本文提供了使用 Microsoft Defender for Cloud Apps 保护组织的最佳做法。 这些最佳做法来自我们在Defender for Cloud Apps方面的经验和像你这样的客户的体验。
本文中讨论的最佳做法包括:
发现和评估云应用
应用云管理策略
限制共享数据的公开并强制实施协作策略
发现、分类、标记和保护存储在云中的管控和敏感数据
对存储在云中的数据强制实施 DLP 和合规性策略
阻止和保护敏感数据下载到非托管或有风险的设备上
通过强制实施实时会话控件,实现与外部用户的安全协作
检测云威胁、被盗用帐户、恶意预览体验成员和勒索软件
将活动的审核记录用于取证调查
安全 IaaS 服务和自定义应用
发现和评估云应用
通过将Defender for Cloud Apps与Microsoft Defender for Endpoint集成,可以在企业网络或安全 Web 网关之外使用云发现。 结合用户和设备信息,可以识别有风险的用户或设备,查看他们使用的应用,并在 Defender for Endpoint 门户中进一步调查。
最佳做法:使用 Defender for Endpoint 启用影子 IT 发现
详细信息:云发现分析 Defender for Endpoint、防火墙和安全 Web 网关收集的流量日志,并针对云应用目录评估已识别的应用,以提供合规性和安全性信息。 通过配置云发现,可以了解云使用情况、影子 IT 以及用户正在使用的未批准的应用的持续监视。
有关详细信息,请参阅:
Microsoft Defender for Endpoint与 Defender for Cloud Apps 集成
设置云发现
在网络中发现和管理影子 IT
最佳做法:配置应用发现策略以主动识别风险、不合规和热门应用
详细信息:应用发现策略可更轻松地跟踪组织中发现的重要应用程序,从而帮助你有效地管理这些应用程序。 创建策略,以在检测标识为有风险、不符合、趋势或高容量的新应用时接收警报。
有关详细信息,请参阅:
云发现策略
云发现异常情况检测策略
获取即时行为分析和异常情况检测
最佳做法:管理用户授权的 OAuth 应用
详细信息:许多用户不经意地向第三方应用授予 OAuth 权限以访问其帐户信息,这样做时,无意中还授予对其他云应用中其数据的访问权限。 通常,IT 无法了解这些应用,因此很难权衡应用的安全风险与它提供的工作效率优势。
Defender for Cloud Apps让你能够调查和监视用户授予的应用权限。 可以使用此信息来识别潜在的可疑应用,如果确定存在风险,可以禁止访问它。
有关详细信息,请参阅:
管理 OAuth 应用
OAuth 应用策略
应用云管理策略
最佳做法:标记应用和导出块脚本
详细信息:查看组织中已发现的应用列表后,可以保护环境免受不必要的应用使用。 可以将 “已批准 ”标记应用于组织批准的应用,将 “未批准 ”标记应用于未批准的应用。 可以使用发现筛选器监视未批准的应用,或导出脚本,以阻止使用本地安全设备阻止未批准的应用。 使用标记和导出脚本,可以通过仅允许访问安全应用来组织应用并保护环境。
有关详细信息,请参阅:
治理发现的应用
限制共享数据的公开并强制实施协作策略
最佳做法:连接 Microsoft 365
详细信息:将 Microsoft 365 连接到 Defender for Cloud Apps 可让你即时了解用户的活动、他们正在访问的文件,并提供 Microsoft 365、SharePoint、OneDrive、Teams、Power BI、Exchange 和 Dynamics 的治理作。
有关详细信息,请参阅:
连接应用
将 Microsoft 365 连接到 Microsoft Defender for Cloud Apps
最佳做法:连接应用
详细信息:将应用连接到Defender for Cloud Apps可让你更深入地了解用户的活动、威胁检测和管理功能。 若要查看支持哪些第三方应用 API,请转到 “连接应用”。
有关详细信息,请参阅:
连接应用
最佳做法:创建策略以删除与个人帐户共享
详细信息:将 Microsoft 365 连接到 Defender for Cloud Apps 可让你即时了解用户的活动、他们正在访问的文件,并提供 Microsoft 365、SharePoint、OneDrive、Teams、Power BI、Exchange 和 Dynamics 的治理作。
有关详细信息,请参阅:
管理连接的应用
发现、分类、标记和保护存储在云中的管控和敏感数据
最佳做法:与 Microsoft Purview 信息保护 集成
详细信息:通过与 Microsoft Purview 信息保护 集成,可以自动应用敏感度标签并选择性地添加加密保护。 启用集成后,可以应用标签作为治理作,按分类查看文件,按分类级别调查文件,并创建精细策略以确保正确处理分类文件。 如果不启用集成,则无法从云中自动扫描、标记和加密文件的功能中受益。
有关详细信息,请参阅:
Microsoft Purview 信息保护集成
教程:从Microsoft Purview 信息保护自动应用敏感度标签
最佳做法:创建数据公开策略
详细信息:使用文件策略检测信息共享并扫描云应用中的机密信息。 创建以下文件策略,以在检测到数据泄露时发出警报:
在外部共享包含敏感数据的文件
在外部共享并标记为机密的文件
与未经授权的域共享的文件
保护 SaaS 应用上的敏感文件
有关详细信息,请参阅:
内容检查
文件策略
信息保护策略
对存储在云中的数据强制实施 DLP 和合规性策略
最佳做法:防止机密数据与外部用户共享
