Självstudier: Identifiera och hantera skugg-IT i nätverket

Gäller för: Microsoft Cloud App Security

Viktigt

Hot skydds produkt namn från Microsoft ändras. Läs mer om det här och andra uppdateringar här. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.

När IT-administratörer tillfrågas hur många molnappar de tror att deras anställda använder säger de i genomsnitt 30 eller 40. I verkligheten är genomsnittet över 1 000 separata appar som används av anställda i din organisation. Shadow IT hjälper dig att känna till och identifiera vilka appar som används och vilken risknivå du har. 80 % av de anställda använder icke-sanktionerade appar som ingen har granskat och kanske inte är kompatibla med dina säkerhets- och efterlevnadsprinciper. Och eftersom dina anställda kan komma åt dina resurser och appar utanför företagets nätverk, räcker det inte längre att ha regler och principer i brandväggarna.

I den här självstudien får du lära dig hur du använder Cloud Discovery för att identifiera vilka appar som används, utforska risken för dessa appar, konfigurera principer för att identifiera nya riskfyllda appar som används och för att ta bort sanktionering av dessa appar för att blockera dem inbyggt med hjälp av proxyn eller brandväggsinstallationen

Så här identifierar och hanterar du Skugg-IT i nätverket

Använd den här processen för att distribuera Shadow IT Cloud Discovery i din organisation.

skugg-IT-livscykel.

Fas 1: Identifiera och identifiera skugg-IT

  1. Identifiera Shadow IT: Identifiera din organisations säkerhetsstatus genom att köra Cloud Discovery i din organisation för att se vad som faktiskt händer i nätverket. Mer information finns i Konfigurera cloud discovery. Detta kan göras med någon av följande metoder:

    • Kom igång snabbt med Cloud Discovery genom att integrera med Microsoft Defender för slutpunkt. Med den här interna integreringen kan du omedelbart börja samla in data om molntrafik över Windows 10 och Windows 11 enheter, på och utanför nätverket.

    • För täckning på alla enheter som är anslutna till nätverket är det viktigt att distribuera Cloud App Security-logginsamlaren på dina brandväggar och andra proxys för att samla in data från slutpunkterna och skicka dem till Cloud App Security för analys.

    • Integrera Cloud App Security med proxyservern. Cloud App Security integreras med vissa proxys från tredje part, inklusive Zscaler.

Eftersom principer skiljer sig åt mellan användargrupper, regioner och affärsgrupper kanske du vill skapa en dedikerad skugg-IT-rapport för var och en av dessa enheter. Mer information finns i Docker Windows lokala.

Nu när Cloud Discovery körs i nätverket kan du titta på de kontinuerliga rapporter som genereras och titta på Cloud Discovery-instrumentpanelen för att få en fullständig bild av vilka appar som används i din organisation. Det är en bra idé att titta på dem efter kategori, eftersom du ofta upptäcker att icke-sanktionerade appar används i legitima arbetsrelaterade syften som inte har åtgärdats av en sanktionerad app.

  1. Identifiera risknivåerna för dina appar: Använd Cloud App Security molnappkatalogen för att fördjupa dig i de risker som är inblandade i varje identifierad app. Cloud App Security innehåller över 16 000 appar som utvärderas med över 80 riskfaktorer. Riskfaktorerna börjar med allmän information om appen (där är appens huvudkontor, vem som är utgivare) och genom säkerhetsåtgärder och kontroller (stöd för kryptering i vila, ger en granskningslogg över användaraktivitet). Mer information finns i Arbeta med riskpoäng,

    • I Cloud App Security underIdentifiera klickar du på Identifierade appar. Filtrera listan över appar som identifieras i din organisation efter de riskfaktorer som du är orolig för. Du kan till exempel använda avancerade filter för att hitta alla appar med en riskpoäng som är lägre än 8.

    • Du kan öka detaljnivå i appen för att få mer information om appens efterlevnad genom att klicka på appnamnet och sedan klicka på fliken Information för att se information om appens säkerhetsriskfaktorer.

Fas 2: Utvärdera och analysera

  1. Utvärdera efterlevnad: Kontrollera om apparna är certifierade som kompatibla med organisationens standarder, till exempel HIPAA, SOC2 och GDPR.

    • I Cloud App Security-portalen under Identifiera klickar duIdentifierade appar. Filtrera listan över appar som identifieras i din organisation efter de efterlevnadsriskfaktorer som du är bekymrad över. Använd till exempel den föreslagna frågan för att filtrera bort icke-kompatibla appar.

    • Du kan öka detaljnivå i appen för att förstå mer om dess efterlevnad genom att klicka på appnamnet och sedan klicka på fliken Information för att se information om appens riskfaktorer för efterlevnad.

    Tips

    Få ett meddelande när en upptäckt app är associerad med en nyligen publicerad säkerhetsöverträdelse med hjälp av den inbyggda aviseringen Upptäckt appsäkerhetsöverträdelse. Undersök alla användare, IP-adresser och enheter som har använt appen under de senaste 90 dagarna och tillämpa relevanta kontroller.

  2. Analysera användning: Nu när du vet om du vill att appen ska användas i din organisation vill du undersöka hur och vem som använder den. Om den bara används på ett begränsat sätt i din organisation kanske det är ok, men om användningen växer kanske du vill få ett meddelande om det så att du kan avgöra om du vill blockera appen.

