Procedure consigliate per proteggere l'organizzazione con app Defender per il cloud

Questo articolo illustra le procedure consigliate per proteggere l'organizzazione usando le app di Microsoft Defender per il cloud. Queste procedure consigliate provengono dalla nostra esperienza con Defender per il cloud App e le esperienze dei clienti come te.

Le procedure consigliate descritte in questo articolo includono:

Individuare e valutare le app cloud

L'integrazione di app Defender per il cloud con Microsoft Defender per endpoint consente di usare Cloud Discovery oltre la rete aziendale o i gateway Web sicuri. Con le informazioni combinate sull'utente e sul dispositivo, è possibile identificare utenti o dispositivi rischiosi, vedere quali app usano e analizzare ulteriormente il portale di Defender per endpoint.

Procedura consigliata: Abilitare l'individuazione SHADOW IT con Defender per endpoint
Dettagli: Cloud Discovery analizza i log del traffico raccolti da Defender per endpoint e valuta le app identificate rispetto al catalogo delle app cloud per fornire informazioni sulla conformità e sulla sicurezza. Configurando Cloud Discovery, si ottiene visibilità sull'uso del cloud, shadow IT e sul monitoraggio continuo delle app non approvate usate dagli utenti.
Per altre informazioni:


Procedura consigliata: configurare i criteri di individuazione delle app per identificare in modo proattivo app rischiose, non conformi e di tendenza
Dettagli: i criteri di individuazione delle app semplificano la traccia delle applicazioni individuate significative nell'organizzazione per facilitare la gestione di queste applicazioni in modo efficiente. Creare criteri per ricevere avvisi quando rilevano nuove app identificate come rischiose, non conformi, tendenze o volumi elevati.
Per altre informazioni:


Procedura consigliata: gestire le app OAuth autorizzate dagli utenti
Dettagli: molti utenti concedono casualmente le autorizzazioni OAuth alle app di terze parti per accedere alle informazioni sull'account e, in questo modo, inavvertitamente anche concedere l'accesso ai dati in altre app cloud. In genere, l'IT non ha visibilità su queste app rendendo difficile valutare il rischio di sicurezza di un'app rispetto al vantaggio di produttività offerto.

Defender per il cloud App offre la possibilità di analizzare e monitorare le autorizzazioni dell'app concesse agli utenti. È possibile usare queste informazioni per identificare un'app potenzialmente sospetta e, se si determina che è rischioso, è possibile vietare l'accesso.
Per altre informazioni:





Applicare i criteri di governance del cloud

Procedura consigliata: Contrassegna le app e esporta script di blocco
Dettagli: dopo aver esaminato l'elenco delle app individuate nell'organizzazione, è possibile proteggere l'ambiente dall'uso di app indesiderate. È possibile applicare il tag Approvato alle app approvate dall'organizzazione e al tag Non approvato alle app non approvate . È possibile monitorare le app non approvate usando filtri di individuazione o esportare uno script per bloccare le app non approvate usando le appliance di sicurezza locali. L'uso dei tag e degli script di esportazione consente di organizzare le app e proteggere l'ambiente solo consentendo l'accesso alle app sicure.
Per altre informazioni:


Limitare l'esposizione dei dati condivisi e applicare i criteri di collaborazione

Procedura consigliata: Connettere Microsoft 365
Dettagli: la connessione di Microsoft 365 alle app di Defender per il cloud offre visibilità immediata sulle attività degli utenti, i file a cui accedono e fornisce azioni di governance per Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange e Dynamics.
Per altre informazioni:


Procedura consigliata: Connettere le app
Dettagli: la connessione delle app alle app Defender per il cloud offre informazioni dettagliate migliorate sulle attività degli utenti, il rilevamento delle minacce e le funzionalità di governance. Per vedere quali API di app di terze parti sono supportate, passare a Connetti app.

Per altre informazioni:


Procedura consigliata: Creare criteri per rimuovere la condivisione con account personali
Dettagli: la connessione di Microsoft 365 alle app di Defender per il cloud offre visibilità immediata sulle attività degli utenti, i file a cui accedono e fornisce azioni di governance per Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange e Dynamics.
Per altre informazioni:


Individuare, classificare, etichettare e proteggere i dati regolamentati e sensibili archiviati nel cloud

Procedura consigliata: Eseguire l'integrazione con Microsoft Purview Information Protection
Dettagli: l'integrazione con Microsoft Purview Information Protection offre la possibilità di applicare automaticamente etichette di riservatezza e, facoltativamente, di aggiungere la protezione della crittografia. Dopo aver attivato l'integrazione, è possibile applicare etichette come azione di governance, visualizzare i file in base alla classificazione, analizzare i file in base al livello di classificazione e creare criteri granulari per assicurarsi che i file classificati vengano gestiti correttamente. Se non si attiva l'integrazione, non è possibile sfruttare la possibilità di analizzare, etichettare e crittografare automaticamente i file nel cloud.
Per altre informazioni:


Procedura consigliata: Creare criteri di esposizione dei dati
Dettagli: usare i criteri dei file per rilevare la condivisione delle informazioni e cercare informazioni riservate nelle app cloud. Creare i criteri di file seguenti per avvisare l'utente quando vengono rilevate esposizioni dei dati:

  • File condivisi esternamente contenenti dati sensibili
  • File condivisi esternamente e etichettati come Riservato
  • File condivisi con domini non autorizzati
  • Proteggere i file sensibili nelle app SaaS

Per altre informazioni:


Procedura consigliata: Esaminare i report nella pagina File
Dettagli: dopo aver connesso varie app SaaS usando connettori app, Defender per il cloud app analizza i file archiviati da queste app. Inoltre, ogni volta che un file viene modificato viene nuovamente analizzato. È possibile usare la pagina File per comprendere e analizzare i tipi di dati archiviati nelle app cloud. Per facilitare l'analisi, è possibile filtrare in base a domini, gruppi, utenti, data di creazione, estensione, nome file e tipo, ID file, etichetta di riservatezza e altro ancora. L'uso di questi filtri consente di controllare come si sceglie di analizzare i file per assicurarsi che nessuno dei dati sia a rischio. Dopo aver compreso meglio il modo in cui vengono usati i dati, è possibile creare criteri per analizzare i contenuti sensibili in questi file.
Per altre informazioni:





Applicare criteri di prevenzione della perdita dei dati e conformità per i dati archiviati nel cloud

Procedura consigliata: proteggere i dati riservati dalla condivisione con utenti esterni
Dettagli: creare criteri di file che rilevano quando un utente tenta di condividere un file con l'etichetta Riservatezza riservata con un utente esterno all'organizzazione e configurare l'azione di governance per rimuovere gli utenti esterni. Questo criterio garantisce che i dati riservati non lascino l'organizzazione e gli utenti esterni non possano ottenere l'accesso.
Per altre informazioni:





Bloccare e proteggere il download di dati sensibili in dispositivi non gestiti o rischiosi

Procedura consigliata: gestire e controllare l'accesso ai dispositivi ad alto rischio
Dettagli: usare il controllo delle app per l'accesso condizionale per impostare i controlli nelle app SaaS. È possibile creare criteri di sessione per monitorare le sessioni ad alto rischio e bassa attendibilità. Analogamente, è possibile creare criteri di sessione per bloccare e proteggere i download da utenti che tentano di accedere ai dati sensibili da dispositivi non gestiti o rischiosi. Se non si creano criteri di sessione per monitorare le sessioni ad alto rischio, si perderà la possibilità di bloccare e proteggere i download nel client Web, nonché la possibilità di monitorare la sessione con attendibilità bassa sia nelle app Microsoft che in app di terze parti.
Per altre informazioni:





Proteggere la collaborazione con gli utenti esterni applicando i controlli sessione in tempo reale

Procedura consigliata: monitorare le sessioni con utenti esterni usando il controllo delle app per l'accesso condizionale
Dettagli: per proteggere la collaborazione nell'ambiente in uso, è possibile creare criteri di sessione per monitorare le sessioni tra gli utenti interni ed esterni. Ciò non solo consente di monitorare la sessione tra gli utenti (e di notificare loro che le attività di sessione sono monitorate), ma consente anche di limitare attività specifiche. Quando si creano criteri di sessione per monitorare l'attività, è possibile scegliere le app e gli utenti da monitorare.
Per altre informazioni:





Rilevare minacce cloud, account compromessi, insider dannosi e ransomware

Procedura consigliata: ottimizzare i criteri di anomalia, impostare intervalli IP, inviare commenti e suggerimenti per gli avvisi
Dettagli: i criteri di rilevamento anomalie forniscono funzionalità predefinite per il comportamento di utenti ed entità analitica (UEBA) e Machine Learning (ML) in modo da poter eseguire immediatamente il rilevamento avanzato delle minacce nell'ambiente cloud.

I criteri di rilevamento anomalie vengono attivati quando sono presenti attività insolite eseguite dagli utenti nell'ambiente in uso. Defender per il cloud App monitora continuamente le attività degli utenti e usa UEBA e ML per apprendere e comprendere il comportamento normale degli utenti. È possibile ottimizzare le impostazioni dei criteri in base ai requisiti delle organizzazioni, ad esempio, è possibile impostare la riservatezza di un criterio, nonché definire l'ambito di un criterio su un gruppo specifico.

  • Ottimizzare e definire l'ambito dei criteri di rilevamento anomalie: ad esempio, per ridurre il numero di falsi positivi all'interno dell'avviso di spostamento impossibile, è possibile impostare il dispositivo di scorrimento di riservatezza del criterio su basso. Se si hanno utenti dell'organizzazione che sono viaggiatori aziendali frequenti, è possibile aggiungerli a un gruppo di utenti e selezionare tale gruppo nell'ambito dei criteri.

  • Imposta intervalli IP: Defender per il cloud le app possono identificare gli indirizzi IP noti dopo aver impostato gli intervalli di indirizzi IP. Con gli intervalli di indirizzi IP configurati, è possibile contrassegnarlo, classificare e personalizzare la modalità di visualizzazione e analisi dei log e degli avvisi. L'aggiunta di intervalli di indirizzi IP consente di ridurre i rilevamenti falsi positivi e migliorare l'accuratezza degli avvisi. Se si sceglie di non aggiungere gli indirizzi IP, è possibile che venga visualizzato un numero maggiore di possibili falsi positivi e avvisi da analizzare.

  • Inviare commenti e suggerimenti per gli avvisi

    Quando si ignorano o si risolvono gli avvisi, assicurarsi di inviare commenti e suggerimenti con il motivo per cui è stato ignorato l'avviso o come è stato risolto. Queste informazioni consentono di Defender per il cloud App per migliorare gli avvisi e ridurre i falsi positivi.

Per altre informazioni:


Procedura consigliata: rilevare l'attività da località o paesi/aree geografiche impreviste
Dettagli: creare un criterio attività per notificare quando gli utenti accedono da località o paesi/aree geografiche impreviste. Queste notifiche possono avvisare l'utente di sessioni potenzialmente compromesse nell'ambiente in modo da poter rilevare e correggere le minacce prima che si verifichino.
Per altre informazioni:


Procedura consigliata: Creare criteri di app OAuth
Dettagli: creare un criterio di app OAuth per notificare quando un'app OAuth soddisfa determinati criteri. Ad esempio, è possibile scegliere di ricevere una notifica quando è stato eseguito l'accesso a un'app specifica che richiede un livello di autorizzazione elevato da più di 100 utenti.
Per altre informazioni:





Usare il audit trail delle attività per le indagini forensi

Procedura consigliata: usare il audit trail delle attività durante l'analisi degli avvisi
Dettagli: gli avvisi vengono attivati quando le attività di accesso, amministratore o utente non sono conformi ai criteri. È importante analizzare gli avvisi per capire se esiste una possibile minaccia nell'ambiente in uso.

È possibile analizzare un avviso selezionandolo nella pagina Avvisi ed esaminando il audit trail delle attività relative a tale avviso. Il audit trail offre visibilità sulle attività dello stesso tipo, dello stesso utente, dello stesso indirizzo IP e della stessa posizione, per fornire la storia complessiva di un avviso. Se un avviso garantisce ulteriori indagini, creare un piano per risolvere questi avvisi nell'organizzazione.

Quando si ignorano gli avvisi, è importante analizzare e comprendere perché non sono importanti o se sono falsi positivi. Se è presente un volume elevato di tali attività, è anche possibile prendere in considerazione la revisione e l'ottimizzazione dei criteri che attivano l'avviso.
Per altre informazioni:





Proteggere i servizi IaaS e le app personalizzate

Procedura consigliata: Connettere Azure, AWS e GCP
Dettagli: la connessione di ognuna di queste piattaforme cloud alle app Defender per il cloud consente di migliorare le funzionalità di rilevamento delle minacce. Monitorando le attività amministrative e di accesso per questi servizi, è possibile rilevare e ricevere notifiche su possibili attacchi di forza bruta, uso dannoso di un account utente con privilegi e altre minacce nell'ambiente. Ad esempio, è possibile identificare rischi come eliminazioni insolite di macchine virtuali o persino attività di rappresentazione in queste app.
Per altre informazioni:


Procedura consigliata: Eseguire l'onboarding di app personalizzate
Dettagli: per ottenere visibilità aggiuntiva sulle attività dalle app line-of-business, è possibile eseguire l'onboarding di app personalizzate in app Defender per il cloud. Dopo aver configurato le app personalizzate, vengono visualizzate informazioni su chi li usa, gli indirizzi IP da cui vengono usati e il traffico in ingresso e in uscita dall'app.

Inoltre, è possibile eseguire l'onboarding di un'app personalizzata come app di controllo delle app per l'accesso condizionale per monitorare le sessioni con attendibilità bassa. Le app Microsoft Entra ID vengono caricate automaticamente.

Per altre informazioni: