Algemeen Defender for Cloud Apps beleid voor bedreigingsbeveiliging
Defender for Cloud Apps stelt u in staat om problemen met hoog risicogebruik en cloudbeveiliging te identificeren, abnormaal gebruikersgedrag te detecteren en bedreigingen te voorkomen in uw goedgekeurde cloud-apps. Krijg inzicht in activiteiten van gebruikers en beheerders en definieer beleidsregels om automatisch te waarschuwen wanneer verdacht gedrag of specifieke activiteiten die u riskant vindt, worden gedetecteerd. Maak gebruik van de enorme hoeveelheid gegevens van Microsoft over bedreigingsinformatie en beveiligingsonderzoek om ervoor te zorgen dat uw goedgekeurde apps alle beveiligingscontroles hebben die u nodig hebt en u de controle hierover te houden.
Opmerking
Wanneer u Defender for Cloud Apps integreert met Microsoft Defender for Identity, worden beleidsregels van Defender for Identity ook weergegeven op de beleidspagina. Zie Beveiligingswaarschuwingen voor een lijst met Defender for Identity-beleid.
Gebruikersactiviteit van onbekende locaties detecteren en beheren
Automatische detectie van gebruikerstoegang of activiteit vanaf onbekende locaties die nooit door iemand anders in uw organisatie zijn bezocht.
Vereisten
U moet ten minste één app hebben verbonden met behulp van app-connectors.
Stappen
Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer er toegang is vanaf nieuwe locaties. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Anomaliedetectiebeleid voor meer informatie.
Gecompromitteerd account detecteren op een onmogelijke locatie (onmogelijke reis)
Automatische detectie van gebruikerstoegang of activiteit vanaf 2 verschillende locaties binnen een periode die korter is dan de tijd die nodig is om tussen de twee te reizen.
Vereisten
U moet ten minste één app hebben verbonden met behulp van app-connectors.
Stappen
Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer er toegang is vanaf onmogelijke locaties. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Anomaliedetectiebeleid voor meer informatie.
Optioneel: u kunt beleidsregels voor anomaliedetectie aanpassen:
Het detectiebereik aanpassen in termen van gebruikers en groepen
Kies de typen aanmeldingen die u wilt overwegen
Uw gevoeligheidsvoorkeur voor waarschuwingen instellen
Maak het anomaliedetectiebeleid.
Verdachte activiteiten van een werknemer met verlof detecteren
Detecteer wanneer een gebruiker, die onbetaald verlof heeft en niet actief mag zijn op een organisatieresource, toegang heeft tot een van de cloudresources van uw organisatie.
Vereisten
U moet ten minste één app hebben verbonden met behulp van app-connectors.
Maak een beveiligingsgroep in Microsoft Entra ID voor de gebruikers met onbetaald verlof en voeg alle gebruikers toe die u wilt bewaken.
Stappen
Selecteer in het scherm Gebruikersgroepende optie Gebruikersgroep maken en importeer de relevante Microsoft Entra groep.
Ga in de Microsoft Defender Portal onder Cloud-apps naar Beleid ->Beleidsbeheer. Maak een nieuw activiteitsbeleid.
Stel het filter Gebruikersgroep is gelijk aan de naam van de gebruikersgroepen die u hebt gemaakt in Microsoft Entra ID voor de gebruikers van onbetaald verlof.
Optioneel: stel de governanceacties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd. De beschikbare governanceacties variëren per services. U kunt Gebruiker onderbreken kiezen.
Maak het bestandsbeleid.
Detecteren en waarschuwen wanneer een verouderd browserbesturingssysteem wordt gebruikt
Detecteer wanneer een gebruiker een browser gebruikt met een verouderde clientversie die mogelijk nalevings- of beveiligingsrisico's voor uw organisatie met zich meebrengt.
Vereisten
U moet ten minste één app hebben verbonden met behulp van app-connectors.
Stappen
Ga in de Microsoft Defender Portal onder Cloud-apps naar Beleid ->Beleidsbeheer. Maak een nieuw activiteitsbeleid.
Stel het filter User agent tag is gelijk aan Verouderde browser en Verouderd besturingssysteem.
Stel de governanceacties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd. De beschikbare governanceacties variëren per services. Selecteer onder Alle appsde optie Gebruiker waarschuwen, zodat uw gebruikers op de waarschuwing kunnen reageren en de benodigde onderdelen kunnen bijwerken.
Maak het activiteitsbeleid.
Detecteren en waarschuwen wanneer Beheer activiteit wordt gedetecteerd op riskante IP-adressen
Detecteer beheeractiviteiten die worden uitgevoerd vanaf en IP-adres dat wordt beschouwd als een riskant IP-adres, en informeer de systeembeheerder voor verder onderzoek of stel een governanceactie in op het account van de beheerder.