    • I Cloud App Security-portalen under Identifiera klickar du på Identifierade appar och går sedan nedåt genom att klicka på den specifika app som du vill undersöka. På fliken Använd kan du se hur många aktiva användare som använder appen och hur mycket trafik den genererar. Detta kan redan ge dig en ganska bra bild av vad som händer med appen. Om du sedan vill se vem som använder appen kan du öka detaljgranska ytterligare genom att klicka på Totalt antal aktiva användare. Det här viktiga steget kan ge dig relevant information, till exempel om du upptäcker att alla användare av en viss app kommer från marknadsföringsavdelningen, det är möjligt att det finns ett affärs behov för den här appen och om det är riskabelt bör du prata med dem om ett alternativ innan du blockerar det.

    • Fördjupa dig ännu mer när du undersöker användningen av identifierade appar. Visa underdomäner och resurser om du vill veta mer om specifika aktiviteter, dataåtkomst och resursanvändning i dina molntjänster. Mer information finns i Djupdykning i Identifierade appar och Identifiera resurser och anpassade appar.

  3. Identifiera alternativa appar: Använd molnappkatalogen för att identifiera säkrare appar som uppnår liknande affärsfunktioner som de identifierade riskfyllda apparna, men som uppfyller organisationens policy. Du kan göra detta genom att använda avancerade filter för att hitta appar i samma kategori som uppfyller dina olika säkerhetskontroller.

Fas 3: Hantera dina appar

  • Hantera molnappar: Cloud App Security hjälper dig med processen för att hantera appanvändning i din organisation. När du har identifierat de olika mönster och beteenden som används i din organisation kan du skapa nya anpassade apptaggar för att klassificera varje app enligt dess affärsstatus eller motivering. Dessa taggar kan sedan användas för specifika övervakningssyften, till exempel för att identifiera hög trafik som går till appar som är taggade som riskfyllda molnlagringsappar. Apptaggar kan hanteras under Cloud Discovery > apptaggar. Dessa taggar kan sedan användas senare för filtrering i Cloud Discovery och skapa principer med hjälp av dem.

  • Hantera identifierade appar med hjälp av Azure Active Directory-galleriet (Azure AD): Cloud App Security använder också sin inbyggda integrering med Azure AD för att du ska kunna hantera dina identifierade appar i Azure AD-galleriet. För appar som redan visas i Azure AD-galleriet kan du använda enkel inloggning och hantera appen med Azure AD. Det gör du genom att välja de tre punkterna i slutet av raden på den rad där relevant app visas och sedan välja Hantera app med Azure AD.

    hantera app i azure ad-galleriet.

  • Kontinuerlig övervakning: Nu när du har undersökt apparna noggrant kanske du vill ange principer som övervakar apparna och ger kontroll där det behövs.

Nu är det dags att skapa principer så att du automatiskt kan få aviseringar när något händer som du är orolig för. Du kanske till exempel vill skapa en appidentifieringsprincip som meddelar dig när det finns en topp i nedladdningar eller trafik från en app som du är orolig för. För att uppnå detta bör du aktivera avvikande beteende i principen för identifierade användare, efterlevnadskontroll för molnlagringsapp och Ny riskabel app. Du bör också ange principen för att meddela dig via e-post eller SMS. Mer information finns i referens för principmallar, mer information om Cloud Discovery och Konfigurera appidentifieringsprinciper.

Titta på aviseringssidan och använd filtret Principtyp för att titta på appidentifieringsaviseringar. För appar som matchades av dina appidentifieringsprinciper rekommenderar vi att du gör en avancerad undersökning för att lära dig mer om affärsberättigandet för att använda appen, till exempel genom att kontakta appanvändarna. Upprepa sedan stegen i Fas 2 för att utvärdera risken för appen. Fastställ sedan nästa steg för programmet, oavsett om du godkänner användning av det i framtiden eller om du vill blockera det nästa gång en användare kommer åt det. I så fall ska du tagga det som ej sanktionerat så att det kan blockeras med hjälp av brandväggen, proxyservern eller den säkra webbgatewayen. Mer information finns i Integrera med Microsoft Defender för slutpunkt,Integrera med Zscaler,Integrera med ibossoch Exportera ett blockskript för att styra identifierade appar.

Fas 4: Advanced Shadow IT-identifieringsrapportering

Förutom de rapporteringsalternativ som är tillgängliga i Cloud App Security kan du integrera Cloud Discovery loggar i Azure Sentinel för ytterligare undersökning och analys. När data finns i Azure Sentinel kan du visa dem i instrumentpaneler, köra frågor med kusto-frågespråket, exportera frågor till Microsoft Power BI, integrera med andra källor och skapa anpassade aviseringar. Mer information finns i Azure Sentinel integration.

Fas 5: Kontrollera sanktionerade appar

  1. Om du vill aktivera appkontroll via API:er ansluter du appar via API för kontinuerlig övervakning.

  2. Skydda appar med hjälp Appkontroll för villkorsstyrd åtkomst.

Molnapparna innebär att de uppdateras dagligen och att nya appar visas hela tiden. Därför använder anställda kontinuerligt nya appar och det är viktigt att fortsätta spåra och granska och uppdatera dina principer, kontrollera vilka appar som användarna använder samt deras användnings- och beteendemönster. Du kan alltid gå till Cloud Discovery-instrumentpanelen och se vilka nya appar som används och följa anvisningarna i den här artikeln igen för att se till att din organisation och dina data är skyddade.

Nästa steg

Om du får problem finns vi här för att hjälpa dig. Om du vill få hjälp eller support för ditt produktproblem öppnar du en supportbiljett.

Läs mer