Udostępnij za pośrednictwem

Tworzenie zasad aplikacji w zakresie ładu aplikacji

  • Artykuł

Oprócz wbudowanego zestawu możliwości wykrywania nietypowego zachowania aplikacji i generowania alertów na podstawie algorytmów uczenia maszynowego zasady ładu aplikacji umożliwiają:

  • Określ warunki, według których ład aplikacji ostrzega o zachowaniu aplikacji na potrzeby automatycznego lub ręcznego korygowania.

  • Wymuszanie zasad zgodności aplikacji dla organizacji.

Zarządzanie aplikacjami umożliwia tworzenie zasad OAuth dla aplikacji połączonych z usługami Tożsamość Microsoft Entra, Google Workspace i Salesforce.


Tworzenie zasad aplikacji OAuth dla Tożsamość Microsoft Entra

W przypadku aplikacji połączonych z Tożsamość Microsoft Entra utwórz zasady aplikacji na podstawie udostępnionych szablonów, które można dostosować, lub utwórz własne niestandardowe zasady aplikacji.

  1. Aby utworzyć nowe zasady aplikacji dla aplikacji Azure AD, przejdź do Microsoft Defender XDR > Zasady > ładu > aplikacji Azure AD.

    Przykład:

    Zrzut ekranu przedstawiający kartę Azure AD.

  2. Wybierz opcję Utwórz nowe zasady , a następnie wykonaj jedną z następujących czynności:

    • Aby utworzyć nowe zasady aplikacji na podstawie szablonu, wybierz odpowiednią kategorię szablonu, a następnie szablon w tej kategorii.
    • Aby utworzyć zasady niestandardowe, wybierz kategorię Niestandardowe .

    Przykład:

    Zrzut ekranu przedstawiający stronę Wybieranie szablonu zasad.

Szablony zasad aplikacji

Aby utworzyć nowe zasady aplikacji na podstawie szablonu zasad aplikacji, na stronie Wybieranie szablonu zasad aplikacji wybierz kategorię szablonu aplikacji, wybierz nazwę szablonu, a następnie wybierz pozycję Dalej.

W poniższych sekcjach opisano kategorie szablonów zasad aplikacji.

Zastosowanie

W poniższej tabeli wymieniono szablony ładu aplikacji obsługiwane w celu generowania alertów dotyczących użycia aplikacji.

Nazwa szablonu Opis
Nowa aplikacja o wysokim użyciu danych Znajdź nowo zarejestrowane aplikacje, które przekazały lub pobrały duże ilości danych przy użyciu interfejs Graph API. Te zasady sprawdzają następujące warunki:

  • Wiek rejestracji: siedem dni lub mniej (możliwość dostosowania)
  • Użycie danych: większe niż 1 GB w ciągu jednego dnia (możliwe do dostosowania)
    		•
    Zwiększanie liczby użytkowników Znajdź aplikacje o dużym wzroście liczby użytkowników. Te zasady sprawdzają następujące warunki:

  • Zakres czasu: Ostatnie 90 dni
  • Zwiększenie liczby użytkowników wyrażających zgodę: co najmniej 50% (możliwość dostosowania)
    		•

    Uprawnienia

    W poniższej tabeli wymieniono szablony ładu aplikacji obsługiwane w celu generowania alertów dotyczących uprawnień aplikacji.

    Nazwa szablonu Opis
    Nadmierna ochrona aplikacji Znajdź aplikacje, które mają nieużywane uprawnienia interfejs Graph API. Aplikacje te otrzymały uprawnienia, które mogą być niepotrzebne do regularnego użytku.
    Nowa aplikacja o wysokim poziomie uprawnień Znajdź nowo zarejestrowane aplikacje, którym udzielono dostępu do zapisu i inne zaawansowane uprawnienia interfejs Graph API. Te zasady sprawdzają następujące warunki:

  • Wiek rejestracji: siedem dni lub mniej (możliwość dostosowania)
    		•
    Nowa aplikacja z uprawnieniami innych niż interfejs Graph API Znajdź nowo zarejestrowane aplikacje, które mają uprawnienia do interfejsów API innych niż Graph. Te aplikacje mogą narazić Cię na ryzyko, jeśli interfejsy API, do których uzyskują dostęp, otrzymają ograniczoną pomoc techniczną i aktualizacje.
    Te zasady sprawdzają następujące warunki:

  • Wiek rejestracji: siedem dni lub mniej (możliwość dostosowania)
  • Uprawnienia inne niż interfejs Graph API: Tak
    		•

    Certyfikacja

    W poniższej tabeli wymieniono szablony ładu aplikacji obsługiwane w celu generowania alertów dotyczących certyfikacji platformy Microsoft 365.

    Nazwa szablonu Opis
    Nowa aplikacja niecertyfikowana Znajdź nowo zarejestrowane aplikacje, które nie mają zaświadczania wydawcy lub certyfikatu platformy Microsoft 365. Te zasady sprawdzają następujące warunki:

  • Wiek rejestracji: siedem dni lub mniej (możliwość dostosowania)
  • Certyfikacja: Brak certyfikacji (możliwość dostosowania)
    		•

    Zasady niestandardowe

    Użyj niestandardowych zasad aplikacji, jeśli musisz wykonać coś, co nie zostało jeszcze zrobione przez jeden z wbudowanych szablonów.

    1. Aby utworzyć nowe niestandardowe zasady aplikacji, najpierw wybierz pozycję Utwórz nowe zasady na stronie Zasady . Na stronie Wybieranie szablonu zasad aplikacji wybierz kategorię Niestandardowe , szablon zasad niestandardowych , a następnie wybierz pozycję Dalej.

    2. Na stronie Nazwa i opis skonfiguruj następujące elementy:

      • Nazwa zasad
      • Opis zasad
      • Wybierz ważność zasad, która określa ważność alertów generowanych przez te zasady.
        • High (Wysoki)
        • Średnie
        • Niski

    3. Na stronie Wybieranie ustawień zasad i warunków wybierz pozycję Wybierz aplikacje, dla których mają zastosowanie te zasady, wybierz:

      • Wszystkie aplikacje
      • Wybieranie określonych aplikacji
      • Wszystkie aplikacje z wyjątkiem

    4. Jeśli wybierzesz określone aplikacje lub wszystkie aplikacje z wyjątkiem tych zasad, wybierz pozycję Dodaj aplikacje i wybierz żądane aplikacje z listy. W okienku Wybieranie aplikacji możesz wybrać wiele aplikacji, do których mają zastosowanie te zasady, a następnie wybrać pozycję Dodaj. Wybierz pozycję Dalej , jeśli lista jest zadowalająca.

    5. Wybierz pozycję Edytuj warunki. Wybierz pozycję Dodaj warunek i wybierz warunek z listy. Ustaw żądany próg dla wybranego warunku. Powtórz, aby dodać więcej warunków. Wybierz pozycję Zapisz , aby zapisać regułę, a po zakończeniu dodawania reguł wybierz pozycję Dalej.

      Uwaga

      Niektóre warunki zasad mają zastosowanie tylko do aplikacji, które uzyskują dostęp interfejs Graph API uprawnień. Podczas oceniania aplikacji, które uzyskują dostęp tylko do interfejsów API innych niż Graph, ład aplikacji pominie te warunki zasad i przejdzie do sprawdzania tylko innych warunków zasad.

    6. Poniżej przedstawiono dostępne warunki dla niestandardowych zasad aplikacji:

      Warunek Zaakceptowane wartości warunków Opis Więcej informacji
      Wiek rejestracji W ciągu ostatnich X dni Aplikacje, które zostały zarejestrowane w celu Tożsamość Microsoft Entra w określonym okresie od bieżącej daty
      Certyfikacja Brak certyfikacji, certyfikowany przez wydawcę, certyfikowany przez platformę Microsoft 365 Aplikacje, które mają certyfikat platformy Microsoft 365, mają raport zaświadczania wydawcy lub Certyfikacja platformy Microsoft 365
      Zweryfikowano wydawcę Tak lub nie Aplikacje, które zweryfikowały wydawców Weryfikacja wydawcy
      Uprawnienia aplikacji (tylko program Graph) Wybierz co najmniej jedno uprawnienie interfejsu API z listy Aplikacje z określonymi uprawnieniami interfejs Graph API, które zostały udzielone bezpośrednio Dokumentacja uprawnień programu Microsoft Graph
      Uprawnienia delegowane (tylko grafu) Wybierz co najmniej jedno uprawnienie interfejsu API z listy Aplikacje z określonymi uprawnieniami interfejs Graph API udzielonymi przez użytkownika Dokumentacja uprawnień programu Microsoft Graph
      Wysoce uprzywilejowane (tylko grafu) Tak lub nie Aplikacje z stosunkowo zaawansowanymi uprawnieniami interfejs Graph API Oznaczenie wewnętrzne oparte na tej samej logice używanej przez Defender for Cloud Apps.
      Overprivileged (tylko grafu) Tak lub nie Aplikacje z nieużywanymi uprawnieniami interfejs Graph API Aplikacje z bardziej przyznanymi uprawnieniami niż są używane przez te aplikacje.
      Uprawnienia inne niż interfejs Graph API Tak lub nie Aplikacje z uprawnieniami do interfejsów API innych niż Graph. Te aplikacje mogą narazić Cię na ryzyko, jeśli interfejsy API, do których uzyskują dostęp, otrzymają ograniczoną pomoc techniczną i aktualizacje.
      Użycie danych (tylko grafu) Większa niż X GB pobranych i przekazanych danych dziennie Aplikacje, które odczytują i zapisują więcej niż określoną ilość danych przy użyciu interfejs Graph API
      Trend użycia danych (tylko program Graph) X % wzrost użycia danych w porównaniu z poprzednim dniem Aplikacje, których dane odczytują i zapisują przy użyciu interfejs Graph API, wzrosły o określony procent w porównaniu z poprzednim dniem
      Dostęp do interfejsu API (tylko program Graph) Większe niż wywołania interfejsu API X dziennie Aplikacje, które wykonały określoną liczbę interfejs Graph API wywołań w ciągu dnia
      Trend dostępu do interfejsu API (tylko program Graph) X% wzrost liczby wywołań interfejsu API w porównaniu z poprzednim dniem Aplikacje, których liczba wywołań interfejs Graph API wzrosła o określony procent w porównaniu z poprzednim dniem
      Liczba użytkowników wyrażających zgodę (Większe niż lub Mniejsze niż) Użytkownicy z zgodą na język X Aplikacje, które wyraziły zgodę przez większą lub mniejszą liczbę użytkowników niż określono
      Zwiększanie liczby użytkowników wyrażających zgodę X% wzrost liczby użytkowników w ciągu ostatnich 90 dni Aplikacje, których liczba użytkowników wyrażających zgodę wzrosła o ponad określony procent w ciągu ostatnich 90 dni
      Udzielono zgody na konto priorytetowe Tak lub nie Aplikacje, które otrzymały zgodę użytkowników o priorytecie Użytkownik z kontem o priorytecie.
      Nazwy użytkowników wyrażających zgodę Wybieranie użytkowników z listy Aplikacje, które udzieliły zgody określonym użytkownikom
      Role wyrażania zgody dla użytkowników Wybieranie ról z listy Aplikacje, które udzieliły zgody użytkownikom z określonymi rolami Dozwolone jest wiele wyborów.

      Każda rola Microsoft Entra z przypisanym elementem członkowskim powinna zostać udostępniona na tej liście.
      Etykiety poufności, do które uzyskano dostęp Wybierz co najmniej jedną etykietę poufności z listy Aplikacje, które uzyskiwały dostęp do danych z określonymi etykietami poufności w ciągu ostatnich 30 dni.
      Dostępne usługi (tylko program Graph) Exchange i/lub OneDrive i/lub SharePoint i/lub Teams Aplikacje, które uzyskiwały dostęp do usługi OneDrive, Programu SharePoint lub Exchange Online przy użyciu interfejs Graph API Dozwolone jest wiele wyborów.
      Współczynnik błędów (tylko wykres) Współczynnik błędów jest większy niż X% w ciągu ostatnich siedmiu dni Aplikacje, których interfejs Graph API współczynnik błędów w ciągu ostatnich siedmiu dni są większe niż określony procent

      Wszystkie określone warunki muszą zostać spełnione, aby te zasady aplikacji wygenerowały alert.

    7. Po zakończeniu określania warunków wybierz pozycję Zapisz, a następnie wybierz pozycję Dalej.

    8. Na stronie Definiowanie akcji zasad wybierz pozycję Wyłącz aplikację , jeśli chcesz, aby ład aplikacji wyłączał aplikację podczas generowania alertu na podstawie tych zasad, a następnie wybierz przycisk Dalej. Zachowaj ostrożność podczas stosowania akcji, ponieważ zasady mogą mieć wpływ na użytkowników i prawidłowe użycie aplikacji.

    9. Na stronie Definiowanie stanu zasad wybierz jedną z następujących opcji:

      • Tryb inspekcji: zasady są oceniane, ale skonfigurowane akcje nie będą wykonywane. Zasady trybu inspekcji są wyświetlane ze stanem Inspekcja na liście zasad. Do testowania nowych zasad należy użyć trybu inspekcji.
      • Aktywne: zasady są oceniane i będą wykonywane skonfigurowane akcje.
      • Nieaktywne: zasady nie są oceniane i skonfigurowane akcje nie będą wykonywane.

    10. Dokładnie przejrzyj wszystkie parametry zasad niestandardowych. Wybierz pozycję Prześlij , gdy wszystko będzie zadowalające. Możesz również wrócić i zmienić ustawienia, wybierając pozycję Edytuj pod dowolnym z ustawień.

    Testowanie i monitorowanie nowych zasad aplikacji

    Po utworzeniu zasad aplikacji należy je monitorować na stronie Zasady , aby upewnić się, że rejestruje oczekiwaną liczbę aktywnych alertów i łączną liczbę alertów podczas testowania.

    Zrzut ekranu przedstawiający stronę podsumowania zasad ładu aplikacji w Microsoft Defender XDR z wyróżnionymi zasadami.

    Jeśli liczba alertów jest nieoczekiwanie niską wartością, edytuj ustawienia zasad aplikacji, aby upewnić się, że zostały prawidłowo skonfigurowane przed ustawieniem jej stanu.

    Oto przykład procesu tworzenia nowych zasad, testowania ich, a następnie uaktywniania:

    1. Utwórz nowe zasady z ważnością, aplikacjami, warunkami i akcjami ustawionymi na wartości początkowe i stan ustawiony na tryb inspekcji.
    2. Sprawdź oczekiwane zachowanie, takie jak wygenerowane alerty.
    3. Jeśli zachowanie nie jest oczekiwane, w razie potrzeby edytuj aplikacje zasad, warunki i ustawienia akcji i wróć do kroku 2.
    4. Jeśli zachowanie jest oczekiwane, edytuj zasady i zmień jego stan na Aktywny.

    Na przykład na poniższym wykresie przepływowym przedstawiono następujące kroki:

    Diagram przepływu pracy tworzenia zasad aplikacji.

    Tworzenie nowych zasad dla aplikacji OAuth połączonych z usługami Salesforce i Google Workspace

    Zasady dla aplikacji OAuth wyzwalają alerty tylko dla zasad autoryzowanych przez użytkowników w dzierżawie.

    Aby utworzyć nowe zasady aplikacji dla usług Salesforce, Google i innych aplikacji:

    1. Przejdź do obszaru > Microsoft Defender XDR Zasady > ładu > aplikacji Inne aplikacje. Przykład:

      Tworzenie innych aplikacji i zasad

    2. Filtruj aplikacje zgodnie z potrzebami. Możesz na przykład wyświetlić wszystkie aplikacje, które żądają uprawnień do modyfikowania kalendarzy w skrzynce pocztowej.

      Porada

      Użyj filtru community use , aby uzyskać informacje na temat tego, czy zezwolenie na uprawnienia do tej aplikacji jest powszechne, rzadkie czy rzadkie. Ten filtr może być przydatny, jeśli masz aplikację, która jest rzadka, i żąda uprawnień o wysokim poziomie ważności lub żąda uprawnień od wielu użytkowników.

    3. Możesz ustawić zasady na podstawie członkostwa w grupach użytkowników, którzy autoryzują aplikacje. Na przykład administrator może zdecydować o ustawieniu zasad, które odwołują nietypowe aplikacje, jeśli żądają wysokich uprawnień, tylko wtedy, gdy użytkownik, który autoryzował uprawnienia, jest członkiem grupy Administratorzy.

    Przykład:

    nowe zasady aplikacji OAuth.

    Zasady wykrywania anomalii dla aplikacji OAuth połączonych z usługami Salesforce i Google Workspace

    Oprócz zasad aplikacji Oauth, które można tworzyć, aplikacje usługi Defender for Cloud udostępniają wbudowane zasady wykrywania anomalii, które profilują metadane aplikacji OAuth w celu zidentyfikowania potencjalnie złośliwych.

    Ta sekcja jest odpowiednia tylko dla aplikacji Salesforce i Google Workspace.

    Uwaga

    Zasady wykrywania anomalii są dostępne tylko dla aplikacji OAuth autoryzowanych w Tożsamość Microsoft Entra. Nie można zmodyfikować ważności zasad wykrywania anomalii aplikacji OAuth.

    W poniższej tabeli opisano wbudowane zasady wykrywania anomalii udostępniane przez Defender for Cloud Apps:

    Polityka Opis
    Myląca nazwa aplikacji OAuth Skanuje aplikacje OAuth połączone ze środowiskiem i wyzwala alert po wykryciu aplikacji o mylącej nazwie. Mylące nazwy, takie jak litery obce przypominające litery łacińskie, mogą wskazywać na próbę ukrycia złośliwej aplikacji jako znanej i zaufanej aplikacji.
    Wprowadzająca w błąd nazwa wydawcy aplikacji OAuth Skanuje aplikacje OAuth połączone ze środowiskiem i wyzwala alert po wykryciu aplikacji o mylącej nazwie wydawcy. Wprowadzające w błąd nazwy wydawców, takie jak litery obce przypominające litery łacińskie, mogą wskazywać na próbę ukrycia złośliwej aplikacji jako aplikacji pochodzącej od znanego i zaufanego wydawcy.
    Zgoda złośliwej aplikacji OAuth Skanuje aplikacje OAuth połączone ze środowiskiem i wyzwala alert po autoryzowaniu potencjalnie złośliwej aplikacji. Złośliwe aplikacje OAuth mogą być używane w ramach kampanii wyłudzania informacji w celu naruszenia bezpieczeństwa użytkowników. To wykrywanie wykorzystuje wiedzę firmy Microsoft w zakresie badań nad zabezpieczeniami i analizy zagrożeń do identyfikowania złośliwych aplikacji.
    Podejrzane działania pobierania pliku aplikacji OAuth Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

    Następny krok

    Zarządzanie zasadami aplikacji