Zapoznaj się z wymaganiami dotyczącymi architektury i kluczowymi pojęciami dotyczącymi Microsoft Defender for Cloud Apps
Dotyczy:
- Microsoft Defender XDR
Ten artykuł jest krokiem 1 z 3 podczas konfigurowania środowiska ewaluacji dla Microsoft Defender for Cloud Apps wraz z Microsoft Defender XDR. Aby uzyskać więcej informacji na temat tego procesu, zobacz artykuł omówienie.
Przed włączeniem Microsoft Defender for Cloud Apps upewnij się, że rozumiesz architekturę i spełniasz wymagania.
Omówienie architektury
Microsoft Defender for Cloud Apps jest brokerem zabezpieczeń dostępu do chmury (CASB). Urzędy certyfikacji działają jako strażnik w celu uzyskania dostępu brokera w czasie rzeczywistym między użytkownikami przedsiębiorstwa i zasobami w chmurze, z których korzystają, niezależnie od tego, gdzie znajdują się użytkownicy i niezależnie od używanego urządzenia. Microsoft Defender for Cloud Apps natywnie integruje się z funkcjami zabezpieczeń firmy Microsoft, w tym Microsoft Defender XDR.
Bez usługi Defender for Cloud Apps aplikacje w chmurze używane przez organizację są niezarządzane i niechronione, jak pokazano na ilustracji.
Na ilustracji:
- Korzystanie z aplikacji w chmurze przez organizację jest niemonitorowane i niechronione.
- To użycie wykracza poza ochronę uzyskaną w organizacji zarządzanej.
Odnajdywanie aplikacji w chmurze
Pierwszym krokiem do zarządzania korzystaniem z aplikacji w chmurze jest odkrycie, które aplikacje w chmurze są używane przez organizację. Na następnym diagramie pokazano, jak odnajdywanie w chmurze działa z usługą Defender for Cloud Apps.
Na tej ilustracji przedstawiono dwie metody, których można użyć do monitorowania ruchu sieciego i odnajdywania aplikacji w chmurze używanych przez organizację.
- Odp. Usługa Cloud App Discovery integruje się z Ochrona punktu końcowego w usłudze Microsoft Defender natywnie. Usługa Defender for Endpoint raportuje aplikacje i usługi w chmurze dostępne z zarządzanych przez IT urządzeń Windows 10 i Windows 11.
- B. Aby uzyskać pokrycie na wszystkich urządzeniach połączonych z siecią, moduł zbierający dzienniki usługi Defender for Cloud Apps jest instalowany na zaporach i innych serwerach proxy w celu zbierania danych z punktów końcowych. Te dane są wysyłane do usługi Defender for Cloud Apps w celu analizy.
Zarządzanie aplikacjami w chmurze
Po odnalezieniu aplikacji w chmurze i przeanalizowaniu sposobu, w jaki te aplikacje są używane przez organizację, możesz rozpocząć zarządzanie wybranymi aplikacjami w chmurze.
Na tej ilustracji:
- Niektóre aplikacje są usankcjonowane do użycia. Ta sankcja to prosty sposób na rozpoczęcie zarządzania aplikacjami.
- Możesz włączyć większą widoczność i kontrolę, łącząc aplikacje za pomocą łączników aplikacji. Łączniki aplikacji używają interfejsów API dostawców aplikacji.
Stosowanie kontrolek sesji do aplikacji w chmurze
Microsoft Defender for Cloud Apps pełni rolę zwrotnego serwera proxy, zapewniając dostęp serwera proxy do zaakceptowanych aplikacji w chmurze. Ta aprowizowanie umożliwia usłudze Defender for Cloud Apps stosowanie skonfigurowanych kontrolek sesji.
Na tej ilustracji:
- Dostęp do zaakceptowanych aplikacji w chmurze od użytkowników i urządzeń w organizacji jest kierowany za pośrednictwem usługi Defender for Cloud Apps.
- Ten dostęp do serwera proxy umożliwia stosowanie kontrolek sesji.
- Nie ma to wpływu na aplikacje w chmurze, które nie zostały zaakceptowane lub jawnie niezatwierdzone.
