Delen via

App-beleid maken in app-governance

  • Artikel

Samen met een ingebouwde set mogelijkheden voor het detecteren van afwijkend app-gedrag en het genereren van waarschuwingen op basis van machine learning-algoritmen, kunt u met beleid in app-governance:

  • Geef voorwaarden op waarmee app-governance u waarschuwt voor app-gedrag voor automatisch of handmatig herstel.

  • Dwing het app-nalevingsbeleid af voor uw organisatie.

Gebruik app-governance om OAuth-beleid te maken voor apps die zijn verbonden met Microsoft 365, Google Workspace en Salesforce.


OAuth-app-beleid maken voor Microsoft Entra ID

Voor apps die zijn verbonden met Microsoft Entra ID, maakt u app-beleid op basis van opgegeven sjablonen die kunnen worden aangepast, of maakt u uw eigen aangepast app-beleid.

  1. Als u een nieuw app-beleid wilt maken voor Azure AD-apps, gaat u naar Microsoft Defender XDR > App-governancebeleid >> Azure AD.

    Bijvoorbeeld:

    Schermopname van het tabblad Azure AD.

  2. Selecteer de optie Nieuw beleid maken en voer een van de volgende stappen uit:

    • Als u een nieuw app-beleid wilt maken op basis van een sjabloon, kiest u de relevante sjablooncategorie gevolgd door de sjabloon in die categorie.
    • Als u een aangepast beleid wilt maken, selecteert u de categorie Aangepast .

    Bijvoorbeeld:

    Schermopname van de pagina Een beleidssjabloon kiezen.

App-beleidssjablonen

Als u een nieuw app-beleid wilt maken op basis van een app-beleidssjabloon, selecteert u op de pagina Sjabloon voor app-beleid kiezeneen categorie app-sjabloon, selecteert u de naam van de sjabloon en selecteert u vervolgens Volgende.

In de volgende secties worden de sjablooncategorieën voor app-beleid beschreven.

Gebruik

De volgende tabel bevat de sjablonen voor app-beheer die worden ondersteund voor het genereren van waarschuwingen voor app-gebruik.

Sjabloonnaam Omschrijving
Nieuwe app met hoog gegevensgebruik Zoek zojuist geregistreerde apps die grote hoeveelheden gegevens hebben geüpload of gedownload met behulp van Microsoft Graph- en EWS-API's. Met dit beleid worden de volgende voorwaarden gecontroleerd:

  • Registratieleeftijd: zeven dagen of minder (aanpasbaar)
  • Gegevensgebruik: groter dan 1 GB in één dag (aanpasbaar)
    		•
    Toename van gebruikers Apps zoeken met een aanzienlijke toename van het aantal gebruikers. Met dit beleid worden de volgende voorwaarden gecontroleerd:

  • Tijdsbereik: Afgelopen 90 dagen
  • Toename van gebruikers met toestemming: ten minste 50% (aanpasbaar)
    		•

    Machtigingen

    De volgende tabel bevat de sjablonen voor app-beheer die worden ondersteund voor het genereren van waarschuwingen voor app-machtigingen.

    Sjabloonnaam Omschrijving
    App met te veel machtigingen Apps zoeken die ongebruikte Microsoft Graph API-machtigingen hebben. Aan deze apps zijn machtigingen verleend die mogelijk niet nodig zijn voor regelmatig gebruik.
    Nieuwe app met hoge bevoegdheden Zoek zojuist geregistreerde apps die schrijftoegang en andere krachtige machtigingen hebben gekregen voor Microsoft Graph en andere algemene eigen Microsoft-API's. Met dit beleid worden de volgende voorwaarden gecontroleerd:

  • Registratieleeftijd: zeven dagen of minder (aanpasbaar)
    		•
    Nieuwe app met niet-Graph API-machtigingen Zoek zojuist geregistreerde apps die machtigingen hebben voor niet-Graph-API's. Deze apps kunnen u blootstellen aan risico's als de API's die ze openen beperkte ondersteuning en updates ontvangen.
    Met dit beleid worden de volgende voorwaarden gecontroleerd:

  • Registratieleeftijd: zeven dagen of minder (aanpasbaar)
  • Niet-Graph API machtigingen: Ja
    		•

    Certificering

    De volgende tabel bevat de sjablonen voor app-beheer die worden ondersteund voor het genereren van waarschuwingen voor Microsoft 365-certificering.

    Sjabloonnaam Omschrijving
    Nieuwe niet-gecertificeerde app Zoek zojuist geregistreerde apps die geen uitgeversverklaring of Microsoft 365-certificering hebben. Met dit beleid worden de volgende voorwaarden gecontroleerd:

  • Registratieleeftijd: zeven dagen of minder (aanpasbaar)
  • Certificering: geen certificering (aanpasbaar)
    		•

    Aangepast beleid

    Gebruik een aangepast app-beleid wanneer u iets moet doen dat nog niet door een van de ingebouwde sjablonen is uitgevoerd.

    • Als u een nieuw aangepast app-beleid wilt maken, selecteert u eerst Nieuw beleid maken op de pagina Beleid . Selecteer op de pagina Sjabloon voor app-beleid kiezende categorie Aangepast, de sjabloon Aangepast beleid en selecteer vervolgens Volgende.

    1. Vul op de pagina Naam en beschrijving de volgende velden in:

      • Beleidsnaam
      • Beleidsbeschrijving
      • Selecteer de ernst van het beleid, waarmee de ernst wordt ingesteld van waarschuwingen die door dit beleid worden gegenereerd.
        • Hoog
        • Gemiddeld
        • Laag

    2. Selecteer op de pagina Beleidsinstellingen en -voorwaarden kiezen voor Kies op welke apps dit beleid van toepassing is:

      • Alle apps
      • Specifieke apps kiezen
      • Alle apps behalve

    3. Als u specifieke apps kiest, of alle apps behalve dit beleid, selecteert u Apps toevoegen en selecteert u de gewenste apps in de lijst. In het deelvenster Apps kiezen kunt u meerdere apps selecteren waarop dit beleid van toepassing is en vervolgens Toevoegen selecteren. Selecteer Volgende wanneer u tevreden bent met de lijst.

    4. Selecteer Voorwaarden bewerken. Selecteer Voorwaarde toevoegen en kies een voorwaarde in de lijst. Stel de gewenste drempelwaarde in voor de geselecteerde voorwaarde. Herhaal dit om meer voorwaarden toe te voegen. Selecteer Opslaan om de regel op te slaan en wanneer u klaar bent met het toevoegen van regels, selecteert u Volgende.

      Opmerking

      Sommige beleidsvoorwaarden zijn alleen van toepassing op apps die toegang hebben tot Graph API machtigingen. Bij het evalueren van apps die alleen toegang hebben tot niet-Graph-API's, slaat app-governance deze beleidsvoorwaarden over en controleert alleen andere beleidsvoorwaarden.

    5. Dit zijn de beschikbare voorwaarden voor een aangepast app-beleid:

      Voorwaarde Geaccepteerde voorwaarden Omschrijving Meer informatie
      Leeftijd van registratie Binnen de afgelopen X dagen Apps die zijn geregistreerd bij Microsoft Entra ID binnen een opgegeven periode vanaf de huidige datum
      Certificering Geen certificering, Publisher getest, Microsoft 365 gecertificeerd Apps die microsoft 365-gecertificeerd zijn, een uitgeversverklaringsrapport hebben of geen van beide Microsoft 365-certificering
      Uitgever geverifieerd Ja of nee Apps waarvoor uitgevers zijn geverifieerd Verificatie van uitgever
      Toepassingsmachtigingen (alleen Graph) Selecteer een of meer API-machtigingen in de lijst Apps met specifieke Graph API machtigingen die rechtstreeks zijn verleend naslaginformatie over Microsoft Graph machtigingen
      Gedelegeerde machtigingen (alleen Graph) Selecteer een of meer API-machtigingen in de lijst Apps met specifieke Graph API machtigingen van een gebruiker naslaginformatie over Microsoft Graph machtigingen
      Zeer bevoorrechte Ja of nee Apps met relatief krachtige machtigingen voor Microsoft Graph en andere algemene eigen Microsoft-API's Een interne aanduiding op basis van dezelfde logica die door Defender for Cloud Apps wordt gebruikt.
      Overprivileged (alleen Graph) Ja of nee Apps met ongebruikte Graph API-machtigingen Apps met meer machtigingen dan door die apps worden gebruikt.
      Niet-Graph API-machtigingen Ja of nee Apps met machtigingen voor niet-Graph-API's. Deze apps kunnen u blootstellen aan risico's als de API's die ze openen beperkte ondersteuning en updates ontvangen.
      Gegevensgebruik Meer dan X GB aan gegevens die per dag worden gedownload en geüpload Apps die meer dan een opgegeven hoeveelheid gegevens hebben gelezen en geschreven met behulp van Microsoft Graph- en EWS-API's
      Trend gegevensgebruik X % toename in gegevensgebruik ten opzichte van de vorige dag Apps waarvan gegevens worden gelezen en geschreven met behulp van Microsoft Graph- en EWS-API's, zijn met een bepaald percentage gestegen ten opzichte van de vorige dag
      API-toegang (alleen Graph) Groter dan X API-aanroepen per dag Apps die een bepaald aantal Graph API oproepen per dag hebben uitgevoerd
      API-toegangstrend (alleen Graph) X % toename in API-aanroepen ten opzichte van de vorige dag Apps waarvan het aantal Graph API-aanroepen is gestegen met een bepaald percentage ten opzichte van de vorige dag
      Aantal gebruikers dat toestemming geeft (Groter dan of Kleiner dan) X gebruikers die toestemming hebben verleend Apps die toestemming hebben gekregen van een groter of minder aantal gebruikers dan opgegeven
      Toename van het aantal gebruikers met toestemming X % toename van gebruikers in de afgelopen 90 dagen Apps waarvan het aantal gebruikers met toestemming in de afgelopen 90 dagen met meer dan een bepaald percentage is gestegen
      Toestemming voor prioriteitsaccount opgegeven Ja of nee Apps die toestemming hebben gekregen van gebruikers met prioriteit Een gebruiker met een prioriteitsaccount.
      Namen van gebruikers die toestemming geven Gebruikers selecteren in de lijst Apps die toestemming hebben gekregen van specifieke gebruikers
      Rollen van gebruikers die toestemming geven Rollen selecteren in de lijst Apps die toestemming hebben gekregen van gebruikers met specifieke rollen Meerdere selecties toegestaan.

      Elke Microsoft Entra rol met toegewezen lid moet beschikbaar worden gesteld in deze lijst.
      Toegang tot vertrouwelijkheidslabels Selecteer een of meer vertrouwelijkheidslabels in de lijst Apps die in de afgelopen 30 dagen toegang hebben tot gegevens met specifieke vertrouwelijkheidslabels.
      Geopende services (alleen Graph) Exchange en/of OneDrive en/of SharePoint en/of Teams Apps die toegang hebben tot OneDrive, SharePoint of Exchange Online met behulp van Microsoft Graph- en EWS-API's Meerdere selecties toegestaan.
      Foutfrequentie (alleen Grafiek) Het foutpercentage is groter dan X% in de afgelopen zeven dagen Apps waarvan de Graph API foutpercentages in de afgelopen zeven dagen hoger zijn dan een opgegeven percentage
      App-oorsprong (preview) Extern of intern Apps die afkomstig zijn uit de tenant of die zijn geregistreerd in een externe tenant

      Aan alle opgegeven voorwaarden moet worden voldaan om dit app-beleid een waarschuwing te laten genereren.

    6. Wanneer u klaar bent met het opgeven van de voorwaarden, selecteert u Opslaan en vervolgens Volgende.

    7. Selecteer op de pagina Beleidsacties definiëren de optie App uitschakelen als u wilt dat app-governance de app uitschakelt wanneer een waarschuwing op basis van dit beleid wordt gegenereerd, en selecteer vervolgens Volgende. Wees voorzichtig bij het toepassen van acties, omdat een beleid van invloed kan zijn op gebruikers en legitiem app-gebruik.

    8. Selecteer op de pagina Beleidsstatus definiëren een van de volgende opties:

      • Controlemodus: beleidsregels worden geëvalueerd, maar geconfigureerde acties worden niet uitgevoerd. De beleidsregels voor de auditmodus worden weergegeven met de status Audit in de lijst met beleidsregels. U moet de auditmodus gebruiken om een nieuw beleid te testen.
      • Actief: beleidsregels worden geëvalueerd en geconfigureerde acties worden uitgevoerd.
      • Inactief: beleid wordt niet geëvalueerd en geconfigureerde acties worden niet uitgevoerd.

    9. Controleer zorgvuldig alle parameters van uw aangepaste beleid. Selecteer Verzenden wanneer u tevreden bent. U kunt ook teruggaan en instellingen wijzigen door Bewerken te selecteren onder een van de instellingen.

    Uw nieuwe app-beleid testen en bewaken

    Nu uw app-beleid is gemaakt, moet u dit controleren op de pagina Beleid om er zeker van te zijn dat het een verwacht aantal actieve waarschuwingen en het totale aantal waarschuwingen registreert tijdens het testen.

    Schermopname van de overzichtspagina van app-governancebeleid in Microsoft Defender XDR, met een gemarkeerd beleid.

    Als het aantal waarschuwingen een onverwacht lage waarde heeft, bewerkt u de instellingen van het app-beleid om ervoor te zorgen dat u deze correct hebt geconfigureerd voordat u de status instelt.

