Jaa

Sovelluskäytäntöjen luominen sovellusten hallinnassa

  • Artikkeli

Sovelluksen poikkeavan käyttäytymisen tunnistamiseen ja koneoppimisalgoritmeihin perustuvien hälytysten luomiseen liittyvien sisäänrakennettujen ominaisuuksien lisäksi sovellusten hallinnan käytännöillä voit tehdä seuraavia toimia:

  • Määritä ehdot, joiden mukaan sovelluksen hallinto varoittaa sovelluksen käyttäytymisestä automaattista tai manuaalista korjausta varten.

  • Pakota sovelluksen yhteensopivuuskäytännöt organisaatiossasi.

Sovellusten hallinnan avulla voit luoda OAuth-käytäntöjä sovelluksille, jotka on yhdistetty Microsoft Entra ID, Google Workspaceen ja Salesforceen.


OAuth-sovelluskäytäntöjen luominen Microsoft Entra ID

Jos sovellukset on yhdistetty Microsoft Entra ID, luo sovelluskäytäntöjä annetuista malleista, joita voidaan mukauttaa, tai luo oma mukautettu sovelluskäytäntö.

  1. Jos haluat luoda uuden sovelluskäytännön Azure AD sovelluksille, siirry kohtaan Microsoft Defender XDR > Sovellusten hallintakäytännöt >> Azure AD.

    Esimerkki:

    Näyttökuva Azure AD-välilehdestä.

  2. Valitse Luo uusi käytäntö -vaihtoehto ja tee sitten jokin seuraavista toimista:

    • Jos haluat luoda uuden sovelluskäytännön mallista, valitse asianmukainen malliluokka ja sen jälkeen malli kyseisessä luokassa.
    • Jos haluat luoda mukautetun käytännön, valitse Mukautettu-luokka .

    Esimerkki:

    Näyttökuva Valitse käytäntö -mallisivusta.

Sovelluskäytäntömallit

Jos haluat luoda uuden sovelluskäytännön sovelluskäytäntömallin perusteella, valitse Valitse sovelluskäytäntö -mallisivulla sovellusmallin luokka, valitse mallin nimi ja valitse sitten Seuraava.

Seuraavissa osioissa kuvataan sovelluskäytäntömallin luokat.

Käyttö

Seuraavassa taulukossa on lueteltu sovellusten hallintamallit, joita tuetaan ilmoitusten luomiseksi sovelluksen käyttöä varten.

Mallin nimi Kuvaus
Uusi sovellus, jossa on suuri tietojen käyttö Etsi äskettäin rekisteröityjä sovelluksia, jotka ovat ladanneet tai ladanneet suuria tietomääriä Graph-ohjelmointirajapinnan avulla. Tämä käytäntö tarkistaa seuraavat ehdot:

  • Rekisteröintiikä: enintään seitsemän päivää (mukautettavissa)
  • Tietojen käyttö: Yli 1 Gt päivässä (mukautettavissa)
    		•
    Lisää käyttäjiä Etsi sovelluksia, joiden käyttäjien määrä kasvaa huomattavasti. Tämä käytäntö tarkistaa seuraavat ehdot:

  • Aikaväli: viimeiset 90 päivää
  • Lisää suostuvia käyttäjiä: vähintään 50 % (mukautettavissa)
    		•

    Käyttöoikeudet

    Seuraavassa taulukossa on lueteltu sovellusten hallintamallit, joita tuetaan sovellusten käyttöoikeuksien ilmoitusten luomiseksi.

    Mallin nimi Kuvaus
    Yliliitetty sovellus Etsi sovellukset, joilla on käyttämättömät Graph-ohjelmointirajapinnan käyttöoikeudet. Näille sovelluksille on myönnetty käyttöoikeudet, jotka voivat olla tarpeettomia säännölliseen käyttöön.
    Uusi hyvin etuoikeutettu sovellus Etsi äskettäin rekisteröityjä sovelluksia, joille on myönnetty kirjoitusoikeudet ja muita tehokkaita Graph-ohjelmointirajapinnan käyttöoikeuksia. Tämä käytäntö tarkistaa seuraavat ehdot:

