次の方法で共有

一般的なDefender for Cloud Apps脅威保護ポリシー

  • [アーティクル]

Defender for Cloud Appsを使用すると、リスクの高い使用とクラウド セキュリティの問題を特定し、異常なユーザーの動作を検出し、承認されたクラウド アプリで脅威を防ぐことができます。 ユーザーと管理者のアクティビティの可視性を取得し、疑わしい動作やリスクがあると考える特定のアクティビティが検出されたときに自動的にアラートを生成するポリシーを定義します。 膨大な量の Microsoft 脅威インテリジェンスとセキュリティ調査データから引き出して、承認されたアプリが必要なすべてのセキュリティ制御を確実に実施し、それらの制御を維持するのに役立ちます。

注:

Defender for Cloud AppsをMicrosoft Defender for Identityと統合すると、Defender for Identity のポリシーも [ポリシー] ページに表示されます。 Defender for Identity ポリシーの一覧については、「 セキュリティ アラート」を参照してください。

見慣れない場所からユーザー アクティビティを検出して制御する

organization内の他のユーザーがアクセスしなかった、なじみのない場所からのユーザー アクセスまたはアクティビティの自動検出。

前提条件

アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。

手順

この検出は、新しい場所からのアクセスがある場合に警告するように、すぐに使用できるように自動的に構成されます。 このポリシーを構成するためにアクションを実行する必要はありません。 詳細については、「 異常検出ポリシー」を参照してください。

不可能な場所 (不可能な旅行) によって侵害されたアカウントを検出する

2 つの場所間を移動するのにかかる時間よりも短い期間内に、2 つの異なる場所からのユーザー アクセスまたはアクティビティの自動検出。

前提条件

アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。

手順

  1. この検出は、既定で自動的に構成され、不可能な場所からのアクセスがある場合にアラートが表示されます。 このポリシーを構成するためにアクションを実行する必要はありません。 詳細については、「 異常検出ポリシー」を参照してください。

  2. 省略可能: 異常検出ポリシーをカスタマイズできます。

    • ユーザーとグループの観点から検出範囲をカスタマイズする

    • 考慮するサインインの種類を選択する

    • アラートの秘密度の設定

  3. 異常検出ポリシーを作成します。

"休暇中" の従業員から不審なアクティビティを検出する

無給休暇中で、組織のリソースでアクティブではないユーザーが、organizationのクラウド リソースのいずれかにアクセスしているタイミングを検出します。

前提条件

  • アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。

  • 無給休暇中のユーザーのセキュリティ グループをMicrosoft Entra IDに作成し、監視するすべてのユーザーを追加します。

手順

  1. [ユーザー グループ] 画面で、[ユーザー グループの作成] を選択し、関連するMicrosoft Entra グループをインポートします。

  2. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい アクティビティ ポリシーを作成します。

  3. [ユーザー グループ] フィルターを、未払いの休暇ユーザーのMicrosoft Entra IDで作成したユーザー グループの名前と等しく設定します。

  4. 省略可能: 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 使用できるガバナンス アクションは、サービスによって異なります。 [ユーザーの 中断] を選択できます。

  5. ファイル ポリシーを作成します。

古いブラウザー OS が使用されている場合の検出と通知

ユーザーが古いバージョンのクライアントでブラウザーを使用している場合に、organizationにコンプライアンスやセキュリティ上のリスクが発生する可能性があることを検出します。

前提条件

アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。

手順

  1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい アクティビティ ポリシーを作成します。

  2. フィルター [ ユーザー エージェント タグ ] を [ 古いブラウザー ] と [ 古いオペレーティング システム] に設定します。

  3. 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 使用できるガバナンス アクションは、サービスによって異なります。 [ すべてのアプリ] で [ ユーザーに通知] を選択して、ユーザーがアラートに対処し、必要なコンポーネントを更新できるようにします。

  4. アクティビティ ポリシーを作成します。

危険な IP アドレス管理アクティビティが検出されたときに検出してアラートする

危険な IP アドレスと見なされる IP アドレスから実行された管理者アクティビティと IP アドレスを検出し、システム管理者に詳細な調査を通知するか、管理者のアカウントにガバナンス アクションを設定します。

前提条件

  • アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。

  • [設定] 歯車から [IP アドレス範囲 ] を選択し、[+] を選択して、内部サブネットとそのエグレス パブリック IP アドレスの IP アドレス範囲を追加します。 [カテゴリ] を [内部] に設定します。

