Criteri di individuazione cloud

Questo articolo offre una panoramica di come iniziare a usare Defender for Cloud Apps per ottenere visibilità all'interno dell'organizzazione in Shadow IT usando l'individuazione cloud.

Defender for Cloud Apps consente di individuare e analizzare le app cloud in uso nell'ambiente dell'organizzazione. Il dashboard di cloud discovery mostra tutte le app cloud in esecuzione nell'ambiente e le classifica in base alla funzione e all'idoneità aziendale. Per ogni app, individuare gli utenti, gli indirizzi IP, i dispositivi, le transazioni e la valutazione dei rischi associati senza dover installare un agente nei dispositivi endpoint.

Rilevare l'uso di nuove app a volume elevato o wide

Rilevare le nuove app che sono altamente usate, in termini di numero di utenti o quantità di traffico nell'organizzazione.

Prerequisiti

Configurare il caricamento automatico dei log per i report di individuazione cloud continua, come descritto in Configurare il caricamento automatico dei log per i report continui o abilitare l'integrazione Defender for Cloud Apps con Defender per endpoint, come descritto in Integrare Microsoft Defender per endpoint con Defender for Cloud Apps.

Procedura

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio di individuazione delle app.

2. Nel campo Modello di criteri selezionare Nuova app con volume elevato o Nuova app popolare e applicare il modello.

3. Personalizzare i filtri dei criteri per soddisfare i requisiti dell'organizzazione.

4. Configurare le azioni da eseguire quando viene attivato un avviso.

Nota

Viene generato un avviso una volta per ogni nuova app che non è stata individuata negli ultimi 90 giorni.

Rilevare l'uso di nuove app rischiose o non conformi

Rilevare la potenziale esposizione dell'organizzazione nelle app cloud che non soddisfano gli standard di sicurezza.

Prerequisiti

Configurare il caricamento automatico dei log per i report di individuazione cloud continua, come descritto in Configurare il caricamento automatico dei log per i report continui o abilitare l'integrazione Defender for Cloud Apps con Defender per endpoint, come descritto in Integrare Microsoft Defender per endpoint con Defender for Cloud Apps.

Procedura

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio di individuazione delle app.

2. Nel campo Modello di criteri selezionare il modello Nuova app rischiosa e applicare il modello.

3. In App matching all of the following set the Risk Score slider and the Compliance risk factor to customize the level of risk you want to trigger an alert e set the other policy filters to meet your organization's security requirements.in App matching all'all of the following set the Risk Score slider and the Compliance risk factor to customize the level of risk you want to trigger an alert, and set the other policy filters to meet your organization's security requirements.

   1. Facoltativo: per ottenere rilevamenti più significativi, personalizzare la quantità di traffico che attiverà un avviso.

   2. Selezionare la casella di controllo Attiva una corrispondenza di criteri se si verificano tutte le operazioni seguenti nello stesso giorno .

   3. Selezionare Traffico giornaliero maggiore di 2000 GB (o altro).

4. Configurare le azioni di governance da eseguire quando viene attivato un avviso. In Governance selezionare Contrassegna app come non autorizzata.
   L'accesso all'app verrà bloccato automaticamente quando i criteri vengono confrontati.

5. Facoltativo: sfruttare Defender for Cloud Apps integrazioni native con gateway Web sicuri per bloccare l'accesso alle app.

Rilevare l'uso di app aziendali non approvate

È possibile rilevare quando i dipendenti continuano a usare app non approvate come sostituzione per le app approvate per l'azienda.

Prerequisiti

• Configurare il caricamento automatico dei log per i report di individuazione cloud continua, come descritto in Configurare il caricamento automatico dei log per i report continui o abilitare l'integrazione Defender for Cloud Apps con Defender per endpoint, come descritto in Integrare Microsoft Defender per endpoint con Defender for Cloud Apps.

