Fælles politikker Defender for Cloud Apps trusselsbeskyttelse
Defender for Cloud Apps gør det muligt for dig at identificere problemer med høj risiko og cloudsikkerhed, registrere unormal brugeradfærd og forhindre trusler i dine sanktionerede cloudapps. Få indblik i bruger- og administratoraktiviteter, og definer politikker, der automatisk skal advare, når der registreres mistænkelig adfærd eller bestemte aktiviteter, som du anser for risikable. Træk fra den enorme mængde microsoft threat intelligence- og sikkerhedsforskningsdata for at sikre, at dine sanktionerede apps har alle de sikkerhedskontroller, du har brug for, og hjælper dig med at bevare kontrollen over dem.
Bemærk!
Når du integrerer Defender for Cloud Apps med Microsoft Defender for Identity, vises politikker fra Defender for Identity også på siden med politikker. Du kan se en liste over Defender for Identity Policies under Sikkerhedsbeskeder.
Registrer og styr brugeraktivitet fra ukendte placeringer
Automatisk registrering af brugeradgang eller -aktivitet fra ukendte placeringer, der aldrig blev besøgt af andre i din organisation.
Forudsætninger
Du skal have mindst én app tilsluttet ved hjælp af appconnectorer.
Trin
Denne registrering konfigureres automatisk til at advare dig, når der er adgang fra nye placeringer. Du behøver ikke at udføre nogen handling for at konfigurere denne politik. Du kan få flere oplysninger under Politikker for registrering af uregelmæssigheder.
Registrer kompromitteret konto efter umulig placering (umulig rejse)
Automatisk registrering af brugeradgang eller -aktivitet fra to forskellige placeringer inden for en tidsperiode, der er kortere end den tid, det tager at rejse mellem de to.
Forudsætninger
Du skal have mindst én app tilsluttet ved hjælp af appconnectorer.
Trin
Denne registrering er automatisk konfigureret klar til brug, så du får besked, når der er adgang fra umulige placeringer. Du behøver ikke at udføre nogen handling for at konfigurere denne politik. Du kan få flere oplysninger under Politikker for registrering af uregelmæssigheder.
Valgfrit: Du kan tilpasse politikker for registrering af uregelmæssigheder:
Tilpas registreringsomfanget med hensyn til brugere og grupper
Vælg de logontyper, der skal overvejes
Angiv din følsomhedspræference for beskeder
Opret politikken for registrering af uregelmæssigheder.
Registrer mistænkelig aktivitet fra en "on-leave"-medarbejder
Registrer, når en bruger, der er uden løn og ikke skal være aktiv på nogen organisationsressource, får adgang til nogen af organisationens cloudressourcer.
Forudsætninger
Du skal have mindst én app tilsluttet ved hjælp af appconnectorer.
Opret en sikkerhedsgruppe i Microsoft Entra ID for brugere uden løn, og tilføj alle de brugere, du vil overvåge.
Trin
På skærmen Brugergrupper skal du vælge Opret brugergruppe og importere den relevante Microsoft Entra gruppe.
I Microsoft Defender-portalen under Cloud Apps skal du gå til Politikker –>Politikadministration. Opret en ny aktivitetspolitik.
Angiv filteret Brugergruppe svarer til navnet på de brugergrupper, du oprettede i Microsoft Entra ID for brugere uden løn.
Valgfrit: Angiv de styringshandlinger , der skal udføres på filer, når der registreres en overtrædelse. De tilgængelige styringshandlinger varierer fra tjeneste til tjeneste. Du kan vælge Afbryd bruger.
Opret filpolitikken.
Registrer og giv besked, når der bruges forældede browseroperativsystemer
Registrer, når en bruger bruger en browser med en forældet klientversion, der kan udgøre en overholdelse af angivne standarder eller en sikkerhedsrisiko for din organisation.
Forudsætninger
Du skal have mindst én app tilsluttet ved hjælp af appconnectorer.
Trin
I Microsoft Defender-portalen under Cloud Apps skal du gå til Politikker –>Politikadministration. Opret en ny aktivitetspolitik.
Angiv filteret User Agent-koden er lig med Forældet browser og Forældet operativsystem.
Angiv de styringshandlinger , der skal udføres på filer, når der registreres en overtrædelse. De tilgængelige styringshandlinger varierer fra tjeneste til tjeneste. Under Alle apps skal du vælge Giv brugeren besked, så brugerne kan reagere på beskeden og opdatere de nødvendige komponenter.
Opret aktivitetspolitikken.
Registrer og giv besked, når Administration aktivitet registreres på risikable IP-adresser
Registrer administratoraktiviteter udført fra og IP-adresse, der anses for at være en risikable IP-adresse, og giv systemadministratoren besked om yderligere undersøgelse, eller angiv en styringshandling på administratorens konto.
Forudsætninger
Du skal have mindst én app tilsluttet ved hjælp af appconnectorer.
I tandhjulet Indstillinger skal du vælge IP-adresseområder og vælge + for at tilføje IP-adresseområder for dine interne undernet og deres offentlige udgående IP-adresser. Angiv Kategorien til Intern.
