Рекомендации по защите организации с помощью Defender for Cloud Apps

В этой статье приводятся рекомендации по защите организации с помощью Microsoft Defender for Cloud Apps. Эти рекомендации исходят из нашего опыта работы с Defender for Cloud Apps и опыта таких клиентов, как вы.

В этой статье рассматриваются следующие рекомендации:

Обнаружение и оценка облачных приложений

Интеграция Defender for Cloud Apps с Microsoft Defender для конечной точки позволяет использовать обнаружение облака за пределами корпоративной сети или защищенных веб-шлюзов. С помощью объединённых данных о пользователях и устройствах можно выявить пользователей или устройства, представляющие риск, увидеть, какие приложения используются, и провести дальнейшее расследование на портале Defender for Endpoint.

Рекомендация: Включить обнаружение теневого ИТ с помощью Defender для конечных точек
Сведения: Cloud Discovery анализирует журналы трафика, собранные Defender for Endpoint, брандмауэрами и защищёнными веб-шлюзами, сопоставляет обнаруженные приложения с каталогом облачных приложений и оценивает их, чтобы предоставить сведения о соответствии требованиям и безопасности. Настроив обнаружение в облаке, вы получите представление об использовании облака, теневой ИТ-среде и непрерывном мониторинге несанкционированных приложений, используемых пользователями.

Дополнительные сведения:


Рекомендация. Настройка политик обнаружения приложений для упреждающего выявления рискованных, несоответствующих и популярных приложений
Сведения. Политики обнаружения приложений упрощают отслеживание важных обнаруженных приложений в организации, чтобы помочь вам эффективно управлять этими приложениями. Создавайте политики, чтобы получать оповещения при обнаружении новых приложений, которые классифицируются как рискованные, не соответствующие политикам, популярные или с высоким уровнем использования.
Дополнительные сведения:


Рекомендация. Управление приложениями OAuth, авторизованными пользователями
Сведения. Многие пользователи случайно предоставляют разрешения OAuth сторонним приложениям на доступ к сведениям о своей учетной записи и при этом непреднамеренно также предоставляют доступ к своим данным в других облачных приложениях. Как правило, ИТ-служба не имеет видимости этих приложений, что затрудняет взвешивание рисков безопасности приложения с преимуществом производительности, которое оно обеспечивает.

Defender for Cloud Apps позволяет исследовать и отслеживать разрешения приложения, предоставленные пользователями. Эти сведения можно использовать для выявления потенциально подозрительного приложения и, если вы определите, что это рискованно, вы можете запретить доступ к нему.

Дополнительные сведения:


Применение политик управления облаком

Лучшая практика: пометка приложений тегами и экспорт скриптов блокировки
Сведения. После просмотра списка обнаруженных приложений в вашей организации вы можете защитить свою среду от нежелательного использования приложений. Тег Санкционировано можно применить к приложениям, утвержденным вашей организацией, а тег Unsanctioned — к приложениям, которые не являются. Вы можете отслеживать несанкционированные приложения с помощью фильтров обнаружения или экспортировать скрипт для блокировки несанкционированных приложений с помощью локальных устройств безопасности. Использование тегов и скриптов экспорта позволяет упорядочивать приложения и защищать среду, разрешая доступ только к безопасным приложениям.
Дополнительные сведения:


Ограничение раскрытия общих данных и обеспечение соблюдения политик совместной работы

Рекомендация. Подключение Microsoft 365
Сведения. Подключение Microsoft 365 к Defender for Cloud Apps позволяет мгновенно отслеживать действия пользователей, файлы, к которым они обращаются, а также действия по управлению для Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange и Dynamics.

Дополнительные сведения:


Рекомендация: Подключите свои приложения
Сведения. Подключение приложений к Defender for Cloud Apps позволяет получить более подробную информацию о действиях пользователей, обнаружении угроз и возможностях управления. Чтобы узнать, какие API сторонних приложений поддерживаются, перейдите в раздел Подключение приложений.

Дополнительные сведения:


Рекомендация. Создание политик для удаления общего доступа с личными учетными записями
Сведения. Подключение Microsoft 365 к Defender for Cloud Apps позволяет мгновенно отслеживать действия пользователей, файлы, к которым они обращаются, а также действия по управлению для Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange и Dynamics.

