Del via

Vanlige policyer for beskyttelse av Defender for Cloud Apps trusler

  • Artikkel

Defender for Cloud Apps gjør det mulig å identifisere problemer med høy risikobruk og skysikkerhet, oppdage unormal brukeratferd og forhindre trusler i de sanksjonerte skyappene. Få innsyn i bruker- og administratoraktiviteter og definer policyer som varsler automatisk når mistenkelig atferd eller bestemte aktiviteter som du anser som risikable oppdages. Trekk fra den enorme mengden Microsoft trusselintelligens- og sikkerhetsforskningsdata for å sikre at de sanksjonerte appene har alle sikkerhetskontrollene du trenger på plass, og hjelpe deg med å opprettholde kontrollen over dem.

Obs!

Når du integrerer Defender for Cloud Apps med Microsoft Defender for identitet, vises policyer fra Defender for Identity også på policysiden. Hvis du vil ha en liste over Defender for identitetspolicyer, kan du se Sikkerhetsvarsler.

Oppdag og kontroller brukeraktivitet fra ukjente plasseringer

Automatisk gjenkjenning av brukertilgang eller aktivitet fra ukjente steder som aldri ble besøkt av noen andre i organisasjonen.

Forutsetninger

Du må ha minst én app tilkoblet ved hjelp av appkoblinger.

Trinn

Denne gjenkjenningen konfigureres automatisk til å varsle deg når det er tilgang fra nye plasseringer. Du trenger ikke å gjøre noe for å konfigurere denne policyen. Hvis du vil ha mer informasjon, kan du se policyer for avviksregistrering.

Oppdag kompromittert konto etter umulig plassering (umulig reise)

Automatisk gjenkjenning av brukertilgang eller aktivitet fra to forskjellige steder innenfor en tidsperiode som er kortere enn tiden det tar å reise mellom de to.

Forutsetninger

Du må ha minst én app tilkoblet ved hjelp av appkoblinger.

Trinn

  1. Denne gjenkjenningen konfigureres automatisk til å varsle deg når det er tilgang fra umulige steder. Du trenger ikke å gjøre noe for å konfigurere denne policyen. Hvis du vil ha mer informasjon, kan du se policyer for avviksregistrering.

  2. Valgfritt: Du kan tilpasse policyer for avviksregistrering:

    • Tilpasse gjenkjenningsomfanget når det gjelder brukere og grupper

    • Velg hvilke typer pålogginger du vil vurdere

    • Angi følsomhetsinnstillinger for varsling

  3. Opprett policyen for avviksregistrering.

Oppdage mistenkelig aktivitet fra en «on-leave»-ansatt

Finn ut når en bruker, som har ulønnet permisjon og ikke skal være aktiv på noen organisasjonsressurser, har tilgang til noen av organisasjonens skyressurser.

Forutsetninger

  • Du må ha minst én app tilkoblet ved hjelp av appkoblinger.

  • Opprett en sikkerhetsgruppe i Microsoft Entra ID for brukere med ulønnet permisjon, og legg til alle brukerne du vil overvåke.

Trinn

  1. Velg Opprett brukergruppeskjermbildet Brukergrupper, og importer den relevante Microsoft Entra-gruppen.

  2. I Microsoft Defender-portalen, under Skyapper, går du til Policyer –>Policyadministrasjon. Opprett en ny aktivitetspolicy.

  3. Angi at brukergruppen er lik navnet på brukergruppene du opprettet i Microsoft Entra ID for brukere av ulønnet permisjon.

  4. Valgfritt: Angi at styringshandlingene skal utføres på filer når det oppdages et brudd. De tilgjengelige styringshandlingene varierer mellom tjenestene. Du kan velge Avsend bruker.

  5. Opprett filpolicyen.

Oppdag og varsle når utdatert nettleser-OS brukes

Finn ut når en bruker bruker en nettleser med en utdatert klientversjon som kan utgjøre samsvars- eller sikkerhetsrisikoer for organisasjonen.

