Delen via

Cloud-apps beheren met beleid

  • Artikel

Met beleidsregels kunt u bepalen hoe uw gebruikers zich in de cloud moeten gedragen. Hiermee kunt u riskant gedrag, schendingen of verdachte gegevenspunten en activiteiten in uw cloudomgeving detecteren. Indien nodig kunt u herstelwerkstromen integreren om volledige risicobeperking te bereiken. Er zijn meerdere typen beleidsregels die correleren met de verschillende typen informatie die u wilt verzamelen over uw cloudomgeving en de soorten herstelacties die u mogelijk wilt uitvoeren.

Als er bijvoorbeeld een bedreiging voor gegevensschending is die u in quarantaine wilt plaatsen, hebt u een ander type beleid nodig dan als u wilt voorkomen dat een riskante cloud-app door uw organisatie wordt gebruikt.

Beleidstypen

Wanneer u de pagina Beleidsbeheer bekijkt, kunnen de verschillende beleidsregels en sjablonen worden onderscheiden op type en pictogram om te zien welke beleidsregels beschikbaar zijn. De beleidsregels kunnen samen worden weergegeven op het tabblad Alle beleidsregels of op de bijbehorende categorietabbladen. Het beschikbare beleid is afhankelijk van de gegevensbron en wat u hebt ingeschakeld in Defender for Cloud Apps voor uw organisatie. Als u bijvoorbeeld clouddetectielogboeken hebt geüpload, worden de beleidsregels met betrekking tot clouddetectie weergegeven.

De volgende typen beleidsregels kunnen worden gemaakt:

Pictogram beleidstype Beleidstype Categorie Gebruik
pictogram activiteitsbeleid. Activiteitenbeleid Detectie van bedreigingen Met activiteitenbeleid kunt u een breed scala aan geautomatiseerde processen afdwingen met behulp van de API's van de app-provider. Met deze beleidsregels kunt u specifieke activiteiten bewaken die door verschillende gebruikers worden uitgevoerd of onverwacht hoge frequenties van een bepaald type activiteit volgen. Meer informatie
pictogram anomaliedetectiebeleid. Anomaliedetectiebeleid Detectie van bedreigingen Met beleidsregels voor anomaliedetectie kunt u zoeken naar ongebruikelijke activiteiten in uw cloud. Detectie is gebaseerd op de risicofactoren die u instelt om u te waarschuwen wanneer er iets gebeurt dat verschilt van de basislijn van uw organisatie of van de normale activiteit van de gebruiker. Meer informatie
Pictogram voor OAuth-app-beleid. OAuth-app-beleid Detectie van bedreigingen Met OAuth-app-beleid kunt u onderzoeken welke machtigingen elke OAuth-app heeft aangevraagd en deze automatisch goedkeuren of intrekken. Dit zijn ingebouwde beleidsregels die bij Defender for Cloud Apps worden geleverd en niet kunnen worden gemaakt. Meer informatie
Pictogram malwaredetectiebeleid. Malwaredetectiebeleid Detectie van bedreigingen Met malwaredetectiebeleid kunt u schadelijke bestanden in uw cloudopslag identificeren en deze automatisch goedkeuren of intrekken. Dit is een ingebouwd beleid dat wordt geleverd met Defender for Cloud Apps en niet kan worden gemaakt. Meer informatie
pictogram voor bestandsbeleid. Bestandsbeleid Gegevensbescherming Met bestandsbeleid kunt u uw cloud-apps scannen op bepaalde bestanden of bestandstypen (gedeeld, gedeeld met externe domeinen), gegevens (eigen gegevens, persoonlijke gegevens, creditcardgegevens en andere soorten gegevens) en governanceacties toepassen op de bestanden (governanceacties zijn specifiek voor cloud-apps). Meer informatie
pictogram toegangsbeleid. Toegangsbeleid Voorwaardelijke toegang Toegangsbeleid biedt u realtime bewaking en controle over gebruikersaanmeldingen bij uw cloud-apps. Meer informatie
pictogram sessiebeleid. Sessiebeleid Voorwaardelijke toegang Sessiebeleid biedt u realtime controle en controle over gebruikersactiviteit in uw cloud-apps. Meer informatie
pictogram clouddetectiebeleid. Beleid voor app-detectie Schaduw-IT Met beleid voor app-detectie kunt u waarschuwingen instellen die u waarschuwen wanneer nieuwe apps worden gedetecteerd binnen uw organisatie. Meer informatie

Risico's identificeren

Defender for Cloud Apps helpt u verschillende risico's in de cloud te beperken. U kunt elk beleid en elk waarschuwing configureren om te worden gekoppeld aan een van de volgende risico's:

  • Toegangsbeheer: Wie heeft waar toegang toe?

    Bewaak voortdurend gedrag en detecteer afwijkende activiteiten, waaronder aanvallen met een hoog risico binnen en buiten, en pas beleid toe om identiteitsverificatie te waarschuwen, te blokkeren of te vereisen voor een app of specifieke actie binnen een app. Hiermee schakelt u beleid voor on-premises en mobiel toegangsbeheer in op basis van gebruiker, apparaat en geografie met grove blokkering en gedetailleerde weergave, bewerken en blokkeren. Detecteer verdachte aanmeldingsgebeurtenissen, waaronder meervoudige verificatiefouten, uitgeschakelde accountaanmeldingsfouten en imitatiegebeurtenissen.

