Pilvipalvelun etsintäkäytännöt

Tässä artikkelissa on yleiskatsaus siitä, miten pääset alkuun Defender for Cloud Apps avulla, jotta saat näkyvyyttä koko organisaatiossasi varjo-IT:hin pilvietsintää käyttämällä.

Defender for Cloud Apps avulla voit etsiä ja analysoida pilvisovelluksia, jotka ovat käytössä organisaatiosi ympäristössä. Pilvietsintäkoontinäyttö näyttää kaikki ympäristössä suoritettavat pilvisovellukset ja luokittelee ne funktion ja yrityksen valmiuden mukaan. Etsi kustakin sovelluksesta siihen liittyvät käyttäjät, IP-osoitteet, laitteet, tapahtumat ja suorittaa riskinarviointia ilman agentin asentamista päätepistelaitteisiisi.

Uuden suuren tai leveän sovelluksen käytön tunnistaminen

Tunnista uudet sovellukset, jotka ovat erittäin käytettyjä käyttäjien määrän tai organisaatiosi liikennemäärän perusteella.

Ennakkovaatimukset

Määritä automaattinen lokin lataaminen jatkuville pilvien etsintäraporteille kohdassa Jatkuvan lokin automaattisen latauksen määrittäminen tai Defender for Cloud Apps integrointi Defender for Endpointin kanssa artikkelin Integroi Microsoft Defender for Endpoint kanssa mukaisesti. Defender for Cloud Apps.

Ohjeet

1. Siirry Microsoft Defender-portaalin Pilvisovellukset-kohdassa kohtaan Käytännöt –>Käytäntöjen hallinta. Luo uusi sovellusten etsintäkäytäntö.

2. Valitse Käytäntömalli-kentässäUusi suuri määrä -sovellus tai Uusi suosittu sovellus ja käytä mallia.

3. Mukauta käytäntösuodattimia organisaatiosi vaatimusten mukaiseksi.

4. Määritä toiminnot, jotka suoritetaan, kun ilmoitus käynnistetään.

Huomautus

Ilmoitus luodaan kerran kullekin uudelle sovellukselle, jota ei ole löydetty viimeisten 90 päivän aikana.

Uuden riskialttiiden tai yhteensopimattomien sovellusten käytön havaitseminen

Havaitse organisaatiosi mahdollinen altistuminen pilvisovelluksissa, jotka eivät täytä suojausstandardejasi.

Ennakkovaatimukset

Määritä automaattinen lokin lataaminen jatkuville pilvien etsintäraporteille kohdassa Jatkuvan lokin automaattisen latauksen määrittäminen tai Defender for Cloud Apps integrointi Defender for Endpointin kanssa artikkelin Integroi Microsoft Defender for Endpoint kanssa mukaisesti. Defender for Cloud Apps.

Ohjeet

1. Siirry Microsoft Defender-portaalin Pilvisovellukset-kohdassa kohtaan Käytännöt –>Käytäntöjen hallinta. Luo uusi sovellusten etsintäkäytäntö.

2. Valitse Käytäntömalli-kentässäUusi riskialtis sovellus - malli ja ota malli käyttöön.

3. Määritä Kaikkia seuraavia vastaavia sovelluksia vastaavassakohdassa Riskipisteet-liukusäädin ja Yhteensopivuusriskitekijä mukauttamaan sen riskin tasoa, jonka haluat käynnistää ilmoituksen, ja määrittämään muut käytäntösuodattimet organisaatiosi suojausvaatimusten mukaisiksi.

   1. Valinnainen: Jos haluat saada merkityksellisempiä tunnistuksia, mukauta ilmoituksen laukaisevan liikenteen määrää.

   2. Valitse Käynnistä käytäntövastaavuus, jos kaikki seuraavat ovat samana päivänä - valintaruutu.

   3. Valitse Päivittäinen liikenne , joka on suurempi kuin 2000 Gt (tai muu).

4. Määritä hallintotoiminnot, jotka suoritetaan, kun ilmoitus käynnistetään. Valitse Hallinto-kohdassaMerkitse sovellus ei-toimimattomaksi.
   Sovelluksen käyttö estetään automaattisesti, kun käytäntö vastaa toisiaan.

5. Valinnainen: Estä sovelluksen käyttö hyödyntäen Defender for Cloud Apps alkuperäisiä integrointeja suojattujen verkkoyhdyskäytäviä käyttämällä.

Tunnista tukemattomien yrityssovellusten käyttö

Voit tunnistaa, milloin työntekijäsi jatkavat tukemattomien sovellusten käyttöä hyväksyttyjen liiketoimintavalmiiden sovellusten korvaamisena.

Ennakkovaatimukset

• Määritä automaattinen lokin lataaminen jatkuville pilvien etsintäraporteille kohdassa Jatkuvan lokin automaattisen latauksen määrittäminen tai Defender for Cloud Apps integrointi Defender for Endpointin kanssa artikkelin Integroi Microsoft Defender for Endpoint kanssa mukaisesti. Defender for Cloud Apps.

Ohjeet

1. Etsi pilvisovellusluettelosta yritysvalmiita sovelluksia ja merkitse ne mukautetulla sovellustunnisteella.

2. Noudata ohjeita kohdassa Uuden suuren tai leveän sovelluksen käytön havaitseminen.

3. Lisää sovellustunnistesuodatin ja valitse sovellustunnisteet, jotka loit liiketoimintavalmiille sovelluksillesi.

4. Määritä hallintotoiminnot, jotka suoritetaan, kun ilmoitus käynnistetään. Valitse Hallinto-kohdassa Merkitse sovellus ei-toimimattomaksi.
   Sovelluksen käyttö estetään automaattisesti, kun käytäntö vastaa toisiaan.

5. Valinnainen: Estä sovelluksen käyttö hyödyntäen Defender for Cloud Apps alkuperäisiä integrointeja suojattujen verkkoyhdyskäytäviä käyttämällä.

Havaitse epätavallisia käyttömalleja verkossasi

Tunnista poikkeavat liikenteen käyttötavat (lataukset/lataukset) pilvisovelluksissa, jotka ovat peräisin organisaation verkon käyttäjistä tai IP-osoitteista.

Ennakkovaatimukset

Määritä automaattinen lokin lataaminen jatkuville pilvien etsintäraporteille kohdassa Jatkuvan lokin automaattisen latauksen määrittäminen tai Defender for Cloud Apps integrointi Defender for Endpointin kanssa artikkelin Integroi Microsoft Defender for Endpoint kanssa mukaisesti. Defender for Cloud Apps.

Ohjeet

1. Siirry Microsoft Defender-portaalin Pilvisovellukset-kohdassa kohtaan Käytännöt –>Käytäntöjen hallinta. Luo uusi Cloud Discoveryn poikkeamien tunnistuskäytäntö.

2. Valitse Käytäntömalli-kentässäPoikkeamat havaituissa käyttäjissä tai Poikkeava toiminta löytynnys-IP-osoitteissa.

3. Mukauta suodattimet organisaatiosi vaatimusten mukaiseksi.

4. Jos haluat saada ilmoituksen vain, kun riskialttiissa sovelluksissa on poikkeamia, käytä Riskipisteytys-suodattimia ja määritä alue, jolla sovelluksia pidetään riskialttiina.

5. Valitse poikkeamien tunnistamisen luottamuksellisuus liukusäätimellä.

Huomautus

Kun jatkuva lokin lataaminen on muodostettu, poikkeamien tunnistusmoduulilla kestää muutaman päivän, ennen kuin organisaatiosi odotettu toiminta määritetään perustason (oppimisjakso) mukaisesti. Kun perusaikataulu on määritetty, saat ilmoituksia, jotka perustuvat käyttäjien tekemien tai IP-osoitteiden pilvisovellusten odotettuihin liikennekäyttäytymisen eroihin.

Tunnista poikkeavia pilvipalvelun etsintätoimintoja tallennussovelluksissa, joita ei ole hyväksytty

Tunnista käyttäjän poikkeava toiminta pilvitallennussovelluksessa, jota ei ole hyväksytty.

Ennakkovaatimukset

Määritä automaattinen lokin lataaminen jatkuville pilvien etsintäraporteille kohdassa Jatkuvan lokin automaattisen latauksen määrittäminen tai Defender for Cloud Apps integrointi Defender for Endpointin kanssa artikkelin Integroi Microsoft Defender for Endpoint kanssa mukaisesti. Defender for Cloud Apps.

Ohjeet

1. Siirry Microsoft Defender-portaalin Pilvisovellukset-kohdassa kohtaan Käytännöt –>Käytäntöjen hallinta. Luo uusi Cloud Discoveryn poikkeamien tunnistuskäytäntö.

2. Valitse suodatinsovellusluokka , joka vastaa pilvitallennustilaa.

3. Valitse suodattimen sovellustunniste ei ole sama kuin Hyväksytty.

4. Valitse valintaruutu, jos haluat luoda ilmoituksen jokaisesta vastaavasta tapahtumasta, jonka vakavuus on käytännön mukainen.

5. Määritä toiminnot, jotka suoritetaan, kun ilmoitus käynnistetään.

Tunnista riskialttiit OAuth-sovellukset

Hanki näkyvyys ja hallinta OAuth-sovelluksille , jotka on asennettu Google Workspacen, Microsoft 365:n ja Salesforcen kaltaisten sovellusten sisään. OAuth-sovelluksia, jotka pyytävät korkeita käyttöoikeuksia ja joilla on harvinainen yhteisön käyttö, voidaan pitää riskialttiina.

Ennakkovaatimukset

Sinulla on oltava Google Workspace-, Microsoft 365- tai Salesforce-sovellus yhdistettynä sovellusliittimien avulla.

Ohjeet

1. 1. Siirry Microsoft Defender-portaalin Pilvisovellukset-kohdassa kohtaan Käytännöt –>Käytäntöjen hallinta. Luo uusi OAuth-sovelluskäytäntö.

2. Valitse suodatinsovellus ja määritä sovellus, joka käytännön tulee kattaa, Google Workspace, Microsoft 365 tai Salesforce.

3. Valitse Käyttöoikeustason suodatin on sama kuin Suuri (käytettävissä Google Workspacessa ja Microsoft 365:ssä).

4. Suodattimen lisääminen yhteisön käyttöön on yhtä suuri kuin Harvinainen.

5. Määritä toiminnot, jotka suoritetaan, kun ilmoitus käynnistetään. Jos kyseessä on esimerkiksi Microsoft 365, valitse Kumoa käytännön havaitsemien OAuth-sovellusten sovellus.

Huomautus

Tuetaan Google Workspace-, Microsoft 365- ja Salesforce-sovelluskaupoissa.

Seuraavat vaiheet

Organisaation suojaamisen parhaat käytännöt

Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.