Granska arkitekturkrav och viktiga begrepp för Microsoft Defender för molnappar

Gäller för:

  • Microsoft 365 Defender

Den här artikeln är steg 1 av 3 i processen med att konfigurera utvärderingsmiljön för Microsoft Defender för molnappar tillsammans med Microsoft 365 Defender. Mer information om den här processen finns i översiktsartikeln.

Innan du aktiverar Microsoft Defender för molnappar bör du vara säker på att du förstår arkitekturen och kan uppfylla kraven.

Förstå arkitekturen

Microsoft Defender för molnappar är en säkerhetsförmedlare för molnåtkomst (CASB). CASBs agerar en gatekeeper till företagstid i realtid mellan dina företagsanvändare och molnresurser som de använder, var användarna än befinner sig och oavsett vilken enhet de använder. Microsoft Defender för molnappar är integrerat med Microsofts säkerhetsfunktioner, bland annat Microsoft 365 Defender.

Utan Defender för molnappar är molnappar som används av din organisation ohanterade och oskyddade, vilket visas.

Arkitektur för Microsoft Defender för molnappar.

På bilden:

  • Organisationens användning av molnappar är obevakad och oskyddad.
  • Den här användningen faller utanför de skydd som uppnås i en administrerad organisation.

Upptäcka molnappar

Det första steget för att hantera användningen av molnappar är att upptäcka vilka molnprogram som används av din organisation. I nästa diagram visas hur molnidentifiering fungerar med Defender för molnappar.

Arkitektur för Microsoft Defender för molnappar – molnidentifiering.

I den här illustrationen finns det två metoder som kan användas för att övervaka nätverkstrafik och upptäcka molnappar som används av din organisation.

  • A. Identifiering av molnapp integrerar med Microsoft Defender för Slutpunkt inbyggt. Defender för Endpoint rapporterar molnappar och tjänster som hanteras från IT-hanterade Windows 10 och Windows 11 enheter.
  • B. För täckning på alla enheter som är anslutna till ett nätverk installeras logginsamlaren Defender för molnappar i brandväggar och andra proxyenheter för att samla in data från slutpunkter. Dessa data skickas till Defender för molnappar för analys.

Hantera molnappar

När du har upptäckt molnappar och analyserat hur de används av din organisation kan du börja hantera molnappar som du väljer.

Arkitektur för Microsoft Defender för molnappar – Hantera molnappar.

I den här illustrationen:

  • Vissa appar godkänns för användning. Det här är ett enkelt sätt att börja hantera appar.
  • Du kan aktivera bättre synlighet och kontroll genom att ansluta appar med appkopplingar. Appanslutningar använder API:er från appleverantörer.

Använda sessionskontroller i molnappar

Microsoft Defender för molnappar fungerar som en omvänd proxyserver, vilket ger proxyåtkomst till på vilka molnappar godkänns. Då kan Defender för molnappar använda sessionskontroller som du konfigurerar.

Arkitektur för Microsoft Defender för molnappar – sessionskontroll för proxyåtkomst.

I den här illustrationen:

  • Åtkomst till påföljda molnappar från användare och enheter i organisationen dirigeras via Defender för molnappar.
  • Med den här proxyåtkomsten kan sessionskontroller tillämpas.
  • Molnappar som du inte har godkänt eller uttryckligen inte har godkänt påverkas inte.

Med sessionskontroller kan du använda parametrar för hur molnappar används av din organisation. Om din organisation till exempel använder Salesforce kan du konfigurera en sessionsprincip som bara tillåter hanterade enheter att komma åt organisationens data i Salesforce. Ett enklare exempel kan vara att konfigurera en princip för att övervaka trafiken från ohanterade enheter så att du kan analysera risken för den här trafiken innan du tillämpar striktare principer.

Integrera med Azure AD med villkorsstyrd åtkomstappkontroll

Du kanske redan har SaaS-appar tillagda i din Azure AD-klientorganisation för att tillämpa multifaktorautentisering och andra principer för villkorsstyrd åtkomst. Microsoft Defender för molnappar är inbyggt med Azure AD. Allt du behöver göra är att konfigurera en princip i Azure AD för att använda villkorsstyrd åtkomstappkontroll i Defender för molnappar. Det här dirigerar nätverkstrafik för de här hanterade SaaS-apparna via Defender för molnappar som proxy, vilket gör att Defender för molnappar kan övervaka den här trafiken och tillämpa sessionskontroller.

Arkitektur för Microsoft Defender för molnappar – SaaS-appar.

I den här illustrationen:

  • SaaS-appar är integrerade med Azure AD-klientorganisationen. På så sätt kan Azure AD tillämpa villkorsstyrda åtkomstprinciper, inklusive multifaktorautentisering.
  • En princip läggs till i Azure Active Directory för direkttrafik för SaaS-appar till Defender för molnappar. Principen anger vilka SaaS-appar som den här principen ska användas på. Efter att Azure AD tillämpat alla villkorsstyrda åtkomstprinciper som gäller för dessa SaaS-appar, dirigerar Azure AD sedan sessionstrafiken via Defender för molnappar.
  • Defender för molnappar övervakar den här trafiken och tillämpar alla sessionskontrollprinciper som har konfigurerats av administratörer.

Du kanske har identifierat och godkänt molnappar med Defender för molnappar som inte har lagts till i Azure AD. Du kan dra nytta av villkorsstyrd åtkomstkontroll genom att lägga till dessa molnappar till Din Azure AD-klient och omfattningen av dina regler för villkorsstyrd åtkomst.

Skydda organisationen från hackare

Defender för molnappar ger ett kraftfullt skydd på egen hand. Men i kombination med andra funktioner i Microsoft 365 Defender tillhandahåller Defender för molnappar data i de delade signalerna, som tillsammans hjälper till att stoppa attacker.

Det är värt att upprepa den här bilden från översikten till den här Microsoft 365 Defender utvärderings- och pilotguiden.

Hur Microsoft 365 Defender stoppa en kedja av hot.

Microsoft Defender för molnappar lägger märke till avvikande beteende, t.ex. omöjligt restid, åtkomst till autentiseringsuppgifter och ovanlig nedladdning, filresurs eller vidarebefordran av e-post och rapporterar dessa till säkerhetsteamet. Därför förhindrar Defender för molnappar att rör sig av hackare och exfiltrering av känsliga data. Microsoft 356 Defender för Cloud korrelerar signalerna från alla komponenter för att tillhandahålla den fullständiga attacklösningen.

Förstå viktiga begrepp

I följande tabell identifieras viktiga begrepp som är viktiga att förstå när du utvärderar, konfigurerar och distribuerar Microsoft Defender för molnappar.

Begrepp Beskrivning Mer information
Defender för instrumentpanelen för molnappar Presenterar en översikt över den viktigaste informationen om din organisation och innehåller länkar till en djupare undersökning. Arbeta med instrumentpanelen
Programkontroll med villkorsstyrd åtkomst Omvänd proxyarkitektur som integreras med din identitetsprovider (IdP) för att ge villkorsstyrda åtkomstprinciper i Azure AD och selektivt tillämpa sessionskontroller. Skydda appar med Microsoft Defender för villkorsstyrd åtkomstkontroll för molnappar
Molnappkatalog Med molnprogramkatalogen får du en fullständig bild mot Microsoft-katalogen med över 16 000 molnappar som rangordnas och poängas utifrån fler än 80 riskfaktorer. Arbeta med appriskresultat
Instrumentpanel för molnidentifiering Cloud Discovery analyserar dina trafikloggar och har utformats för att ge mer insyn i hur molnappar används i organisationen samt ge aviseringar och risknivåer. Arbeta med upptäckta appar
Anslutna appar Defender för molnappar ger end-to-end-skydd för anslutna appar med integrering mellan molntjänster, API-kopplingar samt åtkomst- och sessionskontroller i realtid med hjälp av våra åtkomstkontroller för villkorsstyrda appar. Skydda anslutna appar

Granska arkitekturkraven

Upptäcka molnappar

Om du vill upptäcka molnappar som används i din miljö kan du göra något eller båda av följande:

  • Kom igång snabbt med Cloud Discovery genom att integrera med Microsoft Defender för Endpoint. Med den här inbyggda integreringen kan du direkt börja samla in data på Windows 11 och Windows 10 enheter, på och utanför nätverket.
  • Om du vill upptäcka alla molnappar som används av alla enheter som är anslutna till nätverket distribuerar du logginsamlaren för Defender för molnappar i dina brandväggar och andra proxyenheter. Detta samlar in data från dina slutpunkter och skickar dem till Defender för molnappar för analys. Defender för molnappar är inbyggt integrerat med vissa proxyprogram från tredje part för ännu fler funktioner.

De här alternativen ingår i steg 2. Aktivera utvärderingsmiljön.

Använda villkorsstyrda åtkomstprinciper för Azure AD på molnappar

Villkorsstyrd åtkomstappkontroll (möjligheten att tillämpa villkorsstyrda åtkomstprinciper på molnappar) kräver integrering med Azure AD. Det här är inget krav för att komma igång med Defender för molnappar. Det är ett steg vi uppmuntrar dig att prova under pilotfasen – steg 3. Pilottesta Microsoft Defender för molnappar.

SIEM-integrering

Du kan integrera Microsoft Defender för molnappar med din allmänna SIEM-server eller med Microsoft Sentinel för att möjliggöra centraliserad övervakning av aviseringar och aktiviteter från anslutna appar.

Dessutom innehåller Microsoft Sentinel en Microsoft Defender för Cloud Apps-anslutningsprogram för bättre integrering med Microsoft Sentinel. Det gör att du inte bara får inblick i dina molnappar, utan också kan få avancerad analys för att identifiera och bekämpa cyberhot och styra hur data färdas.

Nästa steg

Steg 2 av 3: Aktivera utvärderingsmiljön för Microsoft Defender för molnappar

Återgå till översikten för Utvärdera Microsoft Defender för molnappar

Gå tillbaka till översikten för Utvärdera och pilottesta Microsoft 365 Defender