  • Rekisteröintiikä: enintään seitsemän päivää (mukautettavissa)
    		•
    Uusi sovellus, jolla on muun kuin Graph-ohjelmointirajapinnan käyttöoikeudet Etsi äskettäin rekisteröityjä sovelluksia, joilla on oikeudet muihin kuin Graph-ohjelmointirajapintoihin. Nämä sovellukset voivat altistaa sinulle riskejä, jos niiden käytössä olevat ohjelmointirajapinnat saavat rajoitettua tukea ja päivityksiä.
    Tämä käytäntö tarkistaa seuraavat ehdot:

  • Rekisteröintiikä: enintään seitsemän päivää (mukautettavissa)
  • Muut kuin Graph-ohjelmointirajapinnan käyttöoikeudet: Kyllä
    		•

    Varmentaminen

    Seuraavassa taulukossa on lueteltu sovellusten hallintamallit, joita tuetaan Microsoft 365 -sertifiointiilmoitusten luomiseksi.

    Mallin nimi Kuvaus
    Uusi sertifioimaton sovellus Etsi äskettäin rekisteröityjä sovelluksia, joilla ei ole julkaisijan todentamista tai Microsoft 365 -sertifiointia. Tämä käytäntö tarkistaa seuraavat ehdot:

  • Rekisteröintiikä: enintään seitsemän päivää (mukautettavissa)
  • Sertifiointi: ei sertifiointia (mukautettavissa)
    		•

    Mukautetut käytännöt

    Käytä mukautettua sovelluskäytäntöä, kun haluat tehdä jotain, mitä jokin valmiista malleista ei ole vielä tehnyt.

    1. Jos haluat luoda uuden mukautetun sovelluskäytännön, valitse ensin Käytännöt-sivulla Luo uusi käytäntö. Valitse Valitse sovelluskäytäntömalli -sivullaMukautettu-luokka , Mukautettu käytäntö -malli ja valitse sitten Seuraava.

    2. Määritä Nimi ja kuvaus -sivulla seuraavat:

      • Käytännön nimi
      • Käytännön kuvaus
      • Valitse käytännön vakavuus, joka määrittää tämän käytännön luomien ilmoitusten vakavuuden.
        • Korkea
        • Normaali
        • Matala

    3. Valitse Valitse käytäntöasetukset ja -ehdot -sivulla Valitse, mihin sovelluksiin tämä käytäntö on sovellettavissa, valitse:

      • Kaikki sovellukset
      • Valitse tietyt sovellukset
      • Kaikki sovellukset paitsi

    4. Jos valitset tietyt sovellukset tai kaikki sovellukset tätä käytäntöä lukuun ottamatta, valitse Lisää sovelluksia ja valitse haluamasi sovellukset luettelosta. Valitse Valitse sovellukset - ruudussa useita sovelluksia, joihin tämä käytäntö koskee, ja valitse sitten Lisää. Valitse Seuraava , kun olet tyytyväinen luetteloon.

    5. Valitse Muokkaa ehtoja. Valitse Lisää ehto ja valitse ehto luettelosta. Määritä haluamasi raja-arvo valitulle ehdolle. Lisää ehtoja toistamalla. Tallenna sääntö valitsemalla Tallenna . Kun olet lisännyt säännöt, valitse Seuraava.

      Huomautus

      Jotkin käytäntöehdot koskevat vain sovelluksia, jotka käyttävät Graph-ohjelmointirajapinnan käyttöoikeuksia. Kun arvioidaan sovelluksia, jotka käyttävät vain muita kuin Graph-ohjelmointirajapintoja, sovellusten hallinto ohittaa nämä käytäntöehdot ja tarkistaa vain muut käytäntöehdot.

