerk.

    • Voor dekking op alle apparaten die zijn verbonden met uw netwerk, is het belangrijk dat u de Defender voor Cloud Apps-logboekverzamelaar op uw firewalls en andere proxy's implementeert om gegevens van uw eindpunten te verzamelen en deze te verzenden naar Defender voor Cloud Apps voor analyse.

    • Integreer Defender voor Cloud Apps met uw proxy. Defender voor Cloud Apps integreert systeemeigen met sommige proxy's van derden, waaronder Zscaler.

Omdat beleidsregels verschillen tussen gebruikersgroepen, regio's en bedrijfsgroepen, kunt u een speciaal Schaduw-IT-rapport maken voor elk van deze eenheden. Zie Docker op Windows on-premises voor meer informatie.

Nu Cloud Discovery wordt uitgevoerd in uw netwerk, bekijkt u de doorlopende rapporten die worden gegenereerd en bekijkt u het Cloud Discovery-dashboard om een volledig beeld te krijgen van welke apps worden gebruikt in uw organisatie. Het is een goed idee om ze per categorie te bekijken, omdat u vaak zult merken dat niet-sanceerde apps worden gebruikt voor legitieme werkgerelateerde doeleinden die niet zijn aangepakt door een gesanceerde app.

  1. Identificeer de risiconiveaus van uw apps: gebruik de catalogus Defender voor Cloud Apps om dieper in te gaan op de risico's die betrokken zijn bij elke gedetecteerde app. De Defender voor Cloud App-catalogus bevat meer dan 25.000 apps die worden beoordeeld met meer dan 80 risicofactoren. De risicofactoren beginnen met algemene informatie over de app (waar zijn het hoofdkantoor van de app, wie de uitgever is) en via beveiligingsmaatregelen en besturingselementen (ondersteuning voor versleuteling in rust, biedt een auditlogboek van gebruikersactiviteit). Zie Werken met risicoscore voor meer informatie,

    • Selecteer In de portal Defender voor Cloud Apps onder Ontdekken de optie Gedetecteerde apps. Filter de lijst met apps die in uw organisatie zijn gedetecteerd door de risicofactoren waarover u zich zorgen maakt. U kunt bijvoorbeeld de geavanceerde filters gebruiken om alle apps te vinden met een risicoscore lager dan 8.

    • U kunt inzoomen op de app om meer te weten te komen over de naleving ervan door de naam van de app te selecteren en vervolgens het tabblad Info te selecteren om details te bekijken over de beveiligingsrisicofactoren van de app.

Fase 2: Evalueren en analyseren

  1. Naleving evalueren: Controleer of de apps zijn gecertificeerd als compatibel met de standaarden van uw organisatie, zoals HIPAA, SOC2, AVG.

    • Selecteer Gedetecteerde apps in de portal Defender voor Cloud Apps ontdekken onder Ontdekken. Filter de lijst met apps die in uw organisatie zijn gedetecteerd door de nalevingsrisicofactoren waarover u zich zorgen maakt. Gebruik bijvoorbeeld de voorgestelde query om niet-compatibele apps uit te filteren.

    • U kunt inzoomen op de app om meer te weten te komen over de naleving ervan door de naam van de app te selecteren en vervolgens het tabblad Info te selecteren om details over de nalevingsrisicofactoren van de app te bekijken.

    Tip

    Ontvang een melding wanneer een gedetecteerde app is gekoppeld aan een onlangs gepubliceerde beveiligingsschending met behulp van de ingebouwde waarschuwing voor de gedetecteerde app-beveiligingsschending . Onderzoek alle gebruikers, IP-adressen en apparaten die de afgelopen 90 dagen toegang hebben gehad tot de geschonden app, en pas relevante besturingselementen toe.

  2. Gebruik analyseren: Nu u weet of u de app wilt gebruiken in uw organisatie, wilt u onderzoeken hoe en wie deze gebruikt. Als het alleen op een beperkte manier in uw organisatie wordt gebruikt, is het misschien ok, maar misschien als het gebruik groeit, wilt u hierover een melding ontvangen, zodat u kunt beslissen of u de app wilt blokkeren.

    • Selecteer in de Defender voor Cloud Apps-portal onder Ontdekkengedetecteerde apps en zoom vervolgens in door de specifieke app te selecteren die u wilt onderzoeken. Op het tabblad Gebruik kunt u zien hoeveel actieve gebruikers de app gebruiken en hoeveel verkeer wordt gegenereerd. Dit kan u al een goed beeld geven van wat er met de app gebeurt. Als u vervolgens wilt zien wie de app specifiek gebruikt, kunt u verder inzoomen door Totaal actieve gebruikers te selecteren. Deze belangrijke stap kan u relevante informatie geven, bijvoorbeeld als u ontdekt dat alle gebruikers van een specifieke app afkomstig zijn van de afdeling Marketing, is het mogelijk dat er een zakelijke behoefte is aan deze app en als deze riskant is, moet u met hen praten over een alternatief voordat u deze blokkeert.

    • Duik nog dieper bij het onderzoeken van het gebruik van gedetecteerde apps. Bekijk subdomeinen en resources voor meer informatie over specifieke activiteiten, gegevenstoegang en resourcegebruik in uw cloudservices. Zie Meer informatie over Gedetecteerde apps en Resources en aangepaste apps ontdekken.