详细信息:创建文件策略,检测用户何时尝试与组织外部的人员共享具有 机密 敏感度标签的文件,并配置其治理作以删除外部用户。 此策略可确保机密数据不会离开组织,外部用户无法访问它。
有关详细信息,请参阅:
管理连接的应用
阻止和保护敏感数据下载到非托管或有风险的设备上
最佳做法:管理和控制对高风险设备的访问
详细信息:使用条件访问应用控制在 SaaS 应用上设置控件。 可以创建会话策略来监视高风险、低信任会话。 同样,可以创建会话策略,阻止和保护尝试从非托管或有风险的设备访问敏感数据的用户下载。 如果不创建会话策略来监视高风险会话,你将失去阻止和保护 Web 客户端中的下载的能力,以及Microsoft和第三方应用中监视低信任会话的能力。
有关详细信息,请参阅:
使用Microsoft Defender for Cloud Apps条件访问应用控制保护应用
会话策略
通过强制实施实时会话控件,实现与外部用户的安全协作
最佳做法:使用条件访问应用控制监视与外部用户的会话
详细信息:若要保护环境中的协作,可以创建会话策略来监视内部和外部用户之间的会话。 这不仅使你能够监视用户 (之间的会话,并通知他们正在) 监视其会话活动,而且还使你能够限制特定活动。 创建用于监视活动的会话策略时,可以选择要监视的应用和用户。
有关详细信息,请参阅:
使用Microsoft Defender for Cloud Apps条件访问应用控制保护应用
会话策略
检测云威胁、被盗用帐户、恶意预览体验成员和勒索软件
最佳做法:优化异常策略、设置 IP 范围、发送警报反馈
详细信息:异常情况检测策略 (UEBA) 和机器学习 (ML) 提供现用的用户和实体行为分析,以便可以跨云环境立即运行高级威胁检测。
当环境中的用户执行异常活动时,将触发异常情况检测策略。 Defender for Cloud Apps持续监视用户的活动,并使用 UEBA 和 ML 来学习和了解用户的正常行为。 可以优化策略设置以满足组织要求,例如,可以设置策略的敏感度,以及将策略范围限定为特定组。
优化和作用域异常情况检测策略:例如,若要减少不可能的旅行警报中的误报数,可以将策略的敏感度滑块设置为低。 如果组织中的用户经常是公司旅行者,则可以将其添加到用户组并在策略范围内选择该组。
设置 IP 范围:设置 IP 地址范围后,Defender for Cloud Apps可以识别已知的 IP 地址。 配置 IP 地址范围后,可以标记、分类和自定义日志和警报的显示和调查方式。 添加 IP 地址范围有助于减少误报检测并提高警报的准确性。 如果选择不添加 IP 地址,则可能需要调查的误报和警报数量可能会增加。
发送警报反馈:消除或解决警报时,请确保发送反馈,其中包含你消除警报的原因或解决方式。 此信息可帮助Defender for Cloud Apps改进警报并减少误报。
有关详细信息,请参阅:
获取即时行为分析和异常情况检测
使用 IP 范围和标记
最佳做法:检测来自意外位置或国家/地区的活动
详细信息:创建活动策略,以便在用户从意外位置或国家/地区登录时通知你。 这些通知可以提醒你环境中可能泄露的会话,以便你可以在威胁发生之前检测和修正这些威胁。
有关详细信息,请参阅:
威胁防护策略
最佳做法:创建 OAuth 应用策略
详细信息:创建 OAuth 应用策略,以便在 OAuth 应用满足特定条件时通知你。 例如,当超过 100 个用户访问需要高权限级别的特定应用时,可以选择收到通知。
有关详细信息,请参阅:
OAuth 应用策略
将活动的审核记录用于取证调查
最佳做法:调查警报时使用活动的审核线索
详细信息:当用户、管理员或登录活动不符合策略时,将触发警报。 请务必调查警报,以了解环境中是否存在可能的威胁。
可以通过在“ 警报”页上 选择警报并查看与该警报相关的活动的审核线索来调查该警报。 审核跟踪使你能够查看相同类型、相同用户、相同 IP 地址和位置的活动,从而提供警报的整体情况。 如果警报需要进一步调查,请创建一个计划来解决组织中的这些警报。
消除警报时,请务必调查并了解它们为何不重要,或者它们是否为误报。 如果存在大量此类活动,可能还需要考虑查看和优化触发警报的策略。
有关详细信息,请参阅:
活动
安全 IaaS 服务和自定义应用
最佳做法:连接 Azure、AWS 和 GCP
详细信息:将其中每个云平台连接到Defender for Cloud Apps可帮助你改进威胁检测功能。 通过监视这些服务的管理和登录活动,可以检测并收到有关可能的暴力攻击、恶意使用特权用户帐户以及环境中其他威胁的通知。 例如,可以识别风险,例如 VM 的异常删除,甚至这些应用中的模拟活动。
有关详细信息,请参阅:
将 Azure 连接到 Microsoft Defender for Cloud Apps
将 Amazon Web Services 连接到Microsoft Defender for Cloud Apps
将 Google 工作区连接到Microsoft Defender for Cloud Apps
最佳做法:载入自定义应用
详细信息:若要深入了解业务线应用中的活动,可以将自定义应用加入到Defender for Cloud Apps。 配置自定义应用后,你将看到有关谁在使用自定义应用、使用它们的 IP 地址以及传入和传出应用流量的信息。
此外,还可以将自定义应用加入为条件访问应用控制应用,以监视其低信任会话。 Microsoft Entra ID 应用会自动加入。
有关详细信息,请参阅:
将自定义应用添加到云发现
载入用于条件访问应用控制的非Microsoft IdP 目录应用
为条件访问应用控制载入非Microsoft IdP 自定义应用