Policyer for søk i skyen

Denne artikkelen gir en oversikt over hvordan du kommer i gang med å bruke Defender for Cloud Apps for å få innsyn i Shadow IT ved hjelp av skyoppdagelse.

Defender for Cloud Apps gjør det mulig å oppdage og analysere skyapper som er i bruk i organisasjonens miljø. Instrumentbordet for skyoppdagelse viser alle skyappene som kjører i miljøet, og kategoriserer dem etter funksjon og klargjøring for bedrifter. Oppdag de tilknyttede brukerne, IP-adressene, enhetene, transaksjonene og utfører risikovurdering for hver app, uten å måtte installere en agent på endepunktenhetene dine.

Oppdag ny bruk av store eller brede apper

Oppdag nye apper som er svært brukt, når det gjelder antall brukere eller trafikkmengde i organisasjonen.

Forutsetninger

Konfigurer automatisk opplasting av logger for kontinuerlige skyoppdagingsrapporter, som beskrevet i Konfigurer automatisk loggopplasting for kontinuerlige rapporter, eller aktiver Defender for Cloud Apps-integrering med Defender for Endpoint, som beskrevet i Integrer Microsoft Defender for endepunkt med Defender for Cloud Apps.

Trinn

1. I Microsoft Defender-portalen, under Skyapper, går du til Policyer –>Policyadministrasjon. Opprett en ny policy for appoppdagelse.

2. Velg Ny app med høyt volum eller Ny populær app i policymalfeltet, og bruk malen.

3. Tilpass policyfiltre for å oppfylle organisasjonens krav.

4. Konfigurer handlingene som skal utføres når et varsel utløses.

Obs!

Et varsel genereres én gang for hver nye app som ikke ble oppdaget de siste 90 dagene.

Oppdag ny risikabel eller ikke-kompatibel appbruk

Oppdag potensiell eksponering for organisasjonen i skyapper som ikke oppfyller sikkerhetsstandardene dine.

Forutsetninger

Konfigurer automatisk opplasting av logger for kontinuerlige skyoppdagingsrapporter, som beskrevet i Konfigurer automatisk loggopplasting for kontinuerlige rapporter, eller aktiver Defender for Cloud Apps-integrering med Defender for Endpoint, som beskrevet i Integrer Microsoft Defender for endepunkt med Defender for Cloud Apps.

Trinn

1. I Microsoft Defender-portalen, under Skyapper, går du til Policyer –>Policyadministrasjon. Opprett en ny policy for appoppdagelse.

2. Velg malen Ny risikabel app i Policymal-feltet, og bruk malen.

3. Under App som samsvarer med alle de følgende innstillingene, angir glidebryteren for risikoresultat og forskriftssamsvarsfaktoren for å tilpasse risikonivået du vil utløse et varsel, og angi de andre policyfiltrene for å oppfylle organisasjonens sikkerhetskrav.

   1. Valgfritt: Hvis du vil få mer meningsfulle oppdagelser, kan du tilpasse trafikkmengden som utløser et varsel.

   2. Merk av for Utløs en policy hvis alt følgende skjer på samme dag .

   3. Velg daglig trafikk som er større enn 2000 GB (eller annet).

4. Konfigurer styringshandlinger som skal utføres når et varsel utløses. Velg Merke app som ikke-helliggjort under Styring.
   Tilgang til appen blokkeres automatisk når policyen samsvarer.

5. Valgfritt: Dra nytte Defender for Cloud Apps opprinnelige integreringer med sikre webgatewayer for å blokkere apptilgang.

Oppdag bruk av ikke-helliggjorte forretningsapper

Du kan oppdage når de ansatte fortsetter å bruke apper som ikke er godkjent, som erstatning for godkjente forretningsklare apper.

Forutsetninger

• Konfigurer automatisk opplasting av logger for kontinuerlige skyoppdagingsrapporter, som beskrevet i Konfigurer automatisk loggopplasting for kontinuerlige rapporter, eller aktiver Defender for Cloud Apps-integrering med Defender for Endpoint, som beskrevet i Integrer Microsoft Defender for endepunkt med Defender for Cloud Apps.

Trinn

1. Søk etter forretningsklare apper i skyappkatalogen, og merk dem med et egendefinert appmerke.

2. Følg trinnene i Finn nytt høyt volum eller bredt appbruk.

3. Legg til et appkodefilter , og velg appkodene du opprettet for forretningsklare apper.

4. Konfigurer styringshandlinger som skal utføres når et varsel utløses. Velg Merke app som ikke-helliggjort under Styring.
   Tilgang til appen blokkeres automatisk når policyen samsvarer.

5. Valgfritt: Dra nytte Defender for Cloud Apps opprinnelige integreringer med sikre webgatewayer for å blokkere apptilgang.

Oppdage uvanlige bruksmønstre på nettverket

Oppdag uregelmessige trafikkbruksmønstre (opplastinger/nedlastinger) i skyappene, som kommer fra brukere eller IP-adresser i organisasjonens nettverk.

Forutsetninger

Konfigurer automatisk opplasting av logger for kontinuerlige skyoppdagingsrapporter, som beskrevet i Konfigurer automatisk loggopplasting for kontinuerlige rapporter, eller aktiver Defender for Cloud Apps-integrering med Defender for Endpoint, som beskrevet i Integrer Microsoft Defender for endepunkt med Defender for Cloud Apps.

Trinn

1. I Microsoft Defender-portalen, under Skyapper, går du til Policyer –>Policyadministrasjon. Opprett en ny policy for avviksregistrering i Cloud Discovery.

2. Velg avvikende virkemåte i oppdagede brukere eller uregelmessig virkemåte i oppdagede IP-adresser ipolicymalfeltet.

3. Tilpass filtrene slik at de oppfyller organisasjonens krav.

4. Hvis du bare vil bli varslet når det er avvik som involverer risikable apper, bruker du filtrene for risikopoengsum og angir området der apper anses som risikable.

5. Bruk glidebryteren til å velge følsomhet for avviksregistrering.

Obs!

Når kontinuerlig opplasting av logger er opprettet, tar avviksregistreringsmotoren noen dager frem til en opprinnelig plan (læringsperiode) er etablert for den forventede virkemåten i organisasjonen. Når en opprinnelig plan er opprettet, begynner du å motta varsler basert på avvik fra den forventede trafikkvirkemåten på tvers av skyapper som er laget av brukere eller fra IP-adresser.

Oppdag avvikende virkemåte for skyoppdagelse i lagringsapper som ikke er sanksjonert

Oppdag uregelmessig virkemåte for en bruker i en skylagringsapp som ikke er godkjent.

Forutsetninger

Konfigurer automatisk opplasting av logger for kontinuerlige skyoppdagingsrapporter, som beskrevet i Konfigurer automatisk loggopplasting for kontinuerlige rapporter, eller aktiver Defender for Cloud Apps-integrering med Defender for Endpoint, som beskrevet i Integrer Microsoft Defender for endepunkt med Defender for Cloud Apps.

Trinn

1. I Microsoft Defender-portalen, under Skyapper, går du til Policyer –>Policyadministrasjon. Opprett en ny policy for avviksregistrering i Cloud Discovery.

2. Velg filterappkategorien er lik skylagring.

3. Velg filterappkoden er ikke lik Sanksjonert.

4. Merk av i avmerkingsboksen for å opprette et varsel for hver samsvarende hendelse med alvorsgraden for policyen.

5. Konfigurer handlingene som skal utføres når et varsel utløses.

Oppdag risikable OAuth-apper

Få synlighet og kontroll over OAuth-apper som er installert i apper som Google Workspace, Microsoft 365 og Salesforce. OAuth-apper som ber om høye tillatelser og har sjelden bruk av fellesskap, kan betraktes som risikable.

Forutsetninger

Du må ha Google Workspace-, Microsoft 365- eller Salesforce-appen koblet til ved hjelp av appkoblinger.

Trinn

1. 1. I Microsoft Defender-portalen, under Skyapper, går du til Policyer –>Policyadministrasjon. Opprett en ny OAuth-apppolicy.

2. Velg filterappen , og angi appen policyen skal dekke, Google Workspace, Microsoft 365 eller Salesforce.

3. Velg Filter for tillatelsesnivå er lik Høy (tilgjengelig for Google Workspace og Microsoft 365).

4. Legg til filteret Bruk av fellesskap er lik Sjelden.

5. Konfigurer handlingene som skal utføres når et varsel utløses. Hvis du for eksempel bruker Microsoft 365, kan du se Revoke-appen for OAuth-apper som er oppdaget av policyen.

Obs!

Støttes for appbutikkene Google Workspace, Microsoft 365 og Salesforce.

Neste trinn

Anbefalte fremgangsmåter for å beskytte organisasjonen

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.