Vereisten
U moet ten minste één app hebben verbonden met behulp van app-connectors.
Selecteer in het tandwiel Instellingen IP-adresbereiken en selecteer de + om IP-adresbereiken toe te voegen voor uw interne subnetten en hun openbare IP-adressen. Stel categorie in op Intern.
Stappen
Ga in de Microsoft Defender Portal onder Cloud-apps naar Beleid ->Beleidsbeheer. Maak een nieuw activiteitsbeleid.
Stel Act on in opEnkele activiteit.
Stel het IP-adres van het filter in op Categorie is gelijk aan Riskant
Stel het filter Beheeractiviteit in op Waar
Stel de governanceacties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd. De beschikbare governanceacties variëren per services. Selecteer onder Alle appsde optie Gebruiker waarschuwen, zodat uw gebruikers kunnen reageren op de waarschuwing en de benodigde onderdelen cc de manager van de gebruiker kunnen bijwerken.
Maak het activiteitsbeleid.
Activiteiten detecteren per serviceaccount van externe IP-adressen
Detecteer serviceaccountactiviteiten die afkomstig zijn van niet-interne IP-adressen. Dit kan duiden op verdacht gedrag of een gecompromitteerd account.
Vereisten
U moet ten minste één app hebben verbonden met behulp van app-connectors.
Selecteer in het tandwiel Instellingen IP-adresbereiken en selecteer de + om IP-adresbereiken toe te voegen voor uw interne subnetten en hun openbare IP-adressen. Stel categorie in op Intern.
Standaardiseer een naamconventies voor serviceaccounts in uw omgeving, stel bijvoorbeeld alle accountnamen in op 'svc'.
Stappen
Ga in de Microsoft Defender Portal onder Cloud-apps naar Beleid ->Beleidsbeheer. Maak een nieuw activiteitsbeleid.
Stel het filter Gebruiker in op Naam en vervolgens Begint met en voer uw naamconventie in, zoals svc.
Stel het IP-adres van het filter in op Categorie is niet gelijk aan Overige en Zakelijk.
Stel de governanceacties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd. De beschikbare governanceacties variëren per services.
Maak het beleid.
Massadownload detecteren (gegevensexfiltratie)
Detecteer wanneer een bepaalde gebruiker in korte tijd een groot aantal bestanden opent of downloadt.
Vereisten
U moet ten minste één app hebben verbonden met behulp van app-connectors.
Stappen
Ga in de Microsoft Defender Portal onder Cloud-apps naar Beleid ->Beleidsbeheer. Maak een nieuw activiteitsbeleid.
Stel de IP-adressen van het filter in op Tag is niet gelijk aan Microsoft Azure. Dit sluit niet-interactieve apparaatgebaseerde activiteiten uit.
Stel het filter Activiteitstypen gelijk aan in en selecteer vervolgens alle relevante downloadactiviteiten.
Stel de governanceacties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd. De beschikbare governanceacties variëren per services.
Maak het beleid.
Mogelijke ransomware-activiteit detecteren
Automatische detectie van mogelijke Ransomware-activiteit.
Vereisten
U moet ten minste één app hebben verbonden met behulp van app-connectors.
Stappen
Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer er een potentieel ransomware-risico wordt gedetecteerd. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Anomaliedetectiebeleid voor meer informatie.
Het is mogelijk om het bereik van de detectie te configureren en om de governanceacties aan te passen die moeten worden uitgevoerd wanneer een waarschuwing wordt geactiveerd. Zie Uw organisatie beschermen tegen ransomware voor meer informatie over hoe Defender for Cloud Apps ransomware identificeert.
Opmerking
Dit geldt voor Microsoft 365, Google Workspace, Box en Dropbox.
Malware detecteren in de cloud
Detecteer bestanden die malware in uw cloudomgevingen bevatten door gebruik te maken van de Defender for Cloud Apps-integratie met de Bedreigingsinformatie-engine van Microsoft.
Vereisten
- Voor detectie van Microsoft 365-malware moet u een geldige licentie hebben voor Microsoft Defender voor Microsoft 365 P1.
- U moet ten minste één app hebben verbonden met behulp van app-connectors.
Stappen
- Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer er een bestand is dat mogelijk malware bevat. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Anomaliedetectiebeleid voor meer informatie.
Frauduleuze beheerdersovername detecteren
Detecteer herhaalde beheerdersactiviteiten die kunnen duiden op kwaadwillende bedoelingen.
Vereisten
U moet ten minste één app hebben verbonden met behulp van app-connectors.
Stappen
Ga in de Microsoft Defender Portal onder Cloud-apps naar Beleid ->Beleidsbeheer. Maak een nieuw activiteitsbeleid.
