Yleiset Defender for Cloud Apps uhkien suojauskäytännöt
Defender for Cloud Apps avulla voit tunnistaa suuren riskin käyttöä ja pilvipalvelujen suojausongelmia, havaita epänormaalia käyttäjän toimintaa ja estää uhat hyväksytyissä pilvisovelluksissa. Hae näkyvyys käyttäjien ja järjestelmänvalvojien toimiin ja määritä käytäntöjä, jotka ilmoittavat automaattisesti, kun havaitaan epäilyttävää toimintaa tai tiettyjä toimintoja, joita pidät riskialttiina. Hyödynnä Microsoftin uhkatietojen ja tietoturvatutkimuksen valtavaa määrää, jotta varmistat, että hyväksytyillä sovelluksillasi on kaikki tarvitsemasi suojauksen hallinta ja että voit hallita niitä.
Huomautus
Kun Defender for Cloud Apps integroidaan Microsoft Defender for Identity kanssa, Myös Defender for Identityn käytännöt näkyvät käytäntösivulla. Luettelo Defender for Identity -käytännöistä on kohdassa Suojausilmoitukset.
Tunnista ja hallitse käyttäjien toimintaa tuntemattomista sijainneista
Käyttäjän käyttöoikeuden tai toiminnan automaattinen tunnistaminen tuntemattomista sijainneista, joissa kukaan muu organisaatiossasi ei ole koskaan käynyt.
Ennakkovaatimukset
Sinulla on oltava vähintään yksi sovellus yhdistettynä sovellusliitinten avulla.
Ohjeet
Tämä tunnistaminen määritetään automaattisesti, jotta saat ilmoituksen, kun käyttöoikeuksia on saatavilla uusista sijainneista. Sinun ei tarvitse tehdä mitään tämän käytännön määrittämiseksi. Lisätietoja on kohdassa Poikkeamien tunnistuskäytännöt.
Havaitse vaarantunut tili mahdottoman sijainnin mukaan (mahdoton matka)
Käyttäjän käyttöoikeuden tai toiminnan automaattinen tunnistaminen kahdesta eri sijainnista ajanjaksolla, joka on lyhyempi kuin niiden välillä matkustamiseen kuluva aika.
Ennakkovaatimukset
Sinulla on oltava vähintään yksi sovellus yhdistettynä sovellusliitinten avulla.
Ohjeet
Tämä tunnistaminen määritetään automaattisesti, jotta saat ilmoituksen, kun pääsy on mahdollista mahdottomista sijainneista. Sinun ei tarvitse tehdä mitään tämän käytännön määrittämiseksi. Lisätietoja on kohdassa Poikkeamien tunnistuskäytännöt.
Valinnainen: voit mukauttaa poikkeamien tunnistuskäytäntöjä:
Mukauta tunnistusaluetta käyttäjien ja ryhmien mukaan
Valitse huomioon otettavien kirjautumisten tyypit
Luottamuksellisuusasetuksen määrittäminen hälytyksiä varten
Luo poikkeamien tunnistuskäytäntö.
"Lomalla olevan" työntekijän epäilyttävän toiminnan havaitseminen
Tunnista, milloin käyttäjä, joka on palkattomalla lomalla ja jonka ei pitäisi olla aktiivinen missään organisaatioresurssissa, käyttää organisaatiosi pilvipalveluresursseja.
Ennakkovaatimukset
Sinulla on oltava vähintään yksi sovellus yhdistettynä sovellusliitinten avulla.
Luo käyttöoikeusryhmä Microsoft Entra ID käyttäjille, jotka ovat palkattomalla lomalla, ja lisää kaikki käyttäjät, joita haluat valvoa.
Ohjeet
Valitse Käyttäjäryhmät-näytössäLuo käyttäjäryhmä ja tuo asianmukainen Microsoft Entra ryhmä.
Siirry Microsoft Defender-portaalin Pilvisovellukset-kohdassa kohtaan Käytännöt –>Käytäntöjen hallinta. Luo uusi toimintokäytäntö.
Määritä suodatin Käyttäjäryhmä on sama kuin Microsoft Entra ID luomien käyttäjäryhmien nimi maksamattomissa lomakäyttäjissä.
Valinnainen: Määritä tiedostoille hallintatoiminnot , kun virhe havaitaan. Käytettävissä olevat hallintotoimet vaihtelevat palveluiden välillä. Voit valita Keskeytä käyttäjä.
Luo tiedostokäytäntö.
Tunnista ja ilmoita, kun vanhentunut selaimen käyttöjärjestelmä on käytössä
Tunnista, milloin käyttäjä käyttää selainta vanhentuneella asiakasversiolla, joka voi aiheuttaa vaatimustenmukaisuus- tai suojausriskejä organisaatiollesi.
