Metodtips för Defender for Cloud Apps

Den här artikeln innehåller metodtips för att skydda din organisation med hjälp av Microsoft Defender för molnappar. Dessa metodtips kommer från vår erfarenhet av Defender för Molnappar och kundernas upplevelser som du.

Metodtipsen som beskrivs i den här artikeln är:

Identifiera och utvärdera molnappar

Genom att integrera Defender för molnappar med Microsoft Defender för slutpunkt kan du använda Cloud Discovery utanför företagets nätverk eller säkra webbgatewayer. Med den kombinerade användar- och enhetsinformation kan du identifiera riskfyllda användare eller enheter, se vilka appar de använder och undersöka vidare i Defender för slutpunktsportalen.

Bästa praxis:Aktivera Shadow IT Discovery med Defender för slutpunkt
Information:Cloud Discovery analyserar trafikloggar som samlas in av Defender för slutpunkt och utvärderar identifierade appar mot molnappkatalogen för att tillhandahålla efterlevnads- och säkerhetsinformation. Genom att konfigurera Cloud Discovery får du insyn i molnanvändning, skugg-IT och kontinuerlig övervakning av de osanktionerade appar som används av användarna.
Mer informationfinns i :

• Microsoft Defender för slutpunktsintegrering med Defender för Cloud Apps
• Konfigurera Cloud Discovery
• Identifiera och hantera skugg-IT i ditt nätverk

Bästa praxis:Konfigurera App Discovery-principer för att proaktivt identifiera riskfyllda, icke-kompatibla och trendande appar
Information:App Discovery-principer gör det enklare att spåra viktiga identifierade program i din organisation för att hjälpa dig att hantera dessa program effektivt. Skapa principer för att ta emot aviseringar när du identifierar nya appar som identifieras som riskfyllda, icke-kompatibla, trendande eller stora volymer.
Mer informationfinns i :

• Cloud Discovery-principer
• Princip för Cloud Discovery-avvikelseidentifiering
• Få omedelbar beteendeanalys och avvikelseidentifiering

Bästa praxis:Hantera OAuth-appar som auktoriserats av dina användare
Information:Många användare ger oAuth-behörigheter till appar från tredje part för att få åtkomst till deras kontoinformation och oavsiktligt även ge åtkomst till sina data i andra molnappar. Vanligtvis har IT ingen insyn i dessa appar, vilket gör det svårt att väga säkerhetsrisken för en app mot de produktivitetsförmån som den ger.

Defender for Cloud Apps ger dig möjlighet att undersöka och övervaka de appbehörigheter som dina användare har beviljats. Du kan använda den här informationen för att identifiera en potentiellt misstänkt app och, om du anser att den är riskabel, kan du förbjuda åtkomst till den.
Mer informationfinns i :

• Hantera OAuth-appar
• OAuth-appprinciper

Tillämpa molnstyrningsprinciper

Bästa praxis:Tagga appar och exportera blockskript
Information:När du har granskat listan över identifierade appar i din organisation kan du skydda din miljö mot oönskad appanvändning. Du kan använda taggen Sanktionerad för appar som har godkänts av din organisation och taggen Ej sanktionerad för appar som inte är det. Du kan övervaka ej sanktionerade appar med hjälp av identifieringsfilter eller exportera ett skript för att blockera icke-sanktionerade appar med hjälp av dina lokala säkerhetsapparater. Med hjälp av taggar och exportskript kan du organisera dina appar och skydda din miljö genom att endast tillåta åtkomst till säkra appar.
Mer informationfinns i :

• Styra identifierade appar

Begränsa exponering av delade data och tillämpa samarbetsprinciper

Bästa praxis:Anslut Office 365
Information:Genom att ansluta Office 365 till Defender för Cloud Apps får du omedelbar insyn i användarnas aktiviteter, filer som de använder och tillhandahåller styrningsåtgärder för Office 365, SharePoint, OneDrive, Teams, Power BI, Exchange och Dynamics.
Mer informationfinns i :

