Criteri comuni di protezione dalle minacce Defender for Cloud Apps

Defender for Cloud Apps consente di identificare i problemi di utilizzo e sicurezza cloud ad alto rischio, rilevare comportamenti anomali degli utenti e prevenire le minacce nelle app cloud approvate. Ottenere visibilità sulle attività dell'utente e dell'amministratore e definire i criteri per avvisare automaticamente quando vengono rilevati comportamenti sospetti o attività specifiche che si considerano rischiosi. Attingi dalla grande quantità di dati di ricerca microsoft sulle minacce e sulla sicurezza per garantire che le app approvate dispongano di tutti i controlli di sicurezza necessari e ti aiutino a mantenere il controllo su di esse.

Nota

Quando si integra Defender for Cloud Apps con Microsoft Defender per identità, nella pagina dei criteri vengono visualizzati anche i criteri di Defender per identità. Per un elenco dei criteri di Defender per identità, vedere Avvisi di sicurezza.

Rilevare e controllare l'attività utente da posizioni sconosciute

Rilevamento automatico dell'accesso utente o dell'attività da posizioni sconosciute che non sono mai state visitate da altri utenti dell'organizzazione.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori di app.

Procedura

Questo rilevamento viene configurato automaticamente in modo predefinito per avvisare l'utente quando è disponibile l'accesso da nuove posizioni. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento anomalie.

Rilevare l'account compromesso da una posizione impossibile (viaggio impossibile)

Rilevamento automatico dell'accesso utente o dell'attività da 2 posizioni diverse in un periodo di tempo inferiore al tempo necessario per spostarsi tra i due.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori di app.

Procedura

1. Questo rilevamento viene configurato automaticamente in modo predefinito per avvisare l'utente quando è disponibile l'accesso da posizioni impossibili. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento anomalie.

2. Facoltativo: è possibile personalizzare i criteri di rilevamento anomalie:

   • Personalizzare l'ambito di rilevamento in termini di utenti e gruppi

   • Scegliere i tipi di accessi da considerare

   • Impostare la preferenza di riservatezza per l'avviso

3. Creare i criteri di rilevamento anomalie.

Rilevare attività sospette da un dipendente "in congedo"

Rilevare quando un utente, che è in congedo non retribuito e non deve essere attivo in alcuna risorsa organizzativa, accede a nessuna delle risorse cloud dell'organizzazione.

Prerequisiti

• È necessario avere almeno un'app connessa usando i connettori di app.

• Creare un gruppo di sicurezza in Microsoft Entra ID per gli utenti in congedo non retribuito e aggiungere tutti gli utenti da monitorare.

Procedura

1. Nella schermata Gruppi di utenti selezionare Crea gruppo di utenti e importare il gruppo di Microsoft Entra pertinente.

2. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio attività.

3. Impostare il filtro Gruppo di utenti uguale al nome dei gruppi di utenti creati in Microsoft Entra ID per gli utenti che non sono stati retribuiti.

4. Facoltativo: impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano a seconda dei servizi. È possibile scegliere Sospendi utente.

5. Creare i criteri file.

Rilevare e notificare quando viene usato il sistema operativo del browser obsoleto

Rilevare quando un utente usa un browser con una versione client obsoleta che potrebbe comportare rischi di conformità o sicurezza per l'organizzazione.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori di app.

Procedura

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio attività.

2. Impostare il tag agente utente del filtro uguale a Browser obsoleto e Sistema operativo obsoleto.

3. Impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano a seconda dei servizi. In Tutte le app selezionare Notifica utente, in modo che gli utenti possano agire in base all'avviso e aggiornare i componenti necessari.

4. Creare i criteri attività.

Rilevare e avvisare quando viene rilevata Amministrazione'attività su indirizzi IP rischiosi

Rilevare le attività di amministratore eseguite da e l'indirizzo IP considerato un indirizzo IP rischioso e informare l'amministratore di sistema per ulteriori indagini o impostare un'azione di governance sull'account dell'amministratore.