Ennakkovaatimukset
Sinulla on oltava vähintään yksi sovellus yhdistettynä sovellusliitinten avulla.
Ohjeet
Siirry Microsoft Defender-portaalin Pilvisovellukset-kohdassa kohtaan Käytännöt –>Käytäntöjen hallinta. Luo uusi toimintokäytäntö.
Määritä suodattimen Käyttäjäagentin tunniste on sama kuin Vanhentunut selain ja Vanhentunut käyttöjärjestelmä.
Määritä tiedostoille hallintatoiminnot , kun havaitaan virhe. Käytettävissä olevat hallintotoimet vaihtelevat palveluiden välillä. Valitse Kaikki sovellukset -kohdassa Ilmoita käyttäjälle, jotta käyttäjät voivat käsitellä ilmoitusta ja päivittää tarvittavat osat.
Luo toimintokäytäntö.
Tunnista ja hälytä, kun Hallinta toiminto havaitaan riskialttiissa IP-osoitteissa
Tunnista järjestelmänvalvojan toimet ja IP-osoite, joita pidetään riskialttiina IP-osoitteena, ja ilmoita järjestelmänvalvojalle lisätutkimuksia varten tai määritä hallintotoiminto järjestelmänvalvojan tilillä.
Ennakkovaatimukset
Sinulla on oltava vähintään yksi sovellus yhdistettynä sovellusliitinten avulla.
Valitse Asetukset-hammasrataskosta IP-osoitealueet ja valitse + lisätäksesi IP-osoitealueet sisäisille aliverkoillesi ja niiden lähteville julkisille IP-osoitteille. Määritä LuokaksiSisäinen.
Ohjeet
Siirry Microsoft Defender-portaalin Pilvisovellukset-kohdassa kohtaan Käytännöt –>Käytäntöjen hallinta. Luo uusi toimintokäytäntö.
Määritä Asetukseksi Yksittäinentoiminta.
Määritä suodattimen IP-osoitteen arvoksi Luokka on yhtä suuri kuin Riski
Määritä suodattimen Hallinta-aktiviteetin arvoksi Tosi
Määritä tiedostoille hallintatoiminnot , kun havaitaan virhe. Käytettävissä olevat hallintotoimet vaihtelevat palveluiden välillä. Valitse Kaikki sovellukset -kohdassa Ilmoita käyttäjälle, jotta käyttäjät voivat käsitellä ilmoitusta ja päivittää tarvittavat osat CC käyttäjän esimiehelle.
Luo toimintokäytäntö.
Tunnista toimintoja palvelutilin mukaan ulkoisista IP-osoitteista
Tunnista palvelutiliaktiviteetit, jotka ovat peräisin ei-sisäisistä IP-osoitteista. Tämä voi olla osoitus epäilyttävästä toiminnasta tai vaarantuneesta tilistä.
Ennakkovaatimukset
Sinulla on oltava vähintään yksi sovellus yhdistettynä sovellusliitinten avulla.
Valitse Asetukset-hammasrataskosta IP-osoitealueet ja valitse + lisätäksesi IP-osoitealueet sisäisille aliverkoillesi ja niiden lähteville julkisille IP-osoitteille. Määritä LuokaksiSisäinen.
Standardoi palvelutilien nimeämiskäytännöt ympäristössäsi esimerkiksi määrittämällä kaikkien tilien nimet alkamaan merkkijonolla "svc".
Ohjeet
Siirry Microsoft Defender-portaalin Pilvisovellukset-kohdassa kohtaan Käytännöt –>Käytäntöjen hallinta. Luo uusi toimintokäytäntö.
Määritä suodattimen Käyttäjä-arvoksi Nimi ja aloita sitten nimeämiskäytäntö, kuten svc.
Määritä suodattimen IP-osoitteeksiLuokka ei ole sama kuin Muu ja Yritys.
Määritä tiedostoille hallintatoiminnot , kun havaitaan virhe. Käytettävissä olevat hallintotoimet vaihtelevat palveluiden välillä.
Luo käytäntö.
Joukkolatauksen havaitseminen (tietojen suodatus)
Tunnista, milloin tietty käyttäjä käyttää tai lataa valtavan määrän tiedostoja lyhyessä ajassa.
Ennakkovaatimukset
Sinulla on oltava vähintään yksi sovellus yhdistettynä sovellusliitinten avulla.
Ohjeet
Siirry Microsoft Defender-portaalin Pilvisovellukset-kohdassa kohtaan Käytännöt –>Käytäntöjen hallinta. Luo uusi toimintokäytäntö.
Määritä suodattimen IP-osoitteiden arvoksi Tunniste ei ole sama kuin Microsoft Azure. Tämä sulkee pois ei-vuorovaikutteiset laitepohjaiset toiminnot.
