Condividi tramite

Gestire gli avvisi di governance delle app

  • Articolo

È possibile analizzare gli avvisi relativi ad app cloud dannose e app che possono presentare rischi per l'organizzazione nelle pagine avvisi o eventi imprevisti Microsoft Defender XDR.

Ad esempio:

Screenshot della pagina di riepilogo degli avvisi di governance delle app nel Microsoft Defender XDR.

Visualizzare i dettagli dell'avviso

Per impostazione predefinita, la pagina avvisi Microsoft Defender XDR elenca i nuovi avvisi generati dalla governance delle app in base alle regole di rilevamento delle minacce e ai criteri attivi. Visualizzare i dettagli di un avviso specifico selezionando l'avviso. Viene visualizzata una pagina con informazioni aggiuntive sull'avviso e le opzioni per la gestione dell'avviso.

Ad esempio:

Screenshot di informazioni aggiuntive sull'avviso e sulle opzioni per la gestione dell'avviso.

Nella pagina è possibile ottenere informazioni aggiuntive dalla sezione Storia avviso :

  • Dettagli esatti sul motivo per cui l'avviso è stato creato in Cosa è successo
  • Informazioni su come correggere l'avviso in Azioni consigliate

Gestire un avviso di governance dell'app

Per analizzare ed eseguire azioni su un'app nella governance dell'app, selezionare la scheda entità dell'app in Entità correlate e quindi selezionare Visualizza dettagli dell'app.

I criteri dell'app configurati per la correzione automatica dall'azione hanno lo stato Risolto.

Per gestire l'avviso di governance dell'app:

  1. Indagine: esaminare le informazioni nell'avviso e modificarne lo stato in Contrassegna in corso.
  2. Risoluzione: dopo l'analisi e, se necessario, la determinazione delle modifiche ai criteri dell'app o il supporto continuo dell'app nel tenant, modificarne lo stato in Risolto.

In base ai modelli di avviso dell'app, è possibile aggiornare i criteri dell'app appropriati e modificare l’impostazione Azione per eseguire la correzione automatica. Ciò elimina la necessità di analizzare e risolvere manualmente gli avvisi futuri generati dai criteri dell'app. Per ulteriori informazioni, vedere Gestire i criteri dell’app.

Vietare o approvare un'app OAuth connessa a Salesforce e Google Workspace

Nota

Questa sezione è rilevante solo per le applicazioni Salesforce e Google Workspace.

  1. Nelle schede App Google o Salesforce selezionare l'app per aprire il riquadro App e visualizzare altre informazioni sull'app e sulle autorizzazioni concesse.

    • Selezionare Autorizzazioni per visualizzare un elenco completo delle autorizzazioni concesse all'app.
    • In Uso della community è possibile visualizzare la frequenza con cui l'app è comune in altre organizzazioni.
    • Selezionare Attività correlata per visualizzare le attività elencate nel log attività correlate a questa app.

  2. Per vietare l'app, selezionare l'icona di esclusione alla fine della riga dell'app nella tabella. Ad esempio:

    Screenshot dell'icona di un'app di esclusione.

    • È possibile scegliere se si vuole indicare agli utenti che l'app che hanno installato e autorizzato è stata vietata. La notifica informa gli utenti che l'app verrà disabilitata e non avrà accesso all'app connessa. Se non si vuole che lo sappiano, deselezionare Notifica agli utenti che hanno concesso l'accesso a questa app esclusa nella finestra di dialogo.
    • È consigliabile comunicare agli utenti dell'app che l'app sta per essere esclusa dall'uso.

    Ad esempio:

    Screenshot del divieto di un'app.

  3. Digitare il messaggio da inviare agli utenti dell'app nella casella Immettere un messaggio di notifica personalizzato. Selezionare Ban app (Impedisci app ) per inviare la posta elettronica e vietare l'app agli utenti dell'app connessa.

  4. Per approvare l'app, selezionare l'icona di approvazione alla fine della riga nella tabella.

    Screenshot dell'icona approva l'app.

    • L'icona diventa verde e l'app viene approvata per tutti gli utenti dell'app connessa.
    • Quando si contrassegna un'app come approvata, non si verifica alcun effetto sull'utente finale. Questa modifica del colore consente di visualizzare le app approvate per separarle da quelle non ancora esaminate.

Revocare l'app OAuth connessa a Salesforce e Google Workspace e inviare una notifica all'utente

Nota

Questa sezione è rilevante solo per le applicazioni Salesforce e Google Workspace. Per Google Workspace e Salesforce, è possibile revocare l'autorizzazione a un'app o notificare all'utente che deve modificare l'autorizzazione. Quando si revoca l'autorizzazione, vengono rimosse tutte le autorizzazioni concesse all'applicazione in "Applicazioni aziendali" in Microsoft Entra ID.

  1. Nelle schede App Google o App Salesforce selezionare i tre puntini alla fine della riga dell'app e selezionare Invia notifica all'utente. Per impostazione predefinita, l'utente riceve una notifica come segue: L'app è stata autorizzata ad accedere al proprio account Google Workspace. Questa app è in conflitto con i criteri di sicurezza dell'organizzazione. Riconsidera la concessione o la revoca delle autorizzazioni concesse a questa app nel tuo account Google Workspace. Per revocare l'accesso alle app, passare a: https://security.google.com/settings/security/permissions?hl=en& pli=1 Selezionare l'app e selezionare "Revoca accesso" sulla barra dei menu a destra. È possibile personalizzare il messaggio inviato.

  2. È anche possibile revocare le autorizzazioni per usare l'app per l'utente. Selezionare l'icona alla fine della riga dell'app nella tabella e selezionare Revoca app.

    Screenshot dell'icona di revoca dell'app.

Passaggi successivi

Proteggere le app che accedono ad API non Graph usando la governance delle app