Stel Act on in opHerhaalde activiteit en pas de minimale herhaalde activiteiten aan en stel een tijdsbestek in om te voldoen aan het beleid van uw organisatie.
Stel het filter Gebruiker in op Van groep is gelijk aan en selecteer alle gerelateerde beheerdersgroep als Alleen Actor.
Stel het filter Activiteitstype is gelijk aan alle activiteiten die betrekking hebben op wachtwoordupdates, wijzigingen en opnieuw instellen.
Stel de governanceacties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd. De beschikbare governanceacties variëren per services.
Maak het beleid.
Verdachte manipulatieregels voor Postvak IN detecteren
Als er een verdachte regel voor postvak IN is ingesteld op het Postvak IN van een gebruiker, kan dit erop wijzen dat het gebruikersaccount is gecompromitteerd en dat het postvak wordt gebruikt om spam en malware in uw organisatie te distribueren.
Vereisten
- Gebruik van Microsoft Exchange voor e-mail.
Stappen
- Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer er een verdacht postvak IN is ingesteld. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Anomaliedetectiebeleid voor meer informatie.
Gelekte referenties detecteren
Wanneer cybercriminelen geldige wachtwoorden van legitieme gebruikers in gevaar komen, delen ze deze referenties vaak. Dit wordt meestal gedaan door ze openbaar op het dark web te plaatsen of sites te plakken of door de referenties te verhandelen of te verkopen op de zwarte markt.
Defender for Cloud Apps maakt gebruik van bedreigingsinformatie van Microsoft om dergelijke referenties te koppelen aan de referenties die binnen uw organisatie worden gebruikt.
Vereisten
U moet ten minste één app hebben verbonden met behulp van app-connectors.
Stappen
Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer een mogelijk referentielek wordt gedetecteerd. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Anomaliedetectiebeleid voor meer informatie.
Afwijkende bestandsdownloads detecteren
Detecteer wanneer gebruikers meerdere activiteiten voor het downloaden van bestanden uitvoeren in één sessie, ten opzichte van de geleerde basislijn. Dit kan duiden op een poging tot inbreuk.
Vereisten
U moet ten minste één app hebben verbonden met behulp van app-connectors.
Stappen
Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer er een afwijkende download plaatsvindt. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Anomaliedetectiebeleid voor meer informatie.
Het is mogelijk om het bereik van de detectie te configureren en de actie aan te passen die moet worden uitgevoerd wanneer een waarschuwing wordt geactiveerd.
Afwijkende bestandsshares door een gebruiker detecteren
Detecteer wanneer gebruikers meerdere activiteiten voor het delen van bestanden uitvoeren in één sessie met betrekking tot de geleerde basislijn, wat kan duiden op een poging tot inbreuk.
Vereisten
U moet ten minste één app hebben verbonden met behulp van app-connectors.
Stappen
Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer gebruikers meerdere bestanden delen. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Anomaliedetectiebeleid voor meer informatie.
Het is mogelijk om het bereik van de detectie te configureren en de actie aan te passen die moet worden uitgevoerd wanneer een waarschuwing wordt geactiveerd.
Afwijkende activiteiten uit onregelmatige landen/regio's detecteren
Activiteiten detecteren vanaf een locatie die niet onlangs is bezocht of die nooit is bezocht door de gebruiker of door een gebruiker in uw organisatie.
Vereisten
U moet ten minste één app hebben verbonden met behulp van app-connectors.
Stappen
Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer een afwijkende activiteit plaatsvindt in een onregelmatig land of regio. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Anomaliedetectiebeleid voor meer informatie.
Het is mogelijk om het bereik van de detectie te configureren en de actie aan te passen die moet worden uitgevoerd wanneer een waarschuwing wordt geactiveerd.
Opmerking
Het detecteren van afwijkende locaties vereist een eerste leerperiode van 7 dagen. Tijdens de leerperiode genereert Defender for Cloud Apps geen waarschuwingen voor nieuwe locaties.
Activiteit detecteren die wordt uitgevoerd door een beëindigde gebruiker
Detecteer wanneer een gebruiker die geen werknemer van uw organisatie is, een activiteit uitvoert in een goedgekeurde app. Dit kan duiden op schadelijke activiteiten door een beëindigde werknemer die nog steeds toegang heeft tot bedrijfsresources.
Vereisten
U moet ten minste één app hebben verbonden met behulp van app-connectors.
Stappen
Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer een activiteit wordt uitgevoerd door een beëindigde werknemer. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Anomaliedetectiebeleid voor meer informatie.
Het is mogelijk om het bereik van de detectie te configureren en de actie aan te passen die moet worden uitgevoerd wanneer een waarschuwing wordt geactiveerd.
Volgende stappen
Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.