Condividi tramite

Guida operativa mensile - Microsoft Defender for Cloud Apps

  • Articolo

Questo articolo elenca le attività operative mensili che è consigliabile eseguire con Microsoft Defender for Cloud Apps.

Le attività mensili possono essere eseguite più frequentemente o in base alle esigenze, a seconda dell'ambiente e delle esigenze.

Esaminare le valutazioni dei criteri

Dove: nel portale di Microsoft Defender XDR selezionare Gestione criteri > delle app > cloud

Persona: amministratori di sicurezza e conformità

Esaminare i criteri e apportare gli aggiornamenti necessari per assicurarsi che siano ancora appropriati per l'organizzazione.

  • Verificare la presenza di tassi falsi positivi e positivi reali non validi e modificare i criteri in cui le tariffe sono troppo elevate. Ad esempio, assicurarsi che qualsiasi nuovo indirizzo IP aziendale sia configurato correttamente nelle impostazioni di Defender for Cloud Apps per evitare falsi positivi di viaggio impossibili.

  • Esaminare le esigenze aziendali e valutare i requisiti per i criteri personalizzati. Ad esempio, la minaccia rilevata da ogni criterio è ancora rilevante? Oppure è disponibile una nuova soluzione integrata per rilevare tale minaccia?

  • Cancellare gli avvisi precedenti. Ad esempio:

    1. Visualizzare gli avvisi degli ultimi sei mesi. Filtrare gli avvisi contrassegnati come risolti e raggruppare avvisi simili per semplificare la visualizzazione.
    2. Verificare il motivo per cui ogni avviso visualizzato non è stato risolto.
    3. Se gli avvisi sono non validi, ignorarli e modificare i criteri in base alle esigenze.

Per altre informazioni, vedere Controllare le app cloud con i criteri.

Esaminare i log attività

Dove: nel portale di Microsoft Defender XDR selezionare Log attività in App cloud.

Persona: amministratori di sicurezza e conformità

I log attività vengono spesso esaminati in relazione agli avvisi e nell'ambito delle indagini sulle minacce. È consigliabile rivedere il log attività mensilmente per verificare la presenza di attività ripetute da parte della stessa entità, ad esempio più ricerche o accessi da parte dello stesso utente.

  1. Risultati pivot per tipo di attività, ad esempio accessi non riusciti o eliminazione o assegnazione di privilegi.
  2. Restringere l'attività a un'app o a un utente.
  3. Usare i risultati per creare un nuovo criterio per monitorare più da vicino e rispondere alle potenziali minacce.

Per altre informazioni, vedere Query attività.

Contenuto correlato

Microsoft Defender for Cloud Apps guida operativa