Ролик: Microsoft Defender для облачных приложений

Эта демонстрация выполняется на основе следующего содержимого Learn:

  • Схема обучения. Описание возможностей решений Майкрософт по обеспечению безопасности
  • Модуль. Описание возможностей защиты от угроз XDR в Microsoft Defender
  • Урок. Описание Microsoft Defender for Cloud Apps

Демонстрационный сценарий

В рамках этой демонстрации вы покажете возможности Microsoft Defender for Cloud Apps. Вы продемонстрируете учащимся, какие сведения доступны на панели мониторинга Cloud Discovery и в каталоге облачных приложений, какие имеются возможности для исследования результатов с помощью журнала действий и файлов и как можно контролировать последствия для организации посредством политик. Примечание. У организации должна быть лицензия на использование Microsoft Defender for Cloud Apps, так как эта служба предоставляется по подписке на каждого пользователя.

Демонстрация, часть 1. Изучение Cloud Discovery

  1. В адресной строке введите admin.microsoft.com. Войдите с помощью учетных данных администратора для клиента Microsoft 365, предоставленного полномочным поставщиком услуг размещения заданий (ALH), для доступа к Центру администрирования Microsoft 365.

  2. В левой области навигации центра администрирования Microsoft 365 выберите пункт Показать все.

  3. В Центрах администрирования выберите Безопасность. Откроется новая страница браузера на странице приветствия портала Microsoft Defender.

  4. Если вы впервые посещаете портал Microsoft Defender, вы можете получить всплывающее окно, чтобы получить краткий обзор.

  5. На панели навигации слева выберите Облачные приложения, чтобы развернуть список, а затем выберите пункт Cloud Discovery. Откроется представление панели мониторинга. Расскажите о сведениях, доступных на панели мониторинга. В представлении панели мониторинга можно выбирать различные вкладки в верхней части страницы. Перейдите по всем вкладкам в верхней части страницы.

