Sdílet prostřednictvím

Vytváření zásad aplikací v zásadách správného řízení aplikací

  • Článek

Spolu s integrovanou sadou funkcí pro detekci neobvyklého chování aplikací a generování upozornění na základě algoritmů strojového učení vám zásady zásad správného řízení aplikací umožňují:

  • Zadejte podmínky, podle kterých vás zásady správného řízení aplikací upozorní na chování aplikace pro automatickou nebo ruční nápravu.

  • Vynucujte zásady dodržování předpisů aplikací pro vaši organizaci.

Zásady správného řízení aplikací můžete použít k vytváření zásad OAuth pro aplikace připojené k Microsoft 365, Google Workspace a Salesforce.


Vytvoření zásad aplikace OAuth pro Microsoft Entra ID

Pro aplikace připojené k Microsoft Entra ID vytvořte zásady aplikací z poskytnutých šablon, které je možné přizpůsobit, nebo vytvořte vlastní zásady aplikací.

  1. Pokud chcete vytvořit nové zásady aplikací pro Azure AD aplikace, přejděte na Microsoft Defender XDR > Zásady > správného řízení > aplikací Azure AD.

    Příklady:

    Snímek obrazovky s kartou Azure AD

  2. Vyberte možnost Vytvořit novou zásadu a pak proveďte jeden z následujících kroků:

    • Pokud chcete vytvořit novou zásadu aplikace ze šablony, zvolte příslušnou kategorii šablony následovanou šablonou v této kategorii.
    • Pokud chcete vytvořit vlastní zásadu, vyberte kategorii Vlastní .

    Příklady:

    Snímek obrazovky se stránkou Zvolit šablonu zásad

Šablony zásad aplikací

Pokud chcete vytvořit novou zásadu aplikace založenou na šabloně zásad aplikace, vyberte na stránce Zvolit šablonu zásad aplikace kategorii šablony aplikace, vyberte název šablony a pak vyberte Další.

Následující části popisují kategorie šablon zásad aplikací.

Použití

Následující tabulka uvádí šablony zásad správného řízení aplikací, které podporují generování upozornění na používání aplikací.

Název šablony Popis
Nová aplikace s vysokým využitím dat Vyhledejte nově zaregistrované aplikace, které nahrály nebo stáhly velké objemy dat, pomocí rozhraní API Microsoft Graphu a EWS. Tato zásada kontroluje následující podmínky:

  • Věk registrace: 7 dní nebo méně (přizpůsobitelné)
  • Využití dat: Větší než 1 GB za jeden den (přizpůsobitelné)
    		•
    Zvýšení počtu uživatelů Najděte aplikace s výrazně rostoucím počtem uživatelů. Tato zásada kontroluje následující podmínky:

  • Časový rozsah: Posledních 90 dnů
  • Zvýšení počtu uživatelů, kteří s tím souhlasí: Alespoň 50 % (přizpůsobitelné)
    		•

    Oprávnění

    Následující tabulka uvádí šablony zásad správného řízení aplikací, které podporují generování upozornění na oprávnění aplikace.

    Název šablony Popis
    Přeprivilegovaná aplikace Vyhledejte aplikace, které mají nepoužívané oprávnění Microsoft Graph API. Těmto aplikacím byla udělena oprávnění, která můžou být pro běžné používání zbytečná.
    Nová vysoce privilegovaná aplikace Vyhledejte nově zaregistrované aplikace, kterým byl udělen přístup k zápisu a další výkonná oprávnění k Microsoft Graphu a dalším běžným rozhraním API microsoftu. Tato zásada kontroluje následující podmínky:

  • Věk registrace: 7 dní nebo méně (přizpůsobitelné)
    		•
    Nová aplikace s Graph API oprávněními Vyhledejte nově zaregistrované aplikace, které mají oprávnění k rozhraním API jiného než Graphu. Tyto aplikace vás můžou vystavit rizikům, pokud rozhraní API, ke kterým přistupují, obdrží omezenou podporu a aktualizace.
    Tato zásada kontroluje následující podmínky:

  • Věk registrace: 7 dní nebo méně (přizpůsobitelné)
  • Ne Graph API oprávnění: Ano
    		•

    Certifikace

    Následující tabulka uvádí šablony zásad správného řízení aplikací, které podporují generování upozornění pro certifikaci Microsoftu 365.

    Název šablony Popis
    Nová necertifikovaná aplikace Vyhledejte nově zaregistrované aplikace, které nemají ověření vydavatele ani certifikaci Microsoft 365. Tato zásada kontroluje následující podmínky:

  • Věk registrace: 7 dní nebo méně (přizpůsobitelné)
  • Certifikace: Žádná certifikace (přizpůsobitelná)
    		•

    Vlastní zásady

    Vlastní zásady aplikací použijte, když potřebujete udělat něco, co ještě jedna z předdefinovaných šablon neudělala.

    • Pokud chcete vytvořit novou vlastní zásadu aplikace, nejprve na stránce Zásady vyberte Vytvořit novou zásadu. Na stránce Zvolit šablonu zásad aplikace vyberte kategorii Vlastní , šablonu Vlastní zásady a pak vyberte Další.

    1. Na stránce Název a popis nakonfigurujte následující:

      • Název zásady
      • Popis zásady
      • Vyberte závažnost zásady, která nastaví závažnost výstrah vygenerovaných touto zásadou.
        • High (Vysoká)
        • Střední
        • Nízký

    2. Na stránce Zvolit nastavení a podmínky zásad v části Zvolit aplikace, pro které se tato zásada vztahuje, vyberte:

      • Všechny aplikace
      • Výběr konkrétních aplikací
      • Všechny aplikace kromě

    3. Pokud zvolíte konkrétní aplikace nebo všechny aplikace s výjimkou této zásady, vyberte Přidat aplikace a v seznamu vyberte požadované aplikace. V podokně Zvolit aplikace můžete vybrat více aplikací, na které se tato zásada vztahuje, a pak vybrat Přidat. Až budete se seznamem spokojení, vyberte Další .

    4. Vyberte Upravit podmínky. Vyberte Přidat podmínku a zvolte podmínku ze seznamu. Nastavte požadovanou prahovou hodnotu pro vybranou podmínku. Opakováním přidáte další podmínky. Vyberte Uložit , abyste pravidlo uložili, a až přidávání pravidel dokončíte, vyberte Další.

      Poznámka

      Některé podmínky zásad platí jenom pro aplikace, které přistupují k oprávněním Graph API. Při vyhodnocování aplikací, které přistupují jenom k jiným než graphovým rozhraním API, zásady správného řízení aplikací tyto podmínky zásad přeskočí a budou kontrolovat jenom další podmínky zásad.

    5. Tady jsou dostupné podmínky pro vlastní zásady aplikací:

      Podmínka Přijaté hodnoty podmínky Popis Další informace
      Věk registrace Během posledních X dnů Aplikace zaregistrované do Microsoft Entra ID v zadaném období od aktuálního data
      Certifikace Žádná certifikace, atestováno vydavatelem, Microsoft 365 Certified Aplikace, které mají certifikaci Microsoft 365, mají sestavu ověření vydavatele nebo ani jedno Certifikace Microsoft 365
      Ověřeno vydavatelem Ano nebo ne Aplikace s ověřenými vydavateli Ověření vydavatele
      Oprávnění aplikace (jenom Graph) Ze seznamu vyberte jedno nebo více oprávnění rozhraní API. Aplikace s konkrétními oprávněními Graph API, které byly uděleny přímo Referenční informace k oprávněním Microsoft Graphu
      Delegovaná oprávnění (jenom Graph) Ze seznamu vyberte jedno nebo více oprávnění rozhraní API. Aplikace s konkrétními Graph API oprávněními udělenými uživatelem Referenční informace k oprávněním Microsoft Graphu
      Vysoce privilegované Ano nebo ne Aplikace s relativně výkonnými oprávněními k Microsoft Graphu a dalším běžným rozhraním API microsoftu Interní označení založené na stejné logice, kterou používá Defender for Cloud Apps.
      Přeprivilegované (jenom Graph) Ano nebo ne Aplikace s nepoužitými oprávněními Graph API Aplikace s více udělenými oprávněními, než jaké tyto aplikace používají.
      Oprávnění, která nejsou Graph API Ano nebo ne Aplikace s oprávněními k rozhraním API jiného než Graphu Tyto aplikace vás můžou vystavit rizikům, pokud rozhraní API, ke kterým přistupují, obdrží omezenou podporu a aktualizace.
      Využití dat Více než X GB stažených a nahraných dat za den Aplikace, které čtou a zapisují více než zadané množství dat pomocí rozhraní Microsoft Graph a rozhraní EWS API
      Trend využití dat X% nárůst využití dat v porovnání s předchozím dnem Aplikace, jejichž data čtou a zapisují pomocí rozhraní Microsoft Graph a EWS API, se v porovnání s předchozím dnem zvýšily o zadané procento.
      Přístup k rozhraní API (jenom Graph) Více než X volání rozhraní API za den Aplikace, které uskutečnily více než zadaný počet Graph API volání za den
      Trend přístupu k rozhraní API (jenom Graph) X% nárůst volání rozhraní API v porovnání s předchozím dnem Aplikace, jejichž počet volání Graph API se v porovnání s předchozím dnem zvýšil o určité procento.
      Počet uživatelů, kteří s tím souhlasí (Větší než nebo Menší než) Uživatelé se souhlasem X Aplikace, které získaly souhlas od většího nebo menšího počtu uživatelů, než je zadaný
      Zvýšení počtu uživatelů, kteří s tím souhlasí X% nárůst počtu uživatelů za posledních 90 dnů Aplikace, jejichž počet uživatelů, kteří s tím souhlasí, se za posledních 90 dnů zvýšil o více než zadané procento
      Udělení souhlasu s prioritním účtem Ano nebo ne Aplikace, kterým udělili souhlas prioritní uživatelé Uživatel s prioritním účtem.
      Jména uživatelů, kteří s tím souhlasí Výběr uživatelů ze seznamu Aplikace, kterým konkrétní uživatelé udělili souhlas
      Role uživatelů, kteří s tím souhlasí Výběr rolí ze seznamu Aplikace, kterým uživatelé s konkrétními rolemi udělili souhlas Je povoleno více výběrů.

      V tomto seznamu by měly být dostupné všechny role Microsoft Entra s přiřazeným členem.
      Popisky citlivosti, ke které se přistupuje Výběr jednoho nebo více popisků citlivosti ze seznamu Aplikace, které během posledních 30 dnů přistupovaly k datům se specifickými popisky citlivosti.
      Služby, ke které se přistupuje (jenom Graph) Exchange a/nebo OneDrive nebo SharePoint a/nebo Teams Aplikace, které přistupovaly k OneDrivu, SharePointu nebo Exchange Online pomocí rozhraní API Microsoft Graphu a EWS Je povoleno více výběrů.
      Míra chyb (jenom graf) Míra chyb je za posledních 7 dnů vyšší než X %. Aplikace, jejichž míra chyb Graph API za posledních 7 dnů je vyšší než zadané procento
      Původ aplikace (Preview) Externí nebo interní Aplikace, které pocházejí z tenanta nebo zaregistrované v externím tenantovi

      Aby tato zásada aplikace vygenerovala výstrahu, musí být splněné všechny zadané podmínky.

    6. Po zadání podmínek vyberte Uložit a pak vyberte Další.

    7. Na stránce Definovat akce zásad vyberte Zakázat aplikaci , pokud chcete, aby zásady správného řízení aplikací zakázaly aplikaci při vygenerování upozornění založeného na této zásadě, a pak vyberte Další. Při provádění akcí buďte opatrní, protože zásady můžou mít vliv na uživatele a legitimní používání aplikací.

    8. Na stránce Definovat stav zásad vyberte jednu z těchto možností:

      • Režim auditování: Zásady se vyhodnocují, ale nakonfigurované akce neprostanou. Zásady režimu auditu se zobrazí se stavem Auditovat v seznamu zásad. K testování nových zásad byste měli použít režim auditování.
      • Aktivní: Zásady se vyhodnocují a nakonfigurují se akce.
      • Neaktivní: Zásady se nevyhodnocují a nakonfigurované akce nebudou probíhat.

    9. Pečlivě zkontrolujte všechny parametry vlastních zásad. Až budete spokojení, vyberte Odeslat . Můžete se také vrátit zpět a změnit nastavení tak, že pod libovolným nastavením vyberete Upravit .

    Testování a monitorování nových zásad aplikací

    Teď, když je zásada aplikace vytvořená, byste ji měli monitorovat na stránce Zásady , abyste měli jistotu, že během testování registruje očekávaný počet aktivních upozornění a celkový počet výstrah.

    Snímek obrazovky se stránkou souhrnu zásad správného řízení aplikací v Microsoft Defender XDR se zvýrazněnými zásadami

    Pokud je počet upozornění neočekávaně nízká, upravte nastavení zásad aplikace, abyste se ujistili, že jste je správně nakonfigurovali, než nastavíte jejich stav.

    Tady je příklad procesu vytvoření nové zásady, jejich otestování a následného nastavení jako aktivního:

    1. Vytvořte novou zásadu se závažností, aplikacemi, podmínkami a akcemi nastavenými na počáteční hodnoty a stavem nastaveným na režim auditování.
    2. Zkontrolujte očekávané chování, například vygenerované výstrahy.
    3. Pokud chování není očekávané, upravte aplikace zásad, podmínky a nastavení akcí podle potřeby a vraťte se ke kroku 2.
    4. Pokud je chování očekávané, upravte zásadu a změňte její stav na Aktivní.

    Například následující vývojový diagram znázorňuje související kroky:

    Diagram pracovního postupu vytvoření zásad aplikace

    Vytvoření nové zásady pro aplikace OAuth připojené k Salesforce a Google Workspace

    Zásady pro aplikace OAuth aktivují upozornění jenom na zásady, které jsou autorizované uživateli v tenantovi.

    Vytvoření nových zásad aplikací pro Salesforce, Google a další aplikace:

    1. Přejděte na Microsoft Defender XDR > Zásady > správného řízení > aplikací Jiné aplikace. Příklady:

      Další aplikace – vytváření zásad

    2. Vyfiltrujte aplikace podle svých potřeb. Můžete například chtít zobrazit všechny aplikace, které ve vaší poštovní schránce požadují oprávnění k úpravám kalendářů.

      Tip

      Pomocí filtru Používání komunity získáte informace o tom, jestli je povolení oprávnění k této aplikaci běžné, neobvyklé nebo vzácné. Tento filtr může být užitečný, pokud máte aplikaci, která je vzácná a vyžaduje oprávnění s vysokou úrovní závažnosti nebo vyžaduje oprávnění od mnoha uživatelů.

    3. Zásady můžete chtít nastavit na základě členství uživatelů ve skupinách, kteří aplikace autorizovali. Správce se například může rozhodnout nastavit zásadu, která odvolá neobvyklé aplikace, pokud požádá o vysoká oprávnění, pouze pokud je uživatel, který oprávnění autorizoval, členem skupiny Administrators.

    Příklady:

    nové zásady aplikace OAuth.

    Zásady detekce anomálií pro aplikace OAuth připojené k Salesforce a Google Workspace

    Kromě zásad aplikací OAuth, které můžete vytvořit, nabízí aplikace Defender for Cloud předem vytvořené zásady detekce anomálií, které profilují metadata aplikací OAuth a identifikují potenciálně škodlivé aplikace.

    Tato část je relevantní jenom pro aplikace Salesforce a Google Workspace.

    Poznámka

    Zásady detekce anomálií jsou dostupné jenom pro aplikace OAuth, které jsou autorizované ve vašem Microsoft Entra ID. Závažnost zásad detekce anomálií aplikací OAuth se nedá změnit.

    Následující tabulka popisuje předefinované zásady detekce anomálií poskytované službou Defender for Cloud Apps:

    Politika Popis
    Zavádějící název aplikace OAuth Kontroluje aplikace OAuth připojené k vašemu prostředí a aktivuje upozornění, když se zjistí aplikace s zavádějícím názvem. Zavádějící názvy, například cizí písmena, která se podobají latince, můžou značit pokus maskovat škodlivou aplikaci jako známou a důvěryhodnou aplikaci.
    Zavádějící název vydavatele pro aplikaci OAuth Zkontroluje aplikace OAuth připojené k vašemu prostředí a aktivuje upozornění při zjištění aplikace s zavádějícím názvem vydavatele. Zavádějící názvy vydavatelů, například cizí písmena podobná latince, můžou značit pokus o maskování škodlivé aplikace jako aplikace od známého a důvěryhodného vydavatele.
    Souhlas s aplikací OAuth se zlými úmysly Zkontroluje aplikace OAuth připojené k vašemu prostředí a aktivuje upozornění, když je autorizována potenciálně škodlivá aplikace. Škodlivé aplikace OAuth se můžou používat jako součást phishingové kampaně při pokusu o napadení uživatelů. Tato detekce využívá k identifikaci škodlivých aplikací výzkum zabezpečení microsoftu a znalosti analýzy hrozeb.
    Podezřelé aktivity stahování souborů aplikace OAuth Další informace najdete v tématu Zásady detekce anomálií.

    Další krok

    Správa zásad aplikací