Forutsetninger

Du må ha minst én app tilkoblet ved hjelp av appkoblinger.

Trinn

  1. I Microsoft Defender-portalen, under Skyapper, går du til Policyer –>Policyadministrasjon. Opprett en ny aktivitetspolicy.

  2. Angi filteret User Agent-koden er lik utdatert nettleser og utdatert operativsystem.

  3. Angi at styringshandlingene skal utføres på filer når det oppdages et brudd. De tilgjengelige styringshandlingene varierer mellom tjenestene. Velg Varsle bruker under Alle apper, slik at brukerne kan behandle varselet og oppdatere de nødvendige komponentene.

  4. Opprett aktivitetspolicyen.

Oppdag og varsle når Admin aktivitet oppdages på risikable IP-adresser

Oppdag administratoraktiviteter utført fra og IP-adresse som regnes som en risikabel IP-adresse, og varsle systemansvarlig for videre undersøkelser eller angi en styringshandling på administratorens konto. Mer informasjon hvordan du arbeider med IP-områder og risikabel IP.

Forutsetninger

  • Du må ha minst én app tilkoblet ved hjelp av appkoblinger.

  • Velg IP-adresseområder fra Innstillinger-tannhjulet , og velg + for å legge til IP-adresseområder for interne delnett og deres utgående offentlige IP-adresser. Sett kategorien til Intern.

Trinn

  1. I Microsoft Defender-portalen, under Skyapper, går du til Policyer –>Policyadministrasjon. Opprett en ny aktivitetspolicy.

  2. Angi Handling påenkel aktivitet.

  3. Angi filter-IP-adressen til Kategori er lik Risikabelt

  4. Sett filterets administrative aktivitet til Sann

  5. Angi at styringshandlingene skal utføres på filer når det oppdages et brudd. De tilgjengelige styringshandlingene varierer mellom tjenestene. Under Alle apper velger du Varsle bruker, slik at brukerne kan handle på varselet og oppdatere de nødvendige komponentene cc brukerens leder.

  6. Opprett aktivitetspolicyen.

Oppdag aktiviteter etter tjenestekonto fra eksterne IP-adresser

Oppdag tjenestekontoaktiviteter som kommer fra ikke-interne IP-adresser. Dette kan indikere mistenkelig oppførsel eller en kompromittert konto.

Forutsetninger

  • Du må ha minst én app tilkoblet ved hjelp av appkoblinger.

  • Velg IP-adresseområder fra Innstillinger-tannhjulet , og velg + for å legge til IP-adresseområder for interne delnett og deres utgående offentlige IP-adresser. Sett kategorien til Intern.

  • Standardiser en navnekonvensjon for tjenestekontoer i miljøet, for eksempel angi alle kontonavn til å starte med «svc».

Trinn

  1. I Microsoft Defender-portalen, under Skyapper, går du til Policyer –>Policyadministrasjon. Opprett en ny aktivitetspolicy.

  2. Angi brukernavnet for filteret, ogstart deretter med og angi navnekonvensjonen, for eksempel svc.

  3. Angi filter-IP-adressen til Kategori er ikke lik Andre og Firma.

  4. Angi at styringshandlingene skal utføres på filer når det oppdages et brudd. De tilgjengelige styringshandlingene varierer mellom tjenestene.

  5. Opprett policyen.

Oppdag massenedlasting (dataeksfiltrering)

Finn ut når en bestemt bruker har tilgang til eller laster ned et stort antall filer på kort tid.

Forutsetninger

Du må ha minst én app tilkoblet ved hjelp av appkoblinger.

Trinn

  1. I Microsoft Defender-portalen, under Skyapper, går du til Policyer –>Policyadministrasjon. Opprett en ny aktivitetspolicy.

  2. Å angi filter-IP-adressene til Tag er ikke lik Microsoft Azure. Dette utelukker ikke-interaktive enhetsbaserte aktiviteter.