Kontrolki sesji umożliwiają stosowanie parametrów do sposobu, w jaki aplikacje w chmurze są używane przez organizację. Jeśli na przykład twoja organizacja korzysta z usługi Salesforce, można skonfigurować zasady sesji, które zezwalają tylko zarządzanym urządzeniom na dostęp do danych organizacji w usłudze Salesforce. Prostszym przykładem może być skonfigurowanie zasad w celu monitorowania ruchu z urządzeń niezarządzanych, dzięki czemu można analizować ryzyko związane z tym ruchem przed zastosowaniem bardziej rygorystycznych zasad.
Integracja z Tożsamość Microsoft Entra z kontrolą aplikacji dostępu warunkowego
Aplikacje SaaS mogą już zostać dodane do dzierżawy Microsoft Entra w celu wymuszania uwierzytelniania wieloskładnikowego i innych zasad dostępu warunkowego. Microsoft Defender for Cloud Apps natywnie integruje się z Tożsamość Microsoft Entra. Wszystko, co musisz zrobić, to skonfigurować zasady w Tożsamość Microsoft Entra do korzystania z kontroli aplikacji dostępu warunkowego w usłudze Defender for Cloud Apps. Powoduje to kierowanie ruchu sieciowego dla tych zarządzanych aplikacji SaaS za pośrednictwem usługi Defender for Cloud Apps jako serwera proxy, co umożliwia usłudze Defender for Cloud Apps monitorowanie tego ruchu i stosowanie kontrolek sesji.
Na tej ilustracji:
- Aplikacje SaaS są zintegrowane z dzierżawą Microsoft Entra. Ta integracja umożliwia Tożsamość Microsoft Entra wymuszanie zasad dostępu warunkowego, w tym uwierzytelniania wieloskładnikowego.
- Zasady są dodawane do Tożsamość Microsoft Entra w celu kierowania ruchu dla aplikacji SaaS do usługi Defender for Cloud Apps. Zasady określają, do których aplikacji SaaS mają być stosowane te zasady. W związku z tym, po Tożsamość Microsoft Entra wymusza wszelkie zasady dostępu warunkowego, które mają zastosowanie do tych aplikacji SaaS, Tożsamość Microsoft Entra następnie kieruje (serwery proxy) ruch sesji za pośrednictwem usługi Defender for Cloud Apps.
- Usługa Defender for Cloud Apps monitoruje ten ruch i stosuje wszystkie zasady kontroli sesji skonfigurowane przez administratorów.
Być może wykryto i zaakceptowano aplikacje w chmurze przy użyciu usługi Defender for Cloud Apps, które nie zostały dodane do Tożsamość Microsoft Entra. Możesz skorzystać z kontroli dostępu warunkowego aplikacji, dodając te aplikacje w chmurze do dzierżawy Microsoft Entra i zakresu reguł dostępu warunkowego.
Ochrona organizacji przed hakerami
Usługa Defender for Cloud Apps zapewnia samodzielną zaawansowaną ochronę. Jednak w połączeniu z innymi możliwościami Microsoft Defender XDR usługa Defender for Cloud Apps udostępnia dane do udostępnionych sygnałów, które (razem) pomagają zatrzymać ataki.
Warto powtórzyć tę ilustrację z przeglądu do tego przewodnika oceny Microsoft Defender XDR i pilotażu.
Koncentrując się na prawej stronie tej ilustracji, Microsoft Defender for Cloud Apps zauważa nietypowe zachowanie, takie jak niemożliwe podróże, dostęp do poświadczeń i nietypowe działanie pobierania, udostępniania plików lub przekazywania wiadomości e-mail i zgłasza te zachowania zespołowi ds. zabezpieczeń. W związku z tym usługa Defender for Cloud Apps pomaga zapobiegać przenoszeniu w poprzek przez hakerów i eksfiltracji poufnych danych. Usługa Microsoft 356 Defender for Cloud koreluje sygnały ze wszystkich składników, aby zapewnić pełną historię ataku.