  • Naleving: Zijn uw nalevingsvereisten geschonden?

    Gevoelige of gereglementeerde gegevens catalogiseren en identificeren, inclusief machtigingen voor delen voor elk bestand, opgeslagen in bestandssynchronisatieservices om naleving van regelgeving zoals PCI, SOX en HIPAA te garanderen

  • Configuratiebeheer: Worden er niet-geautoriseerde wijzigingen aangebracht in uw configuratie?

    Bewaak configuratiewijzigingen, waaronder configuratiemanipulatie op afstand.

  • Clouddetectie: Worden er nieuwe apps gebruikt in uw organisatie? Hebt u een probleem met het gebruik van Schaduw-IT-apps waarvan u niet op de hoogte bent?

    Beoordeel het totale risico voor elke cloud-app op basis van wettelijke en branchecertificeringen en best practices. Hiermee kunt u het aantal gebruikers, activiteiten, verkeersvolume en gebruikelijke gebruiksuren voor elke cloudtoepassing bewaken.

  • DLP: Worden eigen bestanden openbaar gedeeld? Moet u bestanden in quarantaine plaatsen?

    On-premises DLP-integratie biedt integratie en herstel van gesloten lussen met bestaande on-premises DLP-oplossingen.

  • Bevoegde accounts: Moet u beheerdersaccounts bewaken?

    Realtime activiteiten bewaken en rapporteren van bevoegde gebruikers en beheerders.

  • Besturingselement voor delen: Hoe worden gegevens gedeeld in uw cloudomgeving?

    Controleer de inhoud van bestanden en inhoud in de cloud en dwing intern en extern beleid voor delen af. Bewaak de samenwerking en dwing beleidsregels voor delen af, zoals het blokkeren van het delen van bestanden buiten uw organisatie.

  • Detectie van bedreigingen: Zijn er verdachte activiteiten die uw cloudomgeving bedreigen?

    Ontvang via e-mail realtime meldingen over een beleidsschending of activiteitsdrempel. Door machine learning-algoritmen toe te passen, kunt u Defender for Cloud Apps gedrag detecteren dat erop kan wijzen dat een gebruiker gegevens misbruikt.

Risico's beheersen

Volg dit proces om risico's te beheersen met beleidsregels:

  1. Een beleid maken op basis van een sjabloon of query.

  2. Stem het beleid af om de verwachte resultaten te bereiken.

  3. Voeg geautomatiseerde acties toe om automatisch te reageren en risico's op te lossen.

Een beleid maken

U kunt de Defender for Cloud Apps beleidssjablonen gebruiken als basis voor al uw beleidsregels of beleidsregels maken op basis van een query.

Met beleidssjablonen kunt u de juiste filters en configuraties instellen die nodig zijn om specifieke gebeurtenissen van belang in uw omgeving te detecteren. De sjablonen bevatten beleidsregels van alle typen en kunnen van toepassing zijn op verschillende services.

Voer de volgende stappen uit om een beleid te maken vanuit beleidssjablonen:

  1. Ga in de Microsoft Defender Portal onder Cloud-apps naar Beleid ->Beleidssjablonen.

    Maak het beleid op basis van een sjabloon.

  2. Selecteer het plusteken (+) helemaal rechts van de rij van de sjabloon die u wilt gebruiken. Er wordt een pagina Beleid maken geopend, met de vooraf gedefinieerde configuratie van de sjabloon.

  3. Wijzig de sjabloon indien nodig voor uw aangepaste beleid. Elke eigenschap en elk veld van dit nieuwe beleid op basis van sjablonen kan worden aangepast aan uw behoeften.

    Opmerking

    Wanneer u de beleidsfilters gebruikt, zoekt Bevat alleen naar volledige woorden, gescheiden door koma's, puntjes, spaties of onderstrepingstekens. Als u bijvoorbeeld zoekt naar malware of virussen, wordt er virus_malware_file.exe gevonden, maar niet malwarevirusfile.exe. Als u zoekt naar malware.exe, vindt u ALLE bestanden met malware of exe in hun bestandsnaam, terwijl als u zoekt naar "malware.exe" (met de aanhalingstekens) u alleen bestanden zult vinden die precies "malware.exe" bevatten.
    Gelijk aan zoekt alleen naar de volledige tekenreeks, bijvoorbeeld als u zoekt naarmalware.exe deze malware.exe vindt, maar niet malware.exe.txt.

  4. Nadat u het nieuwe beleid op basis van een sjabloon hebt gemaakt, wordt er een koppeling naar het nieuwe beleid weergegeven in de kolom Gekoppeld beleid in de tabel met beleidssjablonen naast de sjabloon op basis waarvan het beleid is gemaakt. U kunt zoveel beleidsregels maken als u wilt van elke sjabloon en ze worden allemaal gekoppeld aan de oorspronkelijke sjabloon. Door te koppelen kunt u alle beleidsregels bijhouden die zijn gemaakt met dezelfde sjabloon.

