Udostępnij za pośrednictwem

Zarządzanie alertami ładu aplikacji

  • Artykuł

Alerty dotyczące złośliwych aplikacji i aplikacji w chmurze, które mogą stanowić zagrożenie dla Organizacji, można badać na stronach Microsoft Defender XDR Alerty lub zdarzenia.

Przykład:

Zrzut ekranu przedstawiający stronę podsumowania alertów dotyczących ładu aplikacji w Microsoft Defender XDR.

Wyświetlanie szczegółów alertu

Domyślnie na stronie alertów Microsoft Defender XDR są wyświetlane nowe alerty generowane przez ład aplikacji na podstawie reguł wykrywania zagrożeń i aktywnych zasad. Wyświetl szczegóły określonego alertu, wybierając alert. Zostanie otwarta strona z dodatkowymi informacjami na temat alertu i opcjami zarządzania alertem.

Przykład:

Zrzut ekranu przedstawiający dodatkowe informacje o alertie i opcjach zarządzania alertem.

Na stronie możesz uzyskać dodatkowe informacje z sekcji Historia alertu :

  • Dokładne szczegóły dotyczące przyczyny utworzenia alertu w obszarze Co się stało
  • Informacje o sposobie korygowania alertu w obszarze Zalecane akcje

Zarządzanie alertem dotyczącym ładu aplikacji

Aby zbadać i podjąć działania dotyczące aplikacji w obszarze zarządzania aplikacjami, wybierz kartę jednostki aplikacji w obszarze Powiązane jednostki, a następnie wybierz pozycję Wyświetl szczegóły aplikacji.

Zasady aplikacji skonfigurowane do automatycznego korygowania z akcji mają stan Rozwiązano.

Aby zarządzać alertem dotyczącym ładu aplikacji:

  1. Badanie: sprawdź informacje w alercie i zmień jego stan na Znacznik w toku.
  2. Rozwiązanie: po badaniu i w razie potrzeby ustaleniu zmian zasad aplikacji lub ciągłej obsługi aplikacji w dzierżawie zmień jej stan na Rozwiązano.

Na podstawie wzorców alertów aplikacji można zaktualizować odpowiednie zasady aplikacji i zmienić jego ustawienie Akcja w celu przeprowadzenia automatycznego korygowania. Eliminuje to konieczność badania i ręcznego rozwiązywania przyszłych alertów generowanych przez zasady aplikacji. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami aplikacji.

Blokowanie lub zatwierdzanie aplikacji OAuth połączonej z usługami Salesforce i Google Workspace

Uwaga

Ta sekcja jest odpowiednia tylko dla aplikacji Salesforce i Google Workspace.

  1. Na kartach Aplikacje Google lub Salesforce wybierz aplikację, aby otworzyć okienko Aplikacja i wyświetlić więcej informacji na temat aplikacji i udzielonych jej uprawnień.

    • Wybierz pozycję Uprawnienia , aby wyświetlić pełną listę uprawnień przyznanych aplikacji.
    • W obszarze Użycie w społeczności możesz zobaczyć, jak często aplikacja jest używana w innych organizacjach.
    • Wybierz pozycję Powiązane działanie , aby wyświetlić działania wymienione w dzienniku aktywności powiązanym z tą aplikacją.

  2. Aby zablokować aplikację, wybierz ikonę zakazu na końcu wiersza aplikacji w tabeli. Przykład:

    Zrzut ekranu przedstawiający ikonę aplikacji ban.

    • Możesz wybrać, czy chcesz poinformować użytkowników, że zainstalowana i autoryzowana aplikacja została zablokowana. Powiadomienie informuje użytkowników, że aplikacja zostanie wyłączona i nie będą mieli dostępu do połączonej aplikacji. Jeśli nie chcesz, aby wiedzieli, usuń zaznaczenie pozycji Powiadom użytkowników, którzy udzielili dostępu do tej zakazanej aplikacji w oknie dialogowym.
    • Zaleca się poinformowanie użytkowników aplikacji, że ich aplikacja ma zostać zakazana.

    Przykład:

    Zrzut ekranu przedstawiający blokowanie aplikacji.

  3. Wpisz komunikat, który chcesz wysłać do użytkowników aplikacji, w polu Wprowadź niestandardowy komunikat powiadomienia. Wybierz pozycję Zakończ aplikację , aby wysłać wiadomość e-mail, i zakończ aplikację od połączonych użytkowników aplikacji.

  4. Aby zatwierdzić aplikację, wybierz ikonę zatwierdzania na końcu wiersza w tabeli.

    Zrzut ekranu przedstawiający ikonę zatwierdzania aplikacji.

    • Ikona zmieni kolor na zielony, a aplikacja zostanie zatwierdzona dla wszystkich połączonych użytkowników aplikacji.
    • Po oznaczeniu aplikacji jako zatwierdzonej nie ma to wpływu na użytkownika końcowego. Ta zmiana koloru ma ułatwić wyświetlanie zatwierdzonych aplikacji w celu oddzielenia ich od aplikacji, które nie zostały jeszcze sprawdzone.

Odwoływanie aplikacji OAuth połączonej z usługą Salesforce i obszarem roboczym Google oraz powiadamianie użytkownika

Uwaga

Ta sekcja jest odpowiednia tylko dla aplikacji Salesforce i Google Workspace. W przypadku obszaru roboczego Google i usługi Salesforce można odwołać uprawnienie do aplikacji lub powiadomić użytkownika, że powinien zmienić uprawnienie. Po odwołaniu uprawnienia usuwa wszystkie uprawnienia, które zostały przyznane aplikacji w obszarze "Aplikacje dla przedsiębiorstw" w Tożsamość Microsoft Entra.

  1. Na kartach Aplikacje Google lub Salesforce wybierz trzy kropki na końcu wiersza aplikacji, a następnie wybierz pozycję Powiadom użytkownika. Domyślnie użytkownik jest powiadamiany w następujący sposób: Autoryzowano aplikację do uzyskiwania dostępu do konta obszaru roboczego Google. Ta aplikacja powoduje konflikt z zasadami zabezpieczeń organizacji. Ponownie rozważ nadanie lub odwołanie uprawnień udzielonych tej aplikacji na koncie obszaru roboczego Google. Aby odwołać dostęp do aplikacji, przejdź do: https://security.google.com/settings/security/permissions?hl=en& pli=1 Wybierz aplikację i wybierz pozycję "Odwołaj dostęp" na prawym pasku menu. Możesz dostosować wysyłany komunikat.

  2. Możesz również odwołać uprawnienia do korzystania z aplikacji dla użytkownika. Wybierz ikonę na końcu wiersza aplikacji w tabeli i wybierz pozycję Odwołaj aplikację.

    Zrzut ekranu przedstawiający ikonę odwoływania aplikacji.

Następne kroki

Zabezpieczanie aplikacji uzyskujących dostęp do interfejsów API innych niż Graph przy użyciu ładu aplikacji