Дополнительные сведения:


Обнаружение, классификация, применение меток и защита регламентированных и конфиденциальных данных, хранящихся в облаке

Рекомендация: Интеграция с Защитой информации в Microsoft Purview
Сведения: Интеграция с Защита информации Microsoft Purview позволяет автоматически применять метки конфиденциальности и при необходимости добавлять шифрование. После включения интеграции вы можете применять метки в качестве действия управления, просматривать файлы по классификации, исследовать файлы по уровню классификации и создавать детализированные политики, чтобы обеспечить правильную обработку классифицированных файлов. Если не включить интеграцию, вы не сможете воспользоваться возможностью автоматического сканирования, маркировки и шифрования файлов в облаке.

Дополнительные сведения:


Рекомендация. Создание политик раскрытия данных
Сведения. Используйте политики файлов для обнаружения общего доступа к информации и проверки конфиденциальной информации в облачных приложениях. Создайте следующие политики файлов, чтобы оповещать вас при обнаружении уязвимостей данных:

Important

Политики файлов удаляются 6 января 2027 г. Чтобы сохранить защиту данных на основе файлов, перейдите на политики Microsoft Purview DLP или автоматической маркировки.

  • Файлы, к которым предоставлен общий доступ извне, содержащие конфиденциальные данные
  • Файлы, к которым предоставлен общий доступ извне и помеченные как конфиденциальные
  • Файлы, к которым предоставлен общий доступ с неавторизованными доменами
  • Защита конфиденциальных файлов в приложениях SaaS

Дополнительные сведения:


Применение политики защиты от потери данных и политики соответствия требованиям для данных, хранящихся в облаке

Рекомендация. Защита конфиденциальных данных от совместного использования внешним пользователям
Сведения. Создайте политику файлов, которая определяет, когда пользователь пытается предоставить общий доступ к файлу с меткой конфиденциальности кому-либо из внешних по вашей организации, и настройте его действие управления для удаления внешних пользователей. Эта политика гарантирует, что конфиденциальные данные не покидают вашу организацию, а внешние пользователи не смогут получить к ним доступ.

Дополнительные сведения:


Блокировка и защита загрузки конфиденциальных данных на неуправляемых или опасных устройствах

Рекомендация. Управление доступом к устройствам с высоким риском и управление ими
Сведения. Используйте управление условным доступом к приложениям, чтобы задать элементы управления в приложениях SaaS. Вы можете создавать политики сеансов для мониторинга сеансов с высоким риском и низким уровнем доверия. Аналогичным образом можно создать политики сеансов для блокировки и защиты загрузки пользователями, пытающимися получить доступ к конфиденциальным данным с неуправляемых или рискованных устройств. Если не создавать политики сеансов для мониторинга сеансов с высоким риском, вы потеряете возможность блокировать и защищать загрузки в веб-клиенте, а также возможность отслеживать сеансы с низким уровнем доверия как в приложениях Майкрософт, так и в сторонних приложениях.

Дополнительные сведения:


Обеспечение безопасности совместной работы с внешними пользователями путем принудительного управления сеансами в режиме реального времени

Рекомендация. Мониторинг сеансов с внешними пользователями с помощью управления условным доступом к приложениям
Сведения. Чтобы обеспечить совместную работу в среде, можно создать политику сеансов для мониторинга сеансов между внутренними и внешними пользователями. Это не только дает возможность отслеживать сеанс между пользователями (и уведомлять их о том, что их действия сеанса отслеживаются), но также позволяет ограничить определенные действия. При создании политик сеанса для мониторинга активности можно выбрать приложения и пользователей, которые вы хотите отслеживать.
Дополнительные сведения:


Обнаружение облачных угроз, скомпрометированных учетных записей, злоумышленников внутри организаций и программ-шантажистов

Рекомендуемые действия: настройте политики обнаружения аномалий, задайте диапазоны IP-адресов, отправляйте отзывы об оповещениях
Сведения. Политики обнаружения аномалий предоставляют встроенные функции аналитики поведения пользователей и сущностей (UEBA) и машинного обучения (ML), чтобы можно было немедленно запустить расширенное обнаружение угроз в облачной среде.

Политики обнаружения аномалий активируются при наличии необычных действий, выполняемых пользователями в вашей среде. Defender for Cloud Apps постоянно отслеживает действия пользователей и использует UEBA и ML для изучения и понимания нормального поведения пользователей. Вы можете настроить параметры политики в соответствии с требованиями организации, например задать конфиденциальность политики, а также область политики для определенной группы.