Procedura

1. Nel catalogo delle app cloud cercare le app pronte per l'azienda e contrassegnarle con un tag app personalizzato.

2. Seguire la procedura descritta in Rilevare un nuovo volume elevato o l'utilizzo di app wide.

3. Aggiungere un filtro tag app e scegliere i tag dell'app creati per le app pronte per l'azienda.

4. Configurare le azioni di governance da eseguire quando viene attivato un avviso. In Governance selezionare Contrassegna app come non autorizzata.
   L'accesso all'app verrà bloccato automaticamente quando i criteri vengono confrontati.

5. Facoltativo: sfruttare Defender for Cloud Apps integrazioni native con gateway Web sicuri per bloccare l'accesso alle app.

Rilevare modelli di utilizzo insoliti nella rete

Rilevare modelli di utilizzo anomali del traffico (caricamenti/download) nelle app cloud, provenienti da utenti o indirizzi IP all'interno della rete dell'organizzazione.

Prerequisiti

Configurare il caricamento automatico dei log per i report di individuazione cloud continua, come descritto in Configurare il caricamento automatico dei log per i report continui o abilitare l'integrazione Defender for Cloud Apps con Defender per endpoint, come descritto in Integrare Microsoft Defender per endpoint con Defender for Cloud Apps.

Procedura

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio di rilevamento anomalie di Cloud Discovery.

2. Nel campo Modello di criteri selezionare Comportamento anomalo negli utenti individuati o Comportamento anomalo negli indirizzi IP individuati.

3. Personalizzare i filtri per soddisfare i requisiti dell'organizzazione.

4. Se si vuole ricevere un avviso solo quando sono presenti anomalie che coinvolgono app rischiose, usare i filtri punteggio di rischio e impostare l'intervallo in cui le app sono considerate rischiose.

5. Usare il dispositivo di scorrimento per Selezionare la sensibilità al rilevamento anomalie.

Nota

Dopo aver stabilito il caricamento continuo dei log, il motore di rilevamento anomalie richiede alcuni giorni prima che venga stabilita una linea di base (periodo di apprendimento) per il comportamento previsto nell'organizzazione. Dopo aver stabilito una baseline, si inizia a ricevere avvisi in base alle discrepanze del comportamento del traffico previsto tra le app cloud effettuate dagli utenti o dagli indirizzi IP.

Rilevare comportamenti anomali di individuazione cloud nelle app di archiviazione non approvate

Rilevare un comportamento anomalo da parte di un utente in un'app di archiviazione cloud non approvata.

Prerequisiti

Configurare il caricamento automatico dei log per i report di individuazione cloud continua, come descritto in Configurare il caricamento automatico dei log per i report continui o abilitare l'integrazione Defender for Cloud Apps con Defender per endpoint, come descritto in Integrare Microsoft Defender per endpoint con Defender for Cloud Apps.

Procedura

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio di rilevamento anomalie di Cloud Discovery.

2. Selezionare il filtro Categoria app uguale a Archiviazione cloud.

3. Selezionare il filtro App tag does not equal Sanctioned (Il tag app non è uguale a Sanctioned).

4. Selezionare la casella di controllo Crea un avviso per ogni evento corrispondente con la gravità del criterio.

5. Configurare le azioni da eseguire quando viene attivato un avviso.

Rilevare le app OAuth rischiose

Ottieni visibilità e controllo sulle app OAuth installate all'interno di app come Google Workspace, Microsoft 365 e Salesforce. Le app OAuth che richiedono autorizzazioni elevate e hanno un uso raro della community possono essere considerate rischiose.

Prerequisiti

È necessario che l'app Google Workspace, Microsoft 365 o Salesforce sia connessa tramite connettori di app.

Procedura

1. 1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio dell'app OAuth.

2. Selezionare l'app filtro e impostare l'app che i criteri devono coprire, Google Workspace, Microsoft 365 o Salesforce.

3. Selezionare Filtro livello di autorizzazione uguale a Alto (disponibile per Google Workspace e Microsoft 365).

4. Aggiungere il filtro Uso community uguale a Raro.

5. Configurare le azioni da eseguire quando viene attivato un avviso. Ad esempio, per Microsoft 365, selezionare Revoca app per le app OAuth rilevate dai criteri.

Nota

Supportato per Google Workspace, Microsoft 365 e gli app store Salesforce.

Passaggi successivi

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.