手順

  1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい アクティビティ ポリシーを作成します。

  2. [ Act on] を[単一アクティビティ] に設定します。

  3. フィルター IP アドレス[カテゴリ] に [Risky] に設定します

  4. フィルターの [管理アクティビティ][True] に設定します

  5. 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 使用できるガバナンス アクションは、サービスによって異なります。 [ すべてのアプリ] で [ ユーザーに通知] を選択して、ユーザーがアラートに対処し、 ユーザーのマネージャーに必要なコンポーネント CC を更新できるようにします。

  6. アクティビティ ポリシーを作成します。

外部 IP アドレスからサービス アカウントによってアクティビティを検出する

内部以外の IP アドレスから発生するサービス アカウント アクティビティを検出します。 これは、疑わしい動作や侵害されたアカウントを示している可能性があります。

前提条件

  • アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。

  • [設定] 歯車から [IP アドレス範囲 ] を選択し、[+] を選択して、内部サブネットとそのエグレス パブリック IP アドレスの IP アドレス範囲を追加します。 [カテゴリ] を [内部] に設定します。

  • 環境内のサービス アカウントの名前付け規則を標準化します。たとえば、すべてのアカウント名を "svc" で始まるよう設定します。

手順

  1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい アクティビティ ポリシーを作成します。

  2. フィルター [ ユーザー ] を [名前] に設定し、[ 開始] を 選択して、名前付け規則 (svc など) を入力します。

  3. [フィルター IP アドレス] を [カテゴリ] に設定すると、[その他] と [会社] と等しくない。

  4. 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 使用できるガバナンス アクションは、サービスによって異なります。

  5. ポリシーを作成します。

大量ダウンロードの検出 (データ流出)

特定のユーザーが短時間で大量のファイルにアクセスまたはダウンロードするタイミングを検出します。

前提条件

アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。

手順

  1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい アクティビティ ポリシーを作成します。

  2. フィルター IP アドレス[タグMicrosoft Azure と等しくない] に設定します。 これにより、非対話型のデバイス ベースのアクティビティが除外されます。

  3. [アクティビティの 種類 ] フィルターを に設定し、関連するすべてのダウンロード アクティビティを選択します。

  4. 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 使用できるガバナンス アクションは、サービスによって異なります。

  5. ポリシーを作成します。

潜在的なランサムウェア アクティビティを検出する

潜在的なランサムウェア アクティビティの自動検出。

前提条件

アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。

手順

  1. この検出は、ランサムウェアリスクが検出される可能性がある場合にアラートを表示するように、すぐに使用できるように自動的に構成されます。 このポリシーを構成するためにアクションを実行する必要はありません。 詳細については、「 異常検出ポリシー」を参照してください。

  2. 検出の スコープ を構成し、アラートがトリガーされたときに実行されるガバナンス アクションをカスタマイズできます。 ランサムウェアDefender for Cloud Apps識別する方法の詳細については、「ランサムウェアからorganizationを保護する」を参照してください。

注:

これは、Microsoft 365、Google ワークスペース、Box、Dropbox に適用されます。

クラウド内のマルウェアを検出する

Microsoft の脅威インテリジェンス エンジンとのDefender for Cloud Apps統合を利用して、クラウド環境内のマルウェアを含むファイルを検出します。

前提条件

  • Microsoft 365 マルウェア検出の場合は、Microsoft 365 P1 のMicrosoft Defenderの有効なライセンスが必要です。
  • アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。

手順

  • この検出は、マルウェアが含まれている可能性のあるファイルがある場合に警告するように、すぐに使用できるように自動的に構成されます。 このポリシーを構成するためにアクションを実行する必要はありません。 詳細については、「 異常検出ポリシー」を参照してください。

不正な管理者の引き継ぎを検出する

悪意のある意図を示す可能性がある繰り返しの管理者アクティビティを検出します。

前提条件

アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。

手順

  1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい アクティビティ ポリシーを作成します。

  2. [Act on] を [繰り返しアクティビティ] に設定し、[最小繰り返しアクティビティ] をカスタマイズし、organizationのポリシーに準拠するように時間枠を設定します。

