Samouczek: Odnajdywanie niezatwierdzonych zasobów IT w sieci i zarządzanie nimi

Dotyczy: Microsoft Cloud App Security

Ważne

Nazwy produktów ochrony przed zagrożeniami firmy Microsoft są zmieniane. Więcej informacji na temat tego i innych aktualizacji można znaleźć tutaj. Będziemy aktualizować nazwy w produktach i w dokumentach w najbliższej przyszłości.

Gdy administratorzy IT są pytani o to, ile aplikacji w chmurze sądzą ich pracownicy, średnio mówią 30 lub 40, gdy w rzeczywistości średnia wynosi ponad 1000 oddzielnych aplikacji używanych przez pracowników w organizacji. Pomoc it w tle pomaga w identyfikować, które aplikacje są używane i jaki jest poziom ryzyka. 80% pracowników używa niezamówiowanych aplikacji, które nikt nie przejmie i mogą nie być zgodne z zasadami zabezpieczeń i zgodności. A ponieważ pracownicy mogą uzyskać dostęp do zasobów i aplikacji spoza sieci firmowej, nie wystarczy już mieć reguł i zasad w zaporach.

Z tego samouczka dowiesz się, jak używać usługi Cloud Discovery do odnajdywania aplikacji, które są używane, eksplorować ryzyko związane z tymi aplikacjami, konfigurować zasady w celu identyfikowania nowych ryzykownych aplikacji, które są używane, oraz jak usunąć z użycia te aplikacje, aby zablokować je natywnie przy użyciu serwera proxy lub urządzenia zapory

Jak odnajdywać i zarządzać zasobami IT w tle w sieci

Ten proces pozwala na zastosowanie w organizacji Cloud Discovery it w tle.

cykl życia infrastruktury IT w tle.

Faza 1: odnajdywanie i identyfikowanie niesprawnych it

  1. Odnajdywanie niesprawnych działów IT: Zidentyfikuj poziom zabezpieczeń organizacji, uruchamiając Cloud Discovery w organizacji, aby zobaczyć, co faktycznie dzieje się w sieci. Aby uzyskać więcej informacji, zobacz Konfigurowanie rozwiązania Cloud Discovery. Można to zrobić przy użyciu dowolnej z następujących metod:

    • Szybko uzyskaj szybki dostęp do usługi Cloud Discovery dzięki integracji z usługą Microsoft Defender dla punktu końcowego. Ta natywna integracja umożliwia natychmiastowe rozpoczęcie zbierania danych dotyczących ruchu w chmurze między Windows 10 i Windows 11 urządzeń, w sieci i poza tą siecią.

    • Aby uzyskać pokrycie na wszystkich urządzeniach połączonych z siecią, ważne jest wdrożenie modułu zbierającego dzienników usługi Cloud App Security w zaporach i innych serwerach proxy w celu zbierania danych z punktów końcowych i wysyłania ich do usługi Cloud App Security do analizy.

    • Zintegruj Cloud App Security z serwerem proxy. Cloud App Security natywnie integruje się z niektórymi innymi firmami proxy, w tym Zscaler.

Ponieważ zasady różnią się w grupach użytkowników, regionach i grupach biznesowych, warto utworzyć dedykowany raport shadow IT dla każdej z tych jednostek. Aby uzyskać więcej informacji, zobacz temat Docker on Windows on-premises (Docker on on-premises ) (Docker on Windows on-premises (Lokalne platformy Docker).

Teraz, Cloud Discovery działa w sieci, przyjrzyj się generowanym ciągłym raportom i przyjrzyj się pulpitowi nawigacyjnemu usługi Cloud Discovery, aby uzyskać pełny obraz aplikacji używanych w organizacji. Dobrym pomysłem jest ich przyjrzenie się według kategorii, ponieważ często okazuje się, że aplikacje nieuprawnieniane są używane do zgodnych z prawem celów służbowych, które nie zostały rozwiązane przez aplikację, która została prawnie rozpatrzona.

  1. Identyfikowanie poziomów ryzyka aplikacji: użyj katalogu aplikacji w chmurze usługi Cloud App Security, aby bardziej zagłębić się w ryzyko związane z każdą odnalezioną aplikacją. Cloud App Security zawiera ponad 16 000 aplikacji, które są oceniane przy użyciu ponad 80 czynników ryzyka. Czynniki ryzyka zaczynają się od ogólnych informacji o aplikacji (gdzie znajduje się centrala aplikacji, kto jest wydawcą) oraz od środków bezpieczeństwa i kontroli (obsługa szyfrowania danych w spoczynku zapewnia dziennik inspekcji aktywności użytkowników). Aby uzyskać więcej informacji, zobacz Praca z oceny ryzyka,

    • W portalu Cloud App Security wobszarze Odnajdywanie kliknij pozycję Odnalezione aplikacje. Przefiltruj listę aplikacji odnalezionych w organizacji według czynników ryzyka, które Cię dotyczą. Możesz na przykład użyć filtrów Zaawansowanych, aby znaleźć wszystkie aplikacje z wynikiem ryzyka niższym niż 8.