    6. Tässä ovat mukautetun sovelluskäytännön käytettävissä olevat ehdot:

      Ehto Hyväksytyt ehtoarvot Kuvaus Lisätietoja
      Rekisteröintiikä Viimeisten X päivän aikana Sovellukset, jotka on rekisteröity Microsoft Entra ID määritetyn ajanjakson kuluessa nykyisestä päivämäärästä
      Varmentaminen Ei sertifiointia, Publisher attested, Microsoft 365 -sertifioitu Sovellukset, jotka ovat Microsoft 365 -sertifioituja, joilla on julkaisijan todentamisraportti tai ei kumpaakaan Microsoft 365 -sertifiointi
      Publisher tarkistettu Kyllä vai ei Sovellukset, joilla on varmentaneet julkaisijat Publisherin vahvistus
      Sovelluksen käyttöoikeudet (vain Graph) Valitse vähintään yksi ohjelmointirajapinnan käyttöoikeus luettelosta Sovellukset, joilla on tietyt Graph-ohjelmointirajapinnan käyttöoikeudet, jotka on myönnetty suoraan Microsoft Graphin käyttöoikeusviittaus
      Delegoidut käyttöoikeudet (vain kaavio) Valitse vähintään yksi ohjelmointirajapinnan käyttöoikeus luettelosta Sovellukset, joilla on tietyn käyttäjän antamat Graph-ohjelmointirajapinnan käyttöoikeudet Microsoft Graphin käyttöoikeusviittaus
      Hyvin etuoikeutetut (vain kaavio) Kyllä vai ei Sovellukset, joilla on suhteellisen tehokkaat Graph-ohjelmointirajapinnan käyttöoikeudet Sisäinen määritys, joka perustuu Defender for Cloud Apps käyttämään samaan logiikkaan.
      Yliliitetyt (vain kaavio) Kyllä vai ei Sovellukset, joilla on käyttämättömät Graph-ohjelmointirajapinnan käyttöoikeudet Sovellukset, joilla on enemmän myönnettyjä käyttöoikeuksia kuin kyseiset sovellukset käyttävät.
      Muun kuin kaavion ohjelmointirajapinnan käyttöoikeudet Kyllä vai ei Sovellukset, joilla on oikeudet muihin kuin Graph-ohjelmointirajapintoihin. Nämä sovellukset voivat altistaa sinulle riskejä, jos niiden käytössä olevat ohjelmointirajapinnat saavat rajoitettua tukea ja päivityksiä.
      Tietojen käyttö (vain kaavio) Yli X Gt päivässä ladattuja ja ladattuja tietoja Sovellukset, jotka ovat lukeneet ja kirjoittaneet enemmän kuin tietyn määrän tietoja Graph-ohjelmointirajapinnan avulla
      Tietojen käytön trendi (vain kaavio) X %:n lisäys tietojen käytössä edelliseen päivään verrattuna Sovellukset, joiden tiedot lukevat ja kirjoittavat Graph-ohjelmointirajapinnan avulla, ovat kasvaneet määritetyllä prosenttiosuudella edelliseen päivään verrattuna
      Ohjelmointirajapinnan käyttö (vain Graph) Yli X-ohjelmointirajapinnan kutsuja päivässä Sovellukset, jotka ovat tehneet tietyn määrän Graph-ohjelmointirajapintakutsuja päivässä
      Ohjelmointirajapinnan käytön trendi (vain kaavio) Ohjelmointirajapintakutsujen lisäys X % edelliseen päivään verrattuna Sovellukset, joiden Graph-ohjelmointirajapintakutsujen määrä on kasvanut määritetyllä prosenttiosuudella edelliseen päivään verrattuna
      Suostuvien käyttäjien määrä (Suurempi tai pienempi kuin) X:n hyväksymät käyttäjät Sovellukset, joille on antanut suostumuksen määritettyä suurempi tai pienempi määrä käyttäjiä
      Lisää suostuvia käyttäjiä X %:n lisäys käyttäjissä viimeisten 90 päivän aikana Sovellukset, joiden hyväksyvien käyttäjien määrä on kasvanut määritetyllä prosenttiosuudella viimeisten 90 päivän aikana
      Etusijatilin suostumus annettu Kyllä vai ei Sovellukset, joille prioriteettikäyttäjät ovat antaneet suostumuksensa Käyttäjä, jolla on prioriteettitili.
      Suostuvien käyttäjien nimet Valitse käyttäjät luettelosta Sovellukset, joille tietyt käyttäjät ovat antaneet suostumuksensa
      Hyväksyvien käyttäjien roolit Valitse roolit luettelosta Sovellukset, jotka ovat antaneet suostumuksensa käyttäjille, joilla on tietyt roolit Useita valintoja sallitaan.

      Kaikki Microsoft Entra roolit, joille on määritetty jäsen, tulee ottaa käyttöön tässä luettelossa.
      Luottamuksellisuustunnisteet, joita on käytetty Valitse luettelosta vähintään yksi luottamuksellisuustunniste Sovellukset, jotka ovat viimeisen 30 päivän aikana käsitteleneet tietoja, joissa on käytetty tiettyjä luottamuksellisuustunnisteita.
      Käytössä olevat palvelut (vain Graph) Exchange ja/tai OneDrive ja/tai SharePoint ja/tai Teams Sovellukset, jotka ovat käyttäneet OneDrivea, SharePointia tai Exchange Online Graph-ohjelmointirajapinnan avulla Useita valintoja sallitaan.
      Virheprosentti (vain kaavio) Virhetaso on suurempi kuin X % viimeisten seitsemän päivän aikana Sovellukset, joiden Graph-ohjelmointirajapinnan virhetasot viimeisten seitsemän päivän aikana ovat suurempia kuin määritetty prosenttiosuus

      Kaikkien määritettyjen ehtojen on täytyttävä, jotta tämä sovelluskäytäntö voi luoda ilmoituksen.

    7. Kun olet määrittänyt ehdot, valitse Tallenna ja valitse sitten Seuraava.

    8. Valitse Määritä käytäntötoiminnot -sivulla Poista sovellus käytöstä , jos haluat sovelluksen hallinnan poistavan sovelluksen käytöstä, kun tähän käytäntöön perustuva ilmoitus luodaan, ja valitse sitten Seuraava. Ole varovainen, kun otat toimintoja käyttöön, koska käytäntö voi vaikuttaa käyttäjiin ja lailliseen sovelluksen käyttöön.

    9. Valitse Määritä käytännön tila -sivulla jokin seuraavista vaihtoehdoista:

      • Valvontatila: Käytännöt arvioidaan, mutta määritettyjä toimintoja ei tapahdu. Valvontatilakäytännöt näkyvät käytäntöluettelossa valvontatilan kanssa. Käytä valvontatilaa uuden käytännön testaamiseen.
      • Aktiivinen: Käytännöt arvioidaan ja määritetyt toiminnot suoritetaan.
      • Passiivinen: Käytäntöjä ei arvioida, ja määritettyjä toimintoja ei tehdä.

    10. Tarkista huolellisesti kaikki mukautetun käytäntösi parametrit. Valitse Lähetä , kun olet tyytyväinen. Voit myös palata takaisin ja muuttaa asetuksia valitsemalla minkä tahansa asetuksen alta Muokkaa .

    Testaa ja valvo uutta sovelluskäytäntöäsi

    Nyt kun sovelluskäytäntö on luotu, valvo sitä Käytännöt-sivulla varmistaaksesi, että se rekisteröi testauksen aikana odotetun määrän aktiivisia ilmoituksia ja ilmoituksia yhteensä.

    Näyttökuva Microsoft Defender XDR sovellusten hallintakäytäntöjen yhteenvetosivusta, jossa on korostettu käytäntö.

    Jos ilmoitusten määrä on odottamattoman pieni, muokkaa sovelluskäytännön asetuksia varmistaaksesi, että olet määrittänyt sen oikein, ennen kuin määrität sen tilan.

    Tässä on esimerkki prosessista, jolla luodaan uusi käytäntö, testataan sitä ja tehdään siitä sitten aktiivinen:

    1. Luo uusi käytäntö, jonka vakavuus, sovellukset, ehdot ja toiminnot on määritetty alkuarvoihin ja tilaksi määritetään Valvontatila.
    2. Tarkista odotettu toiminta, kuten luodut hälytykset.
    3. Jos toiminta ei ole odotettavissa, muokkaa käytäntösovelluksia, ehtoja ja toimintoasetuksia tarpeen mukaan ja palaa vaiheeseen 2.
    4. Jos toiminta on odotettavissa, muokkaa käytäntöä ja muuta sen tilaksi Aktiivinen.

    Esimerkiksi seuraavassa työnkulkukaaviossa näkyvät siihen liittyvät vaiheet:

    Sovelluskäytännön luomisen työnkulun kaavio.

    Luo uusi käytäntö OAuth-sovelluksille, jotka on yhdistetty Salesforceen ja Google Workspaceen

    OAuth-sovellusten käytännöt käynnistävät hälytyksiä vain käytännöissä, jotka vuokraajan käyttäjät ovat hyväksyneet.

    Uuden sovelluskäytännön luominen Salesforcelle, Googlelle ja muille sovelluksille:

    1. Siirry kohtaan Microsoft Defender XDR > Sovellusten hallintakäytännöt >> Muut sovellukset. Esimerkki:

      Muiden sovellusten ja käytäntöjen luominen

    2. Suodata sovellukset tarpeittesi mukaan. Saatat esimerkiksi haluta tarkastella kaikkia sovelluksia, jotka pyytävät postilaatikon kalentereiden muokkausoikeutta.

      Vihje

      Yhteisön käyttö -suodattimen avulla saat tietoja siitä, onko tämän sovelluksen käyttöoikeuksien myöntäminen yleistä, harvinaista vai harvinaista. Tästä suodattimesta voi olla hyötyä, jos sinulla on harvinainen sovellus, joka pyytää käyttöoikeutta, jolla on korkea vakavuustaso, tai pyytää käyttöoikeuksia monilta käyttäjiltä.

    3. Haluat ehkä määrittää käytännön sovellusten valtuuttaneiden käyttäjien ryhmäjäsenyyksien perusteella. Järjestelmänvalvoja voi esimerkiksi määrittää käytännön, joka kumoaa epätavalliset sovellukset, jos hän pyytää korkeita käyttöoikeuksia, vain jos käyttöoikeuksien valtuuttanut käyttäjä on Järjestelmänvalvojat-ryhmän jäsen.

    Esimerkki:

    uusi OAuth-sovelluskäytäntö.

    Poikkeamien tunnistuskäytännöt OAuth-sovelluksille, jotka on yhdistetty Salesforceen ja Google Workspaceen

    Oauth-sovelluskäytäntöjen lisäksi, joita voit luoda, Defender for Cloud -sovellukset tarjoavat valmiita poikkeamien tunnistuskäytäntöjä, jotka profiloivat OAuth-sovellusten metatietoja tunnistaakseen mahdollisesti haitallisia.

    Tämä osa koskee vain Salesforce- ja Google Workspace -sovelluksia.

    Huomautus

    Poikkeamien tunnistuskäytännöt ovat käytettävissä vain OAuth-sovelluksissa, jotka on valtuutettu Microsoft Entra ID. OAuth-sovelluksen poikkeamien tunnistuskäytäntöjen vakavuutta ei voi muokata.

    Seuraavassa taulukossa kuvataan Defender for Cloud Apps tarjoamat valmiit poikkeamien tunnistuskäytännöt:

    Politiikka Kuvaus
    Harhaanjohtava OAuth-sovelluksen nimi Skannaa ympäristöösi yhdistetyt OAuth-sovellukset ja käynnistää ilmoituksen, kun havaitaan sovellus, jolla on harhaanjohtava nimi. Harhaanjohtavat nimet, kuten vieraat kirjaimet, jotka muistuttavat latinalaisia kirjaimia, voivat viitata yritykseen peittää haitallinen sovellus tunnetuksi ja luotettavaksi sovellukseksi.
    OAuth-sovelluksen harhaanjohtava julkaisijan nimi Skannaa ympäristöösi yhdistetyt OAuth-sovellukset ja käynnistää ilmoituksen, kun havaitaan sovellus, jolla on harhaanjohtava julkaisijan nimi. Harhaanjohtavat julkaisijoiden nimet, kuten latinalaisia kirjaimia muistuttavat ulkomaiset kirjaimet, voivat olla merkki yrityksestä naamioida haitallinen sovellus tunnetun ja luotettavan julkaisijan sovellukseksi.
    Malicious OAuth -sovelluksen suostumus Skannaa ympäristöösi yhdistetyt OAuth-sovellukset ja käynnistää ilmoituksen, kun mahdollisesti haitallinen sovellus on valtuutettu. Haitallisia OAuth-sovelluksia voidaan käyttää osana tietojenkalastelukampanjaa käyttäjien vaarantamiseksi. Tämä tunnistaminen käyttää Microsoftin tietoturvatutkimusta ja uhkien tiedusteluosaamista haitallisten sovellusten tunnistamiseen.
    Epäilyttävät OAuth-sovellustiedostojen lataustoiminnot Lisätietoja on kohdassa Poikkeamien tunnistuskäytännöt.

    Seuraavat vaiheet

    Sovelluskäytäntöjen hallinta