    Hier volgt een voorbeeld van een proces voor het maken van een nieuw beleid, het testen en vervolgens activeren:

    1. Maak het nieuwe beleid met de ernst, apps, voorwaarden en acties ingesteld op beginwaarden en de status ingesteld op Auditmodus.
    2. Controleer op verwacht gedrag, zoals gegenereerde waarschuwingen.
    3. Als het gedrag niet wordt verwacht, bewerkt u de beleids-apps, voorwaarden en actie-instellingen indien nodig en gaat u terug naar stap 2.
    4. Als het gedrag wordt verwacht, bewerkt u het beleid en wijzigt u de status ervan in Actief.

    In het volgende stroomdiagram ziet u bijvoorbeeld de benodigde stappen:

    Diagram van de werkstroom app-beleid maken.

    Een nieuw beleid maken voor OAuth-apps die zijn verbonden met Salesforce en Google Workspace

    Beleidsregels voor OAuth-apps activeren alleen waarschuwingen voor beleidsregels die zijn geautoriseerd door gebruikers in de tenant.

    Een nieuw app-beleid maken voor Salesforce, Google en andere apps:

    1. Ga naar Microsoft Defender XDR > Beleid voor app-governance >> Andere apps. Bijvoorbeeld:

      Beleid maken voor andere apps

    2. Filter de apps op basis van uw behoeften. U wilt bijvoorbeeld alle apps weergeven die toestemming vragen om agenda's te wijzigen in uw postvak.

      Tip

      Gebruik het filter Communitygebruik om informatie op te halen over het feit of het toestaan van machtigingen voor deze app gebruikelijk, ongebruikelijk of zeldzaam is. Dit filter kan handig zijn als u een app hebt die zeldzaam is en een machtiging aanvraagt die een hoog ernstniveau heeft of een machtiging van veel gebruikers aanvraagt.

    3. U kunt het beleid instellen op basis van de groepslidmaatschappen van de gebruikers die de apps hebben geautoriseerd. Een beheerder kan bijvoorbeeld besluiten een beleid in te stellen waarmee ongebruikelijke apps worden ingetrokken als ze om hoge machtigingen vragen, alleen als de gebruiker die de machtigingen heeft geautoriseerd lid is van de groep Administrators.

    Bijvoorbeeld:

    nieuw OAuth-app-beleid.

    Anomaliedetectiebeleid voor OAuth-apps die zijn verbonden met Salesforce en Google Workspace

    Naast het Oauth-app-beleid dat u kunt maken, biedt Defender for Cloud-apps out-of-the-box anomaliedetectiebeleid waarmee metagegevens van OAuth-apps worden weergegeven om mogelijk schadelijke apps te identificeren.

    Deze sectie is alleen relevant voor Salesforce- en Google Workspace-toepassingen.

    Opmerking

    Beleidsregels voor anomaliedetectie zijn alleen beschikbaar voor OAuth-apps die zijn geautoriseerd in uw Microsoft Entra ID. De ernst van het anomaliedetectiebeleid voor OAuth-apps kan niet worden gewijzigd.

    In de volgende tabel worden de out-of-the-box anomaliedetectiebeleidsregels van Defender for Cloud Apps beschreven:

    Beleid Beschrijving
    Misleidende naam van OAuth-app Scant OAuth-apps die zijn verbonden met uw omgeving en activeert een waarschuwing wanneer een app met een misleidende naam wordt gedetecteerd. Misleidende namen, zoals buitenlandse brieven die lijken op Latijnse letters, kunnen duiden op een poging om een schadelijke app te verbergen als een bekende en vertrouwde app.
    Misleidende uitgevernaam voor een OAuth-app Scant OAuth-apps die zijn verbonden met uw omgeving en activeert een waarschuwing wanneer een app met een misleidende naam van de uitgever wordt gedetecteerd. Misleidende uitgeversnamen, zoals buitenlandse brieven die lijken op Latijnse letters, kunnen duiden op een poging om een schadelijke app te verbergen als een app die afkomstig is van een bekende en vertrouwde uitgever.
    Toestemming voor schadelijke OAuth-app Scant OAuth-apps die zijn verbonden met uw omgeving en activeert een waarschuwing wanneer een mogelijk schadelijke app is geautoriseerd. Schadelijke OAuth-apps kunnen worden gebruikt als onderdeel van een phishingcampagne in een poging om gebruikers te compromitteerd. Deze detectie maakt gebruik van microsoft-beveiligingsonderzoek en expertise op het gebied van bedreigingsinformatie om schadelijke apps te identificeren.
    Verdachte activiteiten voor het downloaden van OAuth-app-bestanden Zie Anomaliedetectiebeleid voor meer informatie.

    Volgende stap

    Uw app-beleid beheren