U kunt ook een beleid maken tijdens het onderzoek. Als u het activiteitenlogboek, bestanden of identiteiten onderzoekt en u inzoomt om naar iets specifieks te zoeken, kunt u op elk gewenst moment een nieuw beleid maken op basis van de resultaten van uw onderzoek.

U kunt er bijvoorbeeld een maken als u het activiteitenlogboek bekijkt en een beheerdersactiviteit van buiten de IP-adressen van uw kantoor ziet.

Voer de volgende stappen uit om een beleid te maken op basis van onderzoeksresultaten:

  1. Ga in de Microsoft Defender Portal naar een van de volgende opties:

    • Cloud Apps ->Activiteitenlogboek
    • Cloud Apps ->Bestanden
    • Assets ->Identiteiten

  2. Gebruik de filters boven aan de pagina om de zoekresultaten te beperken tot het verdachte gebied. Selecteer bijvoorbeeld op de pagina Activiteitenlogboek de optie Beheeractiviteit en selecteer Waar. Selecteer vervolgens onder IP-adresde optie Categorie en stel de waarde in op het niet opnemen van IP-adrescategorieën die u hebt gemaakt voor uw herkende domeinen, zoals uw beheerders-, bedrijfs- en VPN-IP-adressen.

    Maak een bestand op basis van onderzoek.

  3. Selecteer onder de query Nieuw beleid in de zoekopdracht.

    Nieuw beleid via de zoekknop.

  4. Er wordt een pagina beleid maken geopend met de filters die u in uw onderzoek hebt gebruikt.

  5. Wijzig de sjabloon indien nodig voor uw aangepaste beleid. Elke eigenschap en elk veld van dit nieuwe op onderzoek gebaseerde beleid kan worden aangepast aan uw behoeften.

    Opmerking

    Wanneer u de beleidsfilters gebruikt, zoekt Bevat alleen naar volledige woorden, gescheiden door koma's, puntjes, spaties of onderstrepingstekens. Als u bijvoorbeeld zoekt naar malware of virussen, wordt er virus_malware_file.exe gevonden, maar niet malwarevirusfile.exe.
    Gelijk aan zoekt alleen naar de volledige tekenreeks, bijvoorbeeld als u zoekt naarmalware.exe deze malware.exe vindt, maar niet malware.exe.txt.

    activiteitenbeleid maken op basis van onderzoek.

    Opmerking

    Zie de bijbehorende beleidsdocumentatie voor meer informatie over het instellen van de beleidsvelden:

    Beleid voor gebruikersactiviteit

    Beleid voor gegevensbescherming

    Beleid voor clouddetectie

Geautomatiseerde acties toevoegen om automatisch te reageren en risico's op te lossen

Zie Verbonden apps beheren voor een lijst met beschikbare governanceacties per app.

U kunt het beleid ook instellen om u per e-mail een waarschuwing te sturen wanneer er overeenkomsten worden gedetecteerd.

Als u uw meldingsvoorkeuren wilt instellen, gaat u naar Email meldingsvoorkeuren.

Beleid in- en uitschakelen

Nadat u een beleid hebt gemaakt, kunt u dit in- of uitschakelen. Als u uitschakelt, hoeft u een beleid niet te verwijderen nadat u het hebt gemaakt om het te stoppen. Als u het beleid om een of andere reden wilt stoppen, schakelt u het uit totdat u ervoor kiest om het opnieuw in te schakelen.

  • Als u een beleid wilt inschakelen, selecteert u op de pagina Beleid de drie puntjes aan het einde van de rij van het beleid dat u wilt inschakelen. Selecteer Inschakelen.

    Beleid inschakelen.

  • Als u een beleid wilt uitschakelen, selecteert u op de pagina Beleid de drie puntjes aan het einde van de rij van het beleid dat u wilt uitschakelen. Selecteer Uitschakelen.

    Beleid uitschakelen.

Nadat u een nieuw beleid hebt gemaakt, is dit standaard ingeschakeld.

Overzichtsrapport beleid

Defender for Cloud Apps kunt u een beleidsoverzichtsrapport exporteren met geaggregeerde metrische waarschuwingen per beleid, zodat u uw beleid kunt bewaken, begrijpen en aanpassen om uw organisatie beter te beschermen.

Voer de volgende stappen uit om een logboek te exporteren:

  1. Selecteer op de pagina Beleid de knop Exporteren .

  2. Geef het vereiste tijdsbereik op.

  3. Selecteer Exporteren. Dit proces kan enige tijd duren.

Het geëxporteerde rapport downloaden:

  1. Nadat het rapport klaar is, gaat u in de Microsoft Defender Portal naar Rapporten en vervolgens naar Cloud Apps ->Geëxporteerde rapporten.

  2. Selecteer in de tabel het relevante rapport en selecteer vervolgens Downloaden.

    downloadknop.

Volgende stappen

Aanbevolen procedures voor het beveiligen van uw organisatie

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.