  3. フィルター [ ユーザー ] を [From group equals] に設定し、関連するすべての管理グループを [アクターのみ] として選択します。

  4. フィルターアクティビティの 種類 を、パスワードの更新、変更、リセットに関連するすべてのアクティビティに等しく設定します。

  5. 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 使用できるガバナンス アクションは、サービスによって異なります。

  6. ポリシーを作成します。

疑わしい受信トレイ操作ルールを検出する

不審な受信トレイルールがユーザーの受信トレイに設定されている場合は、ユーザー アカウントが侵害されていること、およびメールボックスを使用してorganizationでスパムやマルウェアを配布していることを示している可能性があります。

前提条件

  • メールに Microsoft Exchange を使用する。

手順

  • この検出は、疑わしい受信トレイ ルール セットが存在する場合に警告するように、すぐに使用できるように自動的に構成されます。 このポリシーを構成するためにアクションを実行する必要はありません。 詳細については、「 異常検出ポリシー」を参照してください。

漏洩した資格情報を検出する

サイバー犯罪者が正当なユーザーの有効なパスワードを侵害する場合、多くの場合、それらの資格情報を共有します。 これは通常、暗いウェブやペーストサイトに公開したり、闇市場で資格情報を取引または販売することによって行われます。

Defender for Cloud Appsは、Microsoft の脅威インテリジェンスを利用して、そのような資格情報をorganization内で使用される資格情報と照合します。

前提条件

アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。

手順

この検出は、資格情報リークの可能性が検出されたときに警告するように、すぐに使用できるように自動的に構成されます。 このポリシーを構成するためにアクションを実行する必要はありません。 詳細については、「 異常検出ポリシー」を参照してください。

異常なファイルのダウンロードを検出する

学習したベースラインを基準に、ユーザーが 1 つのセッションで複数のファイルダウンロード アクティビティを実行するタイミングを検出します。 これは、侵害の試行を示している可能性があります。

前提条件

アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。

手順

  1. この検出は、異常なダウンロードが発生したときにアラートを生成するように、すぐに使用できるように自動的に構成されます。 このポリシーを構成するためにアクションを実行する必要はありません。 詳細については、「 異常検出ポリシー」を参照してください。

  2. 検出のスコープを構成し、アラートがトリガーされたときに実行されるアクションをカスタマイズできます。

ユーザーによる異常なファイル共有の検出

学習したベースラインに関して、ユーザーが 1 つのセッションで複数のファイル共有アクティビティを実行するタイミングを検出します。これは、侵害の試行を示す可能性があります。

前提条件

アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。

手順

  1. この検出は、ユーザーが複数のファイル共有を実行するときに警告するように、すぐに使用できるように自動的に構成されます。 このポリシーを構成するためにアクションを実行する必要はありません。 詳細については、「 異常検出ポリシー」を参照してください。

  2. 検出のスコープを構成し、アラートがトリガーされたときに実行されるアクションをカスタマイズできます。

頻度の低い国/地域からの異常なアクティビティを検出する

最近ではない、またはユーザーまたはorganization内の任意のユーザーがアクセスしたことがない場所からアクティビティを検出します。

前提条件

アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。

手順

  1. この検出は、頻度の低い国/地域から異常なアクティビティが発生したときにアラートを生成するように、すぐに使用できるように自動的に構成されます。 このポリシーを構成するためにアクションを実行する必要はありません。 詳細については、「 異常検出ポリシー」を参照してください。

  2. 検出のスコープを構成し、アラートがトリガーされたときに実行されるアクションをカスタマイズできます。

注:

異常な場所を検出するには、最初の学習期間が 7 日間必要です。 学習期間中、Defender for Cloud Appsは新しい場所のアラートを生成しません。

終了したユーザーによって実行されたアクティビティを検出する

organizationの従業員でなくなったユーザーが、承認されたアプリでアクティビティを実行するタイミングを検出します。 これは、会社のリソースに引き続きアクセスできる、退職した従業員による悪意のあるアクティビティを示している可能性があります。

前提条件

アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。

手順

  1. この検出は、終了した従業員によってアクティビティが実行されたときに警告するように、すぐに使用できるように自動的に構成されます。 このポリシーを構成するためにアクションを実行する必要はありません。 詳細については、「 異常検出ポリシー」を参照してください。

  2. 検出のスコープを構成し、アラートがトリガーされたときに実行されるアクションをカスタマイズできます。

次の手順

organizationを保護するためのベスト プラクティス

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。