    • Możesz przejść do szczegółów aplikacji, aby dowiedzieć się więcej o jej zgodności, klikając nazwę aplikacji, a następnie klikając kartę Informacje, aby wyświetlić szczegółowe informacje o czynnikach ryzyka dla bezpieczeństwa aplikacji.

Faza 2: Ocena i analiza

  1. Ocena zgodności: Sprawdź, czy aplikacje są certyfikowane jako zgodne ze standardami organizacji, takimi jak HIPAA, SOC2 i RODO.

    • W portalu Cloud App Security w obszarze Odnajdywanie kliknij pozycję Odnalezione aplikacje. Przefiltruj listę aplikacji odnalezionych w organizacji według czynników ryzyka zgodności, które Cię dotyczą. Na przykład użyj sugerowanego zapytania, aby odfiltrować niezgodne aplikacje.

    • Możesz przejść do szczegółów aplikacji, aby dowiedzieć się więcej o jej zgodności, klikając nazwę aplikacji, a następnie klikając kartę Informacje, aby wyświetlić szczegółowe informacje o czynnikach ryzyka zgodności aplikacji.

    Porada

    Otrzymuj powiadomienia, gdy odnaleziona aplikacja jest skojarzona z niedawno opublikowanym naruszeniem zabezpieczeń przy użyciu wbudowanego alertu Wykryte naruszenie zabezpieczeń aplikacji. Zbadaj wszystkich użytkowników, wszystkie adresy IP i urządzenia, które uzyskiwały dostęp do aplikacji z naruszonymi zabezpieczeniami w ciągu ostatnich 90 dni, i zastosuj odpowiednie mechanizmy kontroli.

  2. Analizuj użycie: teraz, gdy wiesz, czy aplikacja ma być używana w organizacji, chcesz zbadać, jak i kto z niego korzysta. Jeśli jest on używany tylko w ograniczonym zakresie w organizacji, być może jest to w porządku, ale jeśli użycie rośnie, chcesz być o tym powiadamiany, aby zdecydować, czy chcesz zablokować aplikację.

    • W portalu Cloud App Security w obszarze Odnajdywanie kliknij pozycję Odnalezione aplikacje, a następnie przejdź do szczegółów, klikając określoną aplikację, którą chcesz zbadać. Karta Użycie informuje o tym, ilu aktywnych użytkowników korzysta z aplikacji i ile ruchu generuje. Może to już zapewnić całkiem dobry obraz tego, co dzieje się z aplikacją. Następnie, jeśli chcesz zobaczyć, kto konkretnie korzysta z aplikacji, możesz przejść do szczegółów, klikając pozycję Total active users (Łączna liczba aktywnych użytkowników). Ten ważny krok może zapewnić ci istotne informacje, na przykład jeśli odkryjesz, że wszyscy użytkownicy określonej aplikacji są z działu marketingu, istnieje możliwość, że istnieje potrzeba biznesowa dla tej aplikacji, a jeśli jest to ryzykowne, należy porozmawiać z nimi o alternatywnej aplikacji przed jej zablokowaniem.

    • Jeszcze bardziej zagłębij się w badanie użycia odnalezionych aplikacji. Wyświetl poddomeny i zasoby, aby dowiedzieć się więcej o określonych działaniach, dostępie do danych i użyciu zasobów w usługach w chmurze. Aby uzyskać więcej informacji, zobacz Szczegółowe informacje o odnalezionych aplikacjach i Odnajdywanie zasobów i aplikacji niestandardowych.

  3. Identyfikowanie alternatywnych aplikacji: użyj wykazu aplikacji w chmurze, aby zidentyfikować bezpieczniejsze aplikacje, które osiągają podobną funkcjonalność biznesową jak wykryte ryzykowne aplikacje, ale są zgodne z zasadami organizacji. W tym celu można użyć filtrów zaawansowanych, aby znaleźć aplikacje w tej samej kategorii, które spełniają wymagania różnych zabezpieczeń.

Faza 3: Zarządzanie aplikacjami

  • Zarządzanie aplikacjami w chmurze Cloud App Security pomaga w procesie zarządzania użyciem aplikacji w organizacji. Po zidentyfikowaniu różnych wzorców i zachowań używanych w organizacji można utworzyć nowe niestandardowe tagi aplikacji w celu sklasyfikowania każdej aplikacji zgodnie ze stanem biznesowym lub uzasadnieniem. Tych tagów można następnie używać do określonych celów monitorowania, na przykład do identyfikowania wysokiego natężenia ruchu do aplikacji oznaczonych jako ryzykowne aplikacje magazynu w chmurze. Tagami aplikacji można zarządzać w Cloud Discovery > ustawieniach aplikacji. Te tagi mogą być następnie używane później do filtrowania na stronach Cloud Discovery i tworzenia przy ich użyciu zasad.