• Ansluta appar
• Anslut Office 365 till Microsoft Defender för Molnappar

Bästa praxis:Anslut appar från tredje part
Information:Genom att ansluta appar från tredje part till Defender for Cloud Apps får du bättre insikter om användarnas aktiviteter, hotidentifiering och styrningsfunktioner. Följande app-API:er från tredje part stöds: Amazon Web Services (AWS), Box, Dropbox, Google Workspace, Okta, Salesforce, ServiceNow, WebExoch Workday.
Mer informationfinns i :

• Ansluta appar

Bästa praxis:Granska din organisations dataexponering
Information:Använd rapporterna för filexponering för att få insyn i hur användarna delar filer med molnappar. Följande rapporter är tillgängliga och kan exporteras till för ytterligare analys i verktyg som Microsoft Power BI:

• Översikt över datadelning:Visar en lista över filer efter åtkomstbehörigheter som lagras i var och en av dina molnappar

• Utgående delning per domän:Visar de domäner som företagets filer delas med av dina anställda

• Ägare av delade filer:Visar en lista över användare som delar företagsfiler med världen utanför
  Mer informationfinns i :

• Generera datahanteringsrapporter

Bästa praxis:Skapa principer för att ta bort delning med personliga konton
Information:Genom att ansluta Office 365 till Defender för Cloud Apps får du omedelbar insyn i användarnas aktiviteter, filer som de använder och tillhandahåller styrningsåtgärder för Office 365, SharePoint, OneDrive, Teams, Power BI, Exchange och Dynamics.
Mer informationfinns i :

• Styra anslutna appar

Identifiera, klassificera, etikettera och skydda reglerade och känsliga data som lagras i molnet

Bästa praxis:Integrera med Azure Information Protection
Information:Integrering med Azure Information Protection ger dig möjlighet att automatiskt tillämpa klassificeringsetiketter och eventuellt lägga till krypteringsskydd. När integreringen är aktiverad kan du tillämpa etiketter som en styrningsåtgärd, visa filer efter klassificering, undersöka filer efter klassificeringsnivå och skapa detaljerade principer för att se till att klassificerade filer hanteras korrekt. Om du inte aktiverar integreringen kan du inte dra nytta av möjligheten att automatiskt söka igenom, märka och kryptera filer i molnet.
Mer informationfinns i :

• Integrering med Azure Information Protection
• Självstudie: Tillämpa Azure Information Protection-klassificerinsetiketter automatiskt

Bästa praxis:Skapa principer för dataexponering
Information:Använd filprinciper för att identifiera informationsdelning och söka efter konfidentiell information i dina molnappar. Skapa följande filprinciper för att varna dig när dataexponeringar identifieras:

• Filer som delas externt med känsliga data
• Filer som delas externt och är märkta som Konfidentiellt
• Filer som delas med obehöriga domäner
• Skydda känsliga filer på SaaS-appar

Mer informationfinns i :

• Innehållsgranskning
• Filpolicyer
• Principer för informationsskydd

Bästa praxis:Granska rapporter på sidan Filer
Information:När du har anslutit olika SaaS-appar med appanslutningsprogram genomsöker Defender for Cloud Apps filer som lagras av dessa appar. Varje gång en fil ändras genomsöks den dessutom igen. Du kan använda sidan Filer för att förstå och undersöka vilka typer av data som lagras i dina molnappar. För att hjälpa dig att undersöka kan du filtrera efter domäner, grupper, användare, skapandedatum, tillägg, filnamn och typ, fil-ID, klassificeringsetikett med mera. Med dessa filter får du kontroll över hur du väljer att undersöka filer för att se till att inga av dina data är utsatta för risk. När du har en bättre förståelse för hur dina data används kan du skapa principer för att söka efter känsligt innehåll i dessa filer.
Mer informationfinns i :

• Ansluta appar
• Filfilter
• Innehållsgranskning

Tillämpa DLP- och efterlevnadsprinciper för data som lagras i molnet

Bästa praxis:Skydda konfidentiella data från att delas med externa användare
Information:Skapa en filprincip som identifierar när en användare försöker dela en fil med klassificeringsetiketten Konfidentiellt med någon utanför organisationen och konfigurera styrningsåtgärden för att ta bort externa användare. Den här principen säkerställer att dina konfidentiella data inte lämnar din organisation och att externa användare inte kan få åtkomst till dem.
Mer informationfinns i :

• Styra anslutna appar

Blockera och skydda nedladdning av känsliga data till ohanterade eller riskfyllda enheter

Bästa praxis:Hantera och kontrollera åtkomsten till enheter med hög risk
Information:Använd Appkontroll för villkorsstyrd åtkomst för att ange kontroller för dina SaaS-appar. Du kan skapa sessionsprinciper för att övervaka sessioner med hög risk och lågt förtroende. På samma sätt kan du skapa sessionsprinciper för att blockera och skydda nedladdningar av användare som försöker komma åt känsliga data från ohanterade eller riskfyllda enheter. Om du inte skapar sessionsprinciper för att övervaka sessioner med hög risk förlorar du möjligheten att blockera och skydda nedladdningar i webbklienten, samt möjligheten att övervaka sessioner med lågt förtroende i både Microsoft- och appar från tredje part.
Mer informationfinns i :

• Skydda appar med Microsoft Defender for Cloud Apps Appkontroll för villkorsstyrd åtkomst
• Sessionsprinciper

Skydda samarbete med externa användare genom att framtvinga sessionskontroller i realtid

Bästa praxis:Övervaka sessioner med externa användare med hjälp av Appkontroll för villkorsstyrd åtkomst
Information:För att skydda samarbete i din miljö kan du skapa en sessionsprincip för att övervaka sessioner mellan dina interna och externa användare. Detta ger dig inte bara möjlighet att övervaka sessionen mellan dina användare (och meddela dem att deras sessionsaktiviteter övervakas), utan även att du kan begränsa specifika aktiviteter. När du skapar sessionsprinciper för att övervaka aktivitet kan du välja de appar och användare som du vill övervaka.
Mer informationfinns i :

• Skydda appar med Microsoft Defender for Cloud Apps Appkontroll för villkorsstyrd åtkomst
• Sessionsprinciper

Identifiera molnhot, komprometterade konton, skadliga insiders och utpressningstrojaner

Bästa praxis:Finjustera avvikelseprinciper, ange IP-intervall, skicka feedback för aviseringar
Information:Principer för avvikelseidentifiering ger direkt analys av användar- och entitetsbeteende (UEBA) och maskininlärning (ML) så att du omedelbart kan köra avancerad hotidentifiering i molnmiljön.

Principer för avvikelseidentifiering utlöses när det finns ovanliga aktiviteter som utförs av användarna i din miljö. Defender for Cloud Apps övervakar kontinuerligt användarnas aktiviteter och använder UEBA och ML för att lära sig och förstå användarnas normala beteende. Du kan finjustera principinställningarna så att de passar organisationens krav. Du kan till exempel ange en princips känslighet och omfång för en princip till en viss grupp.

• Justera och begränsaavvikelseidentifieringsprinciper: Om du till exempel vill minska antalet falska positiva identifieringar i aviseringen om omöjlig resa kan du ange principens känslighetsreglage till lågt. Om du har användare i din organisation som ofta är företagsledare kan du lägga till dem i en användargrupp och välja den gruppen i principomfånget.

• Ange IP-intervall:Defender for Cloud Apps kan identifiera kända IP-adresser när IP-adressintervall har angetts. När IP-adressintervall har konfigurerats kan du tagga, kategorisera och anpassa hur loggar och aviseringar visas och undersöks. Genom att lägga till IP-adressintervall kan du minska antalet falska positiva identifieringar och förbättra aviseringarna. Om du väljer att inte lägga till dina IP-adresser kan du se ett ökat antal möjliga falska positiva och aviseringar att undersöka.

• Skicka feedback för aviseringar

  När du stänger eller löser aviseringar ska du skicka feedback med orsaken till att du avvisade aviseringen eller hur den har lösts. Den här informationen hjälper Defender för Cloud Apps att förbättra våra aviseringar och minska falska positiva resultat.

