使用 Defender for Cloud Apps 保護組織的最佳做法

本文提供使用 Microsoft Defender for Cloud Apps 保護組織的最佳做法。 這些最佳做法來自我們使用 Defender for Cloud Apps 的經驗，以及像您這樣的客戶的體驗。

本文討論的最佳做法包括：

探索及評估雲端應用程式

將Defender for Cloud Apps與適用於端點的 Microsoft Defender整合可讓您在公司網路或安全 Web 閘道之外使用雲端探索。 透過合併的使用者和裝置資訊，您可以識別有風險的使用者或裝置、查看他們正在使用的應用程式，並在適用於端點的 Defender 入口網站中進一步調查。

最佳做法：使用適用於端點的 Defender 啟用陰影 IT 探索
詳細資料：雲端探索會分析適用於端點的 Defender、防火牆和安全 Web 閘道所收集的流量記錄，並根據雲端應用程式目錄評估已識別的應用程式，以提供合規性和安全性資訊。 藉由設定雲端探索，您可以瞭解雲端使用情況、影子 IT，以及持續監視使用者正在使用的未經核准的應用程式。

欲了解更多信息：

• 適用於端點的 Microsoft Defender與Defender for Cloud Apps集成
• 設定雲端探索
• 探索和管理網路中的影子 IT

最佳做法：設定應用程式探索原則，以主動識別有風險、不合規和趨勢的應用程式
詳細資料：應用程式探索原則可讓您更輕鬆地追蹤組織中探索到的重要應用程式，以協助您有效率地管理這些應用程式。 建立原則，以在偵測識別為有風險、不合規、趨勢或大量的新應用程式時接收警示。
欲了解更多信息：

• 雲端探索原則
• 雲端探索異常偵測原則
• 取得即時行為分析和異常偵測

最佳做法：管理使用者授權的 OAuth 應用程式
詳細資料：許多使用者會隨意將 OAuth 權限授與第三方應用程式，以存取其帳戶資訊，而且在此過程中，也會無意中授予其在其他雲端應用程式中資料的存取權。 通常，IT 無法了解這些應用程式，因此很難權衡應用程式的安全風險與其提供的生產力優勢。

Defender for Cloud Apps 可讓您調查和監視使用者授與的應用程式許可權。 您可以使用此資訊來識別潛在的可疑應用程序，如果您確定它有風險，您可以禁止存取它。

欲了解更多信息：

• 管理 OAuth 應用程式
• Oauth 應用程式原則

套用雲端控管原則

最佳做法：標記應用程式並匯出區塊指令碼
詳細資料：檢閱組織中探索到的應用程式清單之後，您可以保護您的環境免於不必要的應用程式使用。 您可以將 [已核准] 標籤套用至組織核准的應用程式，並將 [ 未核准] 標籤套用至未核准的應用程式。 您可以使用探索篩選器監控未經批准的應用程式，或匯出指令碼以使用內部部署安全設備封鎖未經批准的應用程式。 使用標籤和匯出指令碼可讓您組織應用程式，並透過只允許存取安全的應用程式來保護您的環境。
欲了解更多信息：

• 控管探索到的應用程式

限制共用資料的暴露程度，並強制執行共同作業原則

最佳做法：連線 Microsoft 365
詳細資料：將 Microsoft 365 連線到 Defender for Cloud Apps 可讓您立即查看使用者的活動、他們正在存取的檔案，並提供 Microsoft 365、SharePoint、OneDrive、Teams、Power BI、Exchange 和 Dynamics 的治理動作。

欲了解更多信息：

• 連線應用程式
• 將 Microsoft 365 連線到 Microsoft Defender for Cloud Apps

最佳做法：連結您的應用程式
詳細資料：將應用程式連線到適用於 Defender for Cloud Apps 的應用程式可讓您深入瞭解使用者的活動、威脅偵測和治理功能。 如要查看支援哪些第三方應用程式 API，請參閱「 連結應用程式」。

欲了解更多信息：

• 連線應用程式

最佳實務：建立原則以移除與個人帳戶的共用
詳細資料：將 Microsoft 365 連線到 Defender for Cloud Apps 可讓您立即查看使用者的活動、他們正在存取的檔案，並提供 Microsoft 365、SharePoint、OneDrive、Teams、Power BI、Exchange 和 Dynamics 的治理動作。

欲了解更多信息：

• 控管連線的應用程式

探索、分類、標記和保護儲存在雲端受管制的敏感性資料

最佳做法：與 Microsoft Purview 資訊保護 整合
詳細資料：與 Microsoft Purview 資訊保護 整合可讓您自動套用敏感度標籤，並選擇性地新增加密保護。 開啟整合之後，您可以套用標籤作為控管動作、依分類檢視檔案、依分類層級調查檔案，以及建立精細原則，以確保正確處理分類檔案。 如果您未開啟整合，則無法從自動掃描、標記和加密雲端檔案的功能中受益。

欲了解更多信息：

• Microsoft Purview 資訊保護整合
• 教學課程：自動套用來自 Microsoft Purview 資訊保護的敏感度標籤

最佳實務：建立資料暴露原則
詳細資料：使用檔案原則來偵測資訊共用，並掃描雲端應用程式中的機密資訊。 建立下列檔案原則，以便在偵測到資料外洩時發出警示：

• 外部共用的檔案包含敏感資料
• 與外部共用並標記為機密的檔案
• 與未經授權的網域共用的檔案
• 保護 SaaS 應用程式上的敏感性檔案

欲了解更多信息：

• 內容檢查
• 檔案原則
• 資訊保護原則

針對儲存在雲端的資料強制執行 DLP 和合規性原則

最佳做法：保護機密資料不與外部使用者共用
詳細資料：建立檔案原則，以偵測使用者何時嘗試與組織外部的人員共用具有 機密 敏感度標籤的檔案，並設定其治理動作以移除外部使用者。 此原則可確保您的機密資料不會離開您的組織，且外部使用者無法存取它。

欲了解更多信息：

• 控管連線的應用程式

禁止和防止將敏感性資料下載至未受管理或有風險的裝置

最佳做法：管理和控制高風險裝置的存取
詳細資料：使用條件式存取應用程式控制來設定 SaaS 應用程式的控制項。 您可以建立階段作業原則來監控高風險、低信任階段作業。 同樣地，您可以建立工作階段原則，以封鎖和保護使用者嘗試從非受管理或有風險的裝置存取敏感資料的下載。 如果您未建立會話原則來監視高風險會話，您將無法封鎖和保護 Web 用戶端中的下載，以及監視 Microsoft 和第三方應用程式中低信任會話的能力。

欲了解更多信息：

• 使用 Microsoft Defender for Cloud Apps 條件式存取應用程式控制來保護應用程式
• 工作階段政策

強制執行即時工作階段控制，保護與外部使用者之間的共同作業

最佳做法：使用條件式存取應用程式控制來監視與外部使用者的工作階段
詳細資料：若要保護環境中的共同作業，您可以建立階段作業原則來監視內部和外部使用者之間的階段作業。 這不僅使您能夠監控用戶 (之間的會話並通知他們正在) 監控他們的會話活動，而且還使您能夠限制特定活動。 建立工作階段原則來監控活動時，您可以選擇要監控的應用程式和使用者。
欲了解更多信息：

• 使用 Microsoft Defender for Cloud Apps 條件式存取應用程式控制來保護應用程式
• 工作階段政策

偵測雲端威脅、帳戶遭入侵、惡意內部人員及勒索軟體

最佳做法：調整異常原則、設定 IP 範圍、傳送警示意見反應
詳細資料：異常偵測原則提供現成可用的使用者和實體行為分析 (UEBA) 和機器學習 (ML) ，讓您可以立即在雲端環境中執行進階威脅偵測。

當您環境中的使用者執行異常活動時，會觸發異常偵測原則。 Defender for Cloud Apps 會持續監視使用者的活動，並使用 UEBA 和 ML 來學習和瞭解使用者的正常行為。 您可以調整原則設定以符合組織需求，例如，您可以設定原則的敏感度，以及將原則範圍限定為特定群組。

• 調整和範圍異常偵測原則：例如，若要減少不可能出差警示中的誤判數目，您可以將原則的敏感度滑桿設定為低。 如果您的組織中有經常出差的公司使用者，您可以將他們新增至使用者群組，並在原則範圍內選取該群組。

• 設定 IP 範圍：設定 IP 位址範圍之後，Defender for Cloud Apps 可以識別已知的 IP 位址。 配置 IP 位址範圍後，您可以標記、分類和自訂記錄和警示的顯示和調查方式。 新增 IP 位址範圍有助於減少誤報偵測並提高警示的準確性。 如果您選擇不新增 IP 位址，您可能會看到更多可能的誤判和需要調查的警示。

• 發送警報反饋： 關閉或解決警報時，請確保發送反饋，說明您關閉警報的原因或解決方式。 這項資訊可協助 Defender for Cloud Apps 改善警示並減少誤判。

欲了解更多信息：

• 取得即時行為分析和異常偵測
• 使用 IP 範圍和標記 (部分機器翻譯)

最佳實務：偵測來自非預期位置或國家/地區的活動
詳細資料：建立活動原則，以在使用者從非預期的位置或國家/地區登入時通知您。 這些通知可以提醒您環境中可能遭到入侵的工作階段，以便您可以在威脅發生之前偵測並修復威脅。
欲了解更多信息：

• 威脅防護原則

最佳實務：建立 OAuth 應用程式原則
詳細資料：建立 OAuth 應用程式原則，以便在 OAuth 應用程式符合特定條件時通知您。 例如，您可以選擇在超過 100 個使用者存取需要高權限層級的特定應用程式時收到通知。

欲了解更多信息：

• Oauth 應用程式原則

使用活動的稽核線索來啟動鑒識調查

最佳實務：在調查警示時使用活動的稽核追蹤
詳細資料：當使用者、系統管理員或登入活動不符合您的原則時，會觸發警示。 請務必調查警示，以瞭解您的環境中是否存在可能的威脅。

您可以在 [警示] 頁面上選取警示，並檢閱與該警示相關的活動稽核記錄，以調查警示。 稽核追蹤可讓您瞭解相同類型、相同使用者、相同 IP 位址和位置的活動，以提供警示的整體故事。 如果警示需要進一步調查，請建立計劃來解決組織中的這些警示。

關閉警示時，請務必調查並瞭解為什麼它們不重要，或它們是否為誤報。 如果有大量此類活動，您可能也想考慮檢閱和調整觸發警示的原則。

欲了解更多信息：

• 活動

保護 IaaS 服務和自訂應用程式

最佳實務：連線 Azure、AWS 和 GCP
詳細資料：將每個雲端平台連線到適用於 Defender for Cloud Apps 的雲端平台，可協助您改善威脅偵測功能。 藉由監視這些服務的系統管理和登入活動，您可以偵測並收到環境中可能的暴力密碼破解攻擊、惡意使用特殊許可權使用者帳戶，以及其他威脅的通知。 例如，您可以識別風險，例如異常刪除 VM，甚至是這些應用程式中的模擬活動。

欲了解更多信息：

• 將 Azure 連線至 Microsoft Defender for Cloud Apps
• 將 Amazon Web Services 連線至 Microsoft Defender for Cloud Apps
• 將 Google Workspace 連線至 Microsoft Defender for Cloud Apps

最佳實務：將自訂應用程式上線
詳細資料：若要進一步瞭解企業營運應用程式的活動，您可以將自訂應用程式上線至 Defender for Cloud Apps。 配置自定義應用程序後，您會看到有關誰在使用它們、使用它們的 IP 地址以及進出應用程序的流量量的信息。

此外，您可以將自訂應用程式上線為條件式存取應用程式控制應用程式，以監視其低信任會話。 Microsoft Entra ID 應用程式會自動上線。

欲了解更多信息：

• 將自訂應用程式新增至雲端探索
• 將非 Microsoft IdP 目錄應用程式上線以進行條件式存取應用程式控制
• 將非 Microsoft IdP 自訂應用程式上線以進行條件式存取應用程式控制