Delen via

Risico's en verdachte activiteiten van cloud-apps onderzoeken

  • Artikel

Nadat Microsoft Defender for Cloud Apps in uw cloudomgeving is uitgevoerd, hebt u een fase nodig van leren en onderzoeken. Leer hoe u de hulpprogramma's voor Microsoft Defender for Cloud Apps kunt gebruiken om meer inzicht te krijgen in wat er in uw cloudomgeving gebeurt. Op basis van uw specifieke omgeving en hoe deze wordt gebruikt, kunt u de vereisten identificeren om uw organisatie te beschermen tegen risico's. In dit artikel wordt beschreven hoe u een onderzoek uitvoert om meer inzicht te krijgen in uw cloudomgeving.

Apps labelen als goedgekeurd of niet-goedgekeurd

Een belangrijke stap voor het begrijpen van uw cloud is het labelen van apps als goedgekeurd of niet-goedgekeurd. Nadat u een app hebt goedgekeurd, kunt u filteren op apps die niet zijn goedgekeurd en de migratie naar goedgekeurde apps van hetzelfde type starten.

  • Ga in de Microsoft Defender Portal onder Cloud-apps naar de catalogus met cloud-apps of Clouddetectie - >gedetecteerde apps.

  • Kies in de lijst met apps in de rij waarin de app die u wilt labelen als goedgekeurd, de drie puntjes aan het einde van de rij Labelen als goedgekeurde puntjes. en kies Goedgekeurd.

    Labelen als goedgekeurd.

De onderzoekshulpprogramma's gebruiken

  1. Ga in de Microsoft Defender Portal onder Cloud Apps naar het activiteitenlogboek en filter op een specifieke app. Controleer de volgende items:

    • Wie heeft toegang tot uw cloudomgeving?

    • Van welke IP-bereiken?

    • Wat is de beheerdersactiviteit?

    • Vanaf welke locaties maken beheerders verbinding?

    • Zijn er verouderde apparaten verbonden met uw cloudomgeving?

    • Zijn mislukte aanmeldingen afkomstig van verwachte IP-adressen?

  2. Ga in de Microsoft Defender Portal onder Cloud Apps naar Bestanden en controleer de volgende items:

    • Hoeveel bestanden worden openbaar gedeeld, zodat iedereen ze zonder koppeling kan openen?

    • Met welke partners deelt u bestanden (uitgaand delen)?

    • Hebben bestanden een gevoelige naam?

    • Worden er bestanden gedeeld met iemands persoonlijke account?

  3. Ga in de Microsoft Defender Portal naar Identiteiten en controleer de volgende items:

    • Zijn er accounts lange tijd inactief geweest in een bepaalde service? Misschien kunt u de licentie voor die gebruiker voor die service intrekken.

    • Wilt u weten welke gebruikers een specifieke rol hebben?

    • Is iemand ontslagen, maar heeft deze nog steeds toegang tot een app en kan die toegang gebruiken om informatie te stelen?

    • Wilt u de machtiging van een gebruiker voor een specifieke app intrekken of vereisen dat een specifieke gebruiker meervoudige verificatie gebruikt?

    • U kunt inzoomen op het account van de gebruiker door de drie puntjes aan het einde van de accountrij van de gebruiker te selecteren en een actie te selecteren die u wilt uitvoeren. Voer een actie uit, zoals Gebruiker onderbreken of Samenwerkingen van gebruikers verwijderen. Als de gebruiker is geïmporteerd uit Microsoft Entra ID, kunt u ook Microsoft Entra accountinstellingen selecteren om eenvoudig toegang te krijgen tot geavanceerde gebruikersbeheerfuncties. Voorbeelden van beheerfuncties zijn groepsbeheer, MFA, details over de aanmeldingen van de gebruiker en de mogelijkheid om aanmelding te blokkeren.

  4. Selecteer instellingen in de Microsoft Defender Portal. Kies vervolgens Cloud-apps. Selecteer onder Verbonden appsde optie App-connectors en selecteer vervolgens een app. Het app-dashboard wordt geopend en geeft u informatie en inzichten. U kunt de tabbladen bovenaan gebruiken om het volgende te controleren:

    • Welk soort apparaten gebruiken uw gebruikers om verbinding te maken met de app?

    • Welke typen bestanden worden in de cloud opgeslagen?

    • Welke activiteit vindt er momenteel plaats in de app?

    • Zijn er apps van derden verbonden met uw omgeving?

    • Bent u bekend met deze apps?

    • Zijn ze gemachtigd voor het toegangsniveau dat ze zijn toegestaan?

    • Hoeveel gebruikers hebben ze geïmplementeerd? Hoe gebruikelijk zijn deze apps in het algemeen?

    App-dashboard.

  5. Ga in de Microsoft Defender Portal onder Cloud Apps naar Cloud Discovery. Selecteer het tabblad Dashboard en controleer de volgende items:

    • Welke cloud-apps worden gebruikt, in welke mate en door welke gebruikers?

    • Voor welke doeleinden worden ze gebruikt?

    • Hoeveel gegevens worden geüpload naar deze cloud-apps?

    • In welke categorieën hebt u cloud-apps goedgekeurd en toch gebruiken gebruikers alternatieve oplossingen?

    • Voor de alternatieve oplossingen wilt u de goedkeuring van cloud-apps in uw organisatie ongedaan maken?

    • Zijn er cloud-apps die worden gebruikt, maar niet voldoen aan het beleid van uw organisatie?

Voorbeeldonderzoek

Stel dat u ervan uitgaat dat u geen toegang hebt tot uw cloudomgeving door riskante IP-adressen. Laten we bijvoorbeeld Tor zeggen. Maar u maakt een beleid voor risico-IP's om ervoor te zorgen dat:

  1. Ga in de Microsoft Defender Portal onder Cloud-apps naar Beleid ->Beleidssjablonen.

  2. Kies het activiteitsbeleid voor het type.

  3. Kies aan het einde van de rij Aanmelden vanuit een riskant IP-adres het plusteken (+) om een nieuw beleid te maken.

  4. Wijzig de naam van het beleid zodat u deze kunt identificeren.

  5. Kies + onder Activiteiten die overeenkomen met alle volgende opties om een filter toe te voegen. Schuif omlaag naar IP-tag en kies Vervolgens Tor.

    Voorbeeldbeleid voor riskante IP-adressen.

Nu u het beleid hebt ingesteld, ziet u dat u een waarschuwing hebt dat het beleid is geschonden.

  1. Ga in de Microsoft Defender Portal naar Incidenten & waarschuwingen ->Waarschuwingen en bekijk de waarschuwing over de beleidsschending.

  2. Als u ziet dat het een echte schending lijkt, wilt u risico's beperken of herstellen.

    Als u risico's wilt beperken, kunt u de gebruiker een melding sturen om te vragen of de schending opzettelijk was en of de gebruiker hiervan op de hoogte was.

    U kunt ook inzoomen op de waarschuwing en de gebruiker onderbreken totdat u weet wat er moet worden gedaan.

  3. Als het een toegestane gebeurtenis is die waarschijnlijk niet opnieuw optreedt, kunt u de waarschuwing sluiten.

    Als dit is toegestaan en u verwacht dat het opnieuw wordt uitgevoerd, kunt u het beleid wijzigen zodat dit type gebeurtenis in de toekomst niet meer als een schending wordt beschouwd.

Volgende stappen

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.