Omówienie kluczowych pojęć
W poniższej tabeli zidentyfikowano kluczowe pojęcia, które są ważne do zrozumienia podczas oceny, konfigurowania i wdrażania Microsoft Defender for Cloud Apps.
| Koncepcja | Opis | Więcej informacji |
|---|---|---|
| Pulpit nawigacyjny usługi Defender for Cloud Apps | Przedstawia omówienie najważniejszych informacji o organizacji i linki do dokładniejszego zbadania. | Praca z pulpitem nawigacyjnym |
| Kontrola dostępu warunkowego aplikacji | Architektura zwrotnego serwera proxy integruje się z dostawcą tożsamości (IdP) w celu nadania Microsoft Entra zasad dostępu warunkowego i selektywnego wymuszania kontroli sesji. | Ochrona aplikacji za pomocą Microsoft Defender for Cloud Apps kontroli aplikacji dostępu warunkowego |
| Wykaz aplikacji w chmurze | Wykaz aplikacji w chmurze zapewnia pełny obraz wykazu firmy Microsoft zawierającego ponad 16 000 aplikacji w chmurze, które są klasyfikowane i oceniane na podstawie ponad 80 czynników ryzyka. | Praca z wynikami ryzyka aplikacji |
| Pulpit nawigacyjny usługi Cloud Discovery | Usługa Cloud Discovery analizuje dzienniki ruchu i ma na celu zapewnienie bardziej szczegółowych informacji na temat sposobu, w jaki aplikacje w chmurze są używane w organizacji, a także zapewnianie alertów i poziomów ryzyka. | Praca z odnalezionymi aplikacjami |
| Połączone aplikacje | Usługa Defender for Cloud Apps zapewnia kompleksową ochronę połączonych aplikacji przy użyciu integracji z chmurą do chmury, łączników interfejsu API oraz kontroli dostępu i sesji w czasie rzeczywistym przy użyciu funkcji kontroli dostępu do aplikacji warunkowych. | Ochrona połączonych aplikacji |
Przegląd wymagań dotyczących architektury
Odnajdywanie aplikacji w chmurze
Aby odnaleźć aplikacje w chmurze używane w twoim środowisku, można zaimplementować jedną lub obie z następujących metod:
- Szybkie rozpoczęcie pracy z usługą Cloud Discovery dzięki integracji z Ochrona punktu końcowego w usłudze Microsoft Defender. Ta natywna integracja umożliwia natychmiastowe rozpoczęcie zbierania danych dotyczących ruchu w chmurze na urządzeniach Windows 11 i Windows 10 w sieci i poza niej.
- Aby odnaleźć wszystkie aplikacje w chmurze dostępne dla wszystkich urządzeń połączonych z siecią, wdróż moduł zbierający dzienniki usługi Defender for Cloud Apps w zaporach i innych serwerach proxy. To wdrożenie pomaga zbierać dane z punktów końcowych i wysyła je do usługi Defender for Cloud Apps w celu analizy. Usługa Defender for Cloud Apps natywnie integruje się z niektórymi serwerami proxy innych firm, aby uzyskać jeszcze więcej możliwości.
Te opcje są dostępne w kroku 2. Włącz środowisko ewaluacji.
Stosowanie zasad dostępu warunkowego Microsoft Entra do aplikacji w chmurze
Kontrola dostępu warunkowego aplikacji (możliwość stosowania zasad dostępu warunkowego do aplikacji w chmurze) wymaga integracji z Tożsamość Microsoft Entra. Ta integracja nie wymaga rozpoczęcia pracy z usługą Defender for Cloud Apps. Jest to krok, który zachęcamy do wypróbowania w fazie pilotażowej — krok 3. Microsoft Defender for Cloud Apps pilotażowe.
Integracja zarządzania informacjami i zdarzeniami zabezpieczeń
Możesz zintegrować Microsoft Defender for Cloud Apps z ogólnym serwerem SIEM lub z usługą Microsoft Sentinel, aby umożliwić scentralizowane monitorowanie alertów i działań z połączonych aplikacji.
Ponadto usługa Microsoft Sentinel zawiera łącznik Microsoft Defender for Cloud Apps zapewniający głębszą integrację z usługą Microsoft Sentinel. Takie rozwiązanie umożliwia nie tylko uzyskanie wglądu w aplikacje w chmurze, ale także uzyskanie zaawansowanej analizy w celu identyfikowania i zwalczania cyberzagrożeń oraz kontrolowania sposobu przenoszenia danych.
- Ogólna integracja rozwiązania SIEM
- Stream alertów i dzienników usługi Cloud Discovery z usługi Defender for Cloud Apps do usługi Microsoft Sentinel
Następne kroki
Krok 2 z 3. Włączanie środowiska oceny dla Microsoft Defender for Cloud Apps
Wróć do przeglądu Microsoft Defender for Cloud Apps oceny
Wróć do przeglądu oceny i pilotażowego Microsoft Defender XDR
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla