Běžné zásady ochrany před hrozbami Defender for Cloud Apps

Defender for Cloud Apps umožňuje identifikovat vysoce rizikové problémy s používáním a zabezpečením cloudu, detekovat neobvyklé chování uživatelů a zabránit hrozbám ve schválených cloudových aplikacích. Získejte přehled o aktivitách uživatelů a správců a definujte zásady, které automaticky upozorní na zjištění podezřelého chování nebo konkrétních aktivit, které považujete za rizikové. Čerpejte z obrovského množství dat analýzy hrozeb a výzkumu zabezpečení od Microsoftu, abyste měli jistotu, že vaše schválené aplikace budou mít všechny potřebné bezpečnostní prvky a budete mít nad nimi kontrolu.

Poznámka

Při integraci Defender for Cloud Apps s Microsoft Defender for Identity se na stránce zásad zobrazí také zásady z Defenderu for Identity. Seznam zásad služby Defender for Identity najdete v tématu Výstrahy zabezpečení.

Detekce a řízení aktivity uživatelů z neznámých umístění

Automatická detekce přístupu uživatelů nebo aktivit z neznámých umístění, která nikdo jiný ve vaší organizaci nikdy nenavštívil.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

Tato detekce je automaticky nakonfigurovaná tak, aby vás upozorňovala na přístup z nových umístění. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

Zjištění ohroženého účtu podle nemožné polohy (nemožné cestování)

Automatická detekce přístupu uživatelů nebo aktivity ze 2 různých míst v rámci časového období, které je kratší než doba potřebná k pohybu mezi těmito dvěma místy.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Tato detekce je automaticky nakonfigurovaná tak, aby vás upozorňovala na přístup z nemožného umístění. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

2. Volitelné: Můžete přizpůsobit zásady detekce anomálií:

   • Přizpůsobení oboru detekce z hlediska uživatelů a skupin

   • Zvolte typy přihlášení, které chcete zvážit.

   • Nastavení předvolby citlivosti pro upozorňování

3. Vytvořte zásadu detekce anomálií.

Zjištění podezřelé aktivity zaměstnance "na dovolené"

Zjistěte, kdy uživatel s neplaceným volnem a neměl by být aktivní u žádného prostředku organizace, přistupuje ke cloudovým prostředkům vaší organizace.

Požadavky

• Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

• Vytvořte skupinu zabezpečení v Microsoft Entra ID pro uživatele, kteří mají neplacené volno, a přidejte všechny uživatele, které chcete monitorovat.

Kroky

1. Na obrazovce Skupiny uživatelů vyberte Vytvořit skupinu uživatelů a naimportujte příslušnou skupinu Microsoft Entra.

2. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu aktivit.

3. Nastavte filtr Skupina uživatelů na název skupin uživatelů, které jste vytvořili v Microsoft Entra ID pro uživatele s nezaplaceným odchodem.

4. Volitelné: Nastavte akce zásad správného řízení , které se mají u souborů provést, když se zjistí porušení. Dostupné akce zásad správného řízení se u jednotlivých služeb liší. Můžete zvolit Pozastavit uživatele.

5. Vytvořte zásady souborů.

Zjišťování a upozorňovat na použití zastaralého operačního systému prohlížeče

Zjistěte, jestli uživatel používá prohlížeč se zastaralou verzí klienta, která může pro vaši organizaci představovat riziko dodržování předpisů nebo zabezpečení.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu aktivit.

2. Nastavte filtr Značka agenta uživatele na hodnotu Zastaralý prohlížeč a Zastaralý operační systém.

3. Nastavte akce zásad správného řízení , které se mají u souborů provádět, když se zjistí porušení. Dostupné akce zásad správného řízení se u jednotlivých služeb liší. V části Všechny aplikace vyberte Upozornit uživatele, aby uživatelé mohli na výstrahu reagovat a aktualizovat potřebné součásti.

4. Vytvořte zásadu aktivity.

Detekce a upozorňování na zjištění aktivity Správa na rizikových IP adresách

Detekujte aktivity správce prováděné z ip adresy a IP adresy, které se považují za rizikovou IP adresu, a upozorněte správce systému na další šetření nebo nastavte akci zásad správného řízení pro účet správce.