Prerequisiti

• È necessario avere almeno un'app connessa usando i connettori di app.

• Nell'ingranaggio Impostazioni selezionare Intervalli di indirizzi IP e selezionare + per aggiungere intervalli di indirizzi IP per le subnet interne e i relativi indirizzi IP pubblici in uscita. Impostare Categoria su Interno.

Procedura

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio attività.

2. Impostare Act on su Single activity (Attiva su singola attività).

3. Impostare l'indirizzo IP del filtro su Categoria uguale a Rischio

4. Impostare l'attività amministrativa del filtro su True

5. Impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano a seconda dei servizi. In Tutte le app selezionare Notifica utente, in modo che gli utenti possano agire in base all'avviso e aggiornare i componenti necessari cc il responsabile dell'utente.

6. Creare i criteri attività.

Rilevare le attività in base all'account del servizio da indirizzi IP esterni

Rilevare le attività dell'account del servizio provenienti da indirizzi IP non interni. Questo potrebbe indicare un comportamento sospetto o un account compromesso.

Prerequisiti

• È necessario avere almeno un'app connessa usando i connettori di app.

• Nell'ingranaggio Impostazioni selezionare Intervalli di indirizzi IP e selezionare + per aggiungere intervalli di indirizzi IP per le subnet interne e i relativi indirizzi IP pubblici in uscita. Impostare Categoria su Interno.

• Standardizzare le convenzioni di denominazione per gli account del servizio nell'ambiente, ad esempio impostare tutti i nomi di account in modo che inizino con "svc".

Procedura

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio attività.

2. Impostare il filtro Utente su Nome e quindi Inizia con e immettere la convenzione di denominazione, ad esempio svc.

3. Impostare l'indirizzo IP del filtro su Categoria non è uguale a Altro e Aziendale.

4. Impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano a seconda dei servizi.

5. Creare i criteri.

Rilevare il download di massa (esfiltrazione dei dati)

Rilevare quando un determinato utente accede o scarica un numero elevato di file in un breve periodo di tempo.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori di app.

Procedura

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio attività.

2. Impostare gli indirizzi IP del filtro su Tag non uguale a Microsoft Azure. Verranno escluse le attività basate su dispositivi non interattive.

3. Impostare il filtro Tipi di attività uguale a e quindi selezionare tutte le attività di download pertinenti.

4. Impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano a seconda dei servizi.

5. Creare i criteri.

Rilevare potenziali attività ransomware

Rilevamento automatico di potenziali attività ransomware.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori di app.

Procedura

1. Questo rilevamento viene configurato automaticamente in modo predefinito per avvisare l'utente quando viene rilevato un potenziale rischio ransomware. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento anomalie.

2. È possibile configurare l'ambito del rilevamento e personalizzare le azioni di governance da eseguire quando viene attivato un avviso. Per altre informazioni su come Defender for Cloud Apps identifica il ransomware, vedere Protezione dell'organizzazione da ransomware.

Nota

Questo vale per Microsoft 365, Google Workspace, Box e Dropbox.

Rilevare malware nel cloud

Rilevare i file contenenti malware negli ambienti cloud usando l'integrazione Defender for Cloud Apps con il motore di Intelligence per le minacce di Microsoft.

Prerequisiti

• Per il rilevamento malware di Microsoft 365, è necessario disporre di una licenza valida per Microsoft Defender per Microsoft 365 P1.
• È necessario avere almeno un'app connessa usando i connettori di app.

Procedura

• Questo rilevamento viene configurato automaticamente in modo predefinito per avvisare l'utente quando è presente un file che può contenere malware. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento anomalie.

Rilevare l'acquisizione di amministratori non autorizzati

Rilevare attività di amministrazione ripetute che potrebbero indicare intenzioni dannose.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori di app.

Procedura

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio attività.

2. Impostare Act on suAttività ripetute e personalizzare le attività ripetute minime e impostare un intervallo di tempo in modo che sia conforme ai criteri dell'organizzazione.

