Självstudier: Identifiera och hantera skugg-IT i nätverketTutorial: Discover and manage shadow IT in your network

Gäller för: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Viktigt

Hot skydds produkt namn från Microsoft ändras.Threat protection product names from Microsoft are changing. Läs mer om det här och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

När IT-administratörer tillfrågas om hur många molnappar som de anställda använder, i genomsnitt de antar 30 eller 40, i verkligheten, är genomsnittet över 1 000 separata appar som används av anställda i din organisation.When IT admins are asked how many cloud apps they think their employees use, on average they say 30 or 40, when in reality, the average is over 1,000 separate apps being used by employees in your organization. Skugga det hjälper dig att identifiera och identifiera vilka appar som används och vad risk nivån är.Shadow IT helps you know and identify which apps are being used and what your risk level is. 80% av de anställda använder icke-sanktionerade appar som ingen har granskat och kanske inte är kompatibla med dina principer för säkerhet och efterlevnad.80% of employees use non-sanctioned apps that no one has reviewed, and may not be compliant with your security and compliance policies. Och eftersom dina anställda kan komma åt dina resurser och appar utanför företagets nätverk är det inte längre tillräckligt med regler och principer i brand väggarna.And because your employees are able to access your resources and apps from outside your corporate network, it's no longer enough to have rules and policies on your firewalls.

Den här självstudien innehåller instruktioner för hur du använder Cloud Discovery för att identifiera vilka appar som används, utforska risken för dessa appar, konfigurera principer för att identifiera nya riskfyllda appar som används och för att ta bort sanktioner för de här apparna för att blockera dem med hjälp av proxy-eller brand Väggs enheten.This tutorial provides instructions for using Cloud Discovery to discover which apps are being used, explore the risk of these apps, configure policies to identify new risky apps that are being used, and to unsanction these apps in order to block them natively using your proxy or firewall appliance.

  • Upptäcka och identifiera skugg-ITDiscover and identify Shadow IT
  • Utvärdera och analyseraEvaluate and analyze
  • Hantera dina apparManage your apps
  • Rapporter om avancerad skugg IT-identifieringAdvanced Shadow IT discovery reporting
  • Kontrol lera sanktionerade apparControl sanctioned apps

Så här identifierar och hanterar du skugg-IT i nätverketHow to discover and manage Shadow IT in your network

Använd den här processen för att distribuera en skugg-IT-Cloud Discovery i din organisation.Use this process to roll out Shadow IT Cloud Discovery in your organization.

skugg IT-livscykel

Fas 1: identifiera och identifiera skugg-ITPhase 1: Discover and identify Shadow IT

  1. Identifiera SKUGG IT: identifiera din organisations säkerhets position genom att köra Cloud Discovery i din organisation för att se vad som faktiskt händer i nätverket.Discover Shadow IT: Identify your organization's security posture by running Cloud Discovery in your organization to see what's actually happening in your network. Mer information finns i Konfigurera Cloud Discovery.For more information, see Set up cloud discovery. Detta kan göras med någon av följande metoder:This can be done using any of the following methods:

    • Kom igång snabbt med Cloud Discovery genom att integrera med Microsoft Defender för slut punkt.Get up and running quickly with Cloud Discovery by integrating with Microsoft Defender for Endpoint. Med den här inbyggda integrationen kan du omedelbart börja samla in data i moln trafik över dina Windows 10-enheter, på och av nätverket.This native integration enables you to immediately start collecting data on cloud traffic across your Windows 10 devices, on and off your network.

    • För täckning på alla enheter som är anslutna till nätverket är det viktigt att distribuera Cloud App Security logg insamlaren på brand väggarna och andra proxyservrar för att samla in data från dina slut punkter och skicka dem till Cloud App Security för analys.For coverage on all devices connected to your network, it's important to deploy the Cloud App Security log collector on your firewalls and other proxies to collect data from your endpoints and send it to Cloud App Security for analysis.

    • Integrera Cloud App Security med proxyservern.Integrate Cloud App Security with your proxy. Cloud App Security integreras internt med vissa tredjeparts-proxyservrar, inklusive Zscaler.Cloud App Security natively integrates with some third-party proxies, including Zscaler.

Eftersom principerna skiljer sig mellan användar grupper, regioner och affärs grupper kanske du vill skapa en dedikerad skugg IT-rapport för var och en av dessa enheter.Because policies are different across user groups, regions and business groups, you might want to create a dedicated Shadow IT report for each of these units. Mer information finns i Docker på Windows lokalt.For more information, see Docker on Windows on-premises.