  • Настройка и область применения политик обнаружения аномалий: Например, чтобы уменьшить количество ложных срабатываний в оповещении о невозможном перемещении, можно установить ползунок чувствительности политики в положение «Низкая». Если в вашей организации есть пользователи, которые часто являются корпоративными путешественниками, вы можете добавить их в группу пользователей и выбрать эту группу в область политики.

  • Задать диапазоны IP-адресов: Defender for Cloud Apps может определять известные IP-адреса после установки диапазонов IP-адресов. С помощью настроенных диапазонов IP-адресов можно добавлять теги, классифицировать и настраивать способ отображения и изучения журналов и оповещений. Добавление диапазонов IP-адресов помогает уменьшить количество ложноположительных срабатываний и повысить точность оповещений. Если вы решите не добавлять свои IP-адреса, вы можете столкнуться с увеличенным количеством возможных ложноположительных срабатываний и оповещений, требующих проверки.

  • Отправка отзывов для оповещений. При закрытии или разрешении оповещений обязательно отправьте отзыв с причиной, по которой вы отклонили оповещение или как оно было устранено. Эти сведения помогают Defender for Cloud Apps повысить точность оповещений и уменьшить количество ложных срабатываний.

Дополнительные сведения:


Рекомендация: Обнаружение активности из неожиданных мест или стран/регионов
Сведения. Создайте политику действий, чтобы уведомлять вас о входе пользователей из непредвиденных расположений или стран или регионов. Эти уведомления могут предупреждать вас о возможных скомпрометированных сеансах в вашей среде, чтобы вы могли обнаруживать и устранять угрозы до их возникновения.
Дополнительные сведения:


Рекомендация. Создание политик приложений OAuth
Сведения. Создайте политику приложений OAuth, чтобы уведомлять вас о том, что приложение OAuth соответствует определенным критериям. Например, вы можете получать уведомления, когда к определенному приложению, которому требуется высокий уровень разрешений, обращались более 100 пользователей.

Дополнительные сведения:


Использование журнала аудита действий для криминалистических исследований

Рекомендация. Использование журнала аудита действий при исследовании оповещений
Сведения. Оповещения активируются, если действия пользователя, администратора или входа не соответствуют вашим политикам. Важно исследовать оповещения, чтобы понять, существует ли в вашей среде возможная угроза.

Вы можете исследовать оповещение , выбрав его на странице Оповещения и просмотрив журнал аудита действий, связанных с этим оповещением. Журнал аудита позволяет просматривать действия одного типа, одного пользователя, одного и того же IP-адреса и расположения, чтобы получить общую историю оповещения. Если оповещение требует дальнейшего изучения, создайте план для устранения этих оповещений в организации.

При закрытии оповещений важно проверить и понять, почему они несущественны или почему являются ложными срабатываниями. При наличии большого объема таких действий также может потребоваться рассмотреть возможность просмотра и настройки политики, запускающей оповещение.

Дополнительные сведения:


Безопасные службы IaaS и пользовательские приложения

Рекомендация: Подключите Azure, AWS и GCP
Сведения. Подключение каждой из этих облачных платформ к Defender for Cloud Apps помогает улучшить возможности обнаружения угроз. Отслеживая административные действия и действия по входу в этих службах, вы можете обнаруживать возможные атаки методом грубой силы, злонамеренное использование привилегированной учетной записи и другие угрозы в вашей среде, а также получать уведомления о них. Например, можно выявлять такие риски, как необычные удаления виртуальных машин или даже действия по выдаче себя за другого пользователя в этих приложениях.

Дополнительные сведения:


Рекомендация: Подключите пользовательские приложения
Сведения: Чтобы получить дополнительный контроль действий в корпоративных бизнес-приложениях, вы можете добавить пользовательские приложения в Defender for Cloud Apps. После настройки пользовательских приложений вы увидите сведения о том, кто их использует, IP-адреса, с которых они используются, и сколько трафика поступает в приложение и из него.

Кроме того, вы можете подключить пользовательское приложение в качестве приложения управления условным доступом для мониторинга сеансов с низким уровнем доверия. Приложения Microsoft Entra ID подключаются автоматически.

Дополнительные сведения: