Często zadawane pytania dotyczące ładu aplikacji

Zarządzanie aplikacjami to funkcja w Microsoft Defender for Cloud Apps. Zapewnia ona rozszerzoną widoczność i kontrolę nad aplikacjami, które uzyskują dostęp do danych platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami w Microsoft Defender for Cloud Apps.

Ład aplikacji śledzi aplikacje spoza firmy Microsoft, które używają uwierzytelniania OAuth do uwierzytelniania w Tożsamość Microsoft Entra, a także w usługach Google i Salesforce. W przypadku aplikacji uwierzytelnianych w Tożsamość Microsoft Entra ład aplikacji identyfikuje i wyklucza aplikacje firmy Microsoft, których dzierżawa główna jest dzierżawą "aplikacji pierwszej firmy" należącą do firmy Microsoft (identyfikator dzierżawy: f8cdef31-a31e-4b4a-93e4-5f571e91255a).

Te aplikacje reprezentują nowoczesne aplikacje, które mogą uzyskiwać dostęp do różnych zasobów, w tym danych platformy Microsoft 365 w skrzynkach pocztowych, folderach usługi OneDrive, witrynach programu SharePoint i aplikacji Teams. Użytkownicy końcowi regularnie wprowadzają te aplikacje i mogą wyrazić zgodę na dostęp do danych.

Chociaż Defender for Cloud Apps śledzi również aplikacje korzystające z protokołu OAuth w celu uzyskania dostępu do platformy Microsoft 365, ład aplikacji zapewnia dodatkowe wykrywanie na zewnątrz i wysoce dostosowywalne zasady, które śledzą różne atrybuty i zachowania aplikacji.

Zarządzanie aplikacjami to funkcja w Defender for Cloud Apps. Aby można było korzystać z ładu aplikacji, Defender for Cloud Apps musi znajdować się na twoim koncie jako produkt autonomiczny lub jako część pakietu licencji. Jeśli masz odpowiednią rolę administratora i spełniasz wszystkie wymagania wstępne, możesz przejść do strony ustawień Microsoft Defender XDR i włączyć zarządzanie aplikacjami.

Ład aplikacji generuje dwa typy alertów:

• Alerty wykrywania zagrożeń są oparte na analizie zagrożeń firmy Microsoft i są przeznaczone do identyfikowania złośliwych aplikacji. Te wbudowane wykrywania wykorzystują uczenie maszynowe i wykrywanie anomalii w celu znalezienia aplikacji, które prawdopodobnie biorą udział w ataku. Wyświetlanie typów alertów wykrywania zagrożeń
• Alerty zasad śledzą różne atrybuty i zachowania aplikacji — certyfikację, użycie danych, błędy dostępu do interfejsu API, nieużywane uprawnienia — które mogą wskazywać na nieprawidłowe użycie i ryzyko. Same zasady są dostosowywalne (zdefiniowane przez użytkownika) lub wstępnie zdefiniowane:
  • Zasady zdefiniowane przez użytkownika mogą używać jednego lub wielu warunków do identyfikowania ryzykownych aplikacji. Możesz ustawić progi niestandardowe, aby określić, kiedy te zasady są wyzwalane.
  • Wstępnie zdefiniowane zasady śledzą te same atrybuty i zachowania aplikacji, ale sprawdzają inne sygnały i dynamicznie dostosowują progi.

Ład aplikacji może dezaktywować aplikacje zgodne z zasadami zdefiniowanymi przez użytkownika lub wstępnie zdefiniowanymi. Dezaktywowane aplikacje nie mogą uwierzytelniać się w celu Tożsamość Microsoft Entra i uzyskiwania dostępu do zasobów, dopóki nie zostaną aktywowane ręcznie. Dowiedz się więcej o zasadach ładu aplikacji

Zasady można tworzyć, łącząc warunki, które śledzą różne atrybuty i zachowania aplikacji. Po spełnieniu tych warunków zasady wyzwalają alerty i podejmują określoną akcję. Ład aplikacji udostępnia również wstępnie zdefiniowane zasady, które są włączane lub wyłączane. Możesz również ustawić akcję dla wstępnie zdefiniowanych zasad. Dowiedz się więcej o zasadach ładu aplikacji

Alerty ładu aplikacji i powiązane zdarzenia są dostępne w kolejce Microsoft Defender XDR. Microsoft Defender XDR skoreluje alerty z sygnałami z innych rozwiązań, takich jak usługa Defender for Endpoint, w celu skojarzenia powiązanych działań związanych z atakiem i zidentyfikowania zdarzeń związanych z zabezpieczeniami. Alerty i zdarzenia dotyczące ładu aplikacji są również zintegrowane z Microsoft Sentinel.

Aby uzyskać listę obsługiwanych ról, zobacz Wprowadzenie do ładu aplikacji.

Aby uzyskać listę obsługiwanych ról, zobacz Wprowadzenie do ładu aplikacji.

Zarządzanie aplikacjami nie jest obecnie dostępne w Brazylii, Korei Południowej, Szwajcarii, Norwegii, RPA i Zjednoczonych Emiratach Arabskich. Aby korzystać z ładu aplikacji, lokalizacja rozliczeniowa musi znajdować się w innym kraju/regionie.

Pełne przygotowanie ładu aplikacji i pobranie danych po ich zainicjowaniu może potrwać do 10 godzin. W tym okresie statystyki dostępu do danych i liczba aplikacji mogą być niedokładne.

Zarządzanie aplikacjami jest zintegrowane z Microsoft Defender XDR dla ujednoliconego środowiska alertów. Łącznik Microsoft Defender XDR dla Microsoft Sentinel (wersja zapoznawcza) wysyła wszystkie Microsoft Defender XDR informacje o zdarzeniach i alertach do Microsoft Sentinel i utrzymuje synchronizację zdarzeń.

Łącznik Microsoft Defender XDR umożliwia automatyczne wykrywanie, klasyfikowanie, badanie i korygowanie zdarzeń i alertów dotyczących ładu aplikacji w Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz integrację Microsoft Defender XDR z Microsoft Sentinel i łączenie danych z Microsoft Defender XDR do Microsoft Sentinel

Więcej informacji na temat ładu aplikacji można znaleźć w następujących zasobach:

• Ochrona firmy za pomocą kompleksowej ochrony usługi Microsoft Security
• Ogłoszenie Microsoft Defender for Cloud Apps
• Jak zapobiegać cyberatakom aplikacji — chmura & hybrydowa
• Twitter: Microsoft is tracking a recent consent phishing campaign, reported by @ffforward, that abuses OAuth.
• Firma Microsoft przechodzi do kompleksowego rozwiązania zabezpieczeń SaaS — blog dotyczący zabezpieczeń firmy Microsoft
• Poprawianie stanu aplikacji i higieny przy użyciu Microsoft Defender for Cloud Apps
• Zarządzanie aplikacjami to kluczowa część podróży klientów z zerowym zaufaniem