Ознакомьтесь с требованиями к архитектуре и основными понятиями для Microsoft Defender for Cloud Apps
Область применения:
- Microsoft Defender XDR
Эта статья является шагом 1 из 3 в процессе настройки среды оценки для Microsoft Defender for Cloud Apps вместе с Microsoft Defender XDR. Дополнительные сведения об этом процессе см. в обзорной статье.
Перед включением Microsoft Defender for Cloud Apps убедитесь, что вы понимаете архитектуру и можете соответствовать требованиям.
Знакомство с архитектурой
Microsoft Defender for Cloud Apps — это брокер безопасности доступа к облаку (CASB). CASB действуют привратника, чтобы в режиме реального времени брокер доступа между корпоративными пользователями и облачными ресурсами, которые они используют, где бы они ни находились и независимо от используемого устройства. Microsoft Defender for Cloud Apps изначально интегрируется с возможностями безопасности Майкрософт, включая Microsoft Defender XDR.
Без Defender for Cloud Apps пользователи получают доступ к облачным приложениям напрямую без какого-либо управления или защиты безопасности.
Обнаружение облачных приложений
Первый шаг к управлению использованием облачных приложений — определить, какие облачные приложения используются вашей организацией. На следующей схеме показано, как облачное обнаружение работает с Defender for Cloud Apps.
На этом рисунке можно использовать два метода для мониторинга сетевого трафика и обнаружения облачных приложений, используемых вашей организацией.
- Cloud App Discovery интегрируется с Microsoft Defender для конечной точки в собственном коде. Defender для конечной точки сообщает об облачных приложениях и службах, доступ к которым осуществляется с управляемых ИТ-Windows 10 и Windows 11 устройств.
- Для покрытия на всех устройствах, подключенных к сети, сборщик журналов Defender for Cloud Apps устанавливается в брандмауэрах и других прокси-серверах для сбора данных из конечных точек. Эти данные отправляются в Defender for Cloud Apps для анализа.
Управление облачными приложениями
После того как вы обнаружите облачные приложения и проанализируете, как эти приложения используются в вашей организации, вы можете приступить к управлению выбранными облачными приложениями.
На этой иллюстрации:
- Некоторые приложения разрешены для использования. Эта санкция — это простой способ начать управление приложениями.
- Вы можете обеспечить большую видимость и контроль, подключив приложения с помощью соединителей приложений. Соединители приложений используют API поставщиков приложений.
Применение элементов управления сеансами к облачным приложениям
Microsoft Defender for Cloud Apps выступает в качестве обратного прокси-сервера, предоставляя прокси-доступ к санкционированным облачным приложениям. Эта подготовка позволяет Defender для облачных приложений применять настроенные элементы управления сеансами.
На этой иллюстрации:
- Доступ к санкционированным облачным приложениям от пользователей и устройств в вашей организации направляется через Defender для облачных приложений.
- Этот прокси-доступ позволяет применять элементы управления сеансами.
- Облачные приложения, которые вы не санкционировали или явно несанкционированно, не затрагиваются.
Элементы управления сеансами позволяют применять параметры к использованию облачных приложений в организации. Например, если ваша организация использует Salesforce, можно настроить политику сеанса, которая разрешает доступ к данным вашей организации только управляемым устройствам в Salesforce. Более простым примером может быть настройка политики для мониторинга трафика с неуправляемых устройств, чтобы можно было проанализировать риск этого трафика перед применением более строгих политик.
Интеграция с Microsoft Entra ID с управлением условным доступом к приложениям
Возможно, у вас уже есть приложения SaaS, добавленные в клиент Microsoft Entra для применения многофакторной проверки подлинности и других политик условного доступа. Microsoft Defender for Cloud Apps изначально интегрируется с Microsoft Entra ID. Достаточно настроить политику в Microsoft Entra ID для использования управления условным доступом к приложениям в Defender for Cloud Apps. Это маршрутизирует сетевой трафик для этих управляемых приложений SaaS через Defender for Cloud Apps в качестве прокси-сервера, что позволяет Defender для облачных приложений отслеживать этот трафик и применять элементы управления сеансами.
На этой иллюстрации:
- Приложения SaaS интегрированы с клиентом Microsoft Entra. Эта интеграция позволяет Microsoft Entra ID применять политики условного доступа, включая многофакторную проверку подлинности.
- В Microsoft Entra ID добавляется политика для перенаправления трафика для приложений SaaS в Defender for Cloud Apps. Политика указывает, к каким приложениям SaaS следует применить эту политику. Таким образом, после того как Microsoft Entra ID принудительно применяет политики условного доступа, применяемые к этим приложениям SaaS, Microsoft Entra ID затем направляет трафик сеанса (прокси) через Defender for Cloud Apps.
- Defender for Cloud Apps отслеживает этот трафик и применяет все политики управления сеансами, настроенные администраторами.