  3. Angi filteraktivitetstypene er lik, og velg deretter alle relevante nedlastingsaktiviteter.

  4. Angi at styringshandlingene skal utføres på filer når det oppdages et brudd. De tilgjengelige styringshandlingene varierer mellom tjenestene.

  5. Opprett policyen.

Oppdag potensiell løsepengevirusaktivitet

Automatisk gjenkjenning av potensiell løsepengevirusaktivitet.

Forutsetninger

Du må ha minst én app tilkoblet ved hjelp av appkoblinger.

Trinn

  1. Denne gjenkjenningen konfigureres automatisk til å varsle deg når det oppdages en potensiell risiko for løsepengevirus. Du trenger ikke å gjøre noe for å konfigurere denne policyen. Hvis du vil ha mer informasjon, kan du se policyer for avviksregistrering.

  2. Det er mulig å konfigurere omfanget av gjenkjenningen og tilpasse styringshandlingene som skal utføres når et varsel utløses. Hvis du vil ha mer informasjon om hvordan Defender for Cloud Apps identifiserer løsepengevirus, kan du se Beskytte organisasjonen mot løsepengevirus.

Obs!

Dette gjelder for Microsoft 365, Google Workspace, Box og Dropbox.

Oppdage skadelig programvare i skyen

Oppdag filer som inneholder skadelig programvare i skymiljøer, ved å bruke Defender for Cloud Apps-integrering med Microsofts Threat Intelligence-motor.

Forutsetninger

  • For gjenkjenning av skadelig programvare for Microsoft 365 må du ha en gyldig lisens for Microsoft Defender for Microsoft 365 P1.
  • Du må ha minst én app tilkoblet ved hjelp av appkoblinger.

Trinn

  • Denne gjenkjenningen konfigureres automatisk til å varsle deg når det finnes en fil som kan inneholde skadelig programvare. Du trenger ikke å gjøre noe for å konfigurere denne policyen. Hvis du vil ha mer informasjon, kan du se policyer for avviksregistrering.

Oppdag overtakelse av røverstateradministrator

Oppdag gjentatt administratoraktivitet som kan indikere ondsinnede intensjoner.

Forutsetninger

Du må ha minst én app tilkoblet ved hjelp av appkoblinger.

Trinn

  1. I Microsoft Defender-portalen, under Skyapper, går du til Policyer –>Policyadministrasjon. Opprett en ny aktivitetspolicy.

  2. Angi handling pågjentatt aktivitet og tilpass minimum gjentatte aktiviteter , og angi en tidsramme for å overholde organisasjonens retningslinjer.

  3. Angi filteret Bruker til Fra-gruppen er lik, og velg bare alle relaterte administratorgrupper som bare aktør.

  4. Angi filteraktivitetstypen er lik alle aktiviteter som er relatert til passordoppdateringer, endringer og tilbakestillinger.

  5. Angi at styringshandlingene skal utføres på filer når det oppdages et brudd. De tilgjengelige styringshandlingene varierer mellom tjenestene.

  6. Opprett policyen.

Oppdag mistenkelige regler for innboksmanipulering

Hvis en mistenkelig innboksregel ble angitt i en brukers innboks, kan det indikere at brukerkontoen er kompromittert, og at postboksen brukes til å distribuere søppelpost og skadelig programvare i organisasjonen.

Forutsetninger

  • Bruk av Microsoft Exchange for e-post.

Trinn

  • Denne gjenkjenningen konfigureres automatisk som klar til å varsle deg når det er angitt en mistenkelig innboksregel. Du trenger ikke å gjøre noe for å konfigurere denne policyen. Hvis du vil ha mer informasjon, kan du se policyer for avviksregistrering.

Oppdag lekket legitimasjon

Når nettkriminelle kompromitterer gyldige passord for legitime brukere, deler de ofte denne legitimasjonen. Dette gjøres vanligvis ved å legge dem ut offentlig på det mørke nettet eller lime inn nettsteder eller ved å handle eller selge legitimasjonen på det svarte markedet.

Defender for Cloud Apps bruker Microsofts trusselintelligens til å samsvare med slik legitimasjon med de som brukes i organisasjonen.

Forutsetninger

Du må ha minst én app tilkoblet ved hjelp av appkoblinger.

Trinn

Denne gjenkjenningen konfigureres automatisk til å varsle deg når det oppdages en mulig legitimasjonslekkasje. Du trenger ikke å gjøre noe for å konfigurere denne policyen. Hvis du vil ha mer informasjon, kan du se policyer for avviksregistrering.

Oppdag uregelmessige filnedlastinger

Finn ut når brukere utfører flere filnedlastingsaktiviteter i én enkelt økt, i forhold til den opprinnelige planen som er lært. Dette kan indikere et forsøk på brudd.

Forutsetninger

Du må ha minst én app tilkoblet ved hjelp av appkoblinger.

Trinn

  1. Denne gjenkjenningen konfigureres automatisk til å varsle deg når det oppstår en uregelmessig nedlasting. Du trenger ikke å gjøre noe for å konfigurere denne policyen. Hvis du vil ha mer informasjon, kan du se policyer for avviksregistrering.

  2. Det er mulig å konfigurere omfanget av gjenkjenningen og tilpasse handlingen som skal utføres når et varsel utløses.

Oppdage avvikende fildelinger av en bruker

Oppdag når brukere utfører flere fildelingsaktiviteter i én enkelt økt med hensyn til den opprinnelige planen som er lært, noe som kan indikere et forsøk på brudd.

Forutsetninger

Du må ha minst én app tilkoblet ved hjelp av appkoblinger.

Trinn

  1. Denne gjenkjenningen konfigureres automatisk til å varsle deg når brukere utfører flere fildelinger. Du trenger ikke å gjøre noe for å konfigurere denne policyen. Hvis du vil ha mer informasjon, kan du se policyer for avviksregistrering.

  2. Det er mulig å konfigurere omfanget av gjenkjenningen og tilpasse handlingen som skal utføres når et varsel utløses.

Oppdag uregelmessige aktiviteter fra sjeldent land/område

Oppdag aktiviteter fra en plassering som ikke nylig ble besøkt eller aldri ble besøkt av brukeren eller av noen av brukerne i organisasjonen.

Forutsetninger

Du må ha minst én app tilkoblet ved hjelp av appkoblinger.

Trinn

  1. Denne gjenkjenningen konfigureres automatisk til å varsle deg når en uregelmessig aktivitet oppstår fra et sjeldent land/område. Du trenger ikke å gjøre noe for å konfigurere denne policyen. Hvis du vil ha mer informasjon, kan du se policyer for avviksregistrering.

  2. Det er mulig å konfigurere omfanget av gjenkjenningen og tilpasse handlingen som skal utføres når et varsel utløses.

Obs!

Det å oppdage uregelmessige plasseringer krever en innledende læringsperiode på 7 dager. I læringsperioden genererer Defender for Cloud Apps ikke varsler for nye plasseringer.

Oppdag aktivitet utført av en avsluttet bruker

Finn ut når en bruker som ikke lenger er en ansatt i organisasjonen utfører en aktivitet i en godkjent app. Dette kan indikere ondsinnet aktivitet av en avsluttet ansatt som fortsatt har tilgang til bedriftens ressurser.

Forutsetninger

Du må ha minst én app tilkoblet ved hjelp av appkoblinger.

Trinn

  1. Denne gjenkjenningen konfigureres automatisk til å varsle deg når en aktivitet utføres av en avsluttet ansatt. Du trenger ikke å gjøre noe for å konfigurere denne policyen. Hvis du vil ha mer informasjon, kan du se policyer for avviksregistrering.

  2. Det er mulig å konfigurere omfanget av gjenkjenningen og tilpasse handlingen som skal utføres når et varsel utløses.

Neste trinn

Anbefalte fremgangsmåter for å beskytte organisasjonen

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.