Trin
I Microsoft Defender-portalen under Cloud Apps skal du gå til Politikker –>Politikadministration. Opret en ny aktivitetspolitik.
Angiv Akt tilEnkeltaktivitet.
Angiv filterets IP-adresse til Kategori er lig med Risky
Angiv filteret Administrativ aktivitet til Sand
Angiv de styringshandlinger , der skal udføres på filer, når der registreres en overtrædelse. De tilgængelige styringshandlinger varierer fra tjeneste til tjeneste. Under Alle apps skal du vælge Giv brugeren besked, så brugerne kan reagere på beskeden og opdatere de nødvendige komponenter CC brugerens leder.
Opret aktivitetspolitikken.
Registrer aktiviteter efter tjenestekonto fra eksterne IP-adresser
Registrer tjenestekontoaktiviteter, der stammer fra ikke-interne IP-adresser. Dette kan indikere mistænkelig adfærd eller en kompromitteret konto.
Forudsætninger
Du skal have mindst én app tilsluttet ved hjælp af appconnectorer.
I tandhjulet Indstillinger skal du vælge IP-adresseområder og vælge + for at tilføje IP-adresseområder for dine interne undernet og deres offentlige udgående IP-adresser. Angiv Kategorien til Intern.
Standardiser en navngivningskonvention for tjenestekonti i dit miljø, angiv f.eks. alle kontonavne til at starte med "svc".
Trin
I Microsoft Defender-portalen under Cloud Apps skal du gå til Politikker –>Politikadministration. Opret en ny aktivitetspolitik.
Angiv filteret User til Name , og start derefter med , og angiv navngivningskonventionen, f.eks. svc.
Angiv IP-filterets IP-adresse til Kategori er ikke lig med Andet og Firma.
Angiv de styringshandlinger , der skal udføres på filer, når der registreres en overtrædelse. De tilgængelige styringshandlinger varierer fra tjeneste til tjeneste.
Opret politikken.
Registrer massedownload (dataudfiltrering)
Registrer, når en bestemt bruger tilgår eller downloader et massivt antal filer på kort tid.
Forudsætninger
Du skal have mindst én app tilsluttet ved hjælp af appconnectorer.
Trin
I Microsoft Defender-portalen under Cloud Apps skal du gå til Politikker –>Politikadministration. Opret en ny aktivitetspolitik.
Angiv IP-adresserne for filteret til Tag er ikke lig med Microsoft Azure. Dette udelukker ikke-interaktive enhedsbaserede aktiviteter.
Angiv filteraktivitetstyperne er lig med , og vælg derefter alle relevante downloadaktiviteter.
Angiv de styringshandlinger , der skal udføres på filer, når der registreres en overtrædelse. De tilgængelige styringshandlinger varierer fra tjeneste til tjeneste.
Opret politikken.
Registrer potentiel Ransomware-aktivitet
Automatisk opdagelse af potentiel Ransomware-aktivitet.
Forudsætninger
Du skal have mindst én app tilsluttet ved hjælp af appconnectorer.
Trin
Denne opdagelse er automatisk konfigureret klar til at advare dig, når der er en potentiel ransomware risiko opdaget. Du behøver ikke at udføre nogen handling for at konfigurere denne politik. Du kan få flere oplysninger under Politikker for registrering af uregelmæssigheder.
Det er muligt at konfigurere omfanget af registreringen og tilpasse de styringshandlinger, der skal udføres, når en besked udløses. Du kan få flere oplysninger om, hvordan Defender for Cloud Apps identificerer Ransomware, under Beskyttelse af din organisation mod ransomware.
Bemærk!
Dette gælder for Microsoft 365, Google Workspace, Box og Dropbox.
Registrer malware i skyen
Registrer filer, der indeholder malware i dine cloudmiljøer, ved at bruge Defender for Cloud Apps integration med Microsofts Threat Intelligence-program.
Forudsætninger
- Hvis du vil registrere skadelig software i Microsoft 365, skal du have en gyldig licens til Microsoft Defender til Microsoft 365 P1.
- Du skal have mindst én app tilsluttet ved hjælp af appconnectorer.
Trin
- Denne registrering er automatisk konfigureret til at advare dig, når der er en fil, der kan indeholde malware. Du behøver ikke at udføre nogen handling for at konfigurere denne politik. Du kan få flere oplysninger under Politikker for registrering af uregelmæssigheder.
Registrer rogue admin-overtagelse
Registrer gentaget administratoraktivitet, der kan indikere skadelige hensigter.
Forudsætninger
Du skal have mindst én app tilsluttet ved hjælp af appconnectorer.
Trin
I Microsoft Defender-portalen under Cloud Apps skal du gå til Politikker –>Politikadministration. Opret en ny aktivitetspolitik.
Angiv Handling på til Gentaget aktivitet , tilpas Minimum for gentagne aktiviteter , og angiv en tidsramme for at overholde organisationens politik.
Angiv filteret Bruger til Fra-gruppen er lig med, og vælg kun alle relaterede administratorgrupper som Agent.
Angiv filteraktivitetstypen er lig med alle aktiviteter, der er relateret til opdateringer, ændringer og nulstilling af adgangskoder.
Angiv de styringshandlinger , der skal udføres på filer, når der registreres en overtrædelse. De tilgængelige styringshandlinger varierer fra tjeneste til tjeneste.
Opret politikken.
Registrer mistænkelige regler for indbakkemanipulation
Hvis der er angivet en mistænkelig indbakkeregel for en brugers indbakke, kan det indikere, at brugerkontoen er kompromitteret, og at postkassen bruges til at distribuere spam og malware i din organisation.
Forudsætninger
- Brug af Microsoft Exchange til mail.
Trin
- Denne registrering konfigureres automatisk til at advare dig, når der er et mistænkeligt regelsæt for indbakken. Du behøver ikke at udføre nogen handling for at konfigurere denne politik. Du kan få flere oplysninger under Politikker for registrering af uregelmæssigheder.
Registrer lækkede legitimationsoplysninger
Når cyberkriminelle kompromitterer gyldige adgangskoder for legitime brugere, deler de ofte disse legitimationsoplysninger. Dette gøres normalt ved at sende dem offentligt på den mørke web eller indsætte websteder eller ved at handle eller sælge legitimationsoplysningerne på det sorte marked.
Defender for Cloud Apps bruger Microsofts Threat intelligence til at matche disse legitimationsoplysninger med dem, der bruges i din organisation.
Forudsætninger
Du skal have mindst én app tilsluttet ved hjælp af appconnectorer.
Trin
Denne registrering er automatisk konfigureret til at advare dig, når der registreres en mulig lækage af legitimationsoplysninger. Du behøver ikke at udføre nogen handling for at konfigurere denne politik. Du kan få flere oplysninger under Politikker for registrering af uregelmæssigheder.
Registrer unormale fildownloads
Registrer, når brugerne udfører flere fildownloadaktiviteter i en enkelt session i forhold til den lærte baseline. Dette kan indikere et forsøg på brud.
Forudsætninger
Du skal have mindst én app tilsluttet ved hjælp af appconnectorer.
Trin
Denne registrering er automatisk konfigureret til at advare dig, når der opstår en uregelmæssig download. Du behøver ikke at udføre nogen handling for at konfigurere denne politik. Du kan få flere oplysninger under Politikker for registrering af uregelmæssigheder.
Det er muligt at konfigurere omfanget af registreringen og tilpasse den handling, der skal udføres, når en besked udløses.
Registrer unormale filshares af en bruger
Registrer, når brugere udfører flere fildelingsaktiviteter i en enkelt session med hensyn til den oplærte baseline, hvilket kan indikere et forsøg på brud.
Forudsætninger
Du skal have mindst én app tilsluttet ved hjælp af appconnectorer.
Trin
Denne registrering er automatisk konfigureret til at advare dig, når brugerne udfører flere fildelinger. Du behøver ikke at udføre nogen handling for at konfigurere denne politik. Du kan få flere oplysninger under Politikker for registrering af uregelmæssigheder.
Det er muligt at konfigurere omfanget af registreringen og tilpasse den handling, der skal udføres, når en besked udløses.
Registrer uregelmæssige aktiviteter fra sjældne lande/områder
Registrer aktiviteter fra en placering, der ikke er blevet besøgt for nylig eller aldrig er blevet besøgt af brugeren eller af nogen bruger i din organisation.
Forudsætninger
Du skal have mindst én app tilsluttet ved hjælp af appconnectorer.
Trin
Denne registrering er automatisk konfigureret til at advare dig, når der opstår en uregelmæssig aktivitet fra et sjældent land/område. Du behøver ikke at udføre nogen handling for at konfigurere denne politik. Du kan få flere oplysninger under Politikker for registrering af uregelmæssigheder.
Det er muligt at konfigurere omfanget af registreringen og tilpasse den handling, der skal udføres, når en besked udløses.
Bemærk!
Registrering af unormale placeringer nødvendiggør en indledende læringsperiode på 7 dage. I læringsperioden genererer Defender for Cloud Apps ikke beskeder om nye placeringer.
Registrer aktivitet, der er udført af en afbrudt bruger
Registrer, når en bruger, der ikke længere er medarbejder i din organisation, udfører en aktivitet i en godkendt app. Dette kan indikere ondsindet aktivitet fra en afsluttet medarbejder, der stadig har adgang til virksomhedens ressourcer.
Forudsætninger
Du skal have mindst én app tilsluttet ved hjælp af appconnectorer.
Trin
Denne registrering konfigureres automatisk som standard til at advare dig, når en aktivitet udføres af en afsluttet medarbejder. Du behøver ikke at udføre nogen handling for at konfigurere denne politik. Du kan få flere oplysninger under Politikker for registrering af uregelmæssigheder.
Det er muligt at konfigurere omfanget af registreringen og tilpasse den handling, der skal udføres, når en besked udløses.
Næste trin
Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.