Määritä suodattimen toimintatyypit yhtä suuri kuin ja valitse sitten kaikki asianmukaiset lataustoiminnot.
Määritä tiedostoille hallintatoiminnot , kun havaitaan virhe. Käytettävissä olevat hallintotoimet vaihtelevat palveluiden välillä.
Luo käytäntö.
Havaitse mahdollinen kiristyshaittaohjelmatoiminta
Mahdollisen kiristysohjelman toiminnan automaattinen havaitseminen.
Ennakkovaatimukset
Sinulla on oltava vähintään yksi sovellus yhdistettynä sovellusliitinten avulla.
Ohjeet
Tämä tunnistus määritetään automaattisesti hälytykseen, kun mahdollisesti havaitaan kiristyshaittaohjelmariski. Sinun ei tarvitse tehdä mitään tämän käytännön määrittämiseksi. Lisätietoja on kohdassa Poikkeamien tunnistuskäytännöt.
On mahdollista määrittää tunnistuksen laajuus ja mukauttaa ilmoitusten yhteydessä suoritettavat hallintotoiminnot. Lisätietoja siitä, miten Defender for Cloud Apps tunnistaa kiristyshaittaohjelmat, on artikkelissa Organisaatiosi suojaaminen kiristyshaittaohjelmilta.
Huomautus
Tämä koskee Microsoft 365:tä, Google Workspacea, Boxia ja Dropboxia.
Haittaohjelmien havaitseminen pilvipalvelussa
Tunnista tiedostot, jotka sisältävät haittaohjelmia pilviympäristöissäsi, hyödyntämällä Defender for Cloud Apps integrointia Microsoftin Threat Intelligence -moduulin kanssa.
Ennakkovaatimukset
- Microsoft 365 -haittaohjelmien tunnistusta varten sinulla on oltava kelvollinen Microsoft Defender microsoft 365 P1 -käyttöoikeus.
- Sinulla on oltava vähintään yksi sovellus yhdistettynä sovellusliitinten avulla.
Ohjeet
- Tämä tunnistaminen määritetään automaattisesti hälytykseen, kun tiedosto saattaa sisältää haittaohjelmia. Sinun ei tarvitse tehdä mitään tämän käytännön määrittämiseksi. Lisätietoja on kohdassa Poikkeamien tunnistuskäytännöt.
Tunnista järjestelmänvalvojan haltuunotto
Havaitse toistuvaa järjestelmänvalvojan toimintaa, joka saattaa ilmaista haitallisia aikeita.
Ennakkovaatimukset
Sinulla on oltava vähintään yksi sovellus yhdistettynä sovellusliitinten avulla.
Ohjeet
Siirry Microsoft Defender-portaalin Pilvisovellukset-kohdassa kohtaan Käytännöt –>Käytäntöjen hallinta. Luo uusi toimintokäytäntö.
Määritä Toisteinen toiminta - asetukseksi Toistuvia toimintoja ja mukauta toistuvia vähimmäistoimintoja ja määritä aikaraja organisaatiosi käytännön noudattamiseksi..
Määritä suodattimen Käyttäjä arvoksi Käyttäjä ryhmästä yhtä suuri kuin ja valitse kaikki liittyvät järjestelmänvalvojaryhmät vain toimijaksi.
Määritä suodattimen toimintatyyppi on sama kuin kaikki toiminnot, jotka liittyvät salasanapäivityksiin, muutoksiin ja palautuksiin.
Määritä tiedostoille hallintatoiminnot , kun havaitaan virhe. Käytettävissä olevat hallintotoimet vaihtelevat palveluiden välillä.
Luo käytäntö.
Tunnista epäilyttävät Saapuneet-kansion käsittelysäännöt
Jos käyttäjän Saapuneet-kansioon on määritetty epäilyttävä Saapuneet-kansion sääntö, se voi tarkoittaa, että käyttäjätili on vaarantunut ja että postilaatikkoa käytetään roskapostin ja haittaohjelmien jakamiseen organisaatiossasi.
Ennakkovaatimukset
- Käytä Microsoft Exchangea sähköpostina.
Ohjeet
- Tämä tunnistaminen määritetään automaattisesti niin, että se varoittaa epäilyttävästä Saapuneet-kansion sääntöjoukosta. Sinun ei tarvitse tehdä mitään tämän käytännön määrittämiseksi. Lisätietoja on kohdassa Poikkeamien tunnistuskäytännöt.
Vuotaneiden tunnistetietojen tunnistaminen
Kun verkkorikolliset vaarantavat laillisien käyttäjien kelvolliset salasanat, he jakavat usein nämä tunnistetiedot. Tämä tehdään yleensä julkaisemalla ne julkisesti pimeässä verkossa tai liittämällä sivustoja tai käymällä kauppaa tai myymällä tunnistetietoja mustassa pörssissä.
Defender for Cloud Apps käyttää Microsoftin uhkatietoja täsmätäkseen tällaiset tunnistetiedot organisaatiosi sisällä käytettyihin tunnistetietoihin.
Ennakkovaatimukset
Sinulla on oltava vähintään yksi sovellus yhdistettynä sovellusliitinten avulla.
Ohjeet
Tämä tunnistus määritetään automaattisesti hälytykseen, kun tunnistetietojen mahdollinen vuoto havaitaan. Sinun ei tarvitse tehdä mitään tämän käytännön määrittämiseksi. Lisätietoja on kohdassa Poikkeamien tunnistuskäytännöt.
Poikkeamien tiedostojen lataamisen tunnistaminen
Tunnista, milloin käyttäjät suorittavat useita tiedostojen lataustoimintoja yksittäisessä istunnossa verrattuna perusaikatauluun. Tämä voi tarkoittaa murtoyritystä.
Ennakkovaatimukset
Sinulla on oltava vähintään yksi sovellus yhdistettynä sovellusliitinten avulla.
Ohjeet
Tämä tunnistus määritetään automaattisesti hälytykseen poikkeavien latausten varalta. Sinun ei tarvitse tehdä mitään tämän käytännön määrittämiseksi. Lisätietoja on kohdassa Poikkeamien tunnistuskäytännöt.
On mahdollista määrittää tunnistuksen laajuus ja mukauttaa ilmoitusta käynnistettäessä suoritettavaa toimintoa.
Tunnista käyttäjän jakamat poikkeavat tiedostoja
Tunnista, milloin käyttäjät suorittavat useita tiedostojen jakamistoimintoja yhdessä istunnossa varmistetun perusaikataulun suhteen, mikä voi tarkoittaa murtoyritystä.
Ennakkovaatimukset
Sinulla on oltava vähintään yksi sovellus yhdistettynä sovellusliitinten avulla.
Ohjeet
Tämä tunnistaminen määritetään automaattisesti, jotta voit ilmoittaa sinulle, kun käyttäjät jakavat tiedostoja useita. Sinun ei tarvitse tehdä mitään tämän käytännön määrittämiseksi. Lisätietoja on kohdassa Poikkeamien tunnistuskäytännöt.
On mahdollista määrittää tunnistuksen laajuus ja mukauttaa ilmoitusta käynnistettäessä suoritettavaa toimintoa.
Tunnista poikkeavia toimintoja epävakaista maista tai alueista
Tunnista toimintoja sijainnista, joka ei ollut äskettäin tai jossa käyttäjä tai kuka tahansa organisaatiosi käyttäjä ei ole koskaan käynyt siellä.
Ennakkovaatimukset
Sinulla on oltava vähintään yksi sovellus yhdistettynä sovellusliitinten avulla.
Ohjeet
Tämä tunnistus määritetään automaattisesti hälytykseen, kun harvinaisesta maasta tai alueelta ilmenee poikkeavaa toimintaa. Sinun ei tarvitse tehdä mitään tämän käytännön määrittämiseksi. Lisätietoja on kohdassa Poikkeamien tunnistuskäytännöt.
On mahdollista määrittää tunnistuksen laajuus ja mukauttaa ilmoitusta käynnistettäessä suoritettavaa toimintoa.
Huomautus
Poikkeavien sijaintien havaitseminen edellyttää 7 päivän ensimmäistä oppimisjaksoa. oppimisjaksolla Defender for Cloud Apps ei luo ilmoituksia uusista sijainneista.
Tunnista lopettaneen käyttäjän suorittama toiminto
Tunnista, milloin käyttäjä, joka ei ole enää organisaatiosi työntekijä, suorittaa toimintoa hyväksytyssä sovelluksessa. Tämä voi tarkoittaa, että lakkautetun työntekijän, jolla on edelleen yrityksen resurssien käyttöoikeus, harjoittamaa haitallista toimintaa.
Ennakkovaatimukset
Sinulla on oltava vähintään yksi sovellus yhdistettynä sovellusliitinten avulla.
Ohjeet
Tämä tunnistaminen määritetään automaattisesti valmiin määrityksen mukaan hälytykseen, kun lopetettu työntekijä suorittaa toiminnon. Sinun ei tarvitse tehdä mitään tämän käytännön määrittämiseksi. Lisätietoja on kohdassa Poikkeamien tunnistuskäytännöt.
On mahdollista määrittää tunnistuksen laajuus ja mukauttaa ilmoitusta käynnistettäessä suoritettavaa toimintoa.
Seuraavat vaiheet
Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.