  • Zarządzanie odnalezionmi aplikacjami przy użyciu galerii usługi Azure Active Directory (Azure AD): usługa Cloud App Security korzysta również z natywnej integracji z usługą Azure AD, aby umożliwić zarządzanie odnalezionych aplikacji w galerii usługi Azure AD. W przypadku aplikacji, które już są wyświetlane w galerii usługi Azure AD, możesz zastosować logowanie pojedyncze i zarządzać aplikacją za pomocą usługi Azure AD. W tym celu w wierszu, w którym jest wyświetlana odpowiednią aplikację, wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Zarządzaj aplikacją za pomocą usługi Azure AD.

    zarządzanie aplikacją w galerii usługi Azure AD.

  • Ciągłe monitorowanie: po dokładnym zbadaniu aplikacji możesz chcieć ustawić zasady, które monitorują aplikacje i zapewniają kontrolę w razie potrzeby.

Teraz należy utworzyć zasady, aby automatycznie powiadamiać o tym, gdy coś się stanie, co Cię niepokoi. Możesz na przykład utworzyć zasady odnajdywania aplikacji, które pozwalają dowiedzieć się, kiedy pojawia się skok liczby pobieranych plików lub ruchu z aplikacji, która Cię dotyczy. Aby to osiągnąć, należy włączyć anomalie zachowanie w odnalezionych zasadach użytkowników, kontroli zgodności aplikacji magazynu w chmurze i nowej ryzykownej aplikacji. Należy również ustawić zasady w celu powiadamiania o tym za pomocą wiadomości e-mail lub SMS. Aby uzyskać więcej informacji, zobacz informacje o szablonie zasad, więcej informacji Cloud Discovery i Konfigurowanie zasad odnajdywania aplikacji.

Spójrz na stronę alertów i użyj filtru Typ zasad, aby przyjrzeć się alertom odnajdywania aplikacji. W przypadku aplikacji, które zostały dopasowane przez zasady odnajdywania aplikacji, zaleca się zaawansowane badanie, aby dowiedzieć się więcej na temat uzasadnienia biznesowego korzystania z aplikacji, na przykład kontaktując się z użytkownikami aplikacji. Następnie powtórz kroki fazy 2, aby ocenić ryzyko związane z aplikacją. Następnie określ kolejne kroki dla aplikacji, niezależnie od tego, czy zatwierdzisz jej użycie w przyszłości, czy chcesz ją zablokować przy następnym dostępie użytkownika. W takim przypadku należy oznaczyć ją jako niezatwierdzony, aby można ją było zablokować przy użyciu zapory, serwera proxy lub bezpiecznej bramy sieci Web. Aby uzyskać więcej informacji, zobacz Integrate with Microsoft Defender for Endpoint(Integracja z usługą Microsoft Defender dla punktu końcowego), Integrate with Zscaler (Integracja z aplikacją Zscaler),Integrate with iboss (Integracja z aplikacją iboss)i Export a block script to govern discovered apps (Eksportowanie skryptu blokowego w celu zarządzania odnalezionych aplikacji).

Faza 4. Zaawansowane raportowanie odnajdywania w tle it

Oprócz opcji raportowania dostępnych w programie Cloud App Security można zintegrować dzienniki Cloud Discovery z usługą Azure Sentinel w celu dalszego badania i analizy. Gdy dane będą już w Azure Sentinel, możesz wyświetlać je na pulpitach nawigacyjnych, uruchamiać zapytania przy użyciu języka zapytań Kusto, eksportować zapytania do usługi Microsoft Power BI, integrować je z innymi źródłami i tworzyć alerty niestandardowe. Aby uzyskać więcej informacji, zobacz Azure Sentinel integracji .

Faza 5: Kontrolowanie aplikacji, które mają być aplikacjami, które mają być aplikacje, które mają być zainstalowane

  1. Aby włączyć kontrolę aplikacji za pośrednictwem interfejsów API, połącz aplikacje za pośrednictwem interfejsu API w celu ciągłego monitorowania.

  2. Chroń aplikacje przy użyciu Kontrola dostępu warunkowego aplikacji.

Charakter aplikacji w chmurze oznacza, że są one aktualizowane codziennie, a nowe aplikacje pojawiają się cały czas. W związku z tym pracownicy nieustannie korzystają z nowych aplikacji i ważne jest, aby śledzić i przeglądać oraz aktualizować zasady, sprawdzać, z których aplikacji korzysta użytkownik, a także wzorców ich użycia i zachowania. Zawsze możesz przejść do pulpitu nawigacyjnego usługi Cloud Discovery i zobaczyć, jakie nowe aplikacje są używane, i ponownie postępować zgodnie z instrukcjami w tym artykule, aby upewnić się, że twoja organizacja i dane są chronione.

Następne kroki

Jeśli znajdziesz jakieś problemy, pomożemy Ci. Aby uzyskać pomoc lub pomoc techniczną dla problemu z produktem, otwórz bilet pomocy technicznej.

Więcej tutaj