Nu när Cloud Discovery körs i nätverket tittar du på de kontinuerliga rapporter som genereras och tittar på instrument panelen Cloud Discovery för att få en fullständig bild av vilka appar som används i din organisation.Now that Cloud Discovery is running on your network, look at the continuous reports that are generated and look at the Cloud Discovery dashboard to get a full picture of what apps are being used in your organization. Det är en bra idé att titta på dem efter kategori, eftersom du ofta kommer att se att icke-sanktionerade appar används för legitima arbetsrelaterade skäl som inte har åtgärd ATS av en sanktionerad app.It's a good idea to look at them by category, because you will often find that non-sanctioned apps are being used for legitimate work-related purposes that were not addressed by a sanctioned app.

  1. Identifiera risk nivåerna för dina appar: Använd Cloud App Security Cloud App-katalogen för att komma djupare till risker som rör varje identifierad app.Identify the risk levels of your apps: Use the Cloud App Security cloud app catalog to dive deeper into the risks that are involved with each discovered app. Cloud App Securitys risk katalog innehåller över 16 000 appar som utvärderas med hjälp av över 80 riskfaktorer.Cloud App Security's risk catalog includes over 16,000 apps that are assessed using over 80 risk factors. Risk faktorerna börjar från allmän information om appen (där är appens huvud kontor, som är utgivaren) och genom säkerhets åtgärder och kontroller (stöd för kryptering i vila, ger en Gransknings logg för användar aktivitet).The risk factors start from general information about the app (where are the app's headquarters, who is the publisher), and through security measures and controls (support for encryption at rest, provides an audit log of user activity). Mer information finns i arbeta med risk Poäng,For more information, see Working with risk score,

    • Klicka på identifierade appar under Upptäck i Cloud App Security Portal.In the Cloud App Security portal, under Discover, click Discovered apps. Filtrera listan över appar som har identifierats i din organisation med de riskfaktorer som du är bekymrad om.Filter the list of apps discovered in your organization by the risk factors you are concerned about. Du kan till exempel använda avancerade filter för att hitta alla appar med en risk Poäng som är lägre än 8.For example, you can use the Advanced filters to find all apps with a risk score lower than 8.

    • Du kan öka detalj nivån i appen för att förstå mer om dess kompatibilitet genom att klicka på appens namn och sedan klicka på fliken information för att se information om appens säkerhets risk faktorer.You can drill down into the app to understand more about its compliance by clicking the app name and then clicking the Info tab to see details about the app's security risk factors.

Fas 2: utvärdera och analyseraPhase 2: Evaluate and analyze

  1. Utvärdera efterlevnad: kontrol lera om apparna certifieras som kompatibla med organisationens standarder, till exempel HIPAA, SOC2, GDPR.Evaluate compliance: Check whether the apps are certified as compliant with your organization's standards, such as HIPAA, SOC2, GDPR.

    • Klicka på identifierade appar under Upptäck i Cloud App Security Portal.In the Cloud App Security portal, under Discover, click Discovered apps. Filtrera listan över appar som identifierats i din organisation med de riskfaktorer för regelefterlevnad som du är orolig för.Filter the list of apps discovered in your organization by the compliance risk factors you are concerned about. Använd till exempel den föreslagna frågan för att filtrera bort icke-kompatibla appar.For example, use the suggested query to filter out non-compliant apps.

    • Du kan öka detalj nivån i appen om du vill veta mer om dess kompatibilitet genom att klicka på appens namn och sedan klicka på fliken information för att visa information om appens riskfaktorer för efterlevnad.You can drill down into the app to understand more about its compliance by clicking the app name and then clicking the Info tab to see details about the app's compliance risk factors.

    Tips

    Få ett meddelande när en identifierad app associeras med en nyligen publicerad säkerhets överträdelse med hjälp av den inbyggda aviseringen om identifierad säkerhets överträdelse i appen .Get notified when a discovered app is associated with a recently published security breach using the built-in Discovered app security breach alert. Undersök alla användare, IP-adresser och enheter som har använt appen under de senaste 90 dagarna och tillämpa relevanta kontroller.Investigate all users, IP addresses, and devices accessing the breached app in the last 90 days, and apply relevant controls.

  2. Analysera användning: nu vet du om du vill att appen ska användas i din organisation, om du vill undersöka hur och vem som använder den.Analyze usage: Now that you know whether or not you want the app to be used in your organization, you want to investigate how and who is using it. Om det bara används på ett begränsat sätt i din organisation kanske det är OK, men kanske om användningen är växande som du vill bli informerad om det så att du kan välja om du vill blockera appen.If it's only used in a limited way in your organization maybe it's ok, but maybe if the use is growing you want to be notified about it so you can decide if you want to block the app.

