Självstudie: Identifiera och hantera skugg-IT

När IT-administratörer tillfrågas om hur många molnappar de tror att deras anställda använder, säger de i genomsnitt 30 eller 40, när det i verkligheten är över 1 000 separata appar som används av anställda i din organisation. Shadow IT hjälper dig att känna till och identifiera vilka appar som används och vilken risknivå du har. 80 % av de anställda använder icke-sanktionerade appar som ingen har granskat och som kanske inte är kompatibla med dina säkerhets- och efterlevnadsprinciper. Och eftersom dina anställda kan komma åt dina resurser och appar utanför företagets nätverk räcker det inte längre att ha regler och principer i brandväggarna.

I den här självstudien får du lära dig hur du använder molnidentifiering för att identifiera vilka appar som används, utforska risken för dessa appar, konfigurera principer för att identifiera nya riskfyllda appar som används och att ta bort borttagning av dessa appar för att blockera dem internt med hjälp av proxy- eller brandväggsinstallationen

Dricks

Som standard kan Defender för Cloud Apps inte identifiera appar som inte finns i katalogen.

Om du vill se Defender för Cloud Apps-data för en app som för närvarande inte finns i katalogen rekommenderar vi att du kontrollerar vår översikt eller skapar en anpassad app.

Så här identifierar och hanterar du Skugg-IT i nätverket

Använd den här processen för att distribuera skugg-IT-molnidentifiering i din organisation.

skugg-IT-livscykel.

Fas 1: Identifiera och identifiera skugg-IT

  1. Upptäck Shadow IT: Identifiera organisationens säkerhetsstatus genom att köra molnidentifiering i din organisation för att se vad som faktiskt händer i nätverket. Mer information finns i Konfigurera molnidentifiering. Detta kan göras med någon av följande metoder:

    • Kom igång snabbt med molnidentifiering genom att integrera med Microsoft Defender za krajnju tačku. Med den här interna integreringen kan du omedelbart börja samla in data om molntrafik på dina Windows 10- och Windows 11-enheter, på och utanför nätverket.

    • För täckning på alla enheter som är anslutna till nätverket är det viktigt att distribuera Defender for Cloud Apps-logginsamlaren på dina brandväggar och andra proxyservrar för att samla in data från dina slutpunkter och skicka dem till Defender för Molnappar för analys.

    • Integrera Defender för Cloud Apps med din proxy. Defender för Cloud Apps integreras internt med vissa proxyservrar från tredje part, inklusive Zscaler.

    Eftersom principerna skiljer sig åt mellan användargrupper, regioner och affärsgrupper kanske du vill skapa en dedikerad Skugg-IT-rapport för var och en av dessa enheter. Mer information finns i Skapa anpassade kontinuerliga rapporter.

    Nu när molnidentifieringen körs i nätverket kan du titta på de kontinuerliga rapporter som genereras och titta på instrumentpanelen för molnidentifiering för att få en fullständig bild av vilka appar som används i din organisation. Det är en bra idé att titta på dem efter kategori, eftersom du ofta upptäcker att icke-sanktionerade appar används för legitima arbetsrelaterade ändamål som inte åtgärdades av en sanktionerad app.

  2. Identifiera risknivåerna för dina appar: Använd Defender för Cloud Apps-katalogen för att fördjupa dig i de risker som är förknippade med varje identifierad app. Defender for Cloud App-katalogen innehåller över 31 000 appar som utvärderas med över 90 riskfaktorer. Riskfaktorerna börjar med allmän information om appen (var är appens huvudkontor, vem som är utgivare) och genom säkerhetsåtgärder och kontroller (stöd för kryptering i vila, tillhandahåller en granskningslogg för användaraktivitet). Mer information finns i Arbeta med riskpoäng,

    • I Microsoft Defender-portalen går du till Cloud Apps och väljer Cloud Discovery. Gå sedan till fliken Identifierade appar . Filtrera listan över appar som identifieras i din organisation efter de riskfaktorer som du är orolig för. Du kan till exempel använda avancerade filter för att hitta alla appar med en riskpoäng som är lägre än 8.

    • Du kan öka detaljnivån i appen för att förstå mer om dess efterlevnad genom att välja appnamnet och sedan välja fliken Info för att se information om appens säkerhetsriskfaktorer.

Fas 2: Utvärdera och analysera

  1. Utvärdera efterlevnad: Kontrollera om apparna är certifierade enligt organisationens standarder, till exempel HIPAA eller SOC2.

    • I Microsoft Defender-portalen går du till Cloud Apps och väljer Cloud Discovery. Gå sedan till fliken Identifierade appar . Filtrera listan över appar som identifieras i din organisation efter de riskfaktorer för efterlevnad som du är orolig för. Använd till exempel den föreslagna frågan för att filtrera bort icke-kompatibla appar.

    • Du kan öka detaljnivån i appen för att förstå mer om dess efterlevnad genom att välja appens namn och sedan välja fliken Info för att se information om appens efterlevnadsriskfaktorer.

  2. Analysera användning: Nu när du vet om du vill att appen ska användas i din organisation vill du undersöka hur och vem som använder den. Om det bara används på ett begränsat sätt i din organisation kanske det är ok, men om användningen växer vill du få ett meddelande om det så att du kan bestämma om du vill blockera appen.

    • I Microsoft Defender-portalen går du till Cloud Apps och väljer Cloud Discovery. Gå sedan till fliken Identifierade appar och öka detaljnivån genom att välja den specifika app som du vill undersöka. På fliken Användning får du veta hur många aktiva användare som använder appen och hur mycket trafik den genererar. Detta kan redan ge dig en bra bild av vad som händer med appen. Om du sedan vill se vem som använder appen kan du öka detaljnivån ytterligare genom att välja Totalt antal aktiva användare. Det här viktiga steget kan ge dig relevant information, till exempel om du upptäcker att alla användare av en specifik app kommer från marknadsföringsavdelningen, är det möjligt att det finns ett affärsbehov för den här appen och om det är riskabelt bör du prata med dem om ett alternativ innan du blockerar det.

    • Gå ännu djupare när du undersöker användningen av identifierade appar. Visa underdomäner och resurser för att lära dig mer om specifika aktiviteter, dataåtkomst och resursanvändning i dina molntjänster. Mer information finns i Djupdykning i identifierade appar och Identifiera resurser och anpassade appar.

  3. Identifiera alternativa appar: Använd molnappkatalogen för att identifiera säkrare appar som uppnår liknande affärsfunktioner som de identifierade riskfyllda apparna, men som följer organisationens princip. Du kan göra detta med hjälp av de avancerade filtren för att hitta appar i samma kategori som uppfyller dina olika säkerhetskontroller.

Fas 3: Hantera dina appar

  • Hantera molnappar: Defender för Cloud Apps hjälper dig med processen för att hantera appanvändning i din organisation. När du har identifierat de olika mönster och beteenden som används i din organisation kan du skapa nya anpassade apptaggar för att klassificera varje app enligt dess affärsstatus eller motivering. Dessa taggar kan sedan användas för specifika övervakningsändamål, till exempel identifiera hög trafik som går till appar som är taggade som riskfyllda molnlagringsappar. Apptaggar kan hanteras under Inställningar>Cloud Apps>Cloud Discovery>App-taggar. Dessa taggar kan sedan användas senare för att filtrera på molnidentifieringssidorna och skapa principer med dem.

  • Hantera identifierade appar med Hjälp av Microsoft Entra-galleriet: Defender for Cloud Apps använder också sin interna integrering med Microsoft Entra-ID så att du kan hantera dina identifierade appar i Microsoft Entra-galleriet. För appar som redan visas i Microsoft Entra-galleriet kan du använda enkel inloggning och hantera appen med Microsoft Entra-ID. Om du vill göra det väljer du de tre punkterna i slutet av raden på raden där relevant app visas och väljer sedan Hantera app med Microsoft Entra-ID.

    Hantera app i Microsoft Entra-galleriet.

  • Kontinuerlig övervakning: Nu när du har undersökt apparna noggrant kanske du vill ange principer som övervakar apparna och ge kontroll där det behövs.

Nu är det dags att skapa principer så att du automatiskt kan aviseras när något händer som du är orolig för. Du kanske till exempel vill skapa en appidentifieringsprincip som meddelar dig när det finns en topp i nedladdningar eller trafik från en app som du är orolig för. För att uppnå detta bör du aktivera avvikande beteende i principen för identifierade användare, efterlevnadskontroll av molnlagringsappar och Ny riskfylld app. Du bör också ange principen för att meddela dig via e-post. Mer information finns i referens för principmallar, mer om molnidentifieringsprinciper och Konfigurera appidentifieringsprinciper.

Titta på aviseringssidan och använd filtret Principtyp för att titta på appidentifieringsaviseringar. För appar som matchades av dina appidentifieringsprinciper rekommenderar vi att du gör en avancerad undersökning för att lära dig mer om affärsmotiveringen för att använda appen, till exempel genom att kontakta appens användare. Upprepa sedan stegen i fas 2 för att utvärdera risken för appen. Bestäm sedan nästa steg för programmet, oavsett om du godkänner användning av det i framtiden eller vill blockera det nästa gång en användare kommer åt det, i vilket fall du bör tagga det som osanktionerat så att det kan blockeras med din brandvägg, proxy eller säkra webbgateway. Mer information finns i Integrera med Microsoft Defender za krajnju tačku, Integrera med Zscaler, Integrera med iboss och Blockera appar genom att exportera ett blockskript.

Fas 4: Advanced Shadow IT-identifieringsrapportering

Förutom de rapporteringsalternativ som är tillgängliga i Defender för Molnappar kan du integrera molnidentifieringsloggar i Microsoft Sentinel för ytterligare undersökning och analys. När data finns i Microsoft Sentinel kan du visa dem på instrumentpaneler, köra frågor med kusto-frågespråk, exportera frågor till Microsoft Power BI, integrera med andra källor och skapa anpassade aviseringar. Mer information finns i Microsoft Sentinel-integrering.

Fas 5: Kontrollera sanktionerade appar

  1. Om du vill aktivera appkontroll via API:er ansluter du appar via API för kontinuerlig övervakning.

  2. Skydda appar med hjälp av appkontroll för villkorlig åtkomst.

Molnapparnas natur innebär att de uppdateras dagligen och att nya appar visas hela tiden. På grund av detta använder anställda kontinuerligt nya appar och det är viktigt att fortsätta spåra och granska och uppdatera dina principer, kontrollera vilka appar användarna använder samt deras användnings- och beteendemönster. Du kan alltid gå till instrumentpanelen för molnidentifiering och se vilka nya appar som används och följa anvisningarna i den här artikeln igen för att se till att din organisation och dina data skyddas.

Nästa steg

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.

Läs mer