Požadavky

• Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

• V ozubené části Nastavení vyberte Rozsahy IP adres a výběrem + přidejte rozsahy IP adres pro vaše interní podsítě a jejich veřejné IP adresy pro výchozí přenos dat. Nastavte Kategorii na Interní.

Kroky

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu aktivit.

2. Nastavte Možnost Akce naHodnotu Jedna aktivita.

3. Nastavte IP adresu filtru na Kategorie rovná se riziková.

4. Nastavte filtr Aktivita správy na True.

5. Nastavte akce zásad správného řízení , které se mají u souborů provádět, když se zjistí porušení. Dostupné akce zásad správného řízení se u jednotlivých služeb liší. V části Všechny aplikace vyberte Upozornit uživatele, aby uživatelé mohli reagovat na výstrahu a aktualizovat potřebné součásti kopie správce uživatele.

6. Vytvořte zásadu aktivity.

Detekce aktivit podle účtu služby z externích IP adres

Detekujte aktivity účtu služby pocházející z neinterních IP adres. To může znamenat podezřelé chování nebo ohrožený účet.

Požadavky

• Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

• V ozubené části Nastavení vyberte Rozsahy IP adres a výběrem + přidejte rozsahy IP adres pro vaše interní podsítě a jejich veřejné IP adresy pro výchozí přenos dat. Nastavte Kategorii na Interní.

• Standardizujte zásady vytváření názvů pro účty služeb ve vašem prostředí, například nastavte všechny názvy účtů tak, aby začínaly na "svc".

Kroky

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu aktivit.

2. Nastavte filtr Uživatel na Jméno a pak Začíná na a zadejte zásady vytváření názvů, například svc.

3. Nastavte IP adresu filtru na Kategorie se nerovná ostatním a firemním.

4. Nastavte akce zásad správného řízení , které se mají u souborů provádět, když se zjistí porušení. Dostupné akce zásad správného řízení se u jednotlivých služeb liší.

5. Vytvořte zásadu.

Detekce hromadného stahování (exfiltrace dat)

Zjistit, kdy určitý uživatel během krátké doby přistupuje k obrovskému počtu souborů nebo je stáhne.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu aktivit.

2. Nastavte IP adresy filtru na Značka se nerovná Microsoft Azure. Tím se vyloučí neinteraktivní aktivity založené na zařízeních.

3. Nastavte filtr Typy aktivit na hodnotu a pak vyberte všechny relevantní aktivity stahování.

4. Nastavte akce zásad správného řízení , které se mají u souborů provádět, když se zjistí porušení. Dostupné akce zásad správného řízení se u jednotlivých služeb liší.

5. Vytvořte zásadu.

Detekce potenciální aktivity ransomware

Automatická detekce potenciální aktivity ransomware.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Tato detekce je automaticky nakonfigurovaná tak, aby vás upozorňovala na zjištění potenciálního rizika ransomware. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

2. Je možné nakonfigurovat rozsah detekce a přizpůsobit akce zásad správného řízení, které se mají provést při aktivaci výstrahy. Další informace o tom, jak Defender for Cloud Apps identifikuje ransomware, najdete v tématu Ochrana organizace před ransomwarem.

Poznámka

To platí pro Microsoft 365, Google Workspace, Box a Dropbox.

Detekce malwaru v cloudu

Detekujte soubory obsahující malware ve vašich cloudových prostředích pomocí Defender for Cloud Apps integrace s modulem analýzy hrozeb Microsoftu.

Požadavky

• Pro detekci malwaru v Microsoftu 365 musíte mít platnou licenci pro Microsoft Defender pro Microsoft 365 P1.
• Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

• Tato detekce je automaticky nakonfigurovaná tak, aby vás upozornila na soubor, který může obsahovat malware. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

Zjištění převzetí neautorizovaným správcem

Zjistit opakovanou aktivitu správce, která může indikovat škodlivé úmysly.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Vytvořte novou zásadu aktivit.

2. Nastavte Akce naOpakovaná aktivita a přizpůsobte minimální opakované aktivity a nastavte Časový rámec tak, aby vyhovoval zásadám vaší organizace.