    • Klicka på identifierade appar under Upptäck i Cloud App Security Portal och gå sedan nedåt genom att klicka på den app som du vill undersöka.In the Cloud App Security portal, under Discover, click Discovered apps and then drill down by clicking on the specific app you want to investigate. På fliken Använd kan du se hur många aktiva användare som använder appen och hur mycket trafik den genererar.The Use tab lets you know how many active users are using the app and how much traffic it's generating. Detta kan redan ge dig en ganska bra bild av vad som händer med appen.This can already give you a pretty good picture of what's happening with the app. Om du sedan vill se vem, särskilt, använder appen kan du öka detalj nivån genom att klicka på Totalt antal aktiva användare.Then, if you want to see who, specifically, is using the app, you can drill down further by clicking Total active users. Det här viktiga steget kan ge dig viktig information, till exempel om du upptäcker att alla användare av en speciell app kommer från marknadsförings avdelningen, är det möjligt att det finns ett affärs behov för den här appen, och om det är riskabelt bör du prata med dem om ett alternativ innan du blockerar det.This important step can give you pertinent information, for example, if you discover that all the users of a specific app are from the Marketing department, it's possible that there's a business need for this app, and if it's risky you should talk to them about an alternative before blocking it.

    • Bli ännu djupare när du undersöker användningen av identifierade appar.Dive even deeper when investigating use of discovered apps. Visa under domäner och resurser för att lära dig mer om vissa aktiviteter, data åtkomst och Resursanvändning i dina moln tjänster.View subdomains and resources to learn about specific activities, data access, and resource usage in your cloud services. Mer information finns i djup gå till identifierade appar och identifiera resurser och anpassade appar.For more information, see Deep dive into Discovered apps and Discover resources and custom apps.

  3. Identifiera alternativa appar: Använd Cloud App-katalogen för att identifiera säkrare appar som uppnår liknande affärs funktioner som identifierade riskfyllda appar, men som uppfyller organisationens principer.Identify alternative apps: Use the cloud app catalog to identify safer apps that achieve similar business functionality as the detected risky apps, but do comply with your organization's policy. Du kan göra detta med hjälp av avancerade filter för att hitta appar i samma kategori som uppfyller dina olika säkerhets kontroller.You can do this by using the advanced filters to find apps in the same category that meet with your different security controls.

Fas 3: hantera dina apparPhase 3: Manage your apps

  • Hantera molnappar: Cloud App Security hjälper dig att hantera appar som används i din organisation.Manage cloud apps: Cloud App Security helps you with the process for managing app use in your organization. När du har identifierat olika mönster och beteenden som används i din organisation kan du skapa nya anpassade app-taggar för att klassificera varje app enligt dess affärs status eller motivering.After you identified the different patterns and behaviors used in your organization, you can create new custom app tags in order to classify each app according to its business status or justification. Dessa taggar kan användas för speciella övervaknings syfte, till exempel att identifiera hög trafik som kommer till appar som är taggade som riskfyllda appar för moln lagring.These tags can be then used for specific monitoring purposes, for example, identify high traffic that is going to apps that are tagged as risky cloud storage apps. App-taggar kan hanteras under Cloud Discovery inställningar > app-Taggar.App tags can be managed under Cloud Discovery settings > App tags. Taggarna kan sedan användas senare för att filtrera på Cloud Discovery sidor och skapa principer med hjälp av dem.These tags can then be used later for filtering in the Cloud Discovery pages and creating policies using them.

  • Hantera identifierade appar med hjälp av Azure Active Directory (Azure AD)-galleriet : Cloud App Security använder också sin inbyggda integrering med Azure AD så att du kan hantera dina identifierade appar i Azure AD-galleriet.Manage discovered apps using Azure Active Directory (Azure AD) Gallery: Cloud App Security also leverages its native integration with Azure AD to enable you to manage your discovered apps in Azure AD Gallery. För appar som redan visas i Azure AD-galleriet kan du använda enkel inloggning och hantera appen med Azure AD.For apps that already appear in the Azure AD Gallery, you can apply single sign-on and manage the app with Azure AD. Det gör du genom att välja de tre punkterna i slutet av raden på den rad där den relevanta appen visas och sedan välja Hantera app med Azure AD.To do so, on the row where the relevant app appears, choose the three dots at the end of the row, and then choose Manage app with Azure AD.

    hantera appen i Azure AD-galleriet

  • Kontinuerlig övervakning: nu när du väl har undersökt apparna kanske du vill ange principer som övervakar apparna och ger kontroll där det behövs.Continuous monitoring: Now that you have thoroughly investigated the apps, you might want to set policies that monitor the apps and provide control where needed.