  3. Alternatieve apps identificeren: gebruik de cloud-app-catalogus om veiligere apps te identificeren die vergelijkbare bedrijfsfunctionaliteit bereiken als de gedetecteerde riskante apps, maar wel voldoen aan het beleid van uw organisatie. U kunt dit doen met behulp van de geavanceerde filters om apps te vinden in dezelfde categorie die voldoen aan uw verschillende beveiligingsbesturingselementen.

Fase 3: Uw apps beheren

  • Cloud-apps beheren: Defender voor Cloud Apps helpt u bij het proces voor het beheren van app-gebruik in uw organisatie. Nadat u de verschillende patronen en gedragingen hebt ge├»dentificeerd die in uw organisatie worden gebruikt, kunt u nieuwe aangepaste app-tags maken om elke app te classificeren op basis van de bedrijfsstatus of reden. Deze tags kunnen vervolgens worden gebruikt voor specifieke bewakingsdoeleinden, bijvoorbeeld om hoog verkeer te identificeren dat naar apps gaat die zijn gelabeld als riskante cloudopslag-apps. App-tags kunnen worden beheerd onder Cloud DiscoverysettingsApp-tags>. Deze tags kunnen later worden gebruikt voor het filteren op de Cloud Discovery-pagina's en het maken van beleidsregels.

  • Gedetecteerde apps beheren met Azure Active Directory (Azure AD) Galerie: Defender voor Cloud Apps maakt ook gebruik van de systeemeigen integratie met Azure AD zodat u uw gedetecteerde apps kunt beheren in Azure AD Galerie. Voor apps die al worden weergegeven in de Azure AD Galerie, kunt u eenmalige aanmelding toepassen en de app beheren met Azure AD. Als u dit wilt doen, kiest u in de rij waar de relevante app wordt weergegeven de drie puntjes aan het einde van de rij en kiest u vervolgens App beheren met Azure AD.

    manage app in azure ad gallery.

  • Continue bewaking: Nu u de apps grondig hebt onderzocht, kunt u beleidsregels instellen die de apps bewaken en waar nodig controle bieden.

Nu is het tijd om beleid te maken, zodat u automatisch kunt worden gewaarschuwd wanneer er iets gebeurt waarover u zich zorgen maakt. U kunt bijvoorbeeld een app-detectiebeleid maken waarmee u weet wanneer er sprake is van een piek in downloads of verkeer van een app waarover u zich zorgen maakt. Hiervoor moet u afwijkend gedrag inschakelen in het beleid voor gedetecteerde gebruikers, nalevingscontrole voor cloudopslag-apps en nieuwe riskante app. U moet ook het beleid instellen om u per e-mail of sms op de hoogte te stellen. Zie voor meer informatie de naslaginformatie over beleidssjablonen, meer informatie over Cloud Discovery-beleid en App-detectiebeleid configureren.

Bekijk de pagina waarschuwingen en gebruik het filter Beleidstype om waarschuwingen voor app-detectie te bekijken. Voor apps die overeenkomen met uw app-detectiebeleid, is het raadzaam om een geavanceerd onderzoek uit te voeren voor meer informatie over de zakelijke reden voor het gebruik van de app, bijvoorbeeld door contact op te maken met de gebruikers van de app. Herhaal vervolgens de stappen in fase 2 om het risico van de app te evalueren. Bepaal vervolgens de volgende stappen voor de toepassing, ongeacht of u het gebruik ervan in de toekomst goedkeurt of wilt blokkeren wanneer een gebruiker deze de volgende keer opent. In dat geval moet u deze labelen als niet-goedgekeurd, zodat deze kan worden geblokkeerd met behulp van uw firewall, proxy of beveiligde webgateway. Zie Integreren met Microsoft Defender voor Eindpunt, Integreren met Zscaler, Integreren met iboss en Apps blokkeren door een blokscript te exporteren voor meer informatie.

Fase 4: Advanced Shadow IT-detectierapportage

Naast de rapportageopties die beschikbaar zijn in Defender voor Cloud Apps, kunt u Cloud Discovery-logboeken integreren in Microsoft Sentinel voor verder onderzoek en analyse. Zodra de gegevens zich in Microsoft Sentinel bevinden, kunt u deze weergeven in dashboards, query's uitvoeren met behulp van Kusto querytaal, query's exporteren naar Microsoft Power BI, integreren met andere bronnen en aangepaste waarschuwingen maken. Zie Microsoft Sentinel-integratie voor meer informatie.

Fase 5: Sanceerde apps beheren

  1. Als u app-beheer via API's wilt inschakelen, verbindt u apps via API voor continue bewaking.

  2. Apps beveiligen met app-beheer voor voorwaardelijke toegang.

De aard van cloud-apps betekent dat ze dagelijks worden bijgewerkt en dat nieuwe apps altijd worden weergegeven. Daarom gebruiken werknemers voortdurend nieuwe apps en is het belangrijk om uw beleid bij te houden en te controleren en bij te werken, te controleren welke apps uw gebruikers gebruiken, evenals hun gebruiks- en gedragspatronen. U kunt altijd naar het Cloud Discovery-dashboard gaan en zien welke nieuwe apps worden gebruikt en de instructies in dit artikel opnieuw volgen om ervoor te zorgen dat uw organisatie en uw gegevens zijn beveiligd.

Volgende stappen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning wilt krijgen voor uw productprobleem, opent u een ondersteuningsticket.

Lees meer