  6. Выберите Обнаруженные приложения. В окне обнаруженных приложений представлено более подробное представление обнаруженных приложений, включая оценку риска, трафик, количество пользователей и многое другое.
    1. Из любого элемента списка выберите многоточие в столбце “Действия” таблицы. Обратите внимание на различные доступные опции, включая возможность пометить приложение как санкционированное или несанкционированное. Снова нажмите кнопку с многоточием, чтобы закрыть область действий.
    2. При выборе определенного элемента строки откроется страница сведений для конкретного приложения. Выберите элемент из списка. Для выбранного элемента откройте вкладку Использование облачного приложения, чтобы просмотреть более подробные сведения, включая данные в разделах Использование, Пользователи, IP-адреса и Оповещения. Завершив изучение страницы сведений, вернитесь на страницу обнаруженных приложений, выбрав Cloud Discovery в строке навигации в верхней части страницы. Если выбрать Cloud Discovery на панели навигации слева, снова откроется представление панели мониторинга.
    3. В верхней части страницы выберите вкладку IP-адреса. Здесь находятся такие данные, как количество транзакций, объем трафика и объемы отправки по каждому IP-адресу. Обратите внимание, что вы также можете отфильтровать данные по определенному IP-адресу или экспортировать данные для дальнейшего анализа.
    4. В верхней части страницы выберите вкладку Пользователи. Здесь содержатся те же сведения, что и на вкладке “IP-адреса”, но приводятся они для отдельных пользователей. Здесь вы снова фильтруете данные по определенному пользователю и экспортируете данные для дальнейшего анализа.
  7. Важно упомянуть, что сведения, предоставляемые на странице Cloud Discovery и связанных вкладках, основаны или на моментальных отчетах из журналов трафика, которые вы вручную передаете из своих брандмауэров и прокси-серверов, или на непрерывных отчетах, в которых анализируются все журналы, переадресованные из вашей сети с помощью Cloud App Security. Чтобы узнать, где это настроено, выберите Действия в правом верхнем углу страницы.
    1. Выберите первый пункт Создать моментальный отчет Cloud Discovery, а затем нажмите кнопку Далее. Здесь вы заполните запрошенные сведения и отправите журналы трафика для создания и отправки отчета. Выберите Выйти и при появлении запроса “Вы уверены?” нажмите Выйти еще раз. Данные, которые отображаются для клиента для практических занятий, берутся из моментального отчета, о чем говорится в верхней части окна Cloud Discovery.
    2. Чтобы воспользоваться непрерывными отчетами, выберите Действия в правом верхнем углу этой страницы, а затем в раскрывающемся списке выберите пункт Настройка автоматической отправки. Нет подключенных источников данных, но здесь вы добавите источник данных. Выберите пункт Добавить источник данных, а затем щелкните стрелку раскрывающегося списка в поле Выберите устройство, чтобы просмотреть типы устройств, которые можно подключить в качестве источника данных. Выберите Отмена для выхода.
    3. На панели навигации слева выберите Cloud Discovery, чтобы вернуться на страницу Cloud Discovery.
  8. С помощью Microsoft Defender для облака приложений вы можете подключаться к приложениям напрямую, настроив соединители приложений, которые обеспечивают более высокую видимость и контроль над облачными приложениями. В правом верхнем углу экрана выберите Действия, а затем выберите Параметры Cloud Discovery. Обратите внимание на доступные настройки.
    1. На панели навигации слева окна параметров облачных приложений выберите Соединители приложений (может потребоваться прокрутить вниз).
    2. На странице “Соединители приложений” вы увидите уже настроенные соединители приложений и где можно добавить соединитель приложения.
    3. Вы должны увидеть в списке Microsoft 365. Если отображается ошибка подключения, перейдите к вертикальному многоточию справа от элемента строки и выберите изменить параметры. Чтобы повторно подключиться, выберите Подключить Office 365 в нижней части страницы. Теперь на странице должно отображаться наличие подключения Office 365. Нажмите кнопку Готово. Теперь состояние будет отображаться с желтым предупреждающим знаком, указывающим на отсутствие недавнего состояния. Обновление состояния займет некоторое время, так как период времени ретроактивной проверки зависит от конкретного приложения, а клиенты лаборатории могут столкнуться с более длительными задержками.
    4. Настройка нового соединителя приложения. Выберите +Подключить приложение. В раскрывающемся списке отображается список, из которого можно выбрать. Вы также можете указать, что в списке есть опция Предложить больше приложений.
    5. При необходимости можно добавить соединитель Microsoft Azure. В раскрывающемся списке выберите Microsoft Azure. Во всплывающем окне Microsoft Azure выберите команду Подключить Microsoft Azure, а затем нажмите кнопку Готово. Вы увидите состояние “Подключено” (если оно не отображается, обновите страницу браузера) и сведения о проверке пользователей, данных и действий.
  9. Находясь на странице параметров облачных приложений, стоит потратить несколько минут на изучение некоторых других параметров Cloud Discovery.
    1. Выберите приложения Управления условным доступом к приложениям и обратите внимание на описание: “Управление условным доступом к приложениям добавляет возможности мониторинга и управления в режиме реального времени для ваших приложений”.
    2. Выберите Microsoft Information Protection, поговорите с доступными параметрами.
    3. Изучите другие по желанию. Укажите уровень интеграции и гибкости.

  10. Вернитесь на панель мониторинга Cloud Discovery, выбрав Cloud Discovery на панели навигации слева.

  11. Оставьте эту страницу открытой, так как она будет использоваться в следующей части.

Демонстрация, часть 2. Изучение каталога облачных приложений

В этой части демонстрации вы покажете возможности каталога облачных приложений. Cloud Discovery анализирует журналы трафика и сопоставляет их с каталогом Microsoft Defender for Cloud Apps, который содержит более 31 000 облачных приложений. Приложения оцениваются по более чем 80 факторам риска. Это обеспечивает непрерывный контроль использования облачной среды, теневых ИТ-ресурсов и риска, который эти ресурсы представляют для организации.

  1. На панели навигации слева выберите элемент Каталог облачных приложений.

  2. В каталоге облачных приложений можно выбирать приложения, отвечающие требованиям безопасности вашей организации. Администраторы могут выполнять базовую фильтрацию приложений, как показано в верхней части страницы. Можно указать, является ли приложение санкционированным, несанкционированным или не имеет тега, оценки риска, фактора риска соответствия требованиям и фактора риска безопасности. Например, фильтрация по фактору риска соответствия требованиям позволяет искать определенные стандарты, сертификаты и требования, которым может соответствовать приложение. Примерами могут служить HIPAA, ISO 27001, SOC 2 и PCI-DSS. Выберите Фактор риска соответствия, чтобы просмотреть доступные варианты. Вы можете выполнить дополнительную фильтрацию по оценке риска, переместив ползунки для оценки риска в верхней части страницы. При перемещении ползунка обязательно установите его так, чтобы задать диапазон от 0 до 10.

  3. Администраторы также могут искать приложения по категориям. Например, в поле поиска категории введите Социальная сеть, а затем выберите Социальная сеть. Выберите любой элемент из списка для подробного просмотра. При наведении указателя мыши на любую тему для данной категории будет отображаться значок сведений, который можно щелкнуть для получения дополнительных сведений.

  4. Оставьте эту страницу открытой, так как она будет использоваться в следующей задаче.

Демонстрационная часть 3. Изучение журнала действий

Изучите способы, с помощью которых можно исследовать записанные действия с помощью журнала действий.

  1. На панели навигации слева выберите элемент Журнал действий. Здесь вы получаете доступ ко всем действиям подключенных приложений. В списке может не быть данных, так как выполнение ретроактивных проверок после включения аудита может занять несколько часов, а клиенты лабораторной среды могут столкнуться с более длительными задержками. Обратите внимание на доступные параметры фильтра и возможность создания политики на основе поиска.

  2. Оставьте эту страницу открытой, так как она будет использоваться в следующей задаче.

Демонстрация, часть 4. Изучение политик

В этой части вы продемонстрируете параметры, доступные для политик в Microsoft Defender for Cloud Apps.

  1. На панели навигации слева выберите Политики.
    1. Выберите Управление политиками. Перечисленные политики предоставляют информацию о количестве оповещений, созданных политикой, серьезности и т. д. При выборе любого элемента строки можно получить более подробную информацию о политике. Выберите элемент из списка, чтобы просмотреть подробные сведения о политике. Расскажите о некоторых параметрах и нажмите кнопку Отмена.
    2. Обратите внимание, что вы также можете создать политику. Выберите + Создать политику, чтобы просмотреть типы политик, которые можно создать. Выберите Политика действий, чтобы просмотреть различные параметры, доступные для создания политики. Нажмите кнопку Отмена, чтобы закрыть окно настройки.
    3. Обратите внимание, что вы также можете экспортировать сведения о политике.

  2. На панели навигации слева выберите элемент Шаблоны политик. Чтобы создать политику на основе одного из доступных шаблонов, выберите + в правой части строки шаблона. Просмотрите различные параметры конфигурации для политики. Нажмите кнопку Отмена, чтобы закрыть страницу.

  3. На панели навигации слева выберите “Главная” , чтобы вернуться на домашнюю страницу Microsoft Defender.

  4. Если вы планируете продолжить работу со следующей демонстрацией, не закрывайте вкладку браузера.

Отзыв

В рамках этой демонстрации вы показали возможности Microsoft Defender для облачных приложений. Вы продемонстрировали учащимся, какие сведения доступны на панели мониторинга Cloud Discovery и в каталоге облачных приложений, какие имеются возможности для исследования результатов с помощью журнала действий и файлов и как можно контролировать последствия для организации посредством политик.