Nu är det dags att skapa principer så att du kan bli aviserad automatiskt när något händer som du är orolig för.Now it's time to create policies so you can be automatically alerted when something happens that you're concerned about. Du kanske t. ex. vill skapa en app Discovery-princip som gör att du vet när det finns en ökning av hämtningar eller trafik från en app som du är bekymrad om.For example, you might want to create an App discovery policy that lets you know when there is a spike in downloads or traffic from an app you're concerned about. För att åstadkomma detta bör du aktivera avvikande beteende i principer för identifierade användare, kompatibilitetskontroll av moln lagrings program och ny riskfylld app.To achieve this, you should enable Anomalous behavior in discovered users policy, Cloud storage app compliance check, and New risky app. Du bör också ange principen för att meddela dig via e-post eller SMS.You should also set the policy to notify you by email or text message. Mer information finns i referens för principmallar, mer om Cloud Discovery-principer och konfigurera principer för identifiering av appar.For more information, see policy template reference, more about Cloud Discovery policies and Configure App discovery policies.

Titta på sidan aviseringar och Använd princip typs filtret för att titta på aviseringar om identifiering av appar.Look at the alerts page and use the Policy type filter to look at app discovery alerts. För appar som matchades av dina principer för identifiering av appar rekommenderar vi att du gör en avancerad undersökning för att lära dig mer om affärs justeringen för att använda appen, till exempel genom att kontakta användarna av appen.For apps that were matched by your app discovery policies, it is recommended that you do an advanced investigation to learn more about the business justification for using the app, for example, by contacting the users of the app. Upprepa sedan stegen i fas 2 om du vill utvärdera appens risk.Then, repeat the steps in Phase 2 to evaluate the risk of the app. Ta sedan reda på nästa steg för programmet, oavsett om du godkänner användningen av det i framtiden eller om du vill blockera det nästa gång en användare kommer åt den, då ska du tagga den som ej sanktionerad så att den kan blockeras med hjälp av din brand vägg, proxy eller en säker webbgateway.Then determine next steps for the application, whether you approve use of it in the future or want to block it the next time a user accesses it, in which case you should tag it as unsanctioned so it can be blocked using your firewall, proxy, or secure web gateway. Mer information finns i integrera med Microsoft Defender för slut punkt, integrera med Zscaler, integrera med ibossoch Exportera ett block skript för att styra identifierade appar.For more information, see Integrate with Microsoft Defender for Endpoint, Integrate with Zscaler, Integrate with iboss, and Export a block script to govern discovered apps.

Fas 4: rapportering om avancerad skugg IT-identifieringPhase 4: Advanced Shadow IT discovery reporting

Förutom de rapporterings alternativ som är tillgängliga i Cloud App Security kan du integrera Cloud Discovery loggar i Azure Sentinel för ytterligare undersökning och analys.In addition to the reporting options available in Cloud App Security, you can integrate Cloud Discovery logs into Azure Sentinel for further investigation and analysis. När data finns i Azure Sentinel kan du visa dem i instrument paneler, köra frågor med Kusto frågespråk, exportera frågor till Microsoft Power BI, integrera med andra källor och skapa anpassade aviseringar.Once the data is in Azure Sentinel, you can view it in dashboards, run queries using Kusto query language, export queries to Microsoft Power BI, integrate with other sources, and create custom alerts. Mer information finns i Azure Sentinel-integrering.For more information, see Azure Sentinel integration.

Fas 5: kontrol lera sanktionerade apparPhase 5: Control sanctioned apps

  1. Om du vill aktivera app Control via API: er ansluter du appar via API för kontinuerlig övervakning.To enable app control via APIs, connect apps via API for continuous monitoring.

  2. Skydda appar med hjälp av appkontroll för villkorsstyrd åtkomst.Protect apps using Conditional Access App Control.

Moln Apps beskaffenhet innebär att de uppdateras dagligen och att nya appar visas hela tiden.The nature of cloud apps means that they are updated daily and new apps appear all the time. Därför använder anställda kontinuerligt nya appar och det är viktigt att hålla reda på och granska och uppdatera dina principer, kontrol lera vilka appar användarna använder, samt deras användnings-och beteende mönster.Because of this, employees are continuously using new apps and it's important to keep tracking and reviewing and updating your policies, checking which apps your users are using, as well as their usage and behavior patterns. Du kan alltid gå till Cloud Discovery instrument panelen och se vilka nya appar som används och följa instruktionerna i den här artikeln igen för att se till att din organisation och dina data är skyddade.You can always go to the Cloud Discovery dashboard and see what new apps are being used, and follow the instructions in this article again to make sure your organization and your data are protected.

Se ävenSee Also

Om du stöter på problem är vi här för att hjälpa dig.If you run into any problems, we're here to help. Öppna ett support ärendeom du vill ha hjälp eller support för produkt problemet.To get assistance or support for your product issue, please open a support ticket.