3. Nastavte filtr User (Uživatel ) na From group equals (Od skupiny rovná se) a vyberte všechny související skupiny správců jako Actor only (Pouze aktér).

4. Nastavte filtr Typ aktivity na všechny aktivity, které se týkají aktualizací, změn a resetování hesel.

5. Nastavte akce zásad správného řízení , které se mají u souborů provádět, když se zjistí porušení. Dostupné akce zásad správného řízení se u jednotlivých služeb liší.

6. Vytvořte zásadu.

Detekce podezřelých pravidel manipulace s doručenou poštou

Pokud bylo v doručené poště uživatele nastaveno pravidlo podezřelé doručené pošty, může to znamenat, že uživatelský účet je napadený a že se poštovní schránka používá k distribuci spamu a malwaru ve vaší organizaci.

Požadavky

• Použití Microsoft Exchange pro e-mail.

Kroky

• Tato detekce se automaticky předem nakonfiguruje tak, aby vás upozorňovala na podezřelou sadu pravidel doručené pošty. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

Detekce uniklých přihlašovacích údajů

Když kybernetičtí zločinci narušují platná hesla legitimních uživatelů, často tyto přihlašovací údaje sdílejí. To se obvykle provádí jejich zveřejněním na tmavém webu nebo vložit stránky nebo obchodováním nebo prodejem přihlašovacích údajů na černém trhu.

Defender for Cloud Apps využívá analýzu hrozeb od Microsoftu, aby tyto přihlašovací údaje odpovídala přihlašovacím údajům používaným ve vaší organizaci.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

Tato detekce je automaticky nakonfigurovaná tak, aby vás upozorňovala, když se zjistí možný únik přihlašovacích údajů. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

Detekce neobvyklého stahování souborů

Zjistit, kdy uživatelé provádějí více aktivit stahování souborů v jedné relaci vzhledem k zjištěnému směrnému plánu. To může znamenat pokus o porušení zabezpečení.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Tato detekce je automaticky nakonfigurovaná tak, aby vás upozorňovala na neobvyklé stahování. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

2. Je možné nakonfigurovat rozsah detekce a přizpůsobit akci, která se má provést při aktivaci výstrahy.

Zjištění neobvyklých sdílených složek uživatelem

Zjistit, kdy uživatelé provádějí více aktivit sdílení souborů v jedné relaci s ohledem na naznačené směrné hodnoty, což může znamenat pokus o porušení zabezpečení.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Tato detekce je automaticky nakonfigurovaná tak, aby vás upozornila, když uživatelé provádějí více sdílení souborů. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

2. Je možné nakonfigurovat rozsah detekce a přizpůsobit akci, která se má provést při aktivaci výstrahy.

Detekce neobvyklých aktivit z občasné země nebo oblasti

Detekujte aktivity z umístění, které uživatel nebo žádný uživatel ve vaší organizaci nedávno nenavštívil nebo ho nikdy nenavštívil.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Tato detekce je automaticky předem nakonfigurovaná tak, aby vás upozornila, když dojde k neobvyklé aktivitě z občasné země nebo oblasti. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

2. Je možné nakonfigurovat rozsah detekce a přizpůsobit akci, která se má provést při aktivaci výstrahy.

Poznámka

Detekce neobvyklých umístění vyžaduje počáteční dobu učení v trvání 7 dnů. Během výukového období Defender for Cloud Apps negeneruje upozornění pro nová umístění.

Detekce aktivity provedené ukončeným uživatelem

Zjistěte, kdy uživatel, který už není zaměstnancem vaší organizace, provádí aktivitu ve schválené aplikaci. To může znamenat škodlivou aktivitu ukončeného zaměstnance, který má stále přístup k podnikovým prostředkům.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Tato detekce je automaticky nakonfigurovaná tak, aby vás upozorňovala, když je aktivita provedena ukončeným zaměstnancem. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

2. Je možné nakonfigurovat rozsah detekce a přizpůsobit akci, která se má provést při aktivaci výstrahy.

Další kroky

Osvědčené postupy pro ochranu organizace

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.