Шаг 6. Управление угрозами и Defender Cloud Security

Управление доступом к удостоверениям является критически важным компонентом кибербезопасности в образовательных учреждениях. В этой статье приводятся общие сведения о функциях и рекомендациях для лицензии A3 для образовательных учреждений. В ней рассматриваются основные инструменты и стратегии, помогающие ИТ-администраторам управлять удостоверениями, обеспечивать безопасный доступ и защищать конфиденциальные данные в учебной среде.

Требования

• лицензия Microsoft 365 A3

Роли и обязанности.

• ИТ-Администратор
• Администратор удостоверений
• OneDrive Администратор
• Администратор SharePoint
• EXO Администратор

Microsoft Advanced Threat Analytics

Расширенная аналитика угроз Microsoft (ATA) — это локальная платформа, предназначенная для защиты организации от сложных целевых кибератак и внутренних угроз. Хотя ATA обычно используется в корпоративных средах, он также может быть весьма полезным в образовательных учреждениях для защиты конфиденциальной информации и обеспечения безопасности вашей сети.

Основные возможности ATA:

• Поведенческая аналитика: ATA использует аналитику поведения для изучения нормального поведения пользователей и других сущностей в вашей организации. Затем он обнаруживает аномалии, которые могут указывать на потенциальные угрозы.
• Обнаружение расширенных угроз: ATA может обнаруживать различные типы расширенных угроз, включая атаки типа pass-the-ticket, pass-the-hash и атаки методом подбора. В нем также выявляются подозрительные действия, такие как боковое перемещение и рекогносцировка.
• Очистить отчеты об инцидентах: Консоль ATA предоставляет подробные отчеты об обнаруженных угрозах, включая сведения о том, кто был вовлечен, что произошло, когда это произошло и как была выполнена атака.
• Интеграция с существующей инфраструктурой: ATA интегрируется с существующей сетевой инфраструктурой, собирает данные с контроллеров домена, DNS-серверов и других источников для обеспечения комплексного мониторинга безопасности.

Преимущества для образовательных учреждений:

• Защита конфиденциальных данных: Защита записей учащихся, исследовательских данных и другой конфиденциальной информации от киберугроз.
• Повышение безопасности сети. Отслеживайте и обнаруживайте подозрительные действия в сети, чтобы предотвратить нарушения.
• Согласие: Обеспечение соответствия нормативным требованиям к защите данных и безопасности в образовательных средах.

Начало работы с ATA:

1. Установите ATA, развернув центр ATA и шлюзы ATA в сети. Центр ATA обрабатывает данные и создает оповещения, а шлюзы собирают и анализируют сетевой трафик.
2. Настройте источники данных, настроив зеркальное отображение портов на сетевых устройствах для отправки трафика в шлюзы ATA. Кроме того, можно развернуть упрощенные шлюзы ATA непосредственно на контроллерах домена.
3. Мониторинг и реагирование с помощью консоли ATA для мониторинга оповещений и исследования подозрительных действий. Выполните соответствующие действия для устранения выявленных угроз.

Подробнее:

• Что такое Расширенная аналитика угроз?
• Документация по расширенной аналитике угроз

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps — это мощный инструмент, который может значительно повысить кибербезопасность в образовательных средах. Она помогает защитить данные и приложения учебного заведения, обеспечивая комплексную безопасность для приложений SaaS (программное обеспечение как услуга). Ниже приведены некоторые ключевые функции и преимущества.

• Обнаружение теневых ИТ определяет и отслеживает все облачные приложения, используемые в вашем учреждении, даже те, которые официально не санкционированы.
• Защита от угроз предоставляет расширенные возможности обнаружения угроз и реагирования на нее для защиты от киберугроз.
• Защита информации обеспечивает безопасность данных и соответствие различным нормативным требованиям.
• Управление состоянием безопасности SaaS помогает повысить уровень безопасности приложений SaaS.

Подробнее:

• Обзор Microsoft Defender for Cloud Apps

Microsoft Defender для Cloud App Discovery

Microsoft Defender для Cloud App Discovery — это функция в Microsoft Defender for Cloud Apps, которая помогает получить представление об облачных приложениях, используемых в вашей организации. Это полезно для идентификации теневых ИТ-специалистов и управления ими, гарантируя, что используются только утвержденные и безопасные приложения.

Основные возможности:

• Каталог облачных приложений анализирует журналы трафика по каталогу из более чем 31 000 облачных приложений. Эти приложения ранжируются и оцениваются на основе более чем 90 факторов риска.
• Видимость и оценка рисков обеспечивают постоянную видимость использования облачных приложений и оценивают риск, связанный с этими приложениями. Это помогает выявлять потенциально рискованные приложения и принимать соответствующие меры.
• Интеграция с существующими средствами, такими как Microsoft Defender для конечной точки для расширения возможностей обнаружения облака за пределы корпоративной сети. Он также поддерживает интеграцию с защищенными веб-шлюзами (SWG) и другими средствами безопасности.
• Автоматическая и ручная отправка журналов поддерживает как ручную, так и автоматическую отправку журналов для непрерывного мониторинга. Для автоматизации процесса можно использовать сборщики журналов или API.
• Пользовательские политики и обнаружение аномалий позволяют создавать настраиваемые политики для мониторинга и контроля использования облачных приложений. Он также использует машинное обучение для обнаружения аномалий в шаблонах использования приложений.

Преимущества для образовательных учреждений:

• Повышенная безопасность защищает конфиденциальные данные учащихся и преподавателей путем выявления и управления облачными приложениями, которые рискуют.
• Соответствие требованиям помогает соответствовать нормативным требованиям для защиты данных и безопасности.
• Улучшенное управление ИТ-ресурсами предоставляет ИТ-администраторам средства для мониторинга и контроля использования облачных приложений, что снижает риск утечки данных.

Начало работы:

1. Настройте обнаружение в облаке, перейдя на портал Microsoft Defender for Cloud Apps и выбрав Cloud Discovery. Следуйте инструкциям по настройке, чтобы начать анализ журналов сетевого трафика.
2. Настройте коллекцию журналов, настроив сборщики журналов или интегрируя с существующими средствами, такими как Microsoft Defender для конечной точки, для автоматизации отправки журналов.
3. Определите настраиваемые политики для мониторинга и контроля использования облачных приложений на основе требований к безопасности вашей организации.

Подробнее:

• Обзор обнаружения облачных приложений
• Сравнение возможностей обнаружения для Defender for Cloud Apps и Cloud App Discovery

Office 365 Cloud App Security

Office 365 Cloud App Security, которая теперь является частью Microsoft Defender for Cloud Apps, обеспечивает улучшенную видимость и контроль над вашей Office 365 средой. Это полезно для образовательных учреждений для защиты конфиденциальных данных и обеспечения соответствия политикам безопасности.

Основные возможности:

• Обнаружение угроз обнаруживает угрозы на основе журналов действий пользователей и обнаружения аномалий. Это помогает выявлять скомпрометированные учетные записи и внутренние угрозы.
• Защита данных применяет политики защиты от потери данных (DLP) для защиты конфиденциальной информации. Он может обнаруживать, классифицировать, помечать и защищать регулируемые данные, хранящиеся в облаке.
• Управление разрешениями приложений управляет разрешениями приложений на Office 365, обеспечивая доступ к данным только доверенным приложениям.
• Обнаружение теневых ИТ определяет и отслеживает облачные приложения, используемые в вашей организации, помогая управлять рисками, связанными с несанкционированными приложениями, и устранять их.
• Автоматическое исправление позволяет автоматически реагировать на обнаруженные угрозы, сокращая время на устранение потенциальных проблем безопасности.

Преимущества для образовательных учреждений:

• Повышенная безопасность защищает данные учащихся и преподавателей от киберугроз и несанкционированного доступа.
• Соответствие требованиям помогает соответствовать нормативным требованиям к защите данных и конфиденциальности.
• Улучшенная видимость предоставляет аналитические сведения о действиях пользователей и использовании приложений, что обеспечивает более эффективное управление безопасностью.

Начало работы:

1. Откройте портал Microsoft Defender for Cloud Apps.
2. Настройте политики для обнаружения угроз, защиты данных и разрешений приложений. Используйте встроенные шаблоны политик, чтобы быстро приступить к работе.
3. Регулярно отслеживайте оповещения и отчеты на портале. Используйте автоматизированные действия по исправлению для быстрого устранения любых обнаруженных угроз.

Подробнее:

• Как Defender for Cloud Apps помогает защитить среду Microsoft 365
• Сравнение Microsoft Defender for Cloud Apps и Office 365 Cloud App Security