3. Impostare il filtro Utente su Da gruppo uguale a e selezionare tutto il gruppo di amministrazione correlato come Solo attore.

4. Impostare il filtro Tipo di attività uguale a tutte le attività correlate a aggiornamenti, modifiche e reimpostazioni delle password.

5. Impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano a seconda dei servizi.

6. Creare i criteri.

Rilevare regole sospette di manipolazione della posta in arrivo

Se è stata impostata una regola di posta in arrivo sospetta nella posta in arrivo di un utente, può indicare che l'account utente è compromesso e che la cassetta postale viene usata per distribuire posta indesiderata e malware nell'organizzazione.

Prerequisiti

• Uso di Microsoft Exchange per la posta elettronica.

Procedura

• Questo rilevamento viene configurato automaticamente in modo predefinito per avvisare l'utente quando è presente un set di regole di posta in arrivo sospetto. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento anomalie.

Rilevare le credenziali perse

Quando i criminali informatici compromettono password valide di utenti legittimi, spesso condividono tali credenziali. Questo è di solito fatto pubblicandoli pubblicamente sul dark web o incollare siti o negoziando o vendendo le credenziali sul mercato nero.

Defender for Cloud Apps usa l'intelligence sulle minacce di Microsoft per associare tali credenziali a quelle usate all'interno dell'organizzazione.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori di app.

Procedura

Questo rilevamento viene configurato automaticamente in modo predefinito per avvisare l'utente quando viene rilevata una possibile perdita di credenziali. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento anomalie.

Rilevare i download di file anomali

Rilevare quando gli utenti eseguono più attività di download di file in una singola sessione, rispetto alla baseline appresa. Questo potrebbe indicare un tentativo di violazione.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori di app.

Procedura

1. Questo rilevamento viene configurato automaticamente automaticamente per avvisare l'utente quando si verifica un download anomalo. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento anomalie.

2. È possibile configurare l'ambito del rilevamento e personalizzare l'azione da eseguire quando viene attivato un avviso.

Rilevare condivisioni file anomale da parte di un utente

Rilevare quando gli utenti eseguono più attività di condivisione file in una singola sessione rispetto alla baseline appresa, che potrebbe indicare un tentativo di violazione.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori di app.

Procedura

1. Questo rilevamento viene configurato automaticamente automaticamente per avvisare quando gli utenti eseguono più condivisioni file. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento anomalie.

2. È possibile configurare l'ambito del rilevamento e personalizzare l'azione da eseguire quando viene attivato un avviso.

Rilevare attività anomale da paesi/aree geografiche poco frequenti

Rilevare le attività da una posizione che non è stata visitata di recente o non è mai stata visitata dall'utente o da alcun utente dell'organizzazione.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori di app.

Procedura

1. Questo rilevamento viene configurato automaticamente in modo predefinito per avvisare l'utente quando si verifica un'attività anomala da un paese o un'area geografica non frequente. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento anomalie.

2. È possibile configurare l'ambito del rilevamento e personalizzare l'azione da eseguire quando viene attivato un avviso.

Nota

Il rilevamento di posizioni anomale richiede un periodo di apprendimento iniziale di 7 giorni. Durante il periodo di apprendimento, Defender for Cloud Apps non genera avvisi per le nuove posizioni.

Rilevare l'attività eseguita da un utente terminato

Rilevare quando un utente che non è più un dipendente dell'organizzazione esegue un'attività in un'app approvata. Ciò può indicare attività dannose da parte di un dipendente terminato che ha ancora accesso alle risorse aziendali.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori di app.

Procedura

1. Questo rilevamento viene configurato automaticamente in modo predefinito per avvisare l'utente quando un'attività viene eseguita da un dipendente terminato. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento anomalie.

2. È possibile configurare l'ambito del rilevamento e personalizzare l'azione da eseguire quando viene attivato un avviso.

Passaggi successivi

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.