Mer informationfinns i :

• Få omedelbar beteendeanalys och avvikelseidentifiering
• Arbeta med IP-intervall och taggar
• Övervaka aviseringar i Defender för Cloud Apps

Bästa praxis:Identifiera aktivitet från oväntade platser eller länder
Information:Skapa en aktivitetsprincip som meddelar dig när användare loggar in från oväntade platser eller länder/regioner. Dessa meddelanden kan varna dig om sessioner som kan ha komprometterats i din miljö så att du kan identifiera och åtgärda hot innan de inträffar.
Mer informationfinns i :

• Principer för skydd mot hot

Bästa praxis:Skapa OAuth-appprinciper
Information:Skapa en OAuth-appprincip som meddelar dig när en OAuth-app uppfyller vissa villkor. Du kan till exempel välja att bli meddelad när en specifik app som kräver en hög behörighetsnivå har åtkomst till fler än 100 användare.
Mer informationfinns i :

• OAuth-appprinciper

Använd aktivitetsspårningsloggen för kriminaltekniska undersökningar

Bästa praxis:Använd granskningsloggen för aktiviteter när du undersöker aviseringar
Information:Aviseringar utlöses när användar-, administratörs- eller inloggningsaktiviteter inte följer dina principer. Det är viktigt att undersöka aviseringar för att förstå om det finns ett möjligt hot i din miljö.

Du kan undersöka en avisering genom att välja den på sidan Aviseringar och granska granskningsloggen för aktiviteter som rör aviseringen. Granskningsloggen ger dig insyn i aktiviteter av samma typ, samma användare, samma IP-adress och plats för att ge dig den övergripande berättelsen om en avisering. Om en avisering kräver ytterligare undersökning skapar du en plan för att lösa dessa aviseringar i din organisation.

När du stänger aviseringar är det viktigt att undersöka och förstå varför de inte är viktiga eller om de är falska positiva. Om det finns en stor mängd sådana aktiviteter kan du också överväga att granska och justera den princip som utlöser aviseringen.
Mer informationfinns i :

• Aktiviteter

Skydda IaaS-tjänster och anpassade appar

Bästa praxis:Anslut Azure, AWS och GCP
Information:Genom att ansluta var och en av dessa molnplattformar till Defender for Cloud Apps kan du förbättra hotidentifieringsfunktionerna. Genom att övervaka administrativa aktiviteter och inloggningsaktiviteter för dessa tjänster kan du identifiera och meddelas om möjliga brute force-attacker, skadlig användning av ett privilegierat användarkonto och andra hot i din miljö. Du kan till exempel identifiera risker som ovanliga borttagningar av virtuella datorer eller till och med personifieringsaktiviteter i dessa appar.
Mer informationfinns i :

• Anslut Azure till Microsoft Defender för Molnappar
• Anslut AWS till Microsoft Defender för Molnappar
• Anslut GCP till Microsoft Defender för Molnappar (förhandsversion)

Bästa praxis:Granska utvärderingar av säkerhetskonfigurationer för Azure, AWS och GCP
Information:Integrering med Microsoft Defender för moln ger dig en utvärdering av säkerhetskonfigurationen för din Azure-miljö. Utvärderingen ger rekommendationer för saknad konfiguration och säkerhetskontroll. Genom att granska dessa rekommendationer kan du identifiera avvikelser och potentiella sårbarheter i din miljö och navigera direkt på relevant plats i Azure Security-portalen för att lösa dem.

AWS och GCP ger dig möjlighet att få insyn i dina säkerhetskonfigurationsrekommendationer om hur du kan förbättra din molnsäkerhet.

Använd dessa rekommendationer för att övervaka efterlevnadsstatus och säkerhetsstatus för hela organisationen, inklusive Azure-prenumerationer, AWS-konton och GCP-projekt.
Mer informationfinns i :

• Säkerhetskonfiguration för Azure
• Säkerhetskonfiguration för AWS
• Säkerhetskonfiguration för GCP

Bästa praxis:Publicera anpassade appar
Information:Om du vill få ytterligare insyn i aktiviteter från dina verksamhetsapplikationer kan du publicera anpassade appar i Defender for Cloud Apps. När anpassade appar har konfigurerats visas information om vem som använder dem, vilka IP-adresser de används från och hur mycket trafik som kommer in till och ut ur appen.

Dessutom kan du registrera en anpassad app som en Appkontroll för villkorsstyrd åtkomst för att övervaka deras sessioner med lågt förtroende.
Mer informationfinns i :

• Lägga till anpassade appar i Cloud Discovery
• Publicera och distribuera Appkontroll för villkorsstyrd åtkomst för alla appar