Возможно, вы обнаружили и санкционировали облачные приложения с помощью Defender for Cloud Apps, которые не были добавлены в Microsoft Entra ID. Вы можете воспользоваться преимуществами управления условным доступом к приложениям, добавив эти облачные приложения в клиент Microsoft Entra и область правил условного доступа.
Защита организации от хакеров
Defender for Cloud Apps обеспечивает мощную защиту самостоятельно. Однако в сочетании с другими возможностями Microsoft Defender XDR Defender for Cloud Apps предоставляет данные в общие сигналы, которые (вместе) помогают остановить атаки.
Стоит повторить эту иллюстрацию из обзора этого Microsoft Defender XDR руководства по оценке и пилотной разработке.
Microsoft Defender for Cloud Apps замечает аномальное поведение, такое как невозможное перемещение, доступ к учетным данным и необычные действия скачивания, общей папки или пересылки почты, и сообщает об этом команде безопасности. Defender for Cloud Apps помогает предотвратить боковое перемещение хакерами и кражу конфиденциальных данных. Microsoft 356 Defender для облака сопоставляет сигналы от всех компонентов, чтобы предоставить полную историю атаки.
Основные понятия
В следующей таблице определены ключевые понятия, которые важно понимать при оценке, настройке и развертывании Microsoft Defender for Cloud Apps.
| Понятие | Описание | Дополнительная информация |
|---|---|---|
| Панель мониторинга Defender для облачных приложений | Содержит обзор наиболее важных сведений о вашей организации и ссылки на более глубокое исследование. | Работа с панелью мониторинга |
| Элемент управления условным доступом приложений | Архитектура обратного прокси-сервера, которая интегрируется с поставщиком удостоверений (IdP) для предоставления Microsoft Entra политик условного доступа и выборочного применения элементов управления сеансами. | Защита приложений с помощью управления условным доступом к приложениям Microsoft Defender for Cloud Apps |
| Каталог облачных приложений | Каталог облачных приложений позволяет получить полную картину с каталогом Майкрософт из более чем 16 000 облачных приложений, ранжированных и оцененных на основе более чем 80 факторов риска. | Работа с оценками риска приложений |
| Панель мониторинга Cloud Discovery | Cloud Discovery анализирует журналы трафика и позволяет получить дополнительные сведения о том, как облачные приложения используются в организации, а также предоставлять оповещения и уровни риска. | Работа с обнаруженными приложениями |
| Подключенные приложения | Defender for Cloud Apps обеспечивает сквозную защиту подключенных приложений с помощью интеграции из облака в облако, соединителей API, а также элементов управления доступом и сеансами в режиме реального времени с помощью элементов управления условным доступом к приложениям. | Защита подключенных приложений |
Проверка требований к архитектуре
Обнаружение облачных приложений
Чтобы обнаружить облачные приложения, используемые в вашей среде, можно реализовать один или оба следующих метода:
- Быстро приступить к работе с Cloud Discovery путем интеграции с Microsoft Defender для конечной точки. Эта встроенная интеграция позволяет сразу же начать сбор данных об облачном трафике на Windows 11 и Windows 10 устройствах, в сети и вне сети.
- Чтобы обнаружить все облачные приложения, к которым обращаются все устройства, подключенные к сети, разверните сборщик журналов Defender for Cloud Apps в брандмауэрах и других прокси-серверах. Это развертывание помогает собирать данные из конечных точек и отправлять их в Defender for Cloud Apps для анализа. Defender для облачных приложений изначально интегрируется с некоторыми сторонними прокси-серверами, чтобы получить еще больше возможностей.
Эти параметры включены в шаг 2. Включите среду оценки.
Применение политик условного доступа Microsoft Entra к облачным приложениям
Управление условным доступом к приложениям (возможность применения политик условного доступа к облачным приложениям) требует интеграции с Microsoft Entra ID. Эта интеграция не является обязательным требованием для начала работы с Defender for Cloud Apps. Это шаг, который мы рекомендуем вам опробовать на этапе пилотного проекта — шаг 3. Пилотная Microsoft Defender for Cloud Apps.
Интеграция SIEM
Вы можете интегрировать Microsoft Defender for Cloud Apps с универсальным сервером SIEM или Microsoft Sentinel, чтобы обеспечить централизованный мониторинг оповещений и действий из подключенных приложений.
Кроме того, Microsoft Sentinel включает соединитель Microsoft Defender for Cloud Apps для более глубокой интеграции с Microsoft Sentinel. Это позволяет не только получить представление о своих облачных приложениях, но и получить сложную аналитику для выявления киберугроз и борьбы с ними, а также для контроля перемещения данных.
- Интеграция общего решения SIEM
- Stream оповещений и журналов Cloud Discovery из Defender for Cloud Apps в Microsoft Sentinel
Дальнейшие действия
Шаг 2 из 3. Включение среды оценки для Microsoft Defender for Cloud Apps.
Вернитесь к обзору оценки Microsoft Defender for Cloud Apps.
Вернитесь к обзору